将设为首页浏览此站
收藏本站联系我们相册切换到窄版

易陆发现互联网技术论坛

 找回密码
 开始注册
易陆发现互联网技术论坛»首页 云计算开源区 neutron网络 neutron安全组常用操作
查看: 3817|回复: 5
收起左侧

neutron安全组常用操作

[复制链接]
admin
发表于 2018-11-9 10:39:09 | 显示全部楼层 |阅读模式
购买主题 本主题需向作者支付 5 金钱 才能浏览
回复

使用道具 举报

admin
 楼主| 发表于 2018-11-9 10:51:09 | 显示全部楼层
# ovs-vsctl show | grep tap -A 3
; w7 N8 l, }% D3 x        Port "tapd9fc8a86-f2"
0 D- \3 W; _' m            Interface "tapd9fc8a86-f2"3 K( P& [: Q; i! h3 q, j8 o0 _
        Port "tap95eb664a-7a": e  ?2 d# p; W/ p
            Interface "tap95eb664a-7a"$ A( G7 Q3 ]4 P+ R
        Port "tap82fde566-e9"
! f1 r% g% w: X' O" }; W9 x7 T            Interface "tap82fde566-e9"
' a, e$ t0 q. [! H" E: e        Port "tap21ce4e89-ba"% j' Z9 ]( n$ @
            Interface "tap21ce4e89-ba": o6 m1 v8 i: K
        Port "tap4ff40cfa-08"# d, w7 T, T9 K9 ^& ~' ~
            Interface "tap4ff40cfa-08"
6 b; e- u* M+ ~* K# T4 q        Port "tap7b539a3e-96"
7 Y, Z! t' L( n6 D; k; z            Interface "tap7b539a3e-96"0 _, @8 O* s+ u' [6 J  |
        Port "tap7f117d1b-da"1 z; I. o* r0 j4 h, z
            Interface "tap7f117d1b-da"5 x8 w. L$ K8 t- ]3 T, u1 \- t
        Port "tapb9624460-c8"
. P. b& R" q1 X  U5 }            Interface "tapb9624460-c8"
# W) L+ X7 ]8 x' x- n        Port "tap92abcafa-06"" v0 Z7 G. J" X# A9 c( B' Y$ [
            Interface "tap92abcafa-06"; \$ S8 D" n8 ~5 ~" _7 b6 T
        Port "tap096bc37b-ca", y7 v; e1 @- `: \, ]
            Interface "tap096bc37b-ca"
: U" T& b( n. f4 [9 Z! D3 h        Port "tapa403f95b-9a"" D) i5 J( \! o: B
            Interface "tapa403f95b-9a"
回复 支持 反对

使用道具 举报

admin
 楼主| 发表于 2018-11-14 17:23:30 | 显示全部楼层
neutron security-group-rule-create  --direction ingress --ethertype ipv4   --remote-ip-prefix 0.0.0.0/0  --protocol icmp3 m" c0 X3 Q; i- d* g1 G, F  [3 D

0 s0 v3 E* U  n, K( Gneutron security-group-rule-create --direction ingress --remote-ip-prefix 0.0.0.0/0 00aed182-ab1e-4ceb-be42-b73092dfd5d4 (securitygroup-id) 安全组策略全放通
2 E1 k7 X4 F3 M! V" {9 z; }! P' X2 \1 u
回复 支持 反对

使用道具 举报

admin
 楼主| 发表于 2018-11-14 17:26:46 | 显示全部楼层
  最近新部署的openstack环境安全组总是不生效,查看了配置文件都没有什么问题,只是比较奇怪的是在计算节点的iptables中的forward链没有任何的包被匹配。这里强调一点,安全组主要是依靠计算节点的iptables的forward链来生效的,每加一条规则就会根据网卡作为匹配条件,来生成一条iptables的规则。如果没有任何规则,默认是丢弃所有的包。由上面的问题大概猜测到是因为,没有开启包转发功能,所以修改. k( L* d4 Z- B
/etc/sysctl.conf文件4 o. e- e: m6 N
net.ipv4.ip_forward=1; w$ t' [" Y7 M% J
net.ipv4.conf.default.rp_filter=1( |4 g: F0 O9 }# K; Y( k
net.bridge.bridge-nf-call-ip6tables=1
, t5 O' N$ J' vnet.bridge.bridge-nf-call-iptables=1
. Y$ Z0 j/ ^7 R' i: l# Qnet.bridge.bridge-nf-call-arptables=1
# r) l; q) K$ I7 Z/etc/init.d/network restart
' p8 j- C  s, P. \: a问题解决" o; r- M. u: b  w
回复 支持 反对

