Настроить разрешенные IP/MAC-адреса на порте
Трафик порта с группой безопасности может отправляться только с одной пары IP/MAC-адрес, которая назначается при добавлении порта в подсеть. Если через порт передается трафик с адресов, которые не указаны на порте, такой трафик будет заблокирован. Чтобы разрешить трафик с адресов, которые не указаны на порте, нужно добавить разрешенные IP/MAC-адреса в настройки порта.
Например, если вы самостоятельно развернули на облачном сервере:
- VPN-сервер — нужно разрешить все IP-адреса (подсеть
0.0.0.0/0
); - кластер Kubernetes с CNI Calico в режиме роутинга Direct — нужно разрешить подсеть, которая используется в кластере. Для CNI Flannel настройка не требуется.
Если дополнительные адреса будут не нужны, вы сможете удалить их с порта.
Настраивать разрешенные адреса не требуется в кластерах Managed Kubernetes, облачных базах данных, готовом облаке 1С, а также на облачных серверах, созданных из образов с приложениями. Все необходимые настройки для них уже выполнены.
Добавить разрешенные IP/MAC-адреса
Для одного порта можно добавить не более 10 дополнительных пар IP/MAC-адрес.
Добавить разрешенные адреса на порт в приватной подсети
Панель управления
OpenStack CLI
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Перейдите в раздел Сеть → вкладка Приватные сети.
-
Откройте страницу сети → вкладка Порты.
-
В карточке порта в поле групп безопасности нажмите .
-
Если вы хотите разрешить все IP-адреса, нажмите Разрешить все IP-адреса для VPN. Будет разрешен трафик из подсети
0.0.0.0/0
с MAC-адресом порта по умолчанию. -
Если вы хотите разрешить трафик с конкретных адресов:
6.1. Нажмите Добавить пару IP/MAC.
6.2. Введите IP-адрес или подсеть в формате CIDR.
6.3. Опционально: введите MAC-адрес, который соответствует IP-адресу, или оставьте MAC-адрес порта по умолчанию.
6.4. Чтобы добавить еще одну пару адресов, повторите шаги 6.1 — 6.3.
-
Нажмите Сохранить.
-
Добавьте разрешенные адреса:
openstack port set \
--allowed-address ip-address=<ip_address>[,mac-address=<mac_address>] \
<port>Укажите:
<ip_address>
— IP-адрес или подсеть. Если вы хотите разрешить все IP-адреса, введите п одсеть0.0.0.0/0
;- опционально:
,mac-address=<mac_address>
— MAC-адрес, соответствующий IP-адресу. Параметр<mac_address>
— значение MAC-адреса. Если не указать MAC-адрес, будет использоваться основной MAC-адрес порта; <port>
— ID порта, можно посмотреть с помощью командыopenstack port list
.
Добавить разрешенные адреса на порт в публичной подсети
Панель управления
OpenStack CLI
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Перейдите в раздел Сеть → вкладка Публичные подсети.
-
Откройте карточку подсети → вкладка Порты.
-
В строке порта в поле Группы безопасности нажмите .
-
Если вы хотите разрешить все IP- и MAC-адреса, нажмите Разрешить все IP-адреса для VPN. Будет разрешен трафик из подсети
0.0.0.0/0
с MAC-адресом порта по умолчанию. -
Если вы хотите разрешить трафик с конкретных адресов:
6.1. Нажмите Добавить пару IP/MAC.
6.2. Введите IP-адрес или подсеть в формате CIDR.
6.3. Опционально: введите MAC-адрес, который соответствует IP-адресу, или оставьте MAC-адрес порта по умолчанию.
6.4. Чтобы добавить еще одну пару адресов, повторите шаги 6.1 — 6.3.
-
Нажмите Сохранить.
-
Добавьте разрешенные адреса:
openstack port set \
--allowed-address ip-address=<ip_address>[,mac-address=<mac_address>] \
<port>Укажите:
<ip_address>
— IP-адрес или подсеть. Если вы хотите разрешить все IP-адреса, введите подсеть0.0.0.0/0
;- опционально:
,mac-address=<mac_address>
— MAC-адрес, соответствующий IP-адресу. Параметр<mac_address>
— значение MAC-адреса. Если не указать MAC-адрес, будет использоваться MAC-адрес порта по умолчанию; <port>
— ID порта, можно посмотреть с помощью командыopenstack port list
.
Удалить разрешенные IP/MAC-адреса
Удалить разрешенные адреса с порта в приватной подсети
Панель управления
OpenStack CLI
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Перейдите в раздел Сеть → вкладка Приватные сети.
-
Откройте страницу сети → вкладка Порты.
-
В карточке порта в поле групп безопасности нажмите .
-
В строке пары адресов нажмите .
-
Нажмите Сохранить.
-
Если нужно удалить одну пару IP-адрес — MAC-адрес:
openstack port unset \
--allowed-address ip-address=<ip-address>[,mac-address=<mac-address>] \
<port>Укажите:
<ip_address>
— IP-адрес, который нужно удалить;,mac-address=<mac_address>
— если с IP-адресом нужно удалить MAC-адрес. Параметр<mac_address>
— значение MAC-адреса;<port>
— ID порта, можно посмотреть с помощью командыopenstack port list
.
-
Если нужно удалить все разрешенные адреса с порта:
openstack port set \
--no-allowed-address \
<port>
Удалить разрешенные адреса с порта в публичной подсети
Панель управления
OpenStack CLI
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Перейдите в раздел Сеть → вкладка Публичные подсети.
-
Откройте карточку подсети → вкладка Порты.
-
В строке порта в поле Группы безопасности нажмите .
-
В строке пары адресов нажмите .
-
Нажмите Сохранить.
-
Если нужно удалить одну пару IP-адрес — MAC-адрес:
openstack port unset \
--allowed-address ip-address=<ip-address>[,mac-address=<mac-address>] \
<port>Укажите:
<ip_address>
— IP-адрес, который нужно удалить;,mac-address=<mac_address>
— если с IP-адресом нужно удалить MAC-адрес. Параметр<mac_address>
— значение MAC-адреса;<port>
— ID порта, можно посмотреть с помощью командыopenstack port list
.
-
Если нужно удалить все разрешенные адреса с порта:
openstack port set \
--no-allowed-address \
<port>