Sie können ein Anbietersicherheitsgruppe erstellen, um bestimmten Datenverkehr für ein Projekt zu blockieren.
Standardsicherheitsgruppen werden von Mandanten erstellt und verwaltet, wohingegen Anbietersicherheitsgruppen vom Cloud-Administrator erstellt und verwaltet werden. Anbietersicherheitsgruppen haben Vorrang vor Standardsicherheitsgruppen und werden auf allen virtuellen Maschinen in einem Projekt erzwungen.
Anweisungen zu Standardsicherheitsgruppen finden Sie unter Arbeiten mit Sicherheitsgruppen.
Prozedur
- Melden Sie sich beim OpenStack Management Server an.
- Erstellen Sie eine Anbietersicherheitsgruppe für ein bestimmtes Projekt.
neutron security-group-create group-name --provider=True --tenant-id=project-id
- Erstellen Sie Regeln für die Anbietersicherheitsgruppe.
Hinweis:
Regeln der Anbietersicherheitsgruppe blockieren den angegebenen Datenverkehr, während Standardsicherheitsregeln den angegebenen Datenverkehr zulassen.
neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]
Option |
Beschreibung |
group-name |
Geben Sie die Anbietersicherheitsgruppe ein, die Sie in Schritt 2 erstellt haben. |
--tenant-id |
Geben Sie die ID des gewünschten Projekts ein. |
--description |
Geben Sie eine benutzerdefinierte Beschreibung der Regel ein. |
--direction |
Geben Sie ingress ein, um eingehenden Datenverkehr zu blockieren, oder egress, um ausgehenden Datenverkehr zu blockieren. Wenn Sie diesen Parameter nicht angeben, wird standardmäßig ingress verwendet. |
--ethertype |
Geben Sie IPv4 oder IPv6 an. Wenn Sie diesen Parameter nicht angeben, wird standardmäßig IPv4 verwendet. |
--protocol |
Geben Sie das Protokoll an, das blockiert werden soll. Geben Sie eine Ganzzahl zwischen 0 und 255 oder einen der folgenden Werte ein:
Um alle Protokolle zu blockieren, fügen Sie diesen Parameter nicht ein. |
--port-range-min |
Geben Sie den ersten Port ein, der blockiert werden soll. Um alle Ports zu blockieren, fügen Sie diesen Parameter nicht ein. Um einen einzelnen Port zu blockieren, geben Sie denselben Wert für die Parameter --port-range-min und --port-range-max ein. |
--port-range-max |
Geben Sie den letzten Port ein, der blockiert werden soll. Um alle Ports zu blockieren, fügen Sie diesen Parameter nicht ein. Um einen einzelnen Port zu blockieren, geben Sie denselben Wert für die Parameter --port-range-min und --port-range-max ein. |
--remote-ip-prefix |
Geben Sie das Quellnetzwerk des Datenverkehrs ein, das blockiert werden soll (z. B. 10.10.0.0/24). Dieser Parameter kann nicht zusammen mit dem Parameter --remote-group-id verwendet werden. |
--remote-group-id |
Geben Sie den Namen oder die ID der Quell-Sicherheitsgruppe des Datenverkehrs ein, der blockiert werden soll. Dieser Parameter kann nicht zusammen mit dem Parameter --remote-ip-prefix verwendet werden. |
Ergebnisse
Die Regeln der Anbietersicherheitsgruppe werden auf allen neu erstellten Ports auf virtuellen Maschinen im angegebenen Projekt erzwungen und können nicht durch vom Mandanten definierte Sicherheitsgruppen außer Kraft gesetzt werden.
Nächste Maßnahme
Sie können eine oder mehrere Anbietersicherheitsgruppen auf vorhandenen Ports erzwingen, indem Sie den folgenden Befehl ausführen:
neutron port-update port-id --provider-security-groups list=true group-id1...