Apache CloudStack Official Document 翻译节选(八)

关于 Apache CloudStack 的 最佳实践 (二)

防火墙的设定

Hardware Firewall

部署Apache CloudStack时,建议部署一套防火墙系统已保护Apache CloudStack的云管理服务。在防火墙的选用方面,既可以使用通用防火墙、也可以使用诸如Juniper SRX一类的专用防火墙。

硬件防火墙的选用要能满实现以下两个目的:

  1. 保护好Apache CloudStack的云管理服务。配置网络地址转换和端口转发后,应该能管控来自公网的对Apache CloudStack的云管理服务访问流量。
  2. 在多个专职地带间路由云内管理网流量,多个专职地带间的点对点VPN也需要被配置。

要实现上述目的,你必须为硬件防火墙设置固定的配置项。硬件防火墙的规则策略不能像Apache CloudStack云内的软件防火墙那样可变。任何支持网络地址转换和点对点VPN的硬件防火墙都可使用。

对Juniper SRX系列防火墙集成云外的客户机网路防火墙:

【仅适用于使用了高级网络模型的虚拟机实例】

Apache CloudStack提供了直接管理Juniper SRX系列防火墙的服务,这允许Apache CloudStack建立公网IP到虚拟机实例的静态NAT映射、并用Juniper SRX系列防火墙取代服务于云内防火墙服务的虚拟路由器。在每个专职地带中可以使用一个或多个Juniper SRX系列防火墙。如果Juniper SRX系列防火墙中没有提供一体化功能,Apache CloudStack仍会使用服务于云内防火墙服务的虚拟路由器。

Juniper SRX系列防火墙可以和云外负载均衡器协同使用。云外的网路元素可以以并联配置或串联配置的形式部署。

在Apache CloudStack和Juniper SRX系列防火墙联用是应当这样配置:

  1. 根据Juniper SRX系列防火墙使用说明安装SRX应用程序。
  2. 把一个网口连接到Apache CloudStack的云内管理网路、一个网口连接到公网。或者,你也可以把同一个网口接入到Apache CloudStack的云内管理网路和公网中(需要用VLAN区分出公网流量)。
  3. 确保在对云内的网口上启用了VLAN的TAG标记。
  4. 记录对公网和对云内网的网口名称。如果你在对公网的网口上使用了VLAN ,那就在此网口之后添加VLA-TAG标签。例如,假定你使用网口ge-0/0/3 作为对公网的网口、且计划使用的VLAN-TAG是301,那么这个网口应该被配置为“ge-0/0/3.301”、此时对云内网的网口应当保持无VLAN-TAG状态。Apache CloudStack会自动创建打了VLAN-TAG的逻辑网口。
  5. 创建一个公网的安全地带和云内网的安全地带。默认情况下他们是已经创建好的,安全地带内外分别被称作可信区和不可信区。把对公网的网口放入到公网安全地带、把对云内网的网口放入到云内网的安全地带,并记下安全带带的名称。
  6. 确保在公网安全地带和云内网安全地带之间有允许网路流量通过的安全策略。
  7. 当Apache CloudStack组件是编程规则时,请记下你希望它登录的账户的用户名和密码。
  8. 确保 “ssh”和“xnm-clear-text”服务处于启用状态。
  9. 如果你期望网络流量可被测量:
  1. 可以创建一条入栈防火墙规则和出栈防火墙规则,他们应分别和公网的安全地带及云内网的安全地带名称相同、且设定为“特定接口”。例如当公网的安全地带为不可信区、云内网的安全地带为可信区时,应配置成如下防火墙规则:

  1. 把防火墙规则添加到你的对公网网口上。例如,对公网的网口是 ge-0/0/3.0、公网的安全地带为不可信区、云内网的安全地带为可信区时应配置成如下防火墙规则:

  1. 确保所有的VLAN 都可被带到对云内网的网口。
  2. Apache CloudStack云管理服务比安装后,要以“administrator”登录到Apache CloudStack的web-Portal。
  3. 在Apache CloudStack的web-Portal的左侧导航栏中点击“基础设施”。
  4. 浏览安全地带中的更多内容。
  5. 选中你计划使用的安全地带。
  6. 点击“网络”标签。
  7. 在“网络服务提供者”的图标中点击“配置”。
  8. 点击“SRX”。
  9. 填写如下信息:

