红帽全球峰会9.4. 将查询限制为元数据服务
为了保护 OpenShift (RHOSO)上的 Red Hat OpenStack Services (RHOSO)环境,如拒绝服务(DoS)攻击等网络威胁,网络服务(neutron)让管理员能够限制虚拟机实例可以查询计算元数据服务的速度。管理员通过将值分配给网络服务用来配置 HAProxy 服务器来执行速率限制的一组参数。HAProxy 服务器在元数据服务内运行。
要为节点集合添加元数据速率限制,请完成这些任务:
-
创建
ConfigMap自定义资源(CR)来配置节点。 - 为运行 playbook 的功能创建自定义服务。
-
在自定义服务中包含
ConfigMapCR。
如下详细步骤:
先决条件
-
在工作站上安装了
oc命令行工具。 -
以具有
cluster-admin权限的用户身份登录到可访问 RHOSO 控制平面的工作站。 您的 RHOSP 环境使用 IPv4 网络。
目前,网络服务不支持 IPv6 网络上的元数据速率限制。
您有一个调度的维护窗口。
此流程要求您重启 OVN 元数据服务。
流程
创建一个
ConfigMapCR 来为元数据速率限制定义新配置,并将它保存到工作站上的 YAML 文件中,如neutron-metadata-rate-limit.yaml。注意不要使用默认配置文件的名称,因为它将覆盖基础架构配置,如
transport_url。为以下速率限制参数设置值:
rate_limit_enabled-
可让您限制元数据请求的速度。默认值为
false。将值设为true以启用元数据速率限制。 ip_versions-
IP 版本
4用于控制查询率的元数据 IP 地址。RHOSP 尚不支持 IPv6 网络的元数据速率限制。 base_window_duration-
查询请求限制的时间范围(以秒为单位)。默认值为
10秒。 base_query_rate_limit-
base_window_duration期间允许的最大请求数。默认值为10个请求。 burst_window_duration-
允许请求超过
base_window_duration的时间 span (以秒为单位)。默认值为10秒。 burst_query_rate_limitburst_window_duration期间允许的最大请求数。默认值为10个请求。Example
在本例中,网络服务被配置为 基础 时间和速率,允许实例在 60 秒内查询 IPv4 元数据服务 IP 地址 6 次。网络服务也被配置为 突发 时间和速率,允许每个时间缩短 10 秒期间的 2 个查询率提高 2 个查询:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
使用
ConfigMapCR 文件创建ConfigMap对象。Example
oc create -f neutron-metadata-rate-limit.yaml -n openstack
$ oc create -f neutron-metadata-rate-limit.yaml -n openstackCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建定义自定义服务的
OpenStackDataPlaneServiceCR,并将其保存到工作站上的 YAML 文件中,如neutron-metadata-rate-limit-service.yaml:apiVersion: dataplane.openstack.org/v1beta1 kind: OpenStackDataPlaneService metadata: name: neutron-metadata-rate-limit
apiVersion: dataplane.openstack.org/v1beta1 kind: OpenStackDataPlaneService metadata: name: neutron-metadata-rate-limitCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将
ConfigMapCR 添加到自定义服务中,并为运行此服务的节点集的单元指定SecretCR:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 通过引用 Ansible playbook 或将 Ansible play 包含在
playbookContents字段中来指定用于创建自定义服务的 Ansible 命令:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 创建
metadata-rate-limit服务:oc apply -f neutron-metadata-rate-limit -n openstack
$ oc apply -f neutron-metadata-rate-limit -n openstackCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
确认创建了自定义服务:
oc get openstackdataplaneservice neutron-metadata-rate-limit -o yaml -n openstack
$ oc get openstackdataplaneservice neutron-metadata-rate-limit -o yaml -n openstackCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}