Neutron/vArmour-Firewall
< Neutron
概述
vArmour 的 OpenStack 集成包含两个组件
- L3 Agent 替换:此组件配置 vArmour 防火墙作为内部网络的网关,并支持 SNAT 和浮动 IP (DNAT) 功能。它继承 neutron L3 Agent 模块。该模块不使用 iptables,而是通过 RESTful API 调用来编程 vArmour 防火墙。
- FWaaS 驱动:基于 neutron FWaaS 服务扩展,此组件是 FWaaS 驱动的实现,用于配置 vArmour 防火墙。
设计
Blueprints
配置
请参考 FWaaS 安装指南 了解如何启用 FWaaS 服务
- 将以下配置添加到 l3_agent.ini 以指定 vArmour 防火墙 director 的 IP 地址和登录帐户
/etc/neutron/l3_agent.ini
[vArmour] director = 127.0.0.1 director_port = 443 username = varmour password = varmour
- 修改 fwaas_driver.ini 以使用 vArmour 的 FWaaS 驱动
/etc/neutron/fwaas_driver.ini
[fwaas] enabled = True driver = neutron.services.firewall.drivers.varmour.varmour_fwaas.vArmourFwaasDriver
- 修改 neutron-l3-agent 脚本以启动 vArmour 的 L3 Agent
/usr/local/bin/neutron-l3-agent
#from neutron.agent.l3_agent import main from neutron.services.firewall.agents.varmour.varmour_router import main
- 重启 L3 Agent
python /usr/local/bin/neutron-l3-agent --config-file /etc/neutron/neutron.conf --config-file=/etc/neutron/l3_agent.ini --config-file /etc/neutron/fwaas_driver.ini
