我一直在寻找OpenStack环境下防火墙虚拟机的最佳使用方式,也一直在不断尝试和验证,不达目的誓不罢休。标准是什么?我不动任何命令行,在仪表盘上操作,在租户路由器和租户服务子网之间透明插入防火墙虚拟机,不能对环境造成影响。
上次练习的一个方法是禁用租户服务子网(防火墙引流子网除外)的网关,将子网中防火墙接口的默认主机路由添加到租户服务子网。当时遗留的问题是,租户服务子网中现有的虚拟机需要重启,而在租户路由器上为租户服务子网配置的静态路由被删除后,子网中现有的直接路由无法自动恢复。虽然不动命令行,但也是全仪表盘操作,防火墙虚拟机透明地插在租户路由器和租户服务子网之间,但对环境有影响,不太理想。
这一周,整个事情更美好了。这一次,应该是大结局了。还是这个拓扑。租户路由器在外部网络上进行SNAT,服务子网连接到路由器。服务虚拟机绑定弹性IP后,路由器做DNAT,防火墙虚拟机通过互联网连接到路由器,内网接口延伸到租户服务子网。
或者这两个测试虚拟机,一个业务虚拟机和一个防火墙虚拟机,
这一次,我们没有禁用服务子网的网关,而是关闭了网关接口的管理状态。
此时路由器上的服务子网网关地址仍然存在,但不起作用。
防火墙虚拟机可以无障碍的使用这个网关地址,当然也要关闭接口的安全检查。
仍然为路由器上的服务子网配置静态路由。
不需要在防火墙上配置任何nat和路由规则,只需要配置访问控制策略。
更多关于云服务器,域名注册,虚拟主机的问题,请访问西部数码代理官网:www.chenqinet.cn。