4

DevStack を使用して OpenStack を RHEL6 にインストールし、正常に動作させました。ある日、私たちの「システム管理者」の 1 人が、システムで iptables が実行されていることに気付き、それをオフにすることにしました (chkconfig iptables off)。その後、彼はサーバーを再起動しましたが、数日間教えてくれませんでした。彼が私に言った後、私は自分のインスタンスにアクセスできるかどうかをすぐに確認しました. Horizo​​n にはアクセスできましたが、何もブロックされておらず、コンソールからインスタンスにアクセスできたため、これらのインスタンスはネットワークにアクセスできませんでした。この後、SSH経由でサーバーからインスタンスにアクセスしようとしました。プライベート IP にアクセスできませんでした。

次に、起動したiptablesを再起動しようとしました...そしてHorizo​​nダッシュボードをブロックしました。そこで、すべてのオープン スタック サービスを再起動しようとしました... まだ Horizo​​n やインスタンスのいずれにもアクセスできませんが、少なくとも今は IPTables に nova ルールが設定されていました

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
nova-api-INPUT  all  --  anywhere             anywhere            
nova-network-INPUT  all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 
ACCEPT     tcp  --  anywhere             anywhere            multiport dports https 
ACCEPT     tcp  --  anywhere             anywhere            multiport dports http 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
nova-filter-top  all  --  anywhere             anywhere            
nova-api-FORWARD  all  --  anywhere             anywhere            
nova-network-FORWARD  all  --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
nova-filter-top  all  --  anywhere             anywhere            
nova-api-OUTPUT  all  --  anywhere             anywhere            
nova-network-OUTPUT  all  --  anywhere             anywhere            

Chain nova-api-FORWARD (1 references)
target     prot opt source               destination         

Chain nova-api-INPUT (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             devcloud.camb.comdev.ca tcp dpt:8775 

Chain nova-api-OUTPUT (1 references)
target     prot opt source               destination         

Chain nova-api-local (1 references)
target     prot opt source               destination         

Chain nova-filter-top (2 references)
target     prot opt source               destination         
nova-api-local  all  --  anywhere             anywhere            
nova-network-local  all  --  anywhere             anywhere            

Chain nova-network-FORWARD (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain nova-network-INPUT (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere            udp dpt:bootps 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:bootps 
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain 

Chain nova-network-OUTPUT (1 references)
target     prot opt source               destination         

Chain nova-network-local (1 references)
target     prot opt source               destination

これらのルールはいずれも、Horizo​​n へのリモート アクセスを許可しておらず、実行する必要があるインスタンスへのローカル アクセスさえも許可していません。その上、iptables をオフにする前は、Apache HTTPD が任意のポートでリッスンできるようにできましたが、その機能も現在停止しているようです。

今のところ、どこを見ればいいのかわからないので、最初からやり直すことしか考えられません。私は iptables と OpenStack とそれらがどのように連携するかについて調べてきましたが、解決策を見つけることができませんでした。誰かが私を助けるかもしれない方向に向けることができますか?

IPtables ルールに直接ルールを追加することを検討しましたが、これらは、変更が加えられるか再起動されるたびに nova によって上書きされ、これを維持することが不可能になります。

4

1 に答える 1