将设为首页浏览此站
收藏本站联系我们相册切换到窄版

易陆发现互联网技术论坛

 找回密码
 开始注册
易陆发现互联网技术论坛»首页 云计算开源区 neutron网络 neutron安全组常用操作
查看: 3812|回复: 5
收起左侧

neutron安全组常用操作

[复制链接]
admin
发表于 2018-11-9 10:39:09 | 显示全部楼层 |阅读模式
购买主题 本主题需向作者支付 5 金钱 才能浏览
回复

使用道具 举报

admin
 楼主| 发表于 2018-11-9 10:51:09 | 显示全部楼层
# ovs-vsctl show | grep tap -A 34 H) L9 D+ s; E( o. \! J! l
        Port "tapd9fc8a86-f2"! {6 U5 E% G: x- ~8 E
            Interface "tapd9fc8a86-f2"
1 B1 d2 r: ~2 b$ }3 x- j        Port "tap95eb664a-7a", `  |% W/ H$ z- R" Y8 F
            Interface "tap95eb664a-7a"
* o( m9 \6 [  y, g& b6 p, F: C        Port "tap82fde566-e9"6 R6 Q. M' g4 s& k( m- a
            Interface "tap82fde566-e9"
; J: K; c2 I/ e" ^! J        Port "tap21ce4e89-ba"! ~2 Q& Q$ C6 _$ E
            Interface "tap21ce4e89-ba"7 Q4 c9 b+ b( N: H  ]' ]2 u: U% o
        Port "tap4ff40cfa-08"5 A5 _0 t/ w4 U$ Z7 b7 k
            Interface "tap4ff40cfa-08"8 N( A- I. b, _8 V) |! Z% G( W
        Port "tap7b539a3e-96"9 y9 n; v* \7 j1 y/ z6 P
            Interface "tap7b539a3e-96"
  w( H8 Z. T: s5 A: h' Q        Port "tap7f117d1b-da"  s7 U" W- h$ _/ I& Z9 a+ t
            Interface "tap7f117d1b-da"- J1 ?/ V& s. l+ C4 G( _
        Port "tapb9624460-c8"
  }5 M. m1 H; i/ c1 I            Interface "tapb9624460-c8"( L' j" n3 R1 Y8 y) G4 e4 Y  i( l" S
        Port "tap92abcafa-06"
0 w4 |$ u; V* @3 n6 Z/ Y6 j9 ^+ B! r            Interface "tap92abcafa-06"
2 @; \6 x  G$ l) d        Port "tap096bc37b-ca"6 H3 M9 f8 a0 i5 _4 X$ h. x
            Interface "tap096bc37b-ca"
( A2 S; Z! }4 M4 N; M        Port "tapa403f95b-9a". Q0 ?4 _: t7 k* ~5 U+ ]( m
            Interface "tapa403f95b-9a"
回复 支持 反对

使用道具 举报

admin
 楼主| 发表于 2018-11-14 17:23:30 | 显示全部楼层
neutron security-group-rule-create  --direction ingress --ethertype ipv4   --remote-ip-prefix 0.0.0.0/0  --protocol icmp
% o6 v8 O" T9 ^9 e3 K) M, n6 V, R: N7 B' ]/ ]0 f, z
neutron security-group-rule-create --direction ingress --remote-ip-prefix 0.0.0.0/0 00aed182-ab1e-4ceb-be42-b73092dfd5d4 (securitygroup-id) 安全组策略全放通
' e3 {: ~1 [4 N- w5 A* G
4 z& q, ^0 I% i6 F8 C+ h
回复 支持 反对

使用道具 举报

admin
 楼主| 发表于 2018-11-14 17:26:46 | 显示全部楼层
  最近新部署的openstack环境安全组总是不生效,查看了配置文件都没有什么问题,只是比较奇怪的是在计算节点的iptables中的forward链没有任何的包被匹配。这里强调一点,安全组主要是依靠计算节点的iptables的forward链来生效的,每加一条规则就会根据网卡作为匹配条件,来生成一条iptables的规则。如果没有任何规则,默认是丢弃所有的包。由上面的问题大概猜测到是因为,没有开启包转发功能,所以修改
0 P8 u0 o- x6 R; C% C) f2 \1 F, B/etc/sysctl.conf文件/ h" |# O) Y9 T  F$ D& u
net.ipv4.ip_forward=18 u& p: Z4 ]" {7 S
net.ipv4.conf.default.rp_filter=1! L3 \1 m: `# A$ P) g' ~$ b+ l
net.bridge.bridge-nf-call-ip6tables=1
8 P: C6 D2 P- M3 X/ W& }' Fnet.bridge.bridge-nf-call-iptables=1
6 T: C% {: d( l% B( `( Z; t# o1 bnet.bridge.bridge-nf-call-arptables=1. f4 J, }" ], U: F0 e; x$ d
/etc/init.d/network restart* ~* L+ a5 o$ Z, k9 {
问题解决0 i1 J) ?, G* I7 V
回复 支持 反对

