Организация сети и безопасность

885 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
885
On SlideShare
0
From Embeds
0
Number of Embeds
129
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Организация сети и безопасность

  1. 1. Организация сети и безопасностьТопология сетей, виды трафика, безопасность, особенности реализации
  2. 2. сеть в Openstack• Nova-network – Управление бриджами и сетевыми интерфейсами brctl, ip, route
  3. 3. сеть в Openstack• Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрация трафика (общие правила)# iptables –S…-A nova-network-INPUT -i br100 -p udp -m udp --dport 67 -j ACCEPT-A nova-network-INPUT -i br100 -p tcp -m tcp --dport 67 -j ACCEPT-A nova-network-INPUT -i br100 -p udp -m udp --dport 53 -j ACCEPT-A nova-network-INPUT -i br100 -p tcp -m tcp --dport 53 -j ACCEPT…
  4. 4. сеть в Openstack• Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрация трафика (общие правила) – NAT# iptables –t nat –S…-A nova-network-snat -j nova-network-float-snat-A nova-network-snat -s 10.0.0.0/24 -j SNAT --to-source192.168.122.177…
  5. 5. сеть в Openstack• Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрации трафика (общие правила) – NAT – DHCP dnsmasq
  6. 6. сеть в Openstack • Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрации трафика (общие правила) – NAT – DHCP – Public (floating) network# iptables –t nat –S…-A nova-network-PREROUTING -d 172.40.0.1/32 -j DNAT --to-destination 10.0.0.4-A nova-network-float-snat -s 10.0.0.4/32 -j SNAT --to-source 172.40.0.1…
  7. 7. сеть в Openstack• Nova-network – Управление бриджами и сетевыми интерфейсами – Фильтрация трафика (общие правила) – NAT – DHCP – Public (floating) network• Nova-compute – Фильтрация трафика (Security groups)
  8. 8. Сетевые менеджеры• FlatNetworking (не используется)
  9. 9. Сетевые менеджеры• FlatNetworking (не используется)• FlatDHCPNetworking – Общая сеть для всех проектов
  10. 10. Сетевые менеджеры• FlatNetworking (не используется)• FlatDHCPNetworking – Общая сеть для всех проектов• VlanNetworking (наиболее часто используется в production инсталляциях) – Выделенная L2, L3 сеть для проекта – Необходима поддержка VLAN на сетевом оборудовании
  11. 11. Сетевая отказоустойчивость• Multi_host – multi_host=True
  12. 12. Сетевая отказоустойчивость• Multi_host – multi_host=True – nova-network на каждой compute ноде
  13. 13. Сетевая отказоустойчивость• Multi_host – multi_host=True – nova-network на каждой compute ноде – отдельный DHCP сервер на каждой ноде
  14. 14. Сетевая отказоустойчивость• Multi_host – multi_host=True – nova-network на каждой compute ноде – отдельный DHCP сервер на каждой ноде – виртуальные машины используют в качестве гейтвея адрес ноды
  15. 15. Сетевая отказоустойчивость• Multi_host – multi_host=True – nova-network на каждой compute ноде – отдельный DHCP сервер на каждой ноде – виртуальные машины используют в качестве гейтвея адрес ноды – Дополнительно на каждой compute ноде запускается также nova-api для metadata сервиса
  16. 16. Сеть на физических нодах
  17. 17. Схема сетевой топологии
  18. 18. Сетевые интерфейсы• Management (eth0) – public_interface=eth0# nova-manage floating create –ip_range=172.40.0.0/30 --interface=eth0# nova floating-ip-create# nova add-floating-ip <VM-UUID> 172.40.0.1
  19. 19. Сетевые интерфейсы• Management (eth0) – public_interface=eth0• Vlan (eth1) – vlan_interface=eth1 – vlan_start=500 – trunk VLANs on switch# nova-manage network create–fixed_range_v4=10.10.0.0/24 –num_networks=1 –bridge_interface=eth1 --project_id=<TENANT_UUID>
  20. 20. Сетевые интерфейсы• Management (eth0) – public_interface=eth0• Vlan (eth1) – vlan_interface=eth1 – vlan_start=500 – trunk VLANs on switch• Storage (eth2) (optional)
  21. 21. Security Groups• Основаны на IPTABLES• Фильтруется только входящий трафик• Возможность создавать гибкие правила• Поддержка в веб-интерфейсе (horizon) # nova secgroup-add-rule myservers tcp 22 22 192.168.1.1/0 # nova secgroup-add-rule myservers icmp -1 255 192.168.1.1/0 # nova boot --flavor 1 --image 9bab7ce7-7523-4d37-831f-c18fbc5cb543 -- key_name mykey myinstance --security_groups myservers
  22. 22. Будущий релиз Folsom• Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM)
  23. 23. Будущий релиз Folsom• Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM) – Сетевые плагины (OVS, Cisco, ryu, Nicira NVP)
  24. 24. Будущий релиз Folsom• Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM) – Сетевые плагины (OVS, Cisco, ryu, Nicira NVP) – Поддержка Openflow, возможность интегрироваться в существующую сетевую инфраструктуру
  25. 25. Будущий релиз Folsom• Релиз Folsom (release date Q3 2012): – Quantum совместит все сетевые функции (L2, IPAM) – Сетевые плагины (OVS, Cisco, ryu, Nicira NVP) – Поддержка Openflow, возможность интегрироваться в существующую сетевую инфраструктуру – Гибкое управление трафиком (OVS flows, openflow, iptables) (ожидается к Folsom-2)
  26. 26. Спасибо за внимание! Роман Соколков rsokolkov@mirantis.com

×