页面树结构
转至元数据结尾
转至元数据起始



OS云平台操作指南03 管理云平台防火墙



本篇主要讲述OpenStack云平台的防火墙的概念和一些概念和常见操作。更多的细节,请阅读 《 OpenStack云平台操作手册v1.0-2016xxxx 》 。



1.关于云平台防火墙的配置


1.1 一键初始化防火墙


在上一篇《OS云平台操作指南 之创建云主机》中讲到,“一键VPC 初始化”,其实就有防火墙的初始化选项,如下图:




1.2 手动配置防火墙,以打开更多服务的端口。


每个资源池有个默认的防火墙defualt,能够满足一般的使用,这里也主要是以defualt防火墙为例来讲解。defualt防火墙默认只允许里面的云主机上外网,不允许外面访问云主机的任何服务或端口。客户需要根据自己的需求,开放相应的端口。

下面,通过演示打开Windows的远程桌面(3389)端口来讲解一下怎么手动配置防火墙。


如下图,依次点击“安全”,“防火墙”,“default”,“新建”,来为default防火墙新建一条规则,以打开3389端口:



打开“新建规则”窗口,如下图:



在“规则”后面的下拉列表中选择“定制TCP规则”(如果是其他服务,则根据情况选择,比如DNS就选择“定制UDP规则”,一般TCP的居多。另外,平台提供了很多常见服务的规则,可以在这里直接选择,然后点击“确认”即可完成新建规则),在“端口”文本框填入3389,其他保持默认,然后点击“确定”即可。

新建完的规则列表如下:



这样,一条规则就添加好了。



2. 关于防火墙的概念


关于防火墙,还有2个问题需要说一下:

问题1,就是在上图中,有两条标红的规则,1和2,是云平台的两条默认规则,每个资源池租户都有,并且刚创建的时候只有这两条默认规则,千万不要删除或者修改。否则,会导致云平台出现一些奇怪的问题,如云主机不能上网,创建云主机时指定的密码无效,等。千万注意!这个问题好几个客户遇到过的,他们把这两条规则给删了,结果出现的问题就是创建云主机不能指定密码,还有一个就是外网可以访问云主机,云主机反而不能访问外网。

问题2,就是关于防火墙的概念。其实,一个用户,在使用云平台的过程中,主要涉及到2个防火墙:一个是云平台的防火墙,就是上面说的。他的外面就是公网;另一个防火墙,就是云主机本身也有一个防火墙,像Windows的防火墙,centos的 iptables。这两个防火墙不是一回事,有的客户弄不清。就好比一座别墅,大门就是云平台的防火墙,他的外面就是人心叵测的黑暗世界;进了大门,每个房间还有一个门,就好比是每个云主机自身的防火墙。所以,房间中的一个人,要被外网访问,就必须大门和房间的门都允许才行。



3. 关于防火墙的测试


一台云主机的服务或者端口不能被外网访问,可以用telnet的方式来测试一下,看是防火墙的问题,还是服务本身的问题

用法: telnet IP 端口
我们来测试ssh端口(22),是否能够远程连接:



像上图这样就是通的,说明云主机的可以通过 ssh 远程登录

不通就是如下这样:

[root@node-56 o]# telnet 175.25.48.227 22
Trying 175.25.48.227...
telnet: connect to address 175.25.48.227: No route to host (ip不通)

或者这样:

telnet 175.25.48.227 22
Trying 175.25.48.227...
telnet: connect to address 175.25.48.227: Connection refused (被拒绝)

如果一个云主机某些服务或者端口不能被外网访问,可以先在云主机的本地检查一下服务有没有正常启动(telnet 127.0.0.1 加服务对应端口),端口有没有监听 ( netstat -tupln 参考下图) ,在云主机本地访问一下。如果服务或端口在云主机本地正常,那么就需要检查云主机的防火墙或云平台的防火墙。



  • 无标签
编写评论...