使用道具 举报

admin
 楼主| 发表于 2018-11-14 17:27:39 | 显示全部楼层
a、创建网络,并指定网络模式和vlan号码,以及物理桥接网桥, m4 R" N* ~  \4 u
[root@controller ~]# neutron net-create --provider:network_type=vlan --provider:physical_network=physnet0 --provider:segmentation_id=101 --shared public
回复 支持 反对

使用道具 举报

admin
 楼主| 发表于 2018-12-6 21:17:56 | 显示全部楼层
openstack的常用命令
, A2 {- A% Q+ j- l( f9 h8 H& F0 Z1 u
1、查看rabbitmq 队列:rabbitmqctl list_queues  W+ q: ]+ S5 ^4 v+ u" t

* e! A, g. w/ i" |# d2、查看keystone的用户:keystone user-list
. Y  A. n! w  x) \
% A& z' ]9 A# ?! v  _! o+ `2 e3、查看keystone endpoint:keystone endpoint-list: k" e6 K) F  L0 Q6 d1 q7 a6 I$ w  S
& a+ J/ L* Z- r( ^
4、查看keystone的role:keystone role-list
2 ^9 F  t# ]5 M: ]% p7 L- T- L9 M" @2 m. O9 \
5、查看keystone 服务:keystone service-list
9 l# l( Z! X/ M$ p- \1 m" E4 r6 o6 |1 ?" X8 p
6、查看keystone租户:keystone tenant-list: G% X( g7 g; X1 M
0 _7 _4 i5 Z$ C: L' S6 V
7、查看租户情况:keystone tenant-get ID" \7 Y2 w; w$ N- s$ p5 p
) W) S) G- C9 ~/ F% b* |9 [
8、查看keystone进程:ps -ef | grep -i keystone-all8 P' c5 v( P- H& {7 e2 {8 Q. W2 L

( a3 C( L7 E5 K. o+ q9、查看日志是否有错误:grep ERROR /var/log/keystone/keystone.log
4 m# r4 ~0 Y5 A( U) J8 _
& o1 q# m6 s$ s4 q8 T上传imageglance:5 X- n; J7 @  B5 M( p

" z6 w2 Z+ B! }$ Y* O% D3 O( Aadd name="Ubuntu 12.04 cloudimg amd64" is_public=true container_format=ovf \6 u# `' u! v0 [5 I; _
* ^: `5 d6 G$ k! R( }' w  T
disk_format=qcow2 < /root/precise-server-cloudimg-amd64-disk1.img 7 f6 ?& U. c& v; b& h' i: ?

5 ?; O% a, c( D/ s4 _" s10、查看image:glance index
) j- b# w/ ]/ d2 [+ s. i$ A7 H8 X& Z5 s; }! d% C* C( M
11、nova 命令查看image:nova image-list
$ _: U! f4 a* F# p
7 [& F+ ?  a/ K+ P: I12、查看image具体信息(ID是通过 glance index 查看获得):glance show ID
# k/ e# G; h- p8 q6 Z$ U, N/ ~8 o- e" X: C- d
13、查看nova 服务:nova-manage service list
) }- U0 h+ G) q7 j  J  l/ Q  e- l1 f2 B# U3 k
14、创建密钥:nova keypair-add oskey > oskey.priv& Y8 [: {  `, y  R3 P

