firewalldは、ファイアウォールサービスが容易な管理を可能にします。OVNは、サービスファイルのセットを提供し、南へ北へのリモートデータベースへの接続を可能にするためにfirewalldで使用することができます。
このガイドでは、ファイアウォールの設定でこれらのファイルを使用する方法について説明します。このドキュメントの範囲を超えてfirewalldセットアップと管理。
インストール
すでにOVNがRPMからインストールしている場合は、該当するfirewalldサービスファイルが自動的にインストールされている/usr/lib/firewalld/services
途中。RPMのインストールはyumのかDNFセットアップマネージャからパッケージを取り付ける備えます。
あなたがOVNをインストールする場合、ソースコードディレクトリからトップレベルのコードから、サービスのファイルfirewalldをコピーするには、次のコマンドを実行します。
$ cp rhel/usr_lib_firewalld_services_ovn-central-firewall-service.xml \
/etc/firewalld/services/
$ cp rhel/usr_lib_firewalld_services_ovn-host-firewall-service.xml \
/etc/firewalld/services/
活性化
すでにfirewalld実行したと仮定すると、あなたはOVNサービスを有効にするには、次のコマンドを実行することができます。
(実行している中央のサーバーではovn-northd
、サーバー上で)、次のコマンドを発行します。
$ firewall-cmd --zone=public --add-service=ovn-central-firewall-service
これは南北にリモートデータベースへの接続を許可する、TCPポート6641と6642を開きます。
OVNホストでは(実行しているovn-controller
ホスト上で)、次のコマンドを発行します。
$ firewall-cmd --zone=public --add-service=ovn-host-firewall-service
これは、コントローラ間のジュネーブのトラフィックを許可する、UDPポート6081を開きます。
変数のバリエーション
あなたは、サービスXMLファイルをインストールすると、あなたはそれをコピーするかを選択することができます/etc/firewalld/services
か/usr/lib/firewalld/services
。かつてのでは、あなたが上書きされますfirewalldを、アップグレードする場合ので。
上記のあなたは下(アンダー)「公衆」LANインタフェースfirewalldにあることを前提としています。別々の領域での基盤となるネットワークインターフェース場合は、上記のコマンドは、それに応じて調整する必要があります。
--permanent
オプションは、恒久的に設定サービスをfirewalldに追加するためには、上記のファイアウォール-CMDの呼び出しに渡すことができます。このサービスが再起動したfirewalldしたら、上記のコマンドを再実行する必要はありません。
ovn-host-firewall-service
専用ポート6081ファイルを開きます。デフォルトのプロトコルOVNトンネルがジュネーブだからです。あなたが別のカプセル化プロトコルを使用している場合は、サービスが適切なポートを開くためにXMLファイルを変更する必要があります。VXLANのために、オープンポート4789。STTのために、オープンポート7471。
勧告
firewalldユーザーを容易にするためのもの含まれるレポ倉庫OVS firewalldサービスファイル。すべてのサービス・ファイルだけで開いているポートOVN公用。これは、追加のセキュリティを提供しません。より安全な環境を確認し、それが次のことを行うのがベストです
- あるいはiptablesのようなツールを使用する既知のホストへのアクセスを制限したいnftables。
- SSLを使用して、すべてのリモート・データベースに接続するOVN。
- OVNの南には、データベースのアクセス制御に役割ベースの接続を使用します。