Neutron/ML2PortSecurityExtensionDriver
< Neutron
Neutron ML2 扩展驱动
ML2 扩展驱动管理 ML2 插件实现的 neutron 核心资源上的扩展属性:网络、子网和端口。
端口安全扩展驱动
Neutron 的安全组始终在 VM 上应用反欺骗规则。这允许流量在 VM 上按预期发起和终止,但阻止流量通过 VM。在 VM 路由流量通过它的情况下,这是必需的。通过创建端口安全扩展标志,可以启用/禁用数据包过滤。
端口安全扩展设置
需要修改 /etc/neutron/plugins/ml2/ml2_conf.ini 文件以加载端口安全扩展驱动
extension_drivers = port_security
默认情况下,网络以 port_security_enabled=True 创建。此行为确保网络默认安全。
localadmin@GG26devstack:~/devstack$ neutron net-show net1 +---------------------------+--------------------------------------+ | Field | Value | +---------------------------+--------------------------------------+ | admin_state_up | True | | id | 725ebfa1-c3c3-43fa-b8c2-cac99f1f88fb | | mtu | 0 | | name | net1 | | port_security_enabled | True | | provider:network_type | vxlan | | provider:physical_network | | | provider:segmentation_id | 1001 | | router:external | False | | shared | False | | status | ACTIVE | | subnets | 1d58d120-4990-41d8-b1f2-2354df54328a | | tenant_id | ba328cf9aa72429aad0535ec4adcd882 | | vlan_transparent | False | +---------------------------+--------------------------------------+
创建端口时,它会获取为其所属的网络设置的 port_security_enabled 标志。
当特定的 vm 需要禁用其 port_security_enabled 标志时,我们可以通过更新 vm 附加到的端口来做到这一点。
neutron port-update c080dbeb-491e-46e2-ab7e-192e7627d050 --port-security-enabled=False
或者使用 openstack CLI 的等效命令
openstack port set --disable-port-security c080dbeb-491e-46e2-ab7e-192e7627d050
此 VM 现在将能够通过它路由流量。
