安全组Security Neutron为instance提供了两种管理网络安全的方法:安全组和虚拟防火墙 安全组原理:通过iptables对instance所在计算节点的网络流量进行过滤 虚拟防火墙原理:FWaaS,底层也是iptables,在Router上对网络包流量进行过滤 安全组的应用对象是虚拟网卡,由L2 Agent实现,比如LinuxBridge或者Open vswitch,安全组会在计算节点上通过配置iptables来限制虚拟网卡的进出访问 FWaaS的应用对象是router,可在安全组之前隔离外部过来的恶意流量,保护的是Subnet 同时部署二者,双重保护; Security Group和FWaas比较: 相同:底层都是通过iptables实现的; 不同:1.Security Group作用于虚拟交换机的port,保护的是instance 而FWaas作用于router,保护的是subnet、整个租户网络 2.FWaaS可以定义allow或者deny规则,但是Security Group只能定义allow规则 3.FWaaS不区分方向,双向流量都起作用,安全组可区分ingress(入口)和egress(出口) LBaaS: 概念:Pool Member、Pool、VIP 实现:HAproxy 实现细节:ip netns ip netns exec qlbaas-xxxx ip a