网络服务安全最佳实践

为了保护 OpenStack Networking,您必须了解租户实例创建的工作流程如何映射到安全域。

有四种主要服务与 OpenStack Networking 交互。在典型的 OpenStack 部署中,这些服务映射到以下安全域

  • OpenStack 控制台:公共和管理

  • OpenStack Identity:管理

  • OpenStack 计算节点:管理和客户

  • OpenStack 网络节点:管理、客户,以及根据使用的 neutron-plugin 插件,可能包括公共。

  • SDN 服务节点:管理、客户,以及根据所用产品,可能包括公共。

../_images/1aa-logical-neutron-flow.png

为了隔离 OpenStack Networking 服务与其他 OpenStack 核心服务之间的敏感数据通信,请配置这些通信通道,仅允许通过隔离的管理网络进行通信。

OpenStack Networking 服务配置

限制 API 服务器的绑定地址:neutron-server

为了限制 OpenStack Networking API 服务绑定网络套接字以进行传入客户端连接的接口或 IP 地址,请在 neutron.conf 文件中指定 bind_host 和 bind_port,如下所示

# Address to bind the API server
bind_host = IP ADDRESS OF SERVER

# Port the bind the API server to
bind_port = 9696

限制 OpenStack Networking 服务的数据库和 RPC 通信

OpenStack Networking 服务的各个组件使用消息队列或数据库连接与其他组件在 OpenStack Networking 中进行通信。

建议您遵循 数据库身份验证和访问控制 中提供的指南,用于所有需要直接数据库连接的组件。

建议您遵循 队列身份验证和访问控制 中提供的指南,用于所有需要 RPC 通信的组件。