SDN控制器OVN网络安全功能
本文通过使用OVN访问控制列表(ACL)来实现基本的网路安全功能。
OVN中的ACL规则贮存于北向资料库的ACL表中,并且可使用ovnnbctl的acl命令进行配置。目前,ACL只能利用于逻辑交换机,但是未来将支援利用到逻辑路由器。
在出站和入站方向都支援使用ACL:
入站:从工作负载(fromlport)进入逻辑埠
出站:从逻辑端口出去到工作负载(tolport)。
另外,为每一个ACL分配一个优先顺序,以肯定它们的匹配顺序,最高优先顺序首先被匹配。另外ACL可以被赋予相同的优先顺序。但是,在两个具有相同优先顺序并且都匹配同一个分组的ACL的情况下,将仅匹配一个ACL。确切地说,哪个ACL终究将被匹配是不肯定的,你不能真正地肯定哪一个规则将利用于给定的情况。所以我建议:在大多数情况下儘量使用不同的优先顺序。
ACL中的匹配规则基于OVS中的流语法,对具有程式设计背景的人都会觉得很熟习。该语法在ovnsb手册页的“Logical_Flow表”部份中进行了说明。它值得一读,特别是介绍“!=”匹配规则的那部份内容。
另外值得强调的一点是,您不能在具有type=router的埠上建立ACL匹配规则。为了减少ACL表中的条目数量,可使用定义相同型别地址组的地址集。例如,一组IPv4地址/网路,一组MAC地址或一组IPv6地址可以放置在一个可命名的地址集内。为了减少ACL表中的条目数,可使用定义相同型别地址组的地址集。例如,一组IPv4地址/网路,一组MAC地址或一组IPv6地址可以放置在命名地址集内。然后地址集可以被ACL的match子句内的“name”援用(以$name的情势)。
