您可以建立提供者安全群組來封鎖專案的特定流量。

標準安全群組由承租人建立和管理,而提供者安全群組由雲端管理員建立和管理。提供者安全群組優先於標準安全群組,將在專案中的所有虛擬機器上強制執行。

程序

  1. root 使用者身分登入 Integrated OpenStack Manager
    ssh root@mgmt-server-ip
  2. 開啟工具箱並設定 admin 帳戶的密碼。
    toolbox
    export OS_PASSWORD=admin-account-password
  3. 為特定專案建立提供者安全群組。
    neutron security-group-create group-name --provider=True --tenant-id=project-id
  4. 為提供者安全群組建立規則。
    備註: 提供者安全群組規則會封鎖指定的流量,而標準安全群組規則允許指定的流量。
    neutron security-group-rule-create group-name --tenant-id=project-id [--description rule-description] [--direction {ingress | egress}] [--ethertype {IPv4 | IPv6}] [--protocol protocol] [--port-range-min range-start --port-range-max range-end] [--remote-ip-prefix ip/prefix | --remote-group-id remote-security-group]
    選項 說明
    group-name

    輸入提供者安全群組。

    --tenant-id

    輸入包含提供者安全群組的專案的識別碼。

    --description

    輸入規則的自訂說明。

    --direction

    指定 ingress 以封鎖傳入流量,或指定 egress 以封鎖傳出流量。

    如果不包括此參數,預設會使用 ingress

    --ethertype

    指定 IPv4 IPv6

    如果不包括此參數,預設會使用 IPv4

    --protocol

    指定要封鎖的通訊協定。輸入介於 0 到 255 之間的整數表示或下列其中一個值:

    • icmp
    • icmpv6
    • tcp
    • udp

    若要封鎖所有通訊協定,請不要包括此參數。

    --port-range-min

    輸入要封鎖的第一個連接埠。

    若要封鎖所有連接埠,請不要包括此參數。若要封鎖單一連接埠,請為 --port-range-min--port-range-max 參數輸入相同的值。

    --port-range-max

    輸入要封鎖的最後一個連接埠。

    若要封鎖所有連接埠,請不要包括此參數。若要封鎖單一連接埠,請為 --port-range-min--port-range-max 參數輸入相同的值。

    --remote-ip-prefix

    輸入要封鎖之流量的來源網路 (例如,10.10.0.0/24)。

    此參數無法與 --remote-group-id 參數搭配使用。

    --remote-group-id

    輸入要封鎖之流量的來源安全群組的名稱或識別碼。

    此參數無法與 --remote-ip-prefix 參數搭配使用。

結果

提供者安全群組規則會在指定專案中虛擬機器上的所有新建立的連接埠上強制執行,且無法由承租人定義的安全群組覆寫。

後續步驟

您可以透過執行下列命令,在現有連接埠上強制執行一或多個提供者安全群組:

neutron port-update port-id --provider-security-groups list=true group-id1...