プロバイダ セキュリティ グループを作成して、プロジェクトに対して特定のトラフィックをブロックすることができます。

1. Integrated OpenStack Manager に root ユーザーとしてログインします。

   ssh root@mgmt-server-ip

2. ツールボックスを開き、admin アカウントのパスワードを設定します。

   toolbox
   export OS_PASSWORD=admin-account-password

3. 特定のプロジェクトに対するプロバイダ セキュリティ グループを作成します。

   neutron security-group-create group-name --provider=True --tenant-id=project-id

4. プロバイダ セキュリティ グループにルールを作成します。
   注： プロバイダ セキュリティ グループ ルールは指定されたトラフィックをブロックしますが、標準セキュリティ ルールは指定されたトラフィックを許可します。

   neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]

   オプション	説明
   group-name	プロバイダ セキュリティ グループを入力します。
   --tenant-id	プロバイダ セキュリティ グループを含むプロジェクトの ID を入力します。
   --description	ルールの説明を独自に入力します。
   --direction	受信トラフィックをブロックするには ingress、送信トラフィックをブロックするには egress を指定します。 このパラメータを指定しない場合は、デフォルトで ingress が使用されます。
   --ethertype	IPv4 または IPv6 を指定します。 このパラメータを指定しない場合は、デフォルトで IPv4 が使用されます。
   --protocol	ブロックするプロトコルを指定します。0 ～ 255 または次の値のいずれかを示す整数表現を入力します。 icmp icmpv6 tcp udp すべてのプロトコルをブロックする場合は、このパラメータを含めないでください。
   --port-range-min	ブロックする最初のポートを入力します。 すべてのポートをブロックする場合は、このパラメータを含めないでください。1 つのポートをブロックする場合は、--port-range-min および --port-range-max パラメータに同じ値を入力します。
   --port-range-max	ブロックする最後のポートを入力します。 すべてのポートをブロックする場合は、このパラメータを含めないでください。1 つのポートをブロックする場合は、--port-range-min および --port-range-max パラメータに同じ値を入力します。
   --remote-ip-prefix	ブロックするトラフィックのソース ネットワークを入力します（10.10.0.0/24 など）。 このパラメータと --remote-group-id パラメータを併用することはできません。
   --remote-group-id	ブロックするトラフィックのソース セキュリティ グループの名前または ID を入力します。 このパラメータと --remote-ip-prefix パラメータを併用することはできません。

neutron port-update port-id --provider-security-groups list=true group-id1...