Перейти к основному содержимому
Создать группу
Последнее изменение:

Создать группу

Вместе с группой безопасности в ней создаются два правила по умолчанию, которые разрешают весь исходящий трафик. Вы можете удалить эти правила. Чтобы группа разрешала входящий трафик, создайте в группе правила для входящего трафика.

  1. Откройте OpenStack CLI.

  2. Создайте группу безопасности:

    openstack security group create \
      [--description "<description>"] \
      [--stateless] \
      <security_group_name>

    Укажите:

    • опционально: --description "<description>" — описание группы безопасности. Параметр <description> — текст описания;
    • опционально: режим группы — --stateful или --stateless. Если не указать режим, создастся stateful-группа;
    • <security_group_name> — имя группы безопасности.

  3. Создайте правило в группе:

    openstack security group rule create \
      --ingress \
      [--remote-ip <remote_ip> | --remote-group <remote_group>] \
      [--protocol <protocol>] \
      [--dst-port <port_range>] \
      <security_group>

    Укажите:

    • опционально: источник трафика, можно указать один или оба параметра. Если не указать источник, по умолчанию будет установлена подсеть 0.0.0.0/0:

      • --remote-ip <remote_ip> — для приема трафика с IP-адреса. Параметр <remote_ip> — IP-адрес или подсеть в формате CIDR;
      • --remote-group <remote_group> — для приема трафика от другой группы безопасности. Параметр <remote_group> — ID или имя группы, можно посмотреть с помощью команды openstack security group list. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте --remote-ip <remote_ip>;

    • опционально: --protocol <protocol> — протокол. Параметр <protocol> — название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:

      • icmp — ICMP;
      • tcp — TCP;
      • udp — UDP;
      • ah — AH;
      • dccp — DCCP;
      • egp — EGP;
      • esp — ESP;
      • gre — GRE;
      • igmp — IGMP;
      • ipv6-encap — IPv6-ENCAP;
      • ipv6-frag — IPv6-Frag;
      • ipv6-icmp — IPv6-ICMP;
      • ipv6-nonxt — IPv6-NoNxt;
      • ipv6-opts — IPv6-Opts;
      • ipv6-route — IPv6-Route;
      • ospf — OSPF;
      • pgm — PGM;
      • rsvp — RSVP;
      • sctp — SCTP;
      • udplite — UDP Lite;
      • vrrp — VRRP;
      • ipip — IP-in-IP;
      • any — любой протокол;

    • опционально: --dst-port <port_range> — порты сервера, на которые разрешено принимать трафик. Параметр <port_range> — номер порта или диапазон портов, например 137:139. Укажите, если <protocol> — tcp, udp или any.

      Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле;

    • <security_group> — ID или имя группы безопасности, которую создали на шаге 2, можно посмотреть с помощью команды openstack security group list.

  4. Опционально: создайте в группе еще одно правило, для этого вернитесь на шаг 3.

  5. Опционально: проверьте список правил в группе безопасности:

    openstack security group rule list <security_group>

    Укажите <security_group> — ID или имя группы безопасности, которую вы создали на шаге 2, можно посмотреть с помощью команды openstack security group list.