Openstack安全组的那些事

版权声明:本文为博主原创文章,转载请注明出处。

前言

当安装完openstack,配置好vlan模式后,你要从外部访问实例的时候,你会发现,无法连通,无论是tcp,udp还是icmp(ping),都无法访问实例。

但是实例可以访问外部的服务器,即网络是可通信的,只是被限制了。

也许你第一时间想到的是openstack主机的防火墙,但是你关掉之后,依然还是不行。

经过一番研究,我发现是由于openstack安全组规则导致的,特此记录。

安全组概述

据我所理解,安全组就是防火墙,也是由一条条出口入口规则来组成的。

默认允许所有出口流量(有状态的),只允许内部主动发起连接的入口流量。

默认规则如图:

默认规则

如图所示,默认有两条出口规则,是允许访问所有ip的。

疑问

但是呢,另外也有两条入口规则,令我费解,不知道有何用处。(估计是允许主动连接后的状态入口规则?)

允许外部访问

一开始就以为,那两条入口规则就是允许外部连接的规则,把安全组导致无法访问内部的可能性排除在外,还以为是我没正确配置好neutron导致的问题,然而事实却相反,研究了数天的vlan模式配置,都没找到原因。

后来又抱着试一试的想法去试了一下安全组的规则,居然可以了,添加了三条规则,如图。

安全组规则

添加时,远程项注意选CIDR,这是允许指定ip段访问,选安全组的话,估计是用来让openstack里其它网络进行通信的。

结语

好吧,是我大意了,想不到解决方法这么简单,果然还是要详细看说明,安全组的规则还是有点不理解。

Comments