·IP地址:SRX的IP地址

·用户名:SRX上供Apache CloudStack账户使用的用户名

·密码:SRX上供Apache CloudStack账户使用的用户密码

·对公网网口:SRX上对公网的网口,参考格式为 ge-0/0/2.VLAN-ID

·对云内网网口:SRX上对公网的网口,参考格式为 ge-0/0/1

·网路流量测定网口:用于测定网路流量的网口,默认为对公网网口

·尝试次数:在SRX上执行命令的尝试次数,默认为2次

·超时时间:在SRX上执行命令后的等待时长,默认为300秒

·公网名称:在SRX上的对公网名称,例如“trust”

·云内网名称:在SRX上的对云内网名称,例如“untrust”

·网路容量:SRX设备能够处理的网路数量

·专注性:当SRX设备被标记为“专注”后,它将被分配给某单一账户。此时上述“网路容量”中设定的值将无意义、这个值实际上会成为“1”。

  1. 点击“O.K.”。

点击“全局设定”,给“external.network.stats.interval”设定参数以指定Apache CloudStack从SRX上获取网络指标统计信息。如果你不打算从SRX上采集网络指标统计信息,这个值就可以设定为“0”。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/406711.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

树莓派3B运行rasa init和rasa shell遇到的tensorflow报错总结

终于在我的树莓派上安装rasa-1.4.0版本成功(见《树莓派智能语音助手之聊天机器人-RASA》)。不过,在初始化rasa的时候还是遇到了很多报错,在此总结,供朋友们参考。 1. ModuleNotFoundError: No module named ‘tensorf…

【鸿蒙学习】HarmonyOS应用开发者高级认证 - 应用性能优化一(界面层面)

学完时间:2024年8月22日 学完排名:第1801名 一、介绍 在开发HarmonyOS应用时,优化应用性能是至关重要的。通过/ArkTS高性能编程、减少丢帧卡顿、提升应用启动和响应速度 可以有效提升用户体验。本文将介绍一些优化HarmonyOS应用性能的方法。 一、Ark…

Windows-Server-2016/2019绕过WindowsDefender

当获得了一个webshell的时候,下一步要反弹个shell回来 在尝试了https://github.com/trustedsec/unicorn独角兽失败之后,找到了一篇使用golang将shellcode注入到内存的文章 Bypassing Antivirus with Golang - Gopher it! | JUMPSEC LABS GitHub - brimst…

谷粒商城实战笔记-213-商城业务-认证服务-整合短信验证码服务

文章目录 一,开通阿里云云市场短信服务1,阿里云开通免费短信服务并调试2,整合短信服务2.1 下载HttpUtils代码2.2 开发调用短信服务的组件2.3 测试 HttpUtils代码 这一节主要内容是整合短信发送服务。 一,开通阿里云云市场短信服务…

Wemos D1 Mini pro/ nodeMcu / ESP8266 驱动 240*320 ILI9431 SPI液晶屏

Wemos D1 Mini / nodeMcu / ESP8266 驱动 240*320 ILI9431 SPI液晶屏 效果展示器件硬件连接引脚连接原理图引脚对照表 安装TFT_eSPI库TFT_eSPI库中User_Setup.h文件的参数修改User_Setup.h文件的位置User_Setup.h文件中需要修改的参数User_Setup.h完成源码 例程 缘起&#xff1…

【MySQL】半同步模式

1 半同步模式原理 1. 用户线程写入完成后 master 中的 dump 会把日志推送到 slave 端 2.slave 中的 io 线程接收后保存到 relaylog 中继日志 3. 保存完成后 slave 向 master 端返回 ack 4. 在未接受到 slave 的 ack 时 master 端时不做提交的,一直处于等待当收到…

秃姐学AI系列之:AlexNet + 代码实现

目录 深度学习之前的网络 机器学习 几何学 特征工程 总结 深度卷积神经网络的突破的两个关键因素 数据 ImageNet(2010) 硬件 90年:数据量和计算能力发展的均匀且都不大的时候——神经网络 00年:内存不错、算力也不错&a…

docker-compose安装NebulaGraph 3.8.0

文章目录 一. 安装NebulaGraph1.1 通过 Git 克隆nebula-docker-compose仓库的3.8.0分支到主机1.2 部署1.3 卸载1.4 查看 二. 安装NebulaGraph Studio2.1 下载 Studio 的部署配置文件2.2 创建nebula-graph-studio-3.10.0目录,并将安装包解压至目录中2.3 解压后进入 n…

