2.3. 从 overcloud 防火墙中删除服务
您可以使用规则来限制服务。您在规则名称中使用的数字决定了规则将插入的 iptables
中的位置。以下流程演示了如何将 rabbitmq
服务限制为 InternalAPI 网络。
流程
在 Controller 节点上,查找
rabbitmq
的默认iptables
规则数:[tripleo-admin@overcloud-controller-2 ~]$ sudo iptables -L | grep rabbitmq ACCEPT tcp -- anywhere anywhere multiport dports vtr-emulator,epmd,amqp,25672,25673:25683 state NEW /* 109 rabbitmq-bundle ipv4 */
在环境文件 uder
parameter_defaults
中,使用ExtraFirewallRules
参数将rabbitmq
限制到 InternalApi 网络。该规则的编号低于默认的rabbitmq
规则编号或 109 :cat > ~/templates/firewall.yaml <<EOF parameter_defaults: ExtraFirewallRules: '098 allow rabbit from internalapi network': dport: - 4369 - 5672 - 25672 proto: tcp source: 10.0.0.0/24 '099 drop other rabbit access': dport: - 4369 - 5672 - 25672 proto: tcp action: drop EOF
注意如果没有设置
action
参数,则结果将接受
。您只能将action
参数设置为drop
、insert
或append
。在
openstack overcloud deloy
命令中包含~/templates/firewall.yaml
文件。包括部署所需的所有模板:openstack overcloud deploy --templates / ... -e /home/stack/templates/firewall.yaml / ....