Crear un grupo de seguridad del proveedor

Puede crear un grupo de seguridad del proveedor para bloquear el tráfico específico de un proyecto.

Los tenants crean y gestionan los grupos de seguridad estándares, mientras que el administrador de nube crea y gestiona los grupos de seguridad del proveedor. Los grupos de seguridad del proveedor tienen prioridad sobre los grupos de seguridad estándares y se aplican en todas las máquinas virtuales de un proyecto.

Procedimiento

Inicie sesión en Integrated OpenStack Manager como el usuario de root.
```
ssh root@mgmt-server-ip
```
Abra el cuadro de herramientas y establezca la contraseña de la cuenta de admin.
```
toolbox
export OS_PASSWORD=admin-account-password
```

Cree un grupo de seguridad del proveedor para un proyecto específico.

neutron security-group-create group-name --provider=True --tenant-id=project-id

Cree reglas para el grupo de seguridad del proveedor.

Nota: Las reglas del grupo de seguridad del proveedor bloquean el tráfico especificado, mientras que las reglas de seguridad estándares permiten el tráfico especificado.

neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]

Opción	Descripción
`group-name`	Introduzca el grupo de seguridad del proveedor.
--tenant-id	Introduzca el identificador del proyecto que contiene el grupo de seguridad del proveedor.
--description	Introduzca una descripción personalizada de la regla.
--direction	Especifique `ingress` para bloquear el tráfico entrante o `egress` para bloquear el tráfico saliente. Si no se incluye este parámetro, se utiliza `ingress` de forma predeterminada.
--ethertype	Especifique `IPv4` o `IPv6`. Si no se incluye este parámetro, se utiliza `IPv4` de forma predeterminada.
--protocol	Especifique el protocolo que desea bloquear. Introduzca una representación con enteros comprendida entre 0 y 255, o uno de los siguientes valores: `icmp` `icmpv6` `tcp` `udp` Para bloquear todos los protocolos, no incluya este parámetro.
--port-range-min	Introduzca el primer puerto que desea bloquear. Para bloquear todos los puertos, no incluya este parámetro. Para bloquear un solo puerto, introduzca el mismo valor para los parámetros --port-range-min y --port-range-max.
--port-range-max	Introduzca el último puerto que desea bloquear. Para bloquear todos los puertos, no incluya este parámetro. Para bloquear un solo puerto, introduzca el mismo valor para los parámetros --port-range-min y --port-range-max.
--remote-ip-prefix	Introduzca la red de origen del tráfico que desea bloquear (por ejemplo, 10.10.0.0/24). Este parámetro no se puede utilizar junto con el parámetro --remote-group-id.
--remote-group-id	Introduzca el nombre o el identificador del grupo de seguridad de origen del tráfico que desea bloquear. Este parámetro no se puede utilizar junto con el parámetro --remote-ip-prefix.

Resultados

Las reglas del grupo de seguridad del proveedor se aplican en todos los puertos recién creados en las máquinas virtuales del proyecto especificado y no se pueden reemplazar con grupos de seguridad definidos por el tenant.

Qué hacer a continuación

Para aplicar uno o varios grupos de seguridad del proveedor en los puertos existentes, ejecute el siguiente comando:

neutron port-update port-id --provider-security-groups list=true group-id1...