Vous pouvez créer un groupe de sécurité de fournisseurs pour bloquer le trafic spécifique d'un projet.
Les groupes de sécurité standard sont créés et gérés par les locataires, tandis que les groupes de sécurité de fournisseurs sont créés et gérés par l'administrateur cloud. Les groupes de sécurité de fournisseurs ont priorité sur les groupes de sécurité standard et sont appliqués à toutes les machines virtuelles d'un projet.
Procédure
- Connectez-vous à Integrated OpenStack Manager en tant qu'utilisateur
root
.
- Ouvrez la boîte à outils et définissez le mot de passe du compte
admin
.
toolbox
export OS_PASSWORD=admin-account-password
- Créez un groupe de sécurité de fournisseurs pour un projet spécifique.
neutron security-group-create nom-groupe --provider=True --tenant-id=id-projet
- Créez des règles pour le groupe de sécurité de fournisseurs.
Note : Les règles de groupe de sécurité de fournisseurs bloquent le trafic spécifié, tandis que les règles de sécurité standard autorisent le trafic spécifié.
neutron security-group-rule-create nom-groupe --tenant-id=id-projet [--description description-règle] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocole] [--port-range-min début-plage --port-range-max fin-plage] [--remote-ip-prefix ip/préfixe | --remote-group-id groupe-sécurité-distant]
Option |
Description |
nom-groupe |
Entrez le groupe de sécurité du fournisseur. |
--id-locataire |
Entrez l'ID du projet contenant le groupe de sécurité du fournisseur. |
--description |
Entrez une description personnalisée de la règle. |
--direction |
Spécifiez ingress pour bloquer le trafic entrant ou egress pour bloquer le trafic sortant. Si vous n'incluez pas ce paramètre, ingress est utilisé par défaut. |
--ethertype |
Spécifiez IPv4 ou IPv6. Si vous n'incluez pas ce paramètre, IPv4 est utilisé par défaut. |
--protocole |
Spécifiez le protocole à bloquer. Entrez une représentation sous forme de nombre entier compris entre 0 et 255 ou l'une des valeurs suivantes :
Pour bloquer tous les protocoles, n'incluez pas ce paramètre. |
--min-plage-port |
Entrez le premier port à bloquer. Pour bloquer tous les ports, n'incluez pas ce paramètre. Pour bloquer un port unique, entrez la même valeur pour les paramètres --port-range-min et --port-range-max. |
--max-plage-port |
Entrez le dernier port à bloquer. Pour bloquer tous les ports, n'incluez pas ce paramètre. Pour bloquer un port unique, entrez la même valeur pour les paramètres --port-range-min et --port-range-max. |
--préfixe-ip-distant |
Entrez le réseau source du trafic à bloquer (par exemple, 10.10.0.0/24). Ce paramètre ne peut pas être utilisé en même temps que le paramètre --remote-group-id. |
--id-groupe-distant |
Entrez le nom ou l'ID du groupe de sécurité source du trafic à bloquer. Ce paramètre ne peut pas être utilisé en même temps que le paramètre --remote-ip-prefix. |
Résultats
Les règles du groupe de sécurité de fournisseurs sont appliquées sur tous les ports créés sur des machines virtuelles dans le projet spécifié et ne peuvent pas être remplacées par les groupes de sécurité définis par le locataire.
Que faire ensuite
Vous pouvez appliquer un ou plusieurs groupes de sécurité de fournisseurs sur des ports existants en exécutant la commande suivante :
neutron port-update port-id --provider-security-groups list=true group-id1...