在OpenStack中优雅的使用防火墙虚机(二)

一直在寻找OpenStack环境内防火墙虚机的使用方法,不断的尝试、验证,不达目的不罢休,标准是啥呢,不动任何一条命令行,全dashboard操作,把防火墙虚机透明的插入租户路由器和租户业务子网之间,并且不能对环境有影响,

十多年的通河网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。全网营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整通河建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。成都创新互联从事“通河网站设计”,“通河网站推广”以来,每个客户项目都认真落实执行。

上一次实践过的一种方法是,把租户业务子网(给防火墙引流的子网除外)的网关disable掉,给租户业务子网添加默认去往本子网内防火墙接口的主机路由,当时遗留问题是,对于租户业务子网中已有的虚机,需要重启一下,并且在租户路由器上给租户业务子网配置的静态路由被删除后,子网既有的直连路由无法自动恢复,虽然没动任何一条命令行,也是全dashboard操作,把防火墙虚机透明的插入租户路由器和租户业务子网之间,但是对环境有影响,并不理想,

本周整个更beautiful的,这回应该大结局了,还是这个拓扑,租户路由器出外网做SNAT,业务子网连接到路由器,业务虚机绑定了弹性IP后,路由器做DNAT,防火墙虚机通过互联网络连接到路由器,并出内网接口伸进租户业务子网,

还是这两个测试虚机,一个业务虚机,一个防火墙虚机,

这次咱们不把业务子网的网关disable掉了,而是把网关接口的admin state关掉,

这个时候router上的业务子网网关的地址仍然存在,但是却不起作用了,

防火墙虚机上就可以无障碍的使用这个网关地址了,当然要把接口的安全检查关掉,

依然还是在router上给业务子网配置静态路由,

防火墙上无需配置任何nat和路由规则,只需配置好访问控制策略就可以了,


本文标题:在OpenStack中优雅的使用防火墙虚机(二)
URL网址:http://pwwzsj.com/article/cpgcoo.html