제공자 보안 그룹을 생성하여 프로젝트에 대한 특정 트래픽을 차단할 수 있습니다.

표준 보안 그룹은 테넌트에 의해 생성 및 관리되지만 제공자 보안 그룹은 클라우드 관리자에 의해 생성 및 관리됩니다. 제공자 보안 그룹은 표준 보안 그룹보다 우선하며 프로젝트의 모든 가상 시스템에 적용됩니다.

프로시저

  1. Integrated OpenStack Managerroot 사용자로 로그인합니다.
    ssh root@mgmt-server-ip
  2. 도구 상자를 열고 admin 계정에 대한 암호를 설정합니다.
    toolbox
    export OS_PASSWORD=admin-account-password
  3. 특정 프로젝트에 대한 제공자 보안 그룹을 생성합니다.
    neutron security-group-create group-name --provider=True --tenant-id=project-id
  4. 제공자 보안 그룹에 대한 규칙을 생성합니다.
    참고: 제공자 보안 그룹 규칙은 지정된 트래픽을 차단하지만 표준 보안 규칙은 지정된 트래픽을 허용합니다.
    neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]
    옵션 설명
    group-name

    제공자 보안 그룹을 입력합니다.

    --tenant-id

    제공자 보안 그룹이 포함된 프로젝트의 ID를 입력합니다.

    --description

    규칙의 사용자 지정 설명을 입력합니다.

    --direction

    ingress를 지정하여 수신 트래픽을 차단하거나 egress를 지정하여 송신 트래픽을 차단합니다.

    이 매개 변수를 포함하지 않으면 ingress가 기본적으로 사용됩니다.

    --ethertype

    IPv4 또는 IPv6을 지정합니다.

    이 매개 변수를 포함하지 않으면 IPv4가 기본적으로 사용됩니다.

    --protocol

    차단할 프로토콜을 지정합니다. 0~255 범위의 정수 표현 또는 다음 값 중 하나를 입력합니다.

    • icmp
    • icmpv6
    • tcp
    • udp

    모든 프로토콜을 차단하려면 이 매개 변수를 포함하지 않습니다.

    --port-range-min

    차단할 첫 번째 포트를 입력합니다.

    모든 포트를 차단하려면 이 매개 변수를 포함하지 않습니다. 단일 포트를 차단하려면 --port-range-min--port-range-max 매개 변수에 대해 동일한 값을 입력합니다.

    --port-range-max

    차단할 마지막 포트를 입력합니다.

    모든 포트를 차단하려면 이 매개 변수를 포함하지 않습니다. 단일 포트를 차단하려면 --port-range-min--port-range-max 매개 변수에 대해 동일한 값을 입력합니다.

    --remote-ip-prefix

    차단할 트래픽의 소스 네트워크(예: 10.10.0.0/24)를 입력합니다.

    이 매개 변수는 --remote-group-id 매개 변수와 함께 사용할 수 없습니다.

    --remote-group-id

    차단할 트래픽의 소스 보안 그룹의 이름 또는 ID를 입력합니다.

    이 매개 변수는 --remote-ip-prefix 매개 변수와 함께 사용할 수 없습니다.

결과

제공자 보안 그룹 규칙은 지정된 프로젝트의 가상 시스템에 새롭게 생성된 모든 포트에 적용되며 테넌트 정의 보안 그룹에 의해 재정의될 수 없습니다.

다음에 수행할 작업

다음 명령을 실행하여 기존 포트에 하나 이상의 제공자 보안 그룹을 적용할 수 있습니다.

neutron port-update port-id --provider-security-groups list=true group-id1...