Se o br_netfilter não estiver carregado, como os Grupos de Seg e as regras de nêutrons são afetadas pela VM?

0

Eu tenho um cluster OpenStack (dois controladores e seis nós de computação). Em cada host de computação, eu tenho essas interfaces:

  1. lo
  2. eth0
  3. eth1
  4. ovs-system
  5. br-int
  6. br-ext
  7. docker0
  8. vethc8bb391 @ if9

e uma VM de exemplo tem:

  1. lo
  2. int-cp
  3. ext-cp
  4. docker0
  5. ip_vti0 @ NONE

O módulo br_netfilter é carregado e eu configurei tanto os grupos de segurança quanto as regras de iptables de nêutrons para filtrar o tráfego para minhas VMs hospedadas nos nós de computação. Assim, o tráfego em ponte irá para o iptables / ip6tables porque os valores padrão para os parâmetros do kernel em ponte são:

  1. net.bridge.bridge-nf-call-arptables = 1
  2. net.bridge.bridge-nf-call-ip6tables = 1
  3. net.bridge.bridge-nf-call-iptables = 1

Então, se eu não carregar o módulo br_netfilter, o tráfego em ponte não irá para o iptables / ip6tables. Então minha pergunta é: Essa configuração afetará as regras dos grupos de segurança e as regras de nêutrons que apliquei às minhas VMs?

    
por belabrinel 15.11.2018 / 16:00

0 respostas