& N2 o) l5 C9 c  `0 g) C! ^chmod 600 oskey.priv' N. `) e3 g8 o! v( @5 b4 g

0 \( j  j0 J/ _4 d" d( B3 R3 [7 p15、申请floating IP:nova floating-ip-create
+ I$ ?9 M+ W& t, X( I: ^8 _% |6 B4 D" O* H& z/ @: y
16、安全组相关命令:
2 y. [8 s& W' [/ P3 N5 r/ ?% O, v: m& |# d+ N
nova secgroup-add-rule default tcp 22 22 0.0.0.0/0  ---设置虚拟机能ssh
; @& w5 e8 `1 E1 r+ X1 K3 j9 Z( y- ]1 \0 t: D2 E& I
nova secgroup-add-rule default icmp -1 -1 0.0.0.0/0  ---设置虚拟机能ping icmp包+ B% v( [. M) O* l5 w
6 n: U+ _% D, B
nova secgroup-list
" f' W8 N4 t5 b
* L( K% P6 T3 z+ t0 D3 m/ hnova secgroup-list-rules default " C7 v9 r; f; C( `8 P8 f

. a$ P5 B7 w0 [& d" \$ c17、查看虚拟机配置种类:nova flavor-list6 p( L- B5 t) ~( n  w

0 B  H) T$ N/ S6 h5 F: O3 G18、创建虚拟机(一个test的虚拟机):$ l4 O2 `9 y8 q- D5 b$ j

. ]7 P' _1 ~' o8 t+ o( Bnova boot --flavor 2 --key_name oskey --image ea3ffba1-065e-483f-bfe2-c84184ee76be test1% H6 B) n# X, b# U2 W& R; ^" `3 d
% n$ P; K: q- {, e9 [& N$ N
19、完整创建一个虚拟机的流程:0 o! i& C: @5 d! M  r$ F2 F$ x
6 k: I/ X: \% P  Y' u! n* A
nova keypair-add oskey > oskey.priv- z, `5 a: z, y

  d: D) @2 @' b$ _1 s* Mchmod 600 oskey.priv5 v: ]1 c# u. Y5 t3 c+ P

$ ?+ V" b+ e! Z: B3 Qnova flavor-list
* F3 x. a1 {& L+ L/ S1 O% ~/ T# j' g  M. `& I  j- n
nova image-list6 L4 P. [4 o7 T! P
! Q/ R3 S+ J5 h2 k% I1 o
nova boot --flavor 2 --key_name oskey --image ea3ffba1-065e-483f-bfe2-c84184ee76be test1
; D4 N. l* E/ h* x+ G
1 x2 R4 }3 c+ cnova secgroup-add-rule default tcp 22 22 0.0.0.0/0
& q5 P4 \' r4 ?9 V4 d% x3 s' m3 j# u; c8 o
nova secgroup-add-rule default icmp -1 -1 0.0.0.0/0
! u# p/ ]9 M- o; L3 b
7 B0 R1 @9 t' f/ [; N. b" r20、查看申请flating IP 列表:nova floating-ip-list
! \4 z9 J3 W! x  H  J( R, V2 ?' K% P% X' z
21、查看虚拟机:nova list% W9 t" ]! D" m  O& ?

2 |1 h' P# q: y22、添加floating IP给虚拟机(id是虚拟机的ID,通过nova list获得):: k0 T" ~) k5 Z! P' m7 Y& Z8 T
9 p( [; w* Z3 P6 r* f+ d! Y
nova add-floating-ip  7eb1d4b3-13fa-4e39-be17-3a27eb0db218 10.1.199.33( i; i  u; j) ^: ]! a& s; U) u
/ [  Q  F7 M6 c4 O+ c8 z
23、查看虚拟机的floating IP (nova list,就可以查看,需要等待1分钟):nova list; t' m; K$ k* a) K6 p

* T& P% o; k9 C& f# Y2 M& V24、ssh到虚拟机上 (ubuntu的虚拟机,默认的用户名是ubuntu,只能用密钥登陆):
# b8 P, u; I5 J3 P- E1 D% i  y" E) `3 `3 Z' G$ y
ssh -i oskey.priv ubuntu@192.168.22.2
) E% K3 U% Q  R, T, _# O* K5 v4 C' ]0 b( [
25、删除flating IP (ID就是虚拟机ID,通过 nova list 获得):" e1 t2 L8 k; G9 L; D% l

