Cockpit Web控制台可以很方便的管理系统网络。在Web控制台的网络页面可以直观地看到网络当前的收发情况、网络接口、网络日志等等,还可以很方便的管理网络。
一、使用 web 控制台管理防火墙
1.开关防火墙
在网络页面中可以看到有一个防火墙开关,以及“编辑规则和区域”按钮。要想打开、关闭防火墙,只需要点击开关按钮即可,非常方便。这个开关按钮其实就是控制的防火墙服务(firewalld.service)的开关。
2.编辑防火墙区域和规则
直接开关防火墙,很简单粗暴,很多时候不是我们想要的,一般情况下,我们都是通过编辑防火墙规则来控制防火墙,以达到我们的网络安全、系统安全。点击“编辑规则和区域”,打开防火墙页面,可以看到
防火墙的所有区域和服务规则。
2.1 区域
firewalld 可以根据用户放置在那个网络中的接口和流量信任级别将网络划分为不同的区。一个连接只能是一个区的一部分,但一个区可以被用来管理很多网络连接。
为了方便管理网络,系统预定义了许多区域,预定义区域存储在 /usr/lib/firewalld/zones/ 目录中,并可立即应用于任意可用的网络接口。只有在修改后,这些文件才会复制到 /etc/firewalld/zones/ 目录中。预定义区的默认设置如下:
-
block
任何传入的网络连接都会被拒绝,并会拒绝 IPv4 的 icmp-host-prohibited(用于 IPv6 )和 icmp6-adm-prohibited。只有从系统启动的网络连接才能进行。 -
dmz
对于您的非企业化区里的计算机来说,这些计算机可以被公开访问,且有限访问您的内部网络。只接受所选的入站连接。 -
drop
所有传入的网络数据包都会丢失,没有任何通知。只有外发网络连接也是可行的。 -
external
适用于启用了伪装的外部网络,特别是路由器。您不信任网络中的其他计算机不会损害您的计算机。只接受所选的入站连接。 -
home
用于家用,因为您可以信任其他计算机。只接受所选的入站连接。 -
internal
当您主要信任网络中的其他计算机时,供内部网络使用。只接受所选的入站连接。 -
public
可用于您不信任网络中其他计算机的公共区域。只接受所选的入站连接。 -
trusted
所有网络连接都被接受。 -
work
可用于您主要信任网络中其他计算机的工作。只接受所选的入站连接。
这些区中的一个被设置为 default 区。当接口连接添加到 NetworkManager 时,它们会被分配给默认区。安装时,firewalld 的默认区设置为 public 区。默认区可以被修改。
2.2 防火墙规则
一般情况下,我们对外的服务器都是需要编辑public区域中的规则,比如我们要向外提供http和https服务,就需要将这两个服务添加到public区,如下图所示。
有些服务可能并未提供在服务列表中,或者服务的端口不是默认端口,此时我们需要添加自定义端口,只需要选择“自定义端口”按钮,即可切换到自定义端口界面,根据需求填写TCP或者UDP的端口即可。
注意:添加自定义端口将会重新加载 firewalld。重新加载将会导致运行时配置丢失!
在前面的截图中, 我们可以看到有一个libvirt区域,接口是virbr0,这就是一个运行时配置的区域,它是用于虚拟机的网络配置的,在public区域添加自定义端口3308后,之前的libvirt区域就丢失了。
如果想要删除服务端口,只需要点开服务左边的箭头,在右边点那个垃圾筒图标按钮即可删除。
2.3 添加区域
前面我们在public区域中添加自定义端口时,由于会重新加载firewalld,导致运行时配置的区域丢失了,如果我们不想重启服务器,让它重新在运行时配置,就可以手动添加区域
需要注意的是,需要有可以使用的接口才能添加区域。添加后就可以看到一个intermal区域了
2.4 删除区域
删除区域很简单,直接点区域名最右边的垃圾筒图标按钮即可。
二、使用 Web 控制台配置网络绑定
1.什么是网络绑定
网络绑定(network bonding)是组合或者整合网络接口的方法,以便提供一个高吞吐量或冗余的逻辑接口。
active-backup、balance-tlb和 balance-alb 模式不需要任何网络交换机的具体配置。然而,其他绑定模式需要配置交换机来聚合链接。例如:对于模式 0、2 和 3,Cisco 交换机需要 EtherChannel,但对于模式 4,链接聚合控制协议(LACP)和 EtherChannel 是必需的。
注意:某些网络绑定的功能,比如故障切换机制,不支持不通过网络交换机的直接电缆连接。
2.绑定模式
这里有几个模式选项。每个模式选项都通过特定的负载平衡和容错来标识。绑定接口的行为取决于模式。绑定模式提供容错(容错)和负载均衡(或两者)。
A.负载均衡模式
- 轮询 Robin
依次将来自第一个可用的接口的数据包传送到最后一个接口。
B.容错模式
- 激活备份
只有主接口失败时,备份接口之一才替换它。只有被激活的接口使用的 MAC 地址是可见的。 - 广播
所有传输都会在所有接口上发送。
注意:广播会显著增加所有绑定接口的网络流量
C.容限和负载均衡模式
- XOR
目标 MAC 地址在带有 modulo 哈希的接口间平均分配。然后,每个接口提供相同的一组 MAC 地址。 - 802.3ad
设置 IEEE 802.3ad 动态链路聚合策略。创建共享相同速度和双工设置的聚合组。传输并接收活跃聚合器中的所有接口。
注意:这个模式需要一个兼容 802.3ad 的交换机。 - 适配传输负载均衡
