Назначить группу безопасности

Последнее изменение: 25 марта 2025

Назначить группу безопасности

осторожно

Мы не рекомендуем настраивать группы безопасности в существующих сетях, это может привести к сбоям в работе балансировщика нагрузки и нарушению репликации облачных баз данных. Чтобы избежать сбоев и не потерять данные, для настройки групп создайте новую приватную сеть или публичную подсеть и включите в ней фильтрацию трафика (port security).

Если в сети включена фильтрация трафика (port security), то при создании порта в сети на него назначается группа безопасности по умолчанию. Вы также можете назначить группу безопасности в явном виде при создании порта или сервера, она будет назначена вместо группы по умолчанию.

Вы можете назначить группу безопасности:

• на порт — при создании порта или на существующий порт;
• на сервер — при создании сервера или на существующий сервер.

В панели управления можно только назначить группу на существующий порт.

Назначить группу безопасности при создании порта⁠

OpenStack CLI

1. Откройте OpenStack CLI.

2. Создайте порт с группой безопасности:

   openstack port create \
     --network <network> \
     --fixed-ip subnet=<subnet>,ip-address=<port_ip_address> \
     --security-group <security_group> \
     --enable-port-security \
     <port_name>

   Укажите:

   • <network> — ID или имя сети, можно посмотреть с помощью команды openstack network list. Для публичной подсети совпадает с параметром <subnet>;
   • <subnet> — ID или имя подсети, можно посмотреть с помощью команды openstack subnet list;
   • <port_ip_address> — IP-адрес порта;
   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;
   • <port_name> — имя порта.

3. Добавьте порт к серверу:

   openstack server add port <server> <port>

   Укажите:

   • <server> — ID или имя облачного сервера, можно посмотреть с помощью команды openstack server list;
   • <port> — ID или имя порта, который вы создали на шаге 2, можно посмотреть с помощью команды openstack port list.

Назначить группу на существующий порт⁠

осторожно

После назначения группы на порте прервутся все активные сессии, которые не соответствуют правилам группы.

Назначить группу на порт в приватной подсети⁠

Панель управления

1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

2. Перейдите в раздел Сеть → вкладка Приватные сети.

3. Откройте страницу сети → вкладка Порты.

4. В карточке порта в поле групп безопасности нажмите .

5. В поле Группы безопасности отметьте группы, которые нужно назначить на порт, или нажмите Новая группа безопасности и создайте группу.

6. Нажмите Сохранить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Назначьте группу безопасности на порт:

   openstack port set \
     --security-group <security_group> \
     --enable-port-security \
     <port>

   Укажите:

   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;
   • <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.

Назначить группу на порт в публичной подсети⁠

Панель управления

1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

2. Перейдите в раздел Сеть → вкладка Публичные подсети.

3. Откройте карточку подсети → вкладка Порты.

4. В строке порта в поле Группы безопасности нажмите .

5. В поле Группы безопасности отметьте группы, которые нужно назначить на порт, или нажмите Новая группа безопасности и создайте группу.

6. Нажмите Сохранить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Назначьте группу безопасности на порт:

   openstack port set \
     --security-group <security_group> \
     --enable-port-security \
     <port>

   Укажите:

   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;
   • <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.

Назначить группу при создании сервера⁠

Группа будет назначена только на те порты, которые создадутся вместе с сервером.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Включите фильтрацию трафика (port security) в сети, где будете создавать сервер:

   openstack network set \
     --enable-port-security \
     <network>

   Укажите <network> — ID или имя сети, можно посмотреть с помощью команды openstack network list.

3. Создайте в подсети облачный сервер c указанием группы безопасности:

   openstack server create \
     [--image <image> | --volume <volume> | --snapshot <snapshot>] \
     --flavor <flavor> \
     --availability-zone <pool_segment> \
     --nic net-id=<net_uuid> \
     --security-group <security_group> \
     --key-name <key_name> \
     <server_name>

   Укажите:

   • тип источника:

     • --image <image> — для создания сервера из готового или собственного образа. Параметр <image> — ID или имя образа, можно посмотреть с помощью команды openstack image list;
     • --volume <volume> — для создания сервера из сетевого диска. Параметр <volume> — ID или имя диска, можно посмотреть с помощью команды openstack volume list;
     • --snapshot <snapshot> — для создания сервера из снапшота. Параметр <snapshot> — ID или имя снапшота, можно посмотреть с помощью команды openstack snapshot list;

   • <flavor> — ID или имя флейвора. Флейворы соответствуют конфигурациям облачного сервера и определяют количество vCPU, RAM и размер локального диска (опционально) сервера. Можно использовать флейворы фиксированных конфигураций или создать флейвор. Например, 4011 — ID для создания сервера с фиксированной конфигурацией линейки Memory Line с 2 vCPU, 16 ГБ RAM в пуле ru-9. Список флейворов можно посмотреть с помощью команды openstack flavor list или в таблице Список флейворов фиксированной конфигурации во всех пулах;

   • <pool_segment> — сегмент пула, в котором будет создан облачный сервер, например ru-9a. Список доступных сегментов пула можно посмотреть в инструкции Матрицы доступности;

   • <net_uuid> — ID приватной или публичной сети, к которой будет подключен сервер, можно посмотреть с помощью команды openstack network list;

   • <key_name> — имя пары SSH-ключей сервисного пользователя. Если SSH-ключи не созданы, сгенерируйте их. Список можно посмотреть с помощью команды openstack keypair list;

   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;

   • опционально: --block-device-mapping vdb=<extra_volume> — для добавления дополнительного диска. Параметр <extra_volume> — ID или имя дополнительного диска, можно посмотреть с помощью команды openstack volume list;

   • опционально: --tag <tag_name> --os-compute-api-version 2.52 — тег для добавления дополнительной информации о сервере. Параметр <tag_name> — имя тега;

   • опционально: --tag preemptible --os-compute-api-version 2.72 — тег для создания прерываемого сервера;

   • опционально: --user-data <user_data.file> — для указания скрипта для выполнения при первой загрузке операционной системы. Параметр <user_data.file> — путь до скрипта в кодировке Base64. Примеры скриптов можно посмотреть в инструкции User data;

   • <server_name> — имя сервера.

Назначить группу на существующий сервер⁠

осторожно

После назначения группы на портах сервера прервутся все активные сессии, которые не соответствуют правилам группы.

Группа безопасности применится к существующим портам сервера и не будет назначаться на порты, которые вы добавите позднее.

OpenStack CLI

1. Включите фильтрацию трафика (port security) на всех портах сервера.

2. Откройте OpenStack CLI.

3. Назначьте группу безопасности на сервер:

   openstack server add security group \
     <server>
     <security_group>

   Укажите:

   • <server> — ID или имя сервера, можно посмотреть с помощью команды openstack server list;
   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list.