Перейти к основному содержимому
Управлять фильтрацией трафика (port security)
Последнее изменение:

Управлять фильтрацией трафика (port security)

Чтобы назначить на порт группу безопасности, нужно предварительно включить фильтрацию трафика (port security). Вы можете включить фильтрацию трафика в сети или на отдельном порте.

Включить фильтрацию трафика в сети

осторожно

Мы не рекомендуем включать фильтрацию трафика в существующих сетях, где работает балансировщик нагрузки или кластер баз данных, это может привести к сбоям в работе балансировщика и нарушению репликации облачных баз данных. Создайте новую приватную сеть или публичную подсеть и включите в ней фильтрацию трафика на уровне сети.

Включение фильтрации трафика в сети не повлияет на ее существующие порты — если фильтрация была выключена на порте, она не включится. На существующих портах нужно включить фильтрацию трафика отдельно для каждого порта.

Если фильтрация трафика включена на уровне сети, все новые порты в ней будут по умолчанию создаваться со включенной фильтрацией и группой безопасности по умолчанию. Вы можете назначить другую группу безопасности при создании порта.

  1. Откройте OpenStack CLI.

  2. Включите фильтрацию трафика в сети:

    openstack network set \
      --enable-port-security \
      <network>

    Укажите <network> — ID или имя сети, можно посмотреть с помощью команды openstack network list.

Включить фильтрацию трафика на порте

  1. Откройте OpenStack CLI.

  2. Включите фильтрацию трафика для порта:

    openstack port set \
      --security-group <security_group> \
      --enable-port-security \
      <port>

    Укажите:

    • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list. Если не назначить группу, весь трафик порта будет заблокирован;
    • <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.

Выключить фильтрацию трафика в сети

Выключение фильтрации трафика в сети не повлияет на ее существующие порты — если фильтрация была включена на порте, она не выключится. На существующих портах нужно выключить фильтрацию трафика отдельно для каждого порта. Новые порты в сети будут по умолчанию создаваться с выключенной фильтрацией.

  1. Откройте OpenStack CLI.

  2. Выключите фильтрацию трафика для сети:

    openstack network set \
      --disable-port-security \
      <network>

    Укажите <network> — ID или имя сети, можно посмотреть с помощью команды openstack network list.

Выключить фильтрацию трафика на порте

Перед выключением фильтрации трафика на порте с него нужно удалить все группы безопасности.

  1. Откройте OpenStack CLI.

  2. Удалите с порта группы безопасности:

    openstack port set \
      --no-security-group
      <port>

    Укажите <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.

  3. Выключите фильтрацию трафика для порта:

    openstack port set \
      --disable-port-security \
      <port>

    Укажите <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.