使用道具 举报

admin
 楼主| 发表于 2018-11-14 17:27:39 | 显示全部楼层
a、创建网络,并指定网络模式和vlan号码,以及物理桥接网桥
' Y5 f  y! k8 ], M[root@controller ~]# neutron net-create --provider:network_type=vlan --provider:physical_network=physnet0 --provider:segmentation_id=101 --shared public
回复 支持 反对

使用道具 举报

admin
 楼主| 发表于 2018-12-6 21:17:56 | 显示全部楼层
openstack的常用命令
( q( M7 ^) {( B
9 j3 G& t0 E8 A& d. M. K/ O1、查看rabbitmq 队列:rabbitmqctl list_queues
3 K, b0 [- A) k" t. ^4 e& ?! [) k2 g2 ~- ~7 t
2、查看keystone的用户:keystone user-list' y# M  `, X1 m2 K
9 b. D* U) n. b6 Y! Z0 F
3、查看keystone endpoint:keystone endpoint-list
( |7 D* P+ |8 O* S7 o2 ^
/ _9 l7 x$ P' P4 ?0 _! u# g$ N4、查看keystone的role:keystone role-list
( X: h* B& [4 z3 Q$ m" K8 R, k* i0 v6 R# k
5、查看keystone 服务:keystone service-list# X- m+ S0 z* }2 q; a1 Y
- L+ J4 K+ i! N
6、查看keystone租户:keystone tenant-list
: \9 O6 h" |) f7 d
8 }+ z  f7 d/ g( p  p7、查看租户情况:keystone tenant-get ID# g0 J9 m" c4 x& `
% p2 B- C  Q& j& T: s2 m
8、查看keystone进程:ps -ef | grep -i keystone-all! J3 s5 J# B1 I, L
$ Z0 T! L2 a/ v. o3 D3 M- M! E
9、查看日志是否有错误:grep ERROR /var/log/keystone/keystone.log
% a/ n5 W! e& c3 f. Q9 k6 }' @. x
0 a5 D' f) K! d$ m$ |. ~# u4 a: A+ a上传imageglance:  m; U4 O" ]2 M9 g( n

2 X+ N' B2 ^6 ~7 w" G# `1 y4 q2 h2 L& Cadd name="Ubuntu 12.04 cloudimg amd64" is_public=true container_format=ovf \" x' L; C7 f+ u. Z3 g
& w. v: u. _+ [  [; _5 T1 R
disk_format=qcow2 < /root/precise-server-cloudimg-amd64-disk1.img
0 v+ Q( G2 N7 E# O. B( L+ d2 O
' i% R2 t. V0 S7 U10、查看image:glance index0 o$ }. p7 H7 B; {* v

9 A2 H: A6 y# o! t8 L- F, i11、nova 命令查看image:nova image-list
& C1 A, c5 s1 H7 Z+ [
4 \8 L6 B* q. f) r! \12、查看image具体信息(ID是通过 glance index 查看获得):glance show ID
7 |# y" v% }1 W$ t+ P  Q: }0 q" g; X8 Q
13、查看nova 服务:nova-manage service list
( \/ h% ^7 q( V% g" }, k! p
/ |2 @+ l7 s6 ^; m14、创建密钥:nova keypair-add oskey > oskey.priv
9 Q. V, \% t( u$ |# S
1 X5 w9 q# H! `% L9 Qchmod 600 oskey.priv
2 v( p/ c0 @1 w/ P
1 q9 F# {; m2 t# H15、申请floating IP:nova floating-ip-create5 _# u& x! X$ ]: [; f
' j. W- d- ?* Y! Q
16、安全组相关命令:
( Y/ e$ A1 c2 i' C+ t3 W1 l
4 u: h: |/ v) ~' a4 A! m* Ynova secgroup-add-rule default tcp 22 22 0.0.0.0/0  ---设置虚拟机能ssh
8 X3 |9 t8 d2 }. I* D& i  b% u$ S$ [, e
nova secgroup-add-rule default icmp -1 -1 0.0.0.0/0  ---设置虚拟机能ping icmp包# Y* Y6 X! U5 G8 D9 ^4 \: T
4 [8 x6 z1 W# t' @
nova secgroup-list+ n/ E; I3 s: x) l& T# S. V1 s+ N

