评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
实现原理
架构
虚拟防火墙服务的逻辑架构如图14-3所示。
表14-1 组件详情
组件类型 |
组件名称 |
详情 |
|---|---|---|
Console层 |
LVS |
提供一级负载均衡能力。 |
Nginx |
提供二级负载均衡能力。 |
|
Network Console |
可以对VFW所有相关资源进行管理的Console控制台。 |
|
API/Service层 |
HAProxy |
为组合API提供负载均衡能力。 |
Network Service |
为Network Console提供接口管理VFW资源。 |
|
公共组件 |
API Gateway |
第三方应用通过API Gateway调用ECS接口。 |
SDR |
提供资源计量计费功能。 |
|
DNS/NTP |
提供域名解析及时间同步。 |
|
TaskCenter |
显示任务状态。 |
|
资源池 |
Glance |
提供镜像管理服务。 |
Nova |
在OpenStack环境中管理云服务器的生命周期,包括批量创建,按需调度和停止。 |
|
Cinder |
为运行的云服务器提供持久块存储。其可插拔驱动使创建和管理块存储设备更加便利。 |
|
Neutron |
提供用于定义网络连通性和寻址的API。 |
|
管理域 |
IAM |
提供统一身份认证服务。 |
eSight |
提供性能监控和告警。 |
|
Service OM |
用于管理FusionSphere OpenStack和资源配置。 |
|
计量 |
通过SDR提供资源计量计费功能。 |
业务流
虚拟防火墙服务的业务流如图14-4所示。
各步骤对应的任务如下:
- 登录ManageOne运营面。
- ManageOne运营面到IAM认证鉴权。
- 在VFW页面上创建虚拟防火墙或添加防火墙规则。
- 调用Network Service提供的VFW接口下发配置。
- Network Service调用OpenStack Neutron提供的vfw/fwaas接口创建VFW。
- Type I:Neutron-server通过RPC通知neutron agent配置Linux的iptable规则。
- Type II:Neutron-server通过控制AC配置物理防火墙的vsys规则。
上一页
