SDN控制器OVN网络安全功能

使用本文OVN访问控制列表(ACL)实现网络安全的基本功能。

OVN中的ACL规则存储在北向数据库中ACL并且可以在表中使用ovn-nbctl的acl配置命令。ACL它只能应用于逻辑交换机，但支持将在未来应用于逻辑路由器。

支持使用出站和入站方向ACL：

入站：从工作负荷(from-lport)进入逻辑埠

出站：从逻辑端口出去到工作负载(to-lport)。

另外，为每一个ACL为了确定它们的匹配顺序，最高优先顺序首先被匹配ACL同样的优先同的优先顺序。但是，两个优先顺序相同，匹配相同的组ACL只匹配一个ACL。确切地说，哪一个ACL最终匹配是不确定的。你不能真正确定哪些规则将应用于给定的情况。因此，我建议在大多数情况下，尽量使用不同的优先级。

ACL基于匹配规则OVS对于有程式设计背景的人来说，中流语法是非常熟悉的。语法在ovn-sb 手册页；Logical_Flow表部分进行了说明。值得一读，尤其是介绍 ！=匹配规则的部分。

另一点值得强调的是，你不能拥有它type=router的埠上建立ACL匹配规则ACL表中的条目数量可以定义相同类型地址组的地址集。例如，一组IPv4地址/网络，一组MAC地址或一组IPv6地址可以放在可命名的地址集中。为了减少ACL表中的条目数，可使用定义相同类型地址组的地址集。例如，一组IPv4地址/网络，一组MAC地址或一组IPv6地址可以放在命名地址集中。然后地址集就可以了ACL的match子句内 ；name”引用(以$ name的形式)。