Перейти к основному содержимому
Создать облачный файрвол
Последнее изменение:

Создать облачный файрвол

  1. Опционально: настройте провайдеры.
  2. Создайте приватную сеть и подсеть.
  3. Создайте облачный роутер, подключенный к внешней сети.
  4. Создайте правила.
  5. Создайте политику для входящего трафика.
  6. Создайте политику для исходящего трафика.
  7. Создайте облачный файрвол.
  8. Создайте ресурсы.
Конфигурационный файл
terraform {
required_providers {
selectel = {
source = "selectel/selectel"
version = "4.0.1"
}
openstack = {
source = "terraform-provider-openstack/openstack"
version = "1.53.0"
}
}
}

provider "selectel" {
domain_name = "123456"
username = "user"
password = "password"
}

resource "selectel_vpc_project_v2" "project_1" {
name = "project"
}

resource "selectel_vpc_user_v2" "user_1" {
name = "username"
password = "password"
}

resource "selectel_vpc_role_v2" "role_1" {
project_id = selectel_vpc_project_v2.project_1.id
user_id = selectel_vpc_user_v2.user_1.id
}

provider "openstack" {
auth_url = "https://cloud.api.selcloud.ru/identity/v3"
domain_name = "123456"
tenant_id = selectel_vpc_project_v2.project_1.id
user_name = selectel_vpc_user_v2.user_1.name
password = selectel_vpc_user_v2.user_1.password
region = "ru-9"
}

resource "openstack_networking_network_v2" "network_1" {
name = "private-protected-network"
admin_state_up = "true"
}

resource "openstack_networking_subnet_v2" "subnet_1" {
name = "private-protected-subnet"
network_id = openstack_networking_network_v2.network_1.id
cidr = "192.168.199.0/24"
}

data "openstack_networking_network_v2" "external_network_1" {
external = true
}

resource "openstack_networking_router_v2" "router_1" {
name = "router"
external_network_id = data.openstack_networking_network_v2.external_network_1.id
}

resource "openstack_networking_router_interface_v2" "router_interface_1" {
router_id = openstack_networking_router_v2.router_1.id
subnet_id = openstack_networking_subnet_v2.subnet_1.id
}

resource "openstack_fw_rule_v2" "rule_1" {
name = "allow-protected-network-traffic-rule"
action = "allow"
protocol = "icmp"
}

resource "openstack_fw_rule_v2" "rule_2" {
name = "allow-protected-network-traffic-rule"
action = "allow"
protocol = "tcp"
source_ip_address = "192.168.199.0/24"
destination_ip_address = "10.20.30.0/24"
}

resource "openstack_fw_policy_v2" "firewall_policy_1" {
name = "ingress-firewall-policy"
audited = true
rules = [
openstack_fw_rule_v2.rule_1.id,
]
}

resource "openstack_fw_policy_v2" "firewall_policy_2" {
name = "egress-firewall-policy"
audited = true
rules = [
openstack_fw_rule_v2.rule_2.id,
]
}

resource "openstack_fw_group_v2" "group_1" {
name = "group"
admin_state_up = true
ingress_firewall_policy_id = openstack_fw_policy_v2.firewall_policy_1.id
egress_firewall_policy_id = openstack_fw_policy_v2.firewall_policy_2.id
ports = [
openstack_networking_router_interface_v2.router_interface_1.port_id,
]
}

1. Опционально: настроить провайдеры

Если вы настроили провайдеры Selectel и OpenStack, пропустите этот шаг.

  1. Создайте директорию для хранения конфигурационных файлов и файл с расширением .tf.

  2. Добавьте провайдеры Selectel и OpenStack:

    terraform {
    required_providers {
    selectel = {
    source = "selectel/selectel"
    version = "4.0.1"
    }
    openstack = {
    source = "terraform-provider-openstack/openstack"
    version = "1.53.0"
    }
    }
    }

    Здесь version — версии провайдеров. Актуальную версию можно посмотреть в документации Selectel (в Terraform Registry и GitHub) и OpenStack (в Terraform Registry и GitHub).

    Подробнее о продуктах, услугах и сервисах, которыми можно управлять с помощью провайдеров, в инструкции Провайдеры Selectel и OpenStack.

  3. Инициализируйте провайдер Selectel:

    provider "selectel" {
    domain_name = "123456"
    username = "user"
    password = "password"
    }

    Здесь:

    • domain_name — номер аккаунта Selectel. Можно посмотреть в панели управления в правом верхнем углу;
    • username — имя сервисного пользователя с ролями Администратор аккаунта и Администратор пользователей. Можно посмотреть в панели управления: откройте меню (номер аккаунта) в правом верхнем углу → выберите пункт Профиль и настройки → раздел Управление пользователями → вкладка Сервисные пользователи (раздел доступен только Владельцу аккаунта и Администратору пользователей);
    • password — пароль сервисного пользователя. Можно посмотреть при создании пользователя или изменить на новый.
  4. Создайте проект облачной платформы:

    resource "selectel_vpc_project_v2" "project_1" {
    name = "project"
    }

    Посмотрите подробное описание ресурса selectel_vpc_project_v2.

