<div class="gmail_quote">On Fri, Jul 6, 2012 at 6:39 AM, romi zhang <span dir="ltr"><<a href="mailto:romizhang1968@163.com" target="_blank">romizhang1968@163.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">










<div lang="ZH-CN" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1f497d">I am also very interesting about this and also try to find a way
to forbid the talking between VMs on same compute+network node. </span><span lang="EN-US" style="font-size:10.5pt;font-family:Wingdings;color:#1f497d">J</span><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1f497d">Romi<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:SimSun">发件人<span lang="EN-US">:</span></span></b><span lang="EN-US" style="font-size:10.0pt;font-family:SimSun">
openstack-bounces+romizhang1968=<a href="mailto:163.com@lists.launchpad.net" target="_blank">163.com@lists.launchpad.net</a>
[mailto:<a href="mailto:openstack-bounces%2Bromizhang1968" target="_blank">openstack-bounces+romizhang1968</a>=<a href="mailto:163.com@lists.launchpad.net" target="_blank">163.com@lists.launchpad.net</a>] </span><b><span style="font-size:10.0pt;font-family:SimSun">代表 </span></b><span lang="EN-US" style="font-size:10.0pt;font-family:SimSun">Christian Parpart<br>

</span><b><span style="font-size:10.0pt;font-family:SimSun">发送时间<span lang="EN-US">:</span></span></b><span lang="EN-US" style="font-size:10.0pt;font-family:SimSun"> 2012</span><span style="font-size:10.0pt;font-family:SimSun">年<span lang="EN-US">7</span>月<span lang="EN-US">5</span>日 星期四<span lang="EN-US"> 23:48<br>

</span><b>收件人<span lang="EN-US">:</span></b><span lang="EN-US"> <<a href="mailto:openstack@lists.launchpad.net" target="_blank">openstack@lists.launchpad.net</a>><br>
</span><b>主题<span lang="EN-US">:</span></b><span lang="EN-US">
[Openstack] inter-tenant and VM-to-bare-metal communication
policies/restrictions.<u></u><u></u></span></span></p>

</div><div><div class="h5">

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-US">Hi all,<u></u><u></u></span></p>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">I am running multiple compute nodes and a
single nova-network node, that is to act<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">as a central gateway for the tenant's VMs.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">However, since this nova-network node (of
course) knows all routes, every VM of<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">any tenant can talk to each other,
including to the physical nodes, which<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">I highly disagree with and would like to
restrict that. :-)<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">root@gw1:~#
ip route show</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">default
via $UPLINK_IP dev eth1  metric 100 </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""><a href="http://10.10.0.0/19" target="_blank">10.10.0.0/19</a> dev eth0  proto kernel
 scope link  src 10.10.30.5 </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""><a href="http://10.10.40.0/21" target="_blank">10.10.40.0/21</a> dev br100  proto kernel
 scope link  src 10.10.40.1 </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""><a href="http://10.10.48.0/24" target="_blank">10.10.48.0/24</a> dev br101  proto kernel
 scope link  src 10.10.48.1 </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""><a href="http://10.10.49.0/24" target="_blank">10.10.49.0/24</a> dev br102  proto kernel
 scope link  src 10.10.49.1 </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">$PUBLIC_NET/28
dev eth1  proto kernel  scope link  src $PUBLIC_IP</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""><a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a> dev eth0  proto kernel
 scope link  src 192.168.2.1</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">- <a href="http://10.10.0.0/19" target="_blank">10.10.0.0/19</a>
is the network for bare metal nodes, switches, PDUs, etc.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">- <a href="http://10.10.40.0/21(br100)" target="_blank">10.10.40.0/21(br100)</a>
is the "production" tenant<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">- <a href="http://10.10.48.0/24" target="_blank">10.10.48.0/24</a>
(br101) is the "staging" tenant<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">- <a href="http://10.10.49.0/24" target="_blank">10.10.49.0/24</a>
(br102) is the "playground" tenant.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">- <a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a>
is the legacy network (management and VM nodes)<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">No tenant's VM shall be able to talk to a
VM of another tenant.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">And ideally no tenant's VM should be able
to talk to the management<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">network either.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">Unfortunately, since we're migrating a live
system, and we also have<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">production services on the bare-metal
nodes, I had to add special routes<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">to allow the legacy installations to
communicate to the new "production"<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">VMs for the transition phase. I hope I can
remove that ASAP.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">Now, checking iptables on the nova-network
node:<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">root@gw1:~#
iptables -t filter -vn -L FORWARD</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">Chain
FORWARD (policy ACCEPT 64715 packets, 13M bytes)</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> pkts
bytes target     prot opt in     out     source
              destination    
    </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
36M   29G nova-filter-top  all  --  *      *
      <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>    
       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>  
        </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
36M   29G nova-network-FORWARD  all  --  *    
 *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>  
         <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>
          </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">root@gw1:~#
iptables -t filter -vn -L nova-filter-top</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">Chain
nova-filter-top (2 references)</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> pkts
bytes target     prot opt in     out     source
              destination    
    </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
36M   29G nova-network-local  all  --  *    
 *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>  
         <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>
          </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">root@gw1:~#
iptables -t filter -vn -L nova-network-local</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">Chain
nova-network-local (1 references)</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> pkts
bytes target     prot opt in     out     source
              destination   </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
    </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">root@gw1:~#
iptables -t filter -vn -L nova-network-FORWARD</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">Chain
nova-network-FORWARD (1 references)</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> pkts
bytes target     prot opt in     out     source
              destination    
    </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
  0     0 ACCEPT     all  --  br102  *
      <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>    
       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>  
        </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
  0     0 ACCEPT     all  --  *  
   br102   <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>  
         <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>
          </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
  0     0 ACCEPT     udp  --  *  
   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>
           10.10.49.2        
  udp dpt:1194</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
18M   11G ACCEPT     all  --  br100  *    
  <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>        
   <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>      
    </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
18M   18G ACCEPT     all  --  *    
 br100   <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>    
       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>  
        </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
  0     0 ACCEPT     udp  --  *  
   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>
           10.10.40.2        
  udp dpt:1194</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 106K
  14M ACCEPT     all  --  br101  *    
  <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>        
   <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>      
    </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New"">79895
  23M ACCEPT     all  --  *      br101
  <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>        
   <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>      
    </span><span lang="EN-US"><u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-family:"Courier New""> 
  0     0 ACCEPT     udp  --  *  
   *       <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>
           10.10.48.2        
  udp dpt:1194</span><span lang="EN-US"><u></u><u></u></span></p>

</div>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">Now I see, that all traffic from tenant
"staging" (br101) for example allows any traffic from/to any
destination (-j ACCEPT).<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">I'd propose to reduce this limitation to
the public gateway interface (eth1 in my case) and that this value<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">shall be configurable in the nova.conf
file.<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">Is there any other thing, I might have
overseen, to disallow inter-tenant communication and to disallow<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">tenant-VM-to-bare-metal communication?<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">Many thanks in advance,<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US">Christian Parpart.</span></p></div></div></div></div></div></blockquote><div><br></div><div>Am I (almost) the only one interested in disallowing inter-tenant communication, or am I overseeing something in the docs? :-(</div>
<div><br></div><div>Christian. </div></div>