1 o) U  |4 C3 w# Dnova remove-floating-ip ID 10.1.199.33& {" V$ U( B& m
5 m1 l+ x" d) R" @* Q1 k" V; C  x
26、删除虚拟机:nova delete ID
7 w; u3 l: f) ?' N& M; y4 ^% x, ?" w( M) I! y& n
27、创建10G的volumenova:volume-create --display_name "test volume" 10; h: Z! e( P7 q
# d: T6 Q: Z6 f+ c# `' c
28、查看nova volume情况:nova volume-list/ a, G4 n6 b8 o  w* q5 \; p! ^8 n/ ^
1 [. B" L! O7 f, ?% a% d, Q4 K
29、把volume添加到虚拟机上( ID是虚拟机的id,后面的1,是volume的ID)添加完后可以通过 nova volume-list查看结果:- A2 [$ R8 `  L& S; X* v
/ O2 x4 b  h# }2 c& S
nova volume-attach 7eb1d4b3-13fa-4e39-be17-3a27eb0db218 1 /dev/vdc* B* a% V. Q# B' J' t( S  P, Y7 A

+ `. I, {2 q" X  x+ n' {30、查看虚拟机里的volume情况(登陆虚拟机里):
  S& D8 O* S6 ~9 W$ `! o9 {$ m& M7 S% Q  ~9 y) G! B( ~9 s+ M  v( Z
ubuntu@test1:~$ cat /proc/partitions
0 R1 q8 `) K- @) U" c7 K' m" c/ ^8 y, y) e  u$ B& W# m  V
major minor  #blocks  name
3 a, p, a/ S, u; ^; `- Z' u
' i) ~/ p0 {. I8 w( P253        0   10485760 vda% Q2 u. o9 w) {4 P6 ]3 r! b% n

0 s$ K% }2 v6 p) J! g6 U8 D8 G253        1   10474380 vda16 F: x7 t$ N5 Q7 ^2 ]5 Y* d

5 |5 p: M/ d: Q; ]253       16   20971520 vdb
: T7 }) T; I( m) i* T2 o
2 a( v4 J; J/ h! F7 Q253       32   10485760 vdc
2 G4 g# K6 y4 R5 W4 T
, K& ^: |* U) }- [31、删除volume:nova volume-detach VM_ID Volume_ID
: ]8 Z* Z6 a! A  F
( `9 P+ y; K; V0 A9 U32、创建snapshot ( 完成后可以通过 nova image-list 查看):( H8 h8 P0 p( d! N
9 k8 E/ l! ]7 j0 ]# E+ {
nova image-create 7eb1d4b3-13fa-4e39-be17-3a27eb0db218 "snapshot 1"& D# ^3 s# w( t6 p$ @6 W
) T3 N$ q, w9 |8 H6 j) F3 u* p
33、虚拟机重启,停止:
: a) M1 v3 r3 i- a0 _
$ ^" S9 J8 u$ e  t0 F2 @nova suspend ac9e6a9f-58c3-47c3-9b4c-485aa421b8a8* M& ^% K2 j/ Q# e' F4 ^
+ |+ Y: `, G. Q+ _; A
nova resume ac9e6a9f-58c3-47c3-9b4c-485aa421b8a8
) F5 V4 ]1 }7 V6 U$ P9 @) e% B& L3 v9 Z3 f0 p! [$ T
nova reboot ac9e6a9f-58c3-47c3-9b4c-485aa421b8a8( z/ C+ C+ m3 w; s& X8 k7 K
. K' O1 M" Q" P5 g5 O
34、迁移虚拟机:nova live-migration <server ID> <destination compute>" P  r6 \1 d6 ^) \

# K0 s; S% y2 p" w# p# d35、挂载快存储到虚拟机:nova volume-attach <server> <volume> <device>- n; h. @, U7 V9 M+ i
0 C; H6 c5 h, n* m3 G, g# J" Y! {
36、基于kvm的也可以使用virsh list查看实例
: d+ S+ x& S! M3 A
$ `. l/ {% D, K  L0 r" c& K  L9 Mroot@compute1:/var/lib/nova/instances# virsh list
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 开始注册

本版积分规则

关闭

站长推荐上一条 /4 下一条

北京云银创陇科技有限公司以云计算运维,代码开发

QQ|返回首页|Archiver|小黑屋|易陆发现技术论坛 点击这里给我发消息

GMT+8, 2026-4-8 12:09 , Processed in 0.045845 second(s), 24 queries .

Powered by Discuz! X3.4 Licensed

© 2012-2025 Discuz! Team.

快速回复 返回顶部 返回列表