在 OpenStack 中限制每个租户的安全组数量有什么意义?

在 OpenStack 中限制每个租户的安全组数量有什么意义?

默认情况下,租户 (1) 只能创建 10 个安全组 (2)。有什么理由将这个数字保持得这么低吗?

(1)http://docs.openstack.org/grizzly/openstack-compute/admin/content//users-and-projects.html

遗留术语:OpenStack 的早期版本使用术语“项目”而不是“租户”。

(2)http://docs.openstack.org/user-guide-admin/content/cli_set_quotas.html

$ nova quota-defaults
+-----------------------------+-------+
| Quota                       | Limit |
+-----------------------------+-------+
| instances                   | 10    |
| cores                       | 20    |
| ram                         | 51200 |
| floating_ips                | 10    |
| fixed_ips                   | -1    |
| metadata_items              | 128   |
| injected_files              | 5     |
| injected_file_content_bytes | 10240 |
| injected_file_path_bytes    | 255   |
| key_pairs                   | 100   |
| security_groups             | 10    |
| security_group_rules        | 20    |
+-----------------------------+-------+

答案1

最明显的效果是将防火墙规则保持在可管理的水平,这不会对性能产生重大影响。在某个时候,您可能会有太多的防火墙规则,而没有足够的 CPU 来快速处理它们。默认限制可能看起来很低,但对于大多数人来说已经足够了,他们永远不会创建超过几个安全组,每个组可能有六个规则。

相关内容