Sie können ein Anbietersicherheitsgruppe erstellen, um bestimmten Datenverkehr für ein Projekt zu blockieren.

Standardsicherheitsgruppen werden von Mandanten erstellt und verwaltet, wohingegen Anbietersicherheitsgruppen vom Cloud-Administrator erstellt und verwaltet werden. Anbietersicherheitsgruppen haben Vorrang vor Standardsicherheitsgruppen und werden auf allen virtuellen Maschinen in einem Projekt erzwungen.

Prozedur

  1. Melden Sie sich beim Integrated OpenStack Manager als root-Benutzer an.
    ssh root@mgmt-server-ip
  2. Öffnen Sie die Toolbox und legen Sie das Kennwort für das admin-Konto fest.
    toolbox
    export OS_PASSWORD=admin-account-password
  3. Erstellen Sie eine Anbietersicherheitsgruppe für ein bestimmtes Projekt.
    neutron security-group-create group-name --provider=True --tenant-id=project-id
  4. Erstellen Sie Regeln für die Anbietersicherheitsgruppe.
    Hinweis: Regeln der Anbietersicherheitsgruppe blockieren den angegebenen Datenverkehr, während Standardsicherheitsregeln den angegebenen Datenverkehr zulassen.
    neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]
    Option Beschreibung
    group-name

    Geben Sie die Anbietersicherheitsgruppe ein.

    --tenant-id

    Geben Sie die ID des Projekts ein, das die Anbietersicherheitsgruppe enthält.

    --description

    Geben Sie eine benutzerdefinierte Beschreibung der Regel ein.

    --direction

    Geben Sie ingress ein, um eingehenden Datenverkehr zu blockieren, oder egress, um ausgehenden Datenverkehr zu blockieren.

    Wenn Sie diesen Parameter nicht angeben, wird standardmäßig ingress verwendet.

    --ethertype

    Geben Sie IPv4 oder IPv6 an.

    Wenn Sie diesen Parameter nicht angeben, wird standardmäßig IPv4 verwendet.

    --protocol

    Geben Sie das Protokoll an, das blockiert werden soll. Geben Sie eine Ganzzahl zwischen 0 und 255 oder einen der folgenden Werte ein:

    • icmp
    • icmpv6
    • tcp
    • udp

    Um alle Protokolle zu blockieren, fügen Sie diesen Parameter nicht ein.

    --port-range-min

    Geben Sie den ersten Port ein, der blockiert werden soll.

    Um alle Ports zu blockieren, fügen Sie diesen Parameter nicht ein. Um einen einzelnen Port zu blockieren, geben Sie denselben Wert für die Parameter --port-range-min und --port-range-max ein.

    --port-range-max

    Geben Sie den letzten Port ein, der blockiert werden soll.

    Um alle Ports zu blockieren, fügen Sie diesen Parameter nicht ein. Um einen einzelnen Port zu blockieren, geben Sie denselben Wert für die Parameter --port-range-min und --port-range-max ein.

    --remote-ip-prefix

    Geben Sie das Quellnetzwerk des Datenverkehrs ein, das blockiert werden soll (z. B. 10.10.0.0/24).

    Dieser Parameter kann nicht zusammen mit dem Parameter --remote-group-id verwendet werden.

    --remote-group-id

    Geben Sie den Namen oder die ID der Quell-Sicherheitsgruppe des Datenverkehrs ein, der blockiert werden soll.

    Dieser Parameter kann nicht zusammen mit dem Parameter --remote-ip-prefix verwendet werden.

Ergebnisse

Die Regeln der Anbietersicherheitsgruppe werden auf allen neu erstellten Ports auf virtuellen Maschinen im angegebenen Projekt erzwungen und können nicht durch vom Mandanten definierte Sicherheitsgruppen außer Kraft gesetzt werden.

Nächste Maßnahme

Sie können eine oder mehrere Anbietersicherheitsgruppen auf vorhandenen Ports erzwingen, indem Sie den folgenden Befehl ausführen:

neutron port-update port-id --provider-security-groups list=true group-id1...