プロバイダ セキュリティ グループを作成して、プロジェクトに対して特定のトラフィックをブロックすることができます。

標準セキュリティ グループはテナントによって作成および管理されますが、プロバイダ セキュリティ グループはクラウド管理者によって作成および管理されます。プロバイダ セキュリティ グループは標準セキュリティ グループよりも優先し、プロジェクト内のすべての仮想マシンに適用されます。

手順

  1. Integrated OpenStack Managerroot ユーザーとしてログインします。
    ssh root@mgmt-server-ip
  2. ツールボックスを開き、admin アカウントのパスワードを設定します。
    toolbox
    export OS_PASSWORD=admin-account-password
  3. 特定のプロジェクトに対するプロバイダ セキュリティ グループを作成します。
    neutron security-group-create group-name --provider=True --tenant-id=project-id
  4. プロバイダ セキュリティ グループにルールを作成します。
    注: プロバイダ セキュリティ グループ ルールは指定されたトラフィックをブロックしますが、標準セキュリティ ルールは指定されたトラフィックを許可します。
    neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]
    オプション 説明
    group-name

    プロバイダ セキュリティ グループを入力します。

    --tenant-id

    プロバイダ セキュリティ グループを含むプロジェクトの ID を入力します。

    --description

    ルールの説明を独自に入力します。

    --direction

    受信トラフィックをブロックするには ingress、送信トラフィックをブロックするには egress を指定します。

    このパラメータを指定しない場合は、デフォルトで ingress が使用されます。

    --ethertype

    IPv4 または IPv6 を指定します。

    このパラメータを指定しない場合は、デフォルトで IPv4 が使用されます。

    --protocol

    ブロックするプロトコルを指定します。0 ~ 255 または次の値のいずれかを示す整数表現を入力します。

    • icmp
    • icmpv6
    • tcp
    • udp

    すべてのプロトコルをブロックする場合は、このパラメータを含めないでください。

    --port-range-min

    ブロックする最初のポートを入力します。

    すべてのポートをブロックする場合は、このパラメータを含めないでください。1 つのポートをブロックする場合は、--port-range-min および --port-range-max パラメータに同じ値を入力します。

    --port-range-max

    ブロックする最後のポートを入力します。

    すべてのポートをブロックする場合は、このパラメータを含めないでください。1 つのポートをブロックする場合は、--port-range-min および --port-range-max パラメータに同じ値を入力します。

    --remote-ip-prefix

    ブロックするトラフィックのソース ネットワークを入力します(10.10.0.0/24 など)。

    このパラメータと --remote-group-id パラメータを併用することはできません。

    --remote-group-id

    ブロックするトラフィックのソース セキュリティ グループの名前または ID を入力します。

    このパラメータと --remote-ip-prefix パラメータを併用することはできません。

結果

プロバイダ セキュリティ グループ ルールは、指定したプロジェクト内の仮想マシン上に新たに作成されたすべてのポートに適用されます。テナントによって定義されたセキュリティ グループでオーバーライドすることはできません。

次のタスク

既存のポートに 1 つ以上のプロバイダ セキュリティ グループを適用するには、次のコマンドを実行します。

neutron port-update port-id --provider-security-groups list=true group-id1...