Перейти к основному содержимому
Назначить группу безопасности
Последнее изменение:

Назначить группу безопасности

осторожно

Мы не рекомендуем настраивать группы безопасности в существующих сетях, это может привести к сбоям в работе балансировщика нагрузки и нарушению репликации облачных баз данных. Чтобы избежать сбоев и не потерять данные, для настройки групп создайте новую приватную сеть или публичную подсеть и включите в ней фильтрацию трафика (port security).

В сети должна быть включена фильтрация трафика (port security). Если фильтрация включена в сети, при создании порта на него назначается группа безопасности по умолчанию с именем default. Вы также можете указать другую группу безопасности при создании порта или сервера, она будет назначена вместо группы по умолчанию.

Вы можете назначить группу безопасности:

В панели управления можно только назначить группу на существующий порт.

Назначить группу безопасности при создании порта

  1. Откройте OpenStack CLI.

  2. Создайте порт с группой безопасности:

    openstack port create \
      --network <network> \
      --fixed-ip subnet=<subnet>,ip-address=<port_ip_address> \
      --security-group <security_group> \
      <port_name>

    Укажите:

    • <network> — ID или имя сети, можно посмотреть с помощью команды openstack network list. Для публичной подсети совпадает с параметром <subnet>;
    • <subnet> — ID или имя подсети, можно посмотреть с помощью команды openstack subnet list;
    • <port_ip_address> — IP-адрес порта;
    • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;
    • <port_name> — имя порта.

  3. Добавьте порт к серверу:

    openstack server add port <server> <port>

    Укажите:

    • <server> — ID или имя облачного сервера, можно посмотреть с помощью команды openstack server list;
    • <port> — ID или имя порта, который вы создали на шаге 2, можно посмотреть с помощью команды openstack port list.

Назначить группу на существующий порт облачного сервера

осторожно

После назначения группы на порте прервутся все активные сессии, которые не соответствуют правилам группы.

  1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

  2. Откройте страницу сервера → вкладка Порты.

  3. В карточке порта в поле групп безопасности нажмите .

  4. В поле Группы безопасности отметьте группы, которые нужно назначить на порт, или нажмите Новая группа безопасности и создайте группу.

  5. Нажмите Сохранить.

Назначить группу при создании сервера

Группа будет назначена только на те порты, которые создадутся вместе с сервером.

  1. Откройте OpenStack CLI.

  2. Создайте в подсети облачный сервер c указанием группы безопасности:

    openstack server create \
      [--image <image> | --volume <volume> | --snapshot <snapshot>] \
      --flavor <flavor> \
      --availability-zone <pool_segment> \
      --nic net-id=<net_uuid> \
      --security-group <security_group> \
      --key-name <key_name> \
      <server_name>

    Укажите:

    • тип источника:

      • --image <image> — для создания сервера из готового или собственного образа. Параметр <image> — ID или имя образа, можно посмотреть с помощью команды openstack image list;
      • --volume <volume> — для создания сервера из сетевого диска. Параметр <volume> — ID или имя диска, можно посмотреть с помощью команды openstack volume list;
      • --snapshot <snapshot> — для создания сервера из снапшота. Параметр <snapshot> — ID или имя снапшота, можно посмотреть с помощью команды openstack snapshot list;

    • <flavor> — ID или имя флейвора. Флейворы соответствуют конфигурациям облачного сервера и определяют количество vCPU, RAM и размер локального диска (опционально) сервера. Можно использовать флейворы фиксированных конфигураций или создать флейвор. Например, 4011 — ID для создания сервера с фиксированной конфигурацией линейки Memory Line с 2 vCPU, 16 ГБ RAM в пуле ru-9. Список флейворов можно посмотреть с помощью команды openstack flavor list или в таблице Список флейворов фиксированной конфигурации во всех пулах;

    • <pool_segment> — сегмент пула, в котором будет создан облачный сервер, например ru-9a. Список доступных сегментов пула можно посмотреть в инструкции Матрицы доступности;

    • <net_uuid> — ID приватной или публичной сети, к которой будет подключен сервер, можно посмотреть с помощью команды openstack network list;

    • <key_name> — имя пары SSH-ключей сервисного пользователя. Если SSH-ключи не созданы, сгенерируйте их. Список можно посмотреть с помощью команды openstack keypair list;

    • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;

    • опционально: --block-device-mapping vdb=<extra_volume> — для добавления дополнительного диска. Параметр <extra_volume> — ID или имя дополнительного диска, можно посмотреть с помощью команды openstack volume list;

    • опционально: --tag <tag_name> --os-compute-api-version 2.52 — тег для добавления дополнительной информации о сервере. Параметр <tag_name> — имя тега;

    • опционально: --tag preemptible --os-compute-api-version 2.72 — тег для создания прерываемого сервера;

    • опционально: --user-data <user_data.file> — для указания скрипта для выполнения при первой загрузке операционной системы. Параметр <user_data.file> — путь до скрипта в кодировке Base64. Примеры скриптов можно посмотреть в инструкции User data;

    • <server_name> — имя сервера.