Vous pouvez créer un groupe de sécurité de fournisseurs pour bloquer le trafic spécifique d'un projet.

Les groupes de sécurité standard sont créés et gérés par les locataires, tandis que les groupes de sécurité de fournisseurs sont créés et gérés par l'administrateur cloud. Les groupes de sécurité de fournisseurs ont priorité sur les groupes de sécurité standard et sont appliqués à toutes les machines virtuelles d'un projet.

Procédure

  1. Connectez-vous à Integrated OpenStack Manager en tant qu'utilisateur root. 
    ssh root@mgmt-server-ip
  2. Ouvrez la boîte à outils et définissez le mot de passe du compte admin. 
    toolbox
export OS_PASSWORD=admin-account-password
  3. Créez un groupe de sécurité de fournisseurs pour un projet spécifique. 
    neutron security-group-create group-name --provider=True --tenant-id=project-id
  4. Créez des règles pour le groupe de sécurité de fournisseurs.
    Note : Les règles de groupe de sécurité de fournisseurs bloquent le trafic spécifié, tandis que les règles de sécurité standard autorisent le trafic spécifié. 
    neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]
    Option Description
    nom-groupe

    Entrez le groupe de sécurité du fournisseur.

    --id-locataire

    Entrez l'ID du projet contenant le groupe de sécurité du fournisseur.

    --description

    Entrez une description personnalisée de la règle.

    --direction

    Spécifiez ingress pour bloquer le trafic entrant ou egress pour bloquer le trafic sortant.

    Si vous n'incluez pas ce paramètre, ingress est utilisé par défaut.

    --ethertype

    Spécifiez IPv4 ou IPv6.

    Si vous n'incluez pas ce paramètre, IPv4 est utilisé par défaut.

    --protocole

    Spécifiez le protocole à bloquer. Entrez une représentation sous forme de nombre entier compris entre 0 et 255 ou l'une des valeurs suivantes :

    • icmp
    • icmpv6
    • tcp
    • udp

    Pour bloquer tous les protocoles, n'incluez pas ce paramètre.

    --min-plage-port

    Entrez le premier port à bloquer.

    Pour bloquer tous les ports, n'incluez pas ce paramètre. Pour bloquer un port unique, entrez la même valeur pour les paramètres --port-range-min et --port-range-max.

    --max-plage-port

    Entrez le dernier port à bloquer.

    Pour bloquer tous les ports, n'incluez pas ce paramètre. Pour bloquer un port unique, entrez la même valeur pour les paramètres --port-range-min et --port-range-max.

    --préfixe-ip-distant

    Entrez le réseau source du trafic à bloquer (par exemple, 10.10.0.0/24).

    Ce paramètre ne peut pas être utilisé en même temps que le paramètre --remote-group-id.

    --id-groupe-distant

    Entrez le nom ou l'ID du groupe de sécurité source du trafic à bloquer.

    Ce paramètre ne peut pas être utilisé en même temps que le paramètre --remote-ip-prefix.

Résultats

Les règles du groupe de sécurité de fournisseurs sont appliquées sur tous les ports créés sur des machines virtuelles dans le projet spécifié et ne peuvent pas être remplacées par les groupes de sécurité définis par le locataire.

Que faire ensuite

Vous pouvez appliquer un ou plusieurs groupes de sécurité de fournisseurs sur des ports existants en exécutant la commande suivante : 

neutron port-update port-id --provider-security-groups list=true group-id1...