Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 8 章 日志记录安全组操作

在 OpenShift (RHOSO)环境的 Red Hat OpenStack Services 中,要监控虚拟机(VM)实例的流量流,您可以为安全组创建数据包日志。每个日志生成有关数据包流事件的数据流,并将其附加到启动虚拟机实例的 Compute 主机上的通用日志文件。

您可以将任何实例端口与一个或多个安全组关联,并为每个安全组定义一个或多个规则。例如,您可以创建一个规则,允许安全组中任何虚拟机的入站 SSH 流量。您可以在同一安全组中创建另一条规则,以允许该组中的虚拟机启动和响应 ICMP (ping)消息。

然后,您可以创建日志来记录数据包流事件的组合。例如,以下命令会创建一个日志来捕获安全组 security-group1 中的所有 ACCEPT 事件。 

$ openstack network log create my-log1 \
--resource-type security_group \
--resource security-group1 \
--event ACCEPT

您可以创建多个日志来捕获有关安全组和数据包流事件特定组合的数据。

您可以配置以下参数:

--resource-type
您必须将此必需参数设置为 security_group
--resource <security_group_name|security_group_ID>
可选:将日志限制为特定的安全组。如果没有指定资源,日志将从项目中指定端口上的所有安全组捕获事件。
--target <port_ID|port_name>
可选:将日志限制为安全组中的特定端口。如果没有指定目标,日志将从项目中的所有端口捕获事件。
--event (要记录的事件类型)

您可以选择记录以下数据包流事件:

  • DROP :为每个丢弃的传入或传出会话记录一个 DROP 日志条目。

    注意

    如果您在一个或多个安全组上记录丢弃的流量,网络服务会记录所有安全组上丢弃的流量。

  • ACCEPT :为安全组允许的每个新会话记录一个 ACCEPT 日志条目。
  • ALL (拖放和接受):记录所有 DROPACCEPT 事件。如果没有设置 -event ACCEPT 或 -event DROP,则网络服务默认为 ALL
注意

网络服务将所有日志数据写入每个 Compute 节点上的同一文件中: /var/log/containers/openvswitch/ovn-controller.log

本节包含以下主题:

8.1. 验证安全组日志记录是否已启用
复制链接

要为网络数据包日志记录准备 Red Hat OpenStack Services on OpenShift (RHOSO)环境,请确保网络服务(neutron)已加载日志记录服务插件和日志扩展。

先决条件

  • 在工作站上安装了 oc 命令行工具。
  • 以具有 cluster-admin 权限的用户身份登录到可访问 RHOSO 控制平面的工作站。

流程

  1. 从您的工作站访问 OpenStackClient pod 的远程 shell: 

    $ oc rsh -n openstack openstackclient

  2. 输入以下命令: 

    $ openstack extension list --network --max-width=72 | grep logging

    如果网络服务载入了日志记录服务插件和扩展,输出包括: 

    | Logging API          | logging              | Provides a logging API |

  3. 如果 openstack extension list 输出不包括 Logging API 扩展,请更新 control plane:

    1. 创建 YAML 文件并添加以下内容: 

      apiVersion: core.openstack.org/v1beta1
kind: OpenStackControlPlane
metadata:
  name: openstack-control-plane
spec:
  neutron:
    template:
      customServiceConfig: |
        [DEFAULT]
        service_plugins=log

    2. 应用更新的 OpenStackControlPlane CR 配置: 

      $ oc apply -f <control_plane_update.yaml>
      • <control_plane_updates.yaml > 替换为包含您更新的 YAML 文件的名称。

  4. 等待 RHOCP 创建与 OpenStackControlPlane CR 相关的资源。检查 control plane 部署的状态: 

    $ oc get openstackcontrolplane -n openstack

    输出示例

    NAME                      STATUS    MESSAGE
openstack-control-plane   Unknown   Setup started

    当状态为 "Setup complete" 时,会创建 OpenStackControlPlane 资源。

    提示

    -w 选项附加到 get 命令,以跟踪部署进度。

验证

  • 通过重复步骤 1 确认网络服务已成功载入 Logging API 扩展

其他资源

Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部