Назад | Перейти на главную страницу

Какой смысл ограничивать количество групп безопасности на одного арендатора в OpenStack?

По умолчанию клиент (1) может создать только 10 групп безопасности (2). Есть ли причина держать это число на таком низком уровне?

(1) http://docs.openstack.org/grizzly/openstack-compute/admin/content//users-and-projects.html:

Устаревшая терминология: в более ранних версиях OpenStack использовался термин «проект» вместо «арендатор».

(2) http://docs.openstack.org/user-guide-admin/content/cli_set_quotas.html:

$ nova quota-defaults
+-----------------------------+-------+
| Quota                       | Limit |
+-----------------------------+-------+
| instances                   | 10    |
| cores                       | 20    |
| ram                         | 51200 |
| floating_ips                | 10    |
| fixed_ips                   | -1    |
| metadata_items              | 128   |
| injected_files              | 5     |
| injected_file_content_bytes | 10240 |
| injected_file_path_bytes    | 255   |
| key_pairs                   | 100   |
| security_groups             | 10    |
| security_group_rules        | 20    |
+-----------------------------+-------+

Наиболее очевидный эффект - поддерживать правила брандмауэра на управляемом уровне, который не оказывает значительного влияния на производительность. В какой-то момент может оказаться, что у вас будет слишком много правил брандмауэра и недостаточно ЦП для их обработки достаточно быстро. Пределы по умолчанию могут показаться низкими, но они достаточны для большинства людей, которые никогда не создадут больше, чем несколько групп безопасности, возможно, с полдюжиной правил в каждой.