传出流量会根据每个接口的当前负载进行分配。当前接口收到传入的流量。如果接收接口失败,则另一个接口会接管失败的接口的 MAC 地址。 - 适配负载均衡
包含 IPv4 流量的传输和接收负载均衡。
接收负载均衡是通过地址解析协议(ARP)协商实现的,因此需要在绑定配置中将 Link Monitoring 设置为 ARP。
3.使用 Web 控制台添加新绑定
在Web 控制台中,我们以在两个或者多个网络接口中配置 “激活备份” 绑定为例进行介绍,其它类型也差不多。
要进行绑定,需要在服务器中安装两个或者两个以上网卡并且可用。
由于使用的是虚拟机中的CentOS 8,所以向虚拟机添加一张虚拟网卡即可。
此时,我们可以在接口列表中看到多出一张网卡:ens37,但是没有激活,我们打开它,进行激活。
然后我们在添加绑定的绑定设置对话框中,输入名称(也可以使用系统生成的名字),选择需要绑定的接口,选择MAC(如果将 MAC 字段留空,则绑定将获得下拉列表中列出的地址之一),选择模式(Mode),这里以“激活备份”为例,则选择“激活备份”,选择主接口,笔者选择的是ens33,其它选项都使用默认的即可。
注意:由于ens33与ens37都是模拟的实际网卡,所以一旦添加绑定后,则会导致当前网络不可用,即原来的网络IP不可用,所以建议此时只选择一个接口,后面再添加接口
我们可以在虚拟机中登录查看网络配置信息,如下图所示,ens33以及ens37都不再有IP地址了,而bond0中才提供了IP地址,此时我们需要使用新的IP地址去连接Cockpit Web控制台。
这时我们再在Web控制台中看网络接口,可以看到bond0接口
点开它,我们可以看到详细信息,可以看到bond0是一个绑定接口,绑定类型为“激活备份”,接口成员为:ens33和ens37
3.1 修改绑定模式
在这个页面的“绑定”信息后面还可以编辑它进行绑定模式修改。
再次注意:这里操作的是两张“物理网卡”,虽然是用虚拟机虚拟的,但是它们的任何变动,都可能引起当前网络的不可用,此时需要在服务器主机上去操作设置网络配置,所以需要谨慎操作
为了不让这种情况发生,强烈建议在绑定的时候先只选择一张网卡,在建立了绑定后,再添加接口成员,这样不至于IP地址发生变化时并不知道变化成多少了
3.2 添加接口成员
添加绑定成功后,可以在新添加的绑定接口中添加接口成员,只需要在接口成员右上方的点击下拉列表,选择可以添加的接口
3.3 激活或者取消激活接口成员
直接在接口成员的后面勾选按钮上点击即可激活或者取消激活接口成员
3.4 删除接口成员
要删除接口成员,点对应的接口成员后面的“减号”按钮即可
3.5 删除绑定
直接在绑定名后面点“删除”按钮即可删除。
三、使用 Web 控制台配置网络组(network teaming)
1.什么是网络组
网络组(network teaming)也叫网络团队,是一个合并或聚合网络接口的功能,它提供了一个高吞吐量或冗余的逻辑接口。
网络组使用内核驱动程序来实现对数据包流、用户空间库以及用于其他任务的服务的快速处理。因此,网络组是一个易扩展的解决方案,来满足负载平衡和冗余的要求。
2.网络组和绑定功能的比较
| 功能 | 网络绑定 | 网络组 |
| 广播 Tx 策略 | 是 | 是 |
| 轮询 Tx 策略 | 是 | 是 |
| Active-backup Tx 策略 | 是 | 是 |
| LACP(802.3ad)支持 | 是(仅活动) | 是 |
| 基于 hash 的 Tx 策略 | 是 | 是 |
| 用户可以设置哈希功能 | 否 | 是 |
| TX 负载均衡支持(TLB) | 是 | 是 |
| LACP 哈希端口选择 | 是 | 是 |
| LACP 支持的负载均衡 | 否 | 是 |
| ethtool 链接监控 | 是 | 是 |
| ARP 链路监控 | 是 | 是 |
| NS/NA(IPv6)链路监控 | 否 | 是 |
| 端口启动/关闭延时 | 是 | 是 |
| 端口优先级和粘性(“主要” 选项增强) | 否 | 是 |
| 独立的每个端口链路监控设置 | 否 | 是 |
| 多个链路监控设置 | 有限 | 是 |
| Lockless Tx/Rx 路径 | 否(rwlock) | 是(RCU) |
| VLAN 支持 | 是 | 是 |
| 用户空间运行时控制 | 有限 | 是 |
| 用户空间中的逻辑 | 否 | 是 |
| 可扩展性 | 难 | 易 |
| 模块化设计 | 否 | 是 |
| 性能开销 | 低 | 非常低 |
| D-Bus 接口 | 否 | 是 |
| 多设备堆栈 | 是 | 是 |
| 使用 LLDP 时零配置 | 否 | (在计划中) |
| NetworkManager 支持 | 是 | 是 |
3. 添加网络组
在上图所示按钮中“添加组”,填写名称或者使用系统生成的名称,选择接口(端口),这里以选择ens33为例,运行者可以选择:
- 轮循
- 激活备份
- 负载均衡
- 广播
- 802.3ad LACP
这些选项与绑定的选项含义基本上是一样的
侦测连接状态:
如果选择 Ethtool,需要另外设置链路延迟和连接停机延迟
如果选择ARP ping或者NSNA Ping需要设置Ping周期与目标
这里我们只勾选sns33,其它都默认
应用 后,我们可以看到team0接口,ens33接口不见了,但是team0接口的IP还是原来ens33的IP
网络组的其它操作与绑定一样,这里就不再赘述了。
四、使用 Web 控制台配置网桥
网络桥接用于将多个接口连接到一个具有相同 IP 地址范围的子网。
五、使用 Web 控制台配置VLAN
未完,待续。。。
