제공자 보안 그룹을 생성하여 프로젝트에 대한 특정 트래픽을 차단할 수 있습니다.
표준 보안 그룹은 테넌트에 의해 생성 및 관리되지만 제공자 보안 그룹은 클라우드 관리자에 의해 생성 및 관리됩니다. 제공자 보안 그룹은 표준 보안 그룹보다 우선하며 프로젝트의 모든 가상 시스템에 적용됩니다.
프로시저
- Integrated OpenStack Manager에
root 사용자로 로그인합니다.
- 도구 상자를 열고
admin 계정에 대한 암호를 설정합니다.
toolbox
export OS_PASSWORD=admin-account-password
- 특정 프로젝트에 대한 제공자 보안 그룹을 생성합니다.
neutron security-group-create group-name --provider=True --tenant-id=project-id
- 제공자 보안 그룹에 대한 규칙을 생성합니다.
참고: 제공자 보안 그룹 규칙은 지정된 트래픽을 차단하지만 표준 보안 규칙은 지정된 트래픽을 허용합니다.
neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]
| 옵션 |
설명 |
| group-name |
제공자 보안 그룹을 입력합니다. |
| --tenant-id |
제공자 보안 그룹이 포함된 프로젝트의 ID를 입력합니다. |
| --description |
규칙의 사용자 지정 설명을 입력합니다. |
| --direction |
ingress를 지정하여 수신 트래픽을 차단하거나 egress를 지정하여 송신 트래픽을 차단합니다. 이 매개 변수를 포함하지 않으면 ingress가 기본적으로 사용됩니다. |
| --ethertype |
IPv4 또는 IPv6을 지정합니다. 이 매개 변수를 포함하지 않으면 IPv4가 기본적으로 사용됩니다. |
| --protocol |
차단할 프로토콜을 지정합니다. 0~255 범위의 정수 표현 또는 다음 값 중 하나를 입력합니다.
모든 프로토콜을 차단하려면 이 매개 변수를 포함하지 않습니다. |
| --port-range-min |
차단할 첫 번째 포트를 입력합니다. 모든 포트를 차단하려면 이 매개 변수를 포함하지 않습니다. 단일 포트를 차단하려면 --port-range-min 및 --port-range-max 매개 변수에 대해 동일한 값을 입력합니다. |
| --port-range-max |
차단할 마지막 포트를 입력합니다. 모든 포트를 차단하려면 이 매개 변수를 포함하지 않습니다. 단일 포트를 차단하려면 --port-range-min 및 --port-range-max 매개 변수에 대해 동일한 값을 입력합니다. |
| --remote-ip-prefix |
차단할 트래픽의 소스 네트워크(예: 10.10.0.0/24)를 입력합니다. 이 매개 변수는 --remote-group-id 매개 변수와 함께 사용할 수 없습니다. |
| --remote-group-id |
차단할 트래픽의 소스 보안 그룹의 이름 또는 ID를 입력합니다. 이 매개 변수는 --remote-ip-prefix 매개 변수와 함께 사용할 수 없습니다. |
결과
제공자 보안 그룹 규칙은 지정된 프로젝트의 가상 시스템에 새롭게 생성된 모든 포트에 적용되며 테넌트 정의 보안 그룹에 의해 재정의될 수 없습니다.
다음에 수행할 작업
다음 명령을 실행하여 기존 포트에 하나 이상의 제공자 보안 그룹을 적용할 수 있습니다.
neutron port-update port-id --provider-security-groups list=true group-id1...
