在OpenStack中优雅的使用防火墙虚机（二）

一直在寻找OpenStack环境内防火墙虚机的最佳使用方法，不断的尝试、验证，不达目的不罢休，标准是啥呢，不动任何一条命令行，全dashboard操作，把防火墙虚机透明的插入租户路由器和租户业务子网之间，并且不能对环境有影响，

上一次实践过的一种方法是，把租户业务子网（给防火墙引流的子网除外）的网关disable掉，给租户业务子网添加默认去往本子网内防火墙接口的主机路由，当时遗留问题是，对于租户业务子网中已有的虚机，需要重启一下，并且在租户路由器上给租户业务子网配置的静态路由被删除后，子网既有的直连路由无法自动恢复，虽然没动任何一条命令行，也是全dashboard操作，把防火墙虚机透明的插入租户路由器和租户业务子网之间，但是对环境有影响，并不理想，

本周整个更beautiful的，这回应该大结局了，还是这个拓扑，租户路由器出外网做SNAT，业务子网连接到路由器，业务虚机绑定了弹性IP后，路由器做DNAT，防火墙虚机通过互联网络连接到路由器，并出内网接口伸进租户业务子网，

还是这两个测试虚机，一个业务虚机，一个防火墙虚机，

这次咱们不把业务子网的网关disable掉了，而是把网关接口的admin state关掉，

这个时候router上的业务子网网关的地址仍然存在，但是却不起作用了，

防火墙虚机上就可以无障碍的使用这个网关地址了，当然要把接口的安全检查关掉，

依然还是在router上给业务子网配置静态路由，

防火墙上无需配置任何nat和路由规则，只需配置好访问控制策略就可以了，