Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

5.6. セキュリティーグループ

OpenDaylight は、テナントの設定可能セキュリティーグループのサポートを提供し、テナントが仮想マシンインスタンスを流れることのできるトラフィックを制御できます。セキュリティーグループは、仮想マシンポートごとまたは neutron ネットワークごとに割り当て、IP アドレス、IP プロトコル番号、TCP/UDP ポート番号、ICMP コードなどの TCP/IP 特性に基づいてトラフィックをフィルターリングできます。

デフォルトでは、各インスタンスには、発信トラフィックが許可されるデフォルトのセキュリティーグループが割り当てられますが、仮想マシンへの受信トラフィックはすべてブロックされます。唯一の例外は、ARP や DHCP などの信頼できるコントロールプレーンのトラフィックです。さらに、スプーフィングルールが存在するため、仮想マシンは neutron に認識されない MAC アドレスまたは IP アドレスでパケットを送受信できません。OpenDaylight は、neutron ポートのセキュリティー拡張をサポートします。これにより、テナントはポートごとにセキュリティーフィルターリングをオンまたはオフにすることができます。

OpenDaylight は、OpenFlow と conntrack を活用して、ステートフル方式で OVS 内にセキュリティーグループルールを実装します。