OpenStack 网络：开始使用 iptables、表、规则和链 - Linux系统

iptable 的结构

iptable 是一个用户空间应用程序，允许系统管理员配置由 Linux 内核防火墙提供的表；iptable 专指 IPv4 网 络。

要设置一个 Linux 防火墙，就要使用规则，每个规则指定在包中与什么匹配，以及对包执 行什么操作。链 是一个规则列表。

Iptable 的前身 ipchains 增加规则链的概念；iptable 则 将概念扩展为表。所以 iptable 的结构是：iptables > tables > chains > rules。

iptable 具有四个内置表：

Filter 表：默认表，具有如下链：

INPUT 用于传到本地服务器的包。

OUTPUT 用于本地生成以及传出本地服务器的包。

FORWARD 用于通过本地服务器路由的包。

NAT 表（网络地址转换）：

PREROUTING：用于目的 NAT，它在路由前更改包 IP 地址。

POSTROUTING：用于源 NAT，它在路由前更改包 IP 地址。

OUTPUT：用于防火墙上本地生成包的 NAT。

Mangle 表：用于特定包的更改：

PREROUTING

OUTPUT

FORWARD

INPUT

POSTROUTING

Raw 表：用于配置免除：

PREROUTING

OUTPUT

OpenStack 内的 iptable

在 OpenStack 内，您会在 Compute-Nova 模块中发现 iptable 链和规则占主导作用，该模块是使用 Python 编写并使用在多数外部库的云计算结构控制器（IaaS 系统 的主要部分）。本文详细介绍了 nova-network FlatDHCPManager 组件以及其他联网任务所需的 OpenStack 组件。

在开始时，OpenStack 定义了一些 OpenStack 链。这些链与 Linux 内置链形 成了一个链结构。启动时的另一个任务是为固定的网络范围和元数据服务定义一些规则。创建并使用网 络后，nova-network 就会设置一些规则。当创建一个实例（也称为一个服务器和 VM）后，nova- compute 就会创建一个特定于实例的链并设置此链下的规则以确保实例的连接性。就浮动 IP 而言， OpenStack 也可使用一些规则以正常运行起来。此外，OpenStack 的安全性组及其规则是由 iptables 规则体现。  

初识 OpenStack

OpenStack 是一个由开发者和云计算技术人员的全球 协作开发的面向公共和私有云的标准云操作系统，是在 Apache 许可条款下发布的免费开源软件。云服 务提供者、企业和政府组织均可使用这个免费的 Apache 许可的软件来构建可大规模伸缩的云环境。

OpenStack 目前包含六个核心软件项目：

Cloud Compute-Nova

Cloud Storage-Swift

Image Service-Glance（交付和注册）

Identity Service-Keystone

Dashboard-Horizon

Network Connectivity-Quantum

这些项目以及充满活力的技术提供者和未来项目组成的生态系统带来了一个面向公共和私有云的可 插入式的框架和操作系统。

Nova 项目内拥有 10 多个命令，其中的 3 个与 VM 连接性有关：

nova-api 为 VM 提供元数据服务。

nova-compute 为 VM 设置网络环境。

nova-network 为整个云生态系统设置网络环境，如 IP 配置和 DHCP 设置等任务。

（编辑：应用网_镇江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!