2.4. 从 overcloud 防火墙中删除服务

您可以使用规则来限制服务。您在规则名称中使用的数字决定了规则将插入的 iptables 中的位置。以下流程演示了如何将 rabbitmq 服务限制为 InternalAPI 网络。

流程

在 Controller 节点上，查找 rabbitmq 的默认 iptables 规则数：

[tripleo-admin@overcloud-controller-2 ~]$ sudo iptables -L | grep rabbitmq
ACCEPT     tcp  --  anywhere             anywhere             multiport dports vtr-emulator,epmd,amqp,25672,25673:25683 state NEW /* 109 rabbitmq-bundle ipv4 */

在环境文件 uder parameter_defaults 中，使用 ExtraFirewallRules 参数将 rabbitmq 限制到 InternalApi 网络。该规则的编号低于默认的 rabbitmq 规则编号或 109 ：

cat > ~/templates/firewall.yaml <<EOF
parameter_defaults:
  ExtraFirewallRules:
    '098 allow rabbit from internalapi network':
      dport:
      - 4369
      - 5672
      - 25672
      proto: tcp
      source: 10.0.0.0/24
    '099 drop other rabbit access':
      dport:
      - 4369
      - 5672
      - 25672
      proto: tcp
      action: drop
EOF

注意

如果没有设置 action 参数，则结果将 接受。您只能将 action 参数设置为 drop、insert 或 append。

在 openstack overcloud deloy 命令中包含 ~/templates/firewall.yaml 文件。包括部署所需的所有模板：
```
openstack overcloud deploy --templates /
...
-e /home/stack/templates/firewall.yaml /
....
```

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

Theme

© 2026 Red Hat

返回顶部