Назначить группу безопасности
Мы не рекомендуем настраивать группы безопасности в существующих сетях, это может привести к сбоям в работе балансировщика нагрузки и нарушению репликации облачных баз данных. Чтобы избежать сбоев и не потерять данные, для настройки групп создайте новую приватную сеть или публичную подсеть и включите в ней фильтрацию трафика (port security).
В сети должна быть включена фильтрация трафика (port security). Если фильтрация включена в сети, при создании порта на него назначается группа безопасности по умолчанию с именем default
. Вы также можете указать другую группу безопасности при создании порта или сервера, она будет назначена вместо группы по умолчанию.
Вы можете назначить группу безопасности:
- на порт — при создании порта или на существующий порт облачного сервера;
- на сервер — при создании сервера.
В панели управления можно только назначить группу на существующий порт.
Назначить группу безопасности при создании порта
OpenStack CLI
-
Создайте порт с группой безопасности:
openstack port create \
--network <network> \
--fixed-ip subnet=<subnet>,ip-address=<port_ip_address> \
--security-group <security_group> \
<port_name>Укажите:
<network>
— ID или имя сети, можно посмотреть с помощью командыopenstack network list
. Для публичной подсети совпадает с параметром<subnet>
;<subnet>
— ID или имя подсети, можно посмотреть с помощью командыopenstack subnet list
;<port_ip_address>
— IP-адрес порта;<security_group>
— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list
;<port_name>
— имя порта.
-
Добавьте порт к серверу:
openstack server add port <server> <port>
Укажите:
<server>
— ID или имя облачного сервера, можно посмотреть с помощью командыopenstack server list
;<port>
— ID или имя порта, который вы создали на шаге 2, можно посмотреть с помощью командыopenstack port list
.
Назначить группу на существующий порт облачного сервера
После назначения группы на порте прервутся все активные сессии, которые не соответствуют правилам группы.
Приватная подсеть, подсеть глобального роутера
Публичная подсеть
Панель управления
OpenStack CLI
-
В панели управления в верхнем меню нажмите Продукты и выберите Обла чные серверы.
-
Откройте страницу сервера → вкладка Порты.
-
В карточке порта в поле групп безопасности нажмите .
-
В поле Группы безопасности отметьте группы, которые нужно назначить на порт, или нажмите Новая группа безопасности и создайте группу.
-
Нажмите Сохранить.
-
Назначьте группу безопасности на порт:
openstack port set \
--security-group <security_group> \
<port>Укажите:
<security_group>
— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list
;<port>
— ID или имя порта, можно посмотреть с помощью командыopenstack port list
.
Панель управления
OpenStack CLI
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Откройте страницу сервера → вкладка Порты.
-
В строке порта в поле Группы безопасности нажмите .
-
В поле Группы безопасности отметьте группы, которые нужно назначить на порт, или нажмите Новая группа безопасности и создайте группу.
-
Нажмите Сохранить.
-
Назначьте группу безопасности на порт:
openstack port set \
--security-group <security_group> \
<port>Укажите:
<security_group>
— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list
;<port>
— ID или имя порта, можно посмотреть с помощью командыopenstack port list
.
Назначить группу при создании сервера
Группа будет назначена только на те порты, которые создадутся вместе с сервером.
OpenStack CLI
-
Создайте в подсети облачный сервер c указанием группы безопасности:
openstack server create \
[--image <image> | --volume <volume> | --snapshot <snapshot>] \
--flavor <flavor> \
--availability-zone <pool_segment> \
--nic net-id=<net_uuid> \
--security-group <security_group> \
--key-name <key_name> \
<server_name>Укажите:
-
тип источника:
--image <image>
— для создания сервера из готового или собственного образа. Параметр<image>
— ID или имя образа, можно посмотреть с помощью командыopenstack image list
;--volume <volume>
— для создания сервера из сетевого диска. Параметр<volume>
— ID или имя диска, можно посмотреть с помощью командыopenstack volume list
;--snapshot <snapshot>
— для создания сервера из снапшота. Параметр<snapshot>
— ID или имя снапшота, можно посмотреть с помощью командыopenstack snapshot list
;
-
<flavor>
— ID или имя флейвора. Флейворы соответствуют конфигурациям облачного сервера и определяют количество vCPU, RAM и размер локального диска (опционально) сервера. Можно использовать флейворы фиксированных конфигураций или создать флейвор. Например,4011
— ID для создания сервера с фиксированной конфигурацией линейки Memory Line с 2 vCPU, 16 ГБ RAM в пуле ru-9. Список флейворов можно посмотреть с помощью командыopenstack flavor list
или в таблице Список флейворов фиксированной конфигурации во всех пулах; -
<pool_segment>
— сегмент пула, в котором будет создан облачный сервер, напримерru-9a
. Список доступных сегментов пула можно посмотреть в инструкции Матрицы доступности; -
<net_uuid>
— ID приватной или публичной сети, к которой будет подключен сервер, можно посмотреть с помощью командыopenstack network list
; -
<key_name>
— имя пары SSH-ключей сервисного пользователя. Если SSH-ключи не созданы, сгенерируйте их. Список можно посмотреть с помощью командыopenstack keypair list
; -
<security_group>
— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list
; -
опционально:
--block-device-mapping vdb=<extra_volume>
— для добавления дополнительного диска. Параметр<extra_volume>
— ID или имя дополнительного диска, можно посмотреть с помощью командыopenstack volume list
; -
опционально:
--tag <tag_name> --os-compute-api-version 2.52
— тег для добавления дополнительной информации о сервере. Параметр<tag_name>
— имя тега; -
опционально:
--tag preemptible --os-compute-api-version 2.72
— тег для создания прерываемого сервера; -
опционально:
--user-data <user_data.file>
— для указания скрипта для выполнения при первой загрузке операционной системы. Параметр<user_data.file>
— путь до скрипта в кодировке Base64. Примеры скриптов можно посмотреть в инструкции User data; -
<server_name>
— имя сервера.
-