10.4. 为安全组配置防火墙
data plane 接口在有状态的防火墙中需要高性能。要保护这些接口,请考虑在 Red Hat OpenStack Platform (RHOSP) OVS-DPDK 环境中将电信级防火墙部署为虚拟网络功能(VNF)。
要在 ML2/OVS 部署中配置 control plane 接口,请在自定义环境文件的 parameter_defaults
下将 NeutronOVSFirewallDriver
参数设置为 openvswitch
。在 OVN 部署中,您可以使用访问控制列表(ACL)实施安全组。
您不能将 OVS 防火墙驱动程序与硬件卸载搭配使用,因为卸载路径中不支持流的连接跟踪属性。
先决条件
-
访问
stack
用户的 undercloud 主机和凭据。
流程
-
以
stack
用户的身份登录 undercloud。 Source
stackrc
文件:$ source ~/stackrc
- 打开您在 第 10.3 节 “为您的 OVS-DPDK 自定义创建环境文件” 中创建的自定义环境 YAML 文件,或创建新环境。
在
parameter_defaults
下,添加以下键值对:parameter_defaults: ... NeutronOVSFirewallDriver: openvswitch
- 如果您创建了新的自定义环境文件,请记下其路径和文件名。您稍后会在部署 overcloud 时使用此文件。
部署 overcloud 后,运行
openstack port set
命令,以禁用 data plane 接口的 OVS 防火墙驱动程序:$ openstack port set --no-security-group --disable-port-security ${PORT}
后续步骤
其他资源
- 使用 director 安装和管理 Red Hat OpenStack Platform中的可组合服务和自定义角色
- 为 NFV 测试的 NIC