  K2 y+ n) {% S1 r0 B: pnova secgroup-list-rules default
& c9 A- x: `0 F5 f" b4 I$ Z/ j) q, q& a
17、查看虚拟机配置种类:nova flavor-list
* T9 r2 Q% ], U; P: i
; i; ]" N7 y8 H/ [9 u18、创建虚拟机(一个test的虚拟机):, Y) [# P1 [9 ?( |0 R1 d

2 L: G+ F1 A3 t7 i" @nova boot --flavor 2 --key_name oskey --image ea3ffba1-065e-483f-bfe2-c84184ee76be test1
# ?5 H: L4 \7 ^9 ]3 q! w
% H2 ~+ A3 F. s% \" R19、完整创建一个虚拟机的流程:% i8 `- D. P6 q/ H+ t3 q1 N

5 M4 G& N" V0 @2 f/ w4 p! x& V( ?nova keypair-add oskey > oskey.priv. ?" k$ D( y4 \# [) T

3 v6 T7 m9 y5 m- y5 rchmod 600 oskey.priv) R; }( ^: P/ [( a6 S0 O* |: P

, D, [1 b6 A# ]; z- Lnova flavor-list
7 U* u7 p& A  q( k6 y+ ?7 `( m
- {- w: h2 e& b( qnova image-list' _; ]8 B2 l/ K& O& @1 p8 ?
. A( L* Y4 H( n" |* z- I" T6 M* t, y
nova boot --flavor 2 --key_name oskey --image ea3ffba1-065e-483f-bfe2-c84184ee76be test1
; }, W0 h& @% K9 w' _4 x3 e7 `+ h7 H- H/ m- o
nova secgroup-add-rule default tcp 22 22 0.0.0.0/0  S. C+ o& U+ A) S' i' B7 Q
3 K  A) F" p$ ?( ^9 |  K, n7 C
nova secgroup-add-rule default icmp -1 -1 0.0.0.0/01 F& G; F. k0 N- N0 D: F9 z1 D
3 Q% r" r3 L. N% r% d3 B5 k
20、查看申请flating IP 列表:nova floating-ip-list
* P& H: |( @* ~. w4 a$ j# p" I
' Q8 `' b  x3 V6 a# E7 N21、查看虚拟机:nova list+ [% ]0 \! j  j: e3 m, T4 _0 @

! J! P9 T) y. h. A22、添加floating IP给虚拟机(id是虚拟机的ID,通过nova list获得):1 `% N% M& ~$ z: u8 b; H1 [' O

; g* A" [% {+ x( q) f0 t+ Gnova add-floating-ip  7eb1d4b3-13fa-4e39-be17-3a27eb0db218 10.1.199.330 ?+ e# Z, q# Z% ]* |, u

, }( W. h' W. R23、查看虚拟机的floating IP (nova list,就可以查看,需要等待1分钟):nova list4 R  y" G% {' Y4 v1 J4 x
* {/ r3 x8 U' n$ O0 j+ ~
24、ssh到虚拟机上 (ubuntu的虚拟机,默认的用户名是ubuntu,只能用密钥登陆):/ L) ~7 G  d! x7 Q
9 R) x' `# Y/ I) L4 y0 q; ?
ssh -i oskey.priv ubuntu@192.168.22.2
. N' m& M, y3 s3 T+ {0 P- e$ U4 X# ^* Q6 C9 V
25、删除flating IP (ID就是虚拟机ID,通过 nova list 获得):
1 z2 N5 u- y) c8 F* R
, z8 @# E. v% K: U. ?# [8 Hnova remove-floating-ip ID 10.1.199.33
5 b  f, J( O8 V4 c* f: I. E4 O1 X! n) F; ]
26、删除虚拟机:nova delete ID
( Q6 U9 T0 i% Q* [9 N: J1 s6 s# {: N
27、创建10G的volumenova:volume-create --display_name "test volume" 10% Q) u* i0 Q1 d! A