  5. Создать сервисного пользователя для доступа к проекту и назначьте ему роль Администратор проекта:

    resource "selectel_vpc_user_v2" "user_1" {
    name = "username"
    password = "password"
    }

    resource "selectel_vpc_role_v2" "role_1" {
    project_id = selectel_vpc_project_v2.project_1.id
    user_id = selectel_vpc_user_v2.user_1.id
    }

    Посмотрите подробное описание ресурсов selectel_vpc_user_v2 и selectel_vpc_role_v2.

  6. Инициализируйте провайдер OpenStack:

    provider "openstack" {
    auth_url = "https://cloud.api.selcloud.ru/identity/v3"
    domain_name = "123456"
    tenant_id = selectel_vpc_project_v2.project_1.id
    user_name = selectel_vpc_user_v2.user_1.name
    password = selectel_vpc_user_v2.user_1.password
    region = "ru-9"
    }

    Здесь:

    • domain_name — номер аккаунта Selectel. Можно посмотреть в панели управления в правом верхнем углу;
    • regionпул, например ru-9. Все ресурсы будут создаваться в этом пуле. Список доступных пулов можно посмотреть в инструкции Матрицы доступности.
  7. Опционально: если вы хотите использовать зеркало, создайте отдельный конфигурационный файл Terraform CLI и добавьте в него блок:

    provider_installation {
    network_mirror {
    url = "https://mirror.selectel.ru/3rd-party/terraform-registry/"
    include = ["registry.terraform.io/*/*"]
    }
    direct {
    exclude = ["registry.terraform.io/*/*"]
    }
    }

    Подробнее о настройках зеркал в инструкции CLI Configuration File документации HashiCorp.

2. Создать приватную сеть и подсеть

resource "openstack_networking_network_v2" "network_1" {
name = "private-protected-network"
admin_state_up = "true"
}

resource "openstack_networking_subnet_v2" "subnet_1" {
name = "private-protected-subnet"
network_id = openstack_networking_network_v2.network_1.id
cidr = "192.168.199.0/24"
}

Здесь cidr — CIDR приватной подсети, например 192.168.199.0/24

Посмотрите подробное описание ресурсов:

3. Создать облачный роутер, подключенный к внешней сети

Облачный роутер, подключенный к внешней сети, выполняет функцию 1:1 NAT для доступа из приватной сети в интернет через публичный IP-адрес роутера.

data "openstack_networking_network_v2" "external_network_1" {
external = true
}

resource "openstack_networking_router_v2" "router_1" {
name = "router"
external_network_id = data.openstack_networking_network_v2.external_network_1.id
}

resource "openstack_networking_router_interface_v2" "router_interface_1" {
router_id = openstack_networking_router_v2.router_1.id
subnet_id = openstack_networking_subnet_v2.subnet_1.id
}

Посмотрите подробное описание ресурсов:

4. Создать правила

У облачного файрвола есть базовое свойство: весь входящий и исходящий трафик, который не разрешен, — запрещен. Пока вы не добавите разрешающие правила, будут запрещены: трафик, входящий в приватную подсеть, которая подключена к роутеру; трафик, исходящий из этой подсети.

resource "openstack_fw_rule_v2" "rule_1" {
name = "allow-protected-network-traffic-rule"
action = "allow"
protocol = "icmp"
}

resource "openstack_fw_rule_v2" "rule_2" {
name = "allow-protected-network-traffic-rule"
action = "allow"
protocol = "tcp"
source_ip_address = "192.168.199.0/24"
destination_ip_address = "10.20.30.0/24"
}

Посмотрите подробное описание ресурса openstack_fw_rule_v2.

5. Создать политику для входящего трафика

resource "openstack_fw_policy_v2" "firewall_policy_1" {
name = "ingress-firewall-policy"
audited = true
rules = [
openstack_fw_rule_v2.rule_1.id,
]
}

Посмотрите подробное описание ресурса openstack_fw_policy_v2.

6. Создать политику для исходящего трафика

resource "openstack_fw_policy_v2" "firewall_policy_2" {
name = "egress-firewall-policy"
audited = true
rules = [
openstack_fw_rule_v2.rule_2.id,
]
}

Посмотрите подробное описание ресурса openstack_fw_policy_v2.

7. Создать облачный файрвол

resource "openstack_fw_group_v2" "group_1" {
name = "group"
admin_state_up = true
ingress_firewall_policy_id = openstack_fw_policy_v2.firewall_policy_1.id
egress_firewall_policy_id = openstack_fw_policy_v2.firewall_policy_2.id
ports = [
openstack_networking_router_interface_v2.router_interface_1.port_id,
]
}

Посмотрите подробное описание ресурса openstack_fw_group_v2.

8. Создать ресурсы

  1. Убедитесь, что вы находитесь в директории с конфигурационным файлом.

  2. Инициализируйте конфигурацию Terraform в директории:

    terraform init
  3. Проверьте, что конфигурационный файл составлен без ошибок:

    terraform validate
  4. Отформатируйте конфигурационный файл:

    terraform fmt
  5. Проверьте, какие ресурсы будут созданы:

    terraform plan
  6. Примените изменения и создайте ресурсы:

    terraform apply
  7. Подтвердите создание — введите yes и нажмите Enter. Созданные ресурсы отобразятся в панели управления.

  8. Если для создания ресурсов оказалось недостаточно квот, увеличьте квоты.