Назначить группу безопасности
Мы не рекомендуем использовать группы безопасности в существующих сетях, это может привести к сбоям в работе балансировщика нагрузки и нарушению репликации облачных баз данных. Чтобы избежать сбоев и не потерять данные, создайте новую приватную сеть или публичную подсеть и включите в ней фильтрацию трафика port security на уровне сети.
Если в сети включена port security, то при создании порта в сети на него назначается группа безопасности по умолчанию. Вы также можете назначить группу безопасности в явном виде при создании порта или сервера, она будет назначена вместо группы по умолчанию.
Вы можете назначить группу безопасности:
- на порт — при создании порта или на существующий порт;
- на сервер — при создании сервера или на существующий сервер.
Назначить группу безопасности при создании порта
OpenStack CLI
-
Создайте порт с группой безопасности:
openstack port create \
--network <network> \
--fixed-ip subnet=<subnet>,ip-address=<port_ip_address> \
--security-group <security_group> \
--enable-port-security \
<port_name>Укажите:
<network>— ID или имя сети, можно посмотреть с помощью командыopenstack network list. Для публичной подсети совпадает с параметром<subnet>;<subnet>— ID или имя подсети, можно посмотреть с помощью командыopenstack subnet list;<port_ip_address>— IP-адрес порта;<security_group>— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list;<port_name>— имя порта.
-
Добавьте порт к серверу:
openstack server add port <server> <port>Укажите:
<server>— ID или имя облачного сервера, можно посмотреть с помощью командыopenstack server list;<port>— ID или имя порта, который вы создали на шаге 2, можно посмотреть с помощью командыopenstack port list.
Назначить группу на существующий порт
После назначения группы на порте прервутся все активные сессии, которые не соответствуют правилам группы.
OpenStack CLI
-
Назначьте группу безопасности на порт:
openstack port set \
--security-group <security_group> \
--enable-port-security \
<port>Укажите:
<security_group>— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list;<port>— ID или имя порта, можно посмотреть с помощью командыopenstack port list.
Назначить группу при создании сервера
Группа будет назначена только на те порты, кот�орые создадутся вместе с сервером.
OpenStack CLI
-
Включите port security в сети, где будете создавать сервер:
openstack network set \
--enable-port-security \
<network>Укажите
<network>— ID или имя сети, можно посмотреть с помощьюopenstack network list. -
Создайте в подсети облачный сервер c указанием группы безопасности:
openstack server create \
[--image <image> | --volume <volume> | --snapshot <snapshot>] \
--flavor <flavor> \
--availability-zone <pool_segment> \
--nic net-id=<net_uuid> \
--security-group <security_group> \
--key-name <key_name> \
<server_name>Укажите:
-
тип источника:
--image <image>— для создания сервера из готового или собственного образа. Параметр<image>— ID или имя образа, можно посмотреть с п�омощью командыopenstack image list;--volume <volume>— для создания сервера из сетевого диска. Параметр<volume>— ID или имя диска, можно посмотреть с помощью командыopenstack volume list;--snapshot <snapshot>— для создания сервера из снапшота. Параметр<snapshot>— ID или имя снапшота, можно посмотреть с помощью командыopenstack snapshot list;
-
<flavor>— ID или имя флейвора. Флейворы соответствуют конфигурациям облачного сервера и определяют количество vCPU, RAM и размер локального диска (опционально) сервера. Можно использовать флейворы фиксированных конфигураций или создать флейвор. Например,4011— ID для создания сервера с фиксированной конфигурацией линейки Memory Line с 2 vCPU, 16 ГБ RAM в пуле ru-9. Список флейворов можно посмотреть с помощью командыopenstack flavor listили в таблице Список флейворов фиксированной конфигурации во всех пулах; -
<pool_segment>— сегмент пула, в котором будет создан облачный сервер, напримерru-9a. Список доступных сегментов пула можно посмотреть в инструкции Матрицы доступности; -
<net_uuid>— ID приватной или публичной сети, к которой будет подключен сервер, можно посмотреть с помощью командыopenstack network list; -
<key_name>— имя пары SSH-ключей сервисного пользователя. Если SSH-ключи не созданы, сгенерируйте их. Список можно посмотреть с помощьюopenstack keypair list; -
<security_group>— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list; -
опционально:
--block-device-mapping vdb=<extra_volume>— для добавления дополнительного диска. Параметр<extra_volume>— ID или имя дополнительного диска, можно посмотреть с помощью командыopenstack volume list; -
опционально:
--tag <tag_name> --os-compute-api-version 2.52— тег для добавления дополнительной информации о сервере. Параметр<tag_name>— имя тега; -
опционально:
--tag preemptible --os-compute-api-version 2.72— тег для создания прерываемого сервера; -
опционально:
--user-data <user_data.file>— для указания скрипта для выполнения при первой загрузке операционной системы. Параметр<user_data.file>— путь до скрипта в кодировке Base64. Примеры скриптов можно посмотреть в инструкции User data; -
<server_name>— имя сервера.
-
Назначить группу на существующий сервер
После назначения группы на портах сервера прервутся все активные сессии, которые не соответствуют правилам группы.
Группа безопас�ности применится к существующим портам сервера и не будет назначаться на порты, которые вы добавите позднее.
OpenStack CLI
-
Включите port Security на всех портах сервера.
-
Назначьте группу безопасности на сервер:
openstack server add security group \
<server>
<security_group>Укажите:
<server>— ID или имя сервера, можно посмотреть с помощью командыopenstack server list;<security_group>— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list.