SE に関連付けられた NSX Advanced Load Balancer コントローラ管理セキュリティ グループには、デフォルトでは、TCP ポート 22 (SSH) とすべての ICMP 入力方向トラフィックの両方を許可するルールがあります。これは、サポート担当者が NSX Advanced Load Balancer SE に直接 SSH 接続できるため、トラブルシューティングのシナリオで役立ちます。お客様の環境によっては、TCP ポート 22 をさらにロックダウンすることが必要になる場合があります。このトピックでは、NSX Advanced Load Balancer クラウドの wildcard_access 構成フラグを使用して、このセキュリティ対策を強化する方法について説明します。
次の CLI を使用して、関連するセキュリティ グループのセキュリティの詳細を一覧表示します。
OpenStack のデフォルトの場合
root@node-17:~# neutron security-group-list +--------------------------------------+---------------------------------------------+-----------------------------------------------------+ | id | name | security_group_rules | +--------------------------------------+---------------------------------------------+-----------------------------------------------------+ | e1e3f96e-cc9d-4fd4-bb01-4db9480621d8 | avi-se-3cf0f25c-8b25-4b6c-94db-ab59ae8f2f23 | egress, IPv4 | | | | egress, IPv6 | | | | ingress, IPv4, 22/tcp, remote_ip_prefix: 0.0.0.0/0 | | | | ingress, IPv4, icmp, remote_ip_prefix: 0.0.0.0/0 | +--------------------------------------+---------------------------------------------+-----------------------------------------------------+
ポート 22 ワイルドカード アクセスの無効化
次の CLI コマンド シーケンスの最初の実行で、デフォルトで wildcard_access 構成が True に設定されていることが示されています。その後コマンドを実行すると、False に変更されます。
注:
この変更は、新しく作成された SE に対してのみ有効になります。
[admin:10-10-22-142]: > configure cloud avi-os Updating an existing object. Currently, the object is: +---------------------------+--------------------------------------------+ | Field | Value | +---------------------------+--------------------------------------------+ | uuid | cloud-c62d3177-ca44-4565-a167-62d783a34be9 | | name | avi-os | | vtype | CLOUD_OPENSTACK | | openstack_configuration | | | username | admin | | security_groups | True | | auth_url | http://10.10.22.23:5000/v2.0 | | wildcard_access | True | ... DETAILS OMITTED ... | tenant_ref | admin | +---------------------------+--------------------------------------------+ [admin:10-10-22-142]: cloud:openstack_configuration> [admin:10-10-22-142]: cloud:openstack_configuration> no wildcard_access [admin:10-10-22-142]: cloud:openstack_configuration> save [admin:10-10-22-142]: cloud> save [admin:10-10-22-142]: cloud> save +---------------------------+--------------------------------------------+ | Field | Value | +---------------------------+--------------------------------------------+ | uuid | cloud-c62d3177-ca44-4565-a167-62d783a34be9 | | name | avi-os | | vtype | CLOUD_OPENSTACK | | openstack_configuration | | | username | admin | | security_groups | True | | auth_url | http://10.10.22.23:5000/v2.0 | | wildcard_access | False | ... | tenant_ref | admin | +---------------------------+--------------------------------------------+
厳重なセキュリティが実装されているかどうかの確認
厳重なセキュリティが実装されているかどうかを確認するには、neutron security-group-list コマンドを使用します。
root@node-17:~# neutron security-group-list +--------------------------------------+---------------------------------------------+---------------------------------------------------+ | id | name | security_group_rules | +--------------------------------------+---------------------------------------------+---------------------------------------------------+ | fafaf765-9d88-42d0-ae48-76b839177b52 | avi-se-095fa798-d643-4a7b-849b-910e33421f11 | egress, IPv4 | | | | egress, IPv6 | | | | ingress, IPv4, icmp, remote_ip_prefix: 0.0.0.0/0 | +--------------------------------------+---------------------------------------------+---------------------------------------------------+