【鸿蒙学习】HarmonyOS应用开发者高级认证 - 应用性能优化二(代码层面)

学完时间:2024年8月22日 学完排名:第1801名 一、长列表优化概述 列表是应用开发中最常见的一类开发场景,它可以将杂乱的信息整理成有规律、易于理解和操作的形式,便于用户查找和获取所需要的信息。应用程序中常见的列表场景有新…

IDEA 导入 RocketMQ 源码

目录 前言一、RocketMQ 架构二、环境准备三、下载源码四、编译源码4.1 导入源码4.2 目录结构4.3 运行程序1. 启动 Namesrv2. 启动 Broker3. 启动 Producer4. 启动 Consumer 五、监控平台的搭建5.1 下载 console 源码5.2 IDEA 启动 前言 最近项目中有个功能需要在本地调试下 Ro…

验证实战知识点--(2)

1.seq中的pre_start pre_start 是 uvm_sequence 类的一个虚拟方法,用于在序列开始执行之前进行初始化和设置。这个方法在调用 start 方法前立即执行,提供了一个执行自定义初始化代码的机会。 start 方法用于启动序列的执行,而 pre_start 可以…

【MySQL】数据库基础(库的操作)

目录 一、MySQL安装、连接、修改密码操作 二、库的操作 2.1 创建数据库 2.2 字符集和校验规则 2.3 操控数据库 2.4 修改数据库 2.5 删除数据库 2.6 数据库的备份和恢复 2.7 查看连接情况 前情提要: 我的服务器操作系统是Ubuntu20.04,安装的是M…

06--kubernetes.pod管理与投射数据卷

前言:上一章记录了部署k8s常用的两个方式,这一章就简单一些,整理一下k8s资源对象的配置和管理命令。 1、集群状态检查 前天搭建的环境,然后关机了两天今天开启后第一时间需要检查集群环境是否正常 [rootk8s-master1 ~]# kubect…

探索《黑神话·悟空》背后的AI技术支持:英伟达全景光线追踪技术、DLSS 3.5 与帧生成

引言 2023 年,游戏《黑神话悟空》以其震撼的视觉效果和深度沉浸的游戏体验,成为全球玩家热议的焦点。这款游戏在发布初期就取得了惊人的销量:预售阶段便突破 120 万套,而发售首日更是达到 450 万份的惊人成绩。这个现象级作品背后…

大模型微调课程及大模型应用开发课程介绍

大模型实验室是在学校现有的实验室建设基础上,依托行业标杆企业,聚焦行业大模型产业发展方向,建设一个产学研一体化的合作教学平台,形成“教与学紧密结合、理论与实践紧密结合,学校与企业紧密结合”的创新教育模式。大…

初识C++以及安装C++学习工具

C的发展史 C是由Bjarne Stroustrup在20世纪80年代初期于贝尔实验室开发的一种编程语言。它的设计初衷是作为C语言的一个超集,通过添加面向对象编程的特性来增强C语言。C支持多种编程范式,包括过程化编程、面向对象编程和泛型编程。 C的历史可以追溯到1…

[数据集][目标检测]道路积水检测数据集VOC+YOLO格式2699张1类别

数据集格式:Pascal VOC格式YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):2699 标注数量(xml文件个数):2699 标注数量(txt文件个数):2699 标注…

python-逆序数(赛氪OJ)

[题目描述] 在一个排列中,如果一对数的前后位置与大小顺序相反,即前面的数大于后面的数,那么它们就称为一个逆序。一个排列中逆序的总数就称为这个排列的逆序数。比如一个元素个数为 4 的数列,其元素为 2,4,3,1,则 (2,…

深度优先搜索-放苹果

放苹果 http://noi.openjudge.cn/ch0205/666/ #include<bits/stdc.h> using namespace std;int dfs(int,int); //第一个赋值为1 其余为0 int a[11]{1},ans,n,m;int main(){ int k; cin>>k; for(int i1;i<k;i){ ans0; cin>>m>>n; dfs(m,1);//m个…

Windows C++控制台菜单库开发与源码展示

Windows C控制台菜单库 声明&#xff1a;演示视频&#xff1a;一、前言二、具体框架三、源码展示console_screen_set.hframeconsole_screen_frame_base.hconsole_screen_frame_char.hconsole_screen_frame_wchar_t.hconsole_screen_frame.h menuconsole_screen_menu_base.hcons…