在OpenStack中优雅的使用防火墙虚机(二)

  • 来源:网络
  • 更新日期:2020-06-11

摘要:一直在寻找OpenStack环境内防火墙虚机的最佳使用方法,不断的尝试、验证,不达目的不罢休,标准是啥呢,不动任何一条命令行,全dashboard操作,把防火墙虚机透明的插入租户路由器和租户

一直在寻找OpenStack环境内防火墙虚机的最佳使用方法,不断的尝试、验证,不达目的不罢休,标准是啥呢,不动任何一条命令行,全dashboard操作,把防火墙虚机透明的插入租户路由器和租户业务子网之间,并且不能对环境有影响,

上一次实践过的一种方法是,把租户业务子网(给防火墙引流的子网除外)的网关disable掉,给租户业务子网添加默认去往本子网内防火墙接口的主机路由,当时遗留问题是,对于租户业务子网中已有的虚机,需要重启一下,并且在租户路由器上给租户业务子网配置的静态路由被删除后,子网既有的直连路由无法自动恢复,虽然没动任何一条命令行,也是全dashboard操作,把防火墙虚机透明的插入租户路由器和租户业务子网之间,但是对环境有影响,并不理想,

本周整个更beautiful的,这回应该大结局了,还是这个拓扑,租户路由器出外网做SNAT,业务子网连接到路由器,业务虚机绑定了弹性IP后,路由器做DNAT,防火墙虚机通过互联网络连接到路由器,并出内网接口伸进租户业务子网,

 

还是这两个测试虚机,一个业务虚机,一个防火墙虚机,

 

这次咱们不把业务子网的网关disable掉了,而是把网关接口的admin state关掉,

 

这个时候router上的业务子网网关的地址仍然存在,但是却不起作用了,

防火墙虚机上就可以无障碍的使用这个网关地址了,当然要把接口的安全检查关掉,

 

依然还是在router上给业务子网配置静态路由,

 

防火墙上无需配置任何nat和路由规则,只需配置好访问控制策略就可以了,