2.2. オーバークラウドファイアウォールへのサービスの追加

Red Hat OpenStack Platform をデプロイすると、各コアサービスがデフォルトのファイアウォールルールセットとともに各オーバークラウドノードにデプロイされます。ExtraFirewallRules パラメーターを使用して、追加サービスのポートを開くルールを作成したり、サービスを制限するルールを作成したりできます。

各ルール名はそれぞれの iptables ルールのコメントになります。各ルール名は、3 桁の接頭辞で始まる点に注意してください。この接頭辞は、Puppet が最終の iptables ファイルに記載されているルールを順序付けるのに役立ちます。デフォルトの Red Hat OpenStack Platform ルールでは、000 から 200 までの範囲の接頭辞を使用します。新しいサービスのルールを作成するときは、名前の前に 200 より大きい 3 桁の数字を付けます。

手順

  1. 文字列を使用して、ExtraFireWallRules パラメーターの下に各ルール名を定義します。ルール名の下に次のパラメーターを使用して、ルールを定義できます。

    • dport:: ルールに関連付けられた宛先ポート。
    • proto:: ルールに関連付けられたプロトコル。デフォルトは tcp です。
    • action:: ルールに関連付けられたアクションポリシー。デフォルトは accept です。
    • source:: ルールに関連付けられた送信元の IP アドレス

      次の例は、規則を使用して、カスタムアプリケーション用に追加のポートを開く方法を示しています。

      cat > ~/templates/firewall.yaml <<EOF
      parameter_defaults:
        ExtraFirewallRules:
          '300 allow custom application 1':
            dport: 999
            proto: udp
          '301 allow custom application 2':
            dport: 8081
            proto: tcp
      EOF
      注記

      action パラメーターを設定しない場合、結果は accept になります。action パラメーターは、dropinsert、または append のみに設定できます。

  2. ~/templates/firewall.yaml ファイルを openstack overcloud deloy コマンドに含めます。デプロイメントに必要なすべてのテンプレートを含めます。

    openstack overcloud deploy --templates /
    ...
    -e /home/stack/templates/firewall.yaml /
    ....