/ n2 A- y5 f" j8 I  n28、查看nova volume情况:nova volume-list; [! d# b0 j5 a3 E
1 j4 r: T0 k  H5 c, C4 K: F' J/ k
29、把volume添加到虚拟机上( ID是虚拟机的id,后面的1,是volume的ID)添加完后可以通过 nova volume-list查看结果:
# |* V% @9 L# I) l7 i
/ Z* x4 F: r1 z1 a: l: T0 ~$ `nova volume-attach 7eb1d4b3-13fa-4e39-be17-3a27eb0db218 1 /dev/vdc
1 a, n, C$ C# |3 e8 g* M' b
: X# J/ ?/ T5 L* n5 l30、查看虚拟机里的volume情况(登陆虚拟机里):6 E# M0 i. P; P' R( V* e4 \$ n. @6 E
/ e( Q6 r% |" K0 d
ubuntu@test1:~$ cat /proc/partitions - C+ z1 X- Z& h. R
( j  A0 o5 E4 K, f4 z6 v+ g
major minor  #blocks  name8 k- |/ L$ o- L$ N6 e5 C6 m( x2 Y8 w1 S6 I

! i' A2 @, c, i9 p3 L253        0   10485760 vda/ c; i1 h8 Z* Z3 I/ r* J$ r
# n5 K1 O$ G. W% e! k
253        1   10474380 vda1' N, ?) U3 Q( ]2 s& J, i  f0 r3 l$ P

7 j# n) w$ e: e) n4 D  J253       16   20971520 vdb
0 v2 }/ {/ I+ \* `/ f; {
6 Z2 B; x, T  e5 c253       32   10485760 vdc
; U1 d1 O5 A& h7 Y. j/ `+ K/ o1 v3 J
31、删除volume:nova volume-detach VM_ID Volume_ID: _( R/ x* f9 h
) x- `: }4 F# X5 J' Q9 W4 C
32、创建snapshot ( 完成后可以通过 nova image-list 查看):
6 h- u, p% O0 R) f
/ J: H5 A3 T! G( H7 L' U5 [9 Qnova image-create 7eb1d4b3-13fa-4e39-be17-3a27eb0db218 "snapshot 1", o! \# y) [1 @1 F6 s
1 t6 a$ K: u2 f0 {6 [6 T
33、虚拟机重启,停止:0 n; K7 ~2 E0 |

/ z. }% [* c; ~# inova suspend ac9e6a9f-58c3-47c3-9b4c-485aa421b8a8
4 E  ?, n( V  t1 W1 H1 @# |. g7 J( A, }3 ]( E
nova resume ac9e6a9f-58c3-47c3-9b4c-485aa421b8a8
  l7 m+ T# h$ e7 a* w" J: l, H& i5 Q6 d3 U; G
nova reboot ac9e6a9f-58c3-47c3-9b4c-485aa421b8a8
7 R+ y3 K0 {* Z: l# A3 M
% Q8 D2 q2 v9 k" I, E34、迁移虚拟机:nova live-migration <server ID> <destination compute>* A* A/ P1 @9 u4 V/ S) a# E0 l
$ O1 p. k. G+ |( w) `$ d( W* L) d
35、挂载快存储到虚拟机:nova volume-attach <server> <volume> <device>
, r: v& k5 I" \) H1 T' Q
# Q( v) ?9 {2 d9 J36、基于kvm的也可以使用virsh list查看实例
1 l2 o1 C: O& G& C% N, E
$ n* t4 N9 v! ^7 J! @; s& Z( t; {root@compute1:/var/lib/nova/instances# virsh list
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 开始注册

本版积分规则

关闭

站长推荐上一条 /4 下一条

北京云银创陇科技有限公司以云计算运维,代码开发

QQ|返回首页|Archiver|小黑屋|易陆发现技术论坛 ( 蜀ICP备2026014127号-1 )点击这里给我发消息

GMT+8, 2026-4-9 00:01 , Processed in 0.058905 second(s), 25 queries .

Powered by Discuz! X3.4 Licensed

© 2012-2025 Discuz! Team.

快速回复 返回顶部 返回列表