プロバイダ セキュリティ グループを作成して、プロジェクトに対して特定のトラフィックをブロックすることができます。
標準セキュリティ グループはテナントによって作成および管理されますが、プロバイダ セキュリティ グループはクラウド管理者によって作成および管理されます。プロバイダ セキュリティ グループは標準セキュリティ グループよりも優先し、プロジェクト内のすべての仮想マシンに適用されます。
標準セキュリティ グループの詳細については、セキュリティ グループの操作を参照してください。
手順
- OpenStack 管理サーバ にログインします。
- 特定のプロジェクトに対するプロバイダ セキュリティ グループを作成します。
neutron security-group-create group-name --provider=True --tenant-id=project-id
- プロバイダ セキュリティ グループにルールを作成します。
注:
プロバイダ セキュリティ グループ ルールは指定されたトラフィックをブロックしますが、標準セキュリティ ルールは指定されたトラフィックを許可します。
neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]
オプション |
説明 |
group-name |
手順 2 で作成したプロバイダ セキュリティ グループを入力します。 |
--tenant-id |
目的のプロジェクトの ID を入力します。 |
--description |
ルールの説明を独自に入力します。 |
--direction |
受信トラフィックをブロックするには ingress、送信トラフィックをブロックするには egress を指定します。 このパラメータを指定しない場合は、デフォルトで ingress が使用されます。 |
--ethertype |
IPv4 または IPv6 を指定します。 このパラメータを指定しない場合は、デフォルトで IPv4 が使用されます。 |
--protocol |
ブロックするプロトコルを指定します。0 ~ 255 または次の値のいずれかを示す整数表現を入力します。
すべてのプロトコルをブロックする場合は、このパラメータを含めないでください。 |
--port-range-min |
ブロックする最初のポートを入力します。 すべてのポートをブロックする場合は、このパラメータを含めないでください。1 つのポートをブロックする場合は、--port-range-min および --port-range-max パラメータに同じ値を入力します。 |
--port-range-max |
ブロックする最後のポートを入力します。 すべてのポートをブロックする場合は、このパラメータを含めないでください。1 つのポートをブロックする場合は、--port-range-min および --port-range-max パラメータに同じ値を入力します。 |
--remote-ip-prefix |
ブロックするトラフィックのソース ネットワークを入力します(10.10.0.0/24 など)。 このパラメータと --remote-group-id パラメータを併用することはできません。 |
--remote-group-id |
ブロックするトラフィックのソース セキュリティ グループの名前または ID を入力します。 このパラメータと --remote-ip-prefix パラメータを併用することはできません。 |
タスクの結果
プロバイダ セキュリティ グループ ルールは、指定したプロジェクト内の仮想マシン上に新たに作成されたすべてのポートに適用されます。テナントによって定義されたセキュリティ グループでオーバーライドすることはできません。
次のタスク
既存のポートに 1 つ以上のプロバイダ セキュリティ グループを適用するには、次のコマンドを実行します。
neutron port-update port-id --provider-security-groups list=true group-id1...
