网络安全与访问控制管理
1. 端口安全管理
当端口安全扩展启用时,可在创建或更新端口期间,通过相应设置port_security_enabled属性来启用或禁用单个端口的端口安全。启用端口安全后,默认的反欺骗规则将应用于该端口,并且可根据需要应用安全组;禁用端口安全则会移除默认的反欺骗规则,且该端口不允许使用安全组。
2. 允许的地址对
allowed-address-pairs扩展可用于允许除与端口关联的固定 IP 和 MAC 地址之外的其他 IP、子网和 MAC 地址,作为离开端口或虚拟接口的流量的源地址。这在将实例视为路由设备或 VPN 集中器,或使用需要在多个实例之间“浮动”的地址实现高可用性时非常有用。
可使用openstack port show命令在每个端口的详细信息中查找现有的允许地址对。对于每个应允许的网络和/或 MAC 地址,应使用openstack port set命令并带上--allowed-address参数,示例如下:
openstack port set <port> --allowed-address ip_address=<IP_ADDR>,mac-address=<MAC_ADDR>MAC 地址值是可选的。若未指定 MAC 地址,则使用端口的 MAC 地址。可同时将多个允许的地址对与 Neutron 端口
