Cloudstack IP&ARP網路匹配，與安全組配置架構

Cloudstack網路會在宿主機上做安全策略，主要的有兩項是：IP匹配ARP允許通過、網卡被訪問時允許通過哪些協定與端口，以下介紹cloudstack是如何對這些項目做安全策略。

總結網路配置架構

1.每一台VM會對應宿主機創建的網卡 vnet4 ，開三台就會建立三張vnet網卡

2.來賓網路沒有關聯IP到VM NICs的，配置IP就不會被允許匹配到gateway，是依靠防火牆管理

virsh domiflist i-2-90-VM   #查看網路橋接到哪個網卡，該網卡會連接到那一台VM
tcpdump -nn -i vnet4    #抓取eno1網卡封包 ，查看會有請求ARP的封包

1. 所以是KVM下VM橋接的網卡去請求ARP設定，讓VM可以取得匹配路由表的權限
2. 在cloudstack管理網頁把IP從VM的附屬IP取消，再看宿主機的/var/log/cloudstack/agentsecurity_group.log
3. 可以看到API通訊時使用的指令

ebtables -t nat -D i-2-90-VM-out-ips -p ARP --arp-ip-dst 206.119.111.191 -j RETURN   

#這裡看已看到是用ebtables 來管理nat arp ， 查詢全部指令 ebtables -t nat -L

3.安全組設定是用 iptables -L -n 在宿主機操作，查看安全組情況iptables -L -n #可以查看安全組放行狀況，查看某台VM的安全組