Puede crear un grupo de seguridad del proveedor para bloquear el tráfico específico de un proyecto.
Los tenants crean y gestionan los grupos de seguridad estándares, mientras que el administrador de nube crea y gestiona los grupos de seguridad del proveedor. Los grupos de seguridad del proveedor tienen prioridad sobre los grupos de seguridad estándares y se aplican en todas las máquinas virtuales de un proyecto.
Procedimiento
- Inicie sesión en Integrated OpenStack Manager como el usuario de
root.
- Abra el cuadro de herramientas y establezca la contraseña de la cuenta de
admin.
toolbox
export OS_PASSWORD=admin-account-password
- Cree un grupo de seguridad del proveedor para un proyecto específico.
neutron security-group-create group-name --provider=True --tenant-id=project-id
- Cree reglas para el grupo de seguridad del proveedor.
Nota: Las reglas del grupo de seguridad del proveedor bloquean el tráfico especificado, mientras que las reglas de seguridad estándares permiten el tráfico especificado.
neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]
| Opción |
Descripción |
| group-name |
Introduzca el grupo de seguridad del proveedor. |
| --tenant-id |
Introduzca el identificador del proyecto que contiene el grupo de seguridad del proveedor. |
| --description |
Introduzca una descripción personalizada de la regla. |
| --direction |
Especifique ingress para bloquear el tráfico entrante o egress para bloquear el tráfico saliente. Si no se incluye este parámetro, se utiliza ingress de forma predeterminada. |
| --ethertype |
Especifique IPv4 o IPv6. Si no se incluye este parámetro, se utiliza IPv4 de forma predeterminada. |
| --protocol |
Especifique el protocolo que desea bloquear. Introduzca una representación con enteros comprendida entre 0 y 255, o uno de los siguientes valores:
Para bloquear todos los protocolos, no incluya este parámetro. |
| --port-range-min |
Introduzca el primer puerto que desea bloquear. Para bloquear todos los puertos, no incluya este parámetro. Para bloquear un solo puerto, introduzca el mismo valor para los parámetros --port-range-min y --port-range-max. |
| --port-range-max |
Introduzca el último puerto que desea bloquear. Para bloquear todos los puertos, no incluya este parámetro. Para bloquear un solo puerto, introduzca el mismo valor para los parámetros --port-range-min y --port-range-max. |
| --remote-ip-prefix |
Introduzca la red de origen del tráfico que desea bloquear (por ejemplo, 10.10.0.0/24). Este parámetro no se puede utilizar junto con el parámetro --remote-group-id. |
| --remote-group-id |
Introduzca el nombre o el identificador del grupo de seguridad de origen del tráfico que desea bloquear. Este parámetro no se puede utilizar junto con el parámetro --remote-ip-prefix. |
Resultados
Las reglas del grupo de seguridad del proveedor se aplican en todos los puertos recién creados en las máquinas virtuales del proyecto especificado y no se pueden reemplazar con grupos de seguridad definidos por el tenant.
Qué hacer a continuación
Para aplicar uno o varios grupos de seguridad del proveedor en los puertos existentes, ejecute el siguiente comando:
neutron port-update port-id --provider-security-groups list=true group-id1...
