Назначить группу безопасности
Чтобы на порт можно было назначить группу безопасности, в сети порта должна быть включена фильтрация трафика (port security). Состояние фильтрации в сети можно можно посмотреть в панели управления: в верхнем меню нажмите Продукты → Облачные серверы → Сеть → вкладка Приватные сети или Публичные сети. Сеть с включенной фильтрацией отмечена .
При создании порта на него назначается группа безопасности по умолчанию с именем default.
Вы также можете указать другую группу безопасности при создании порта или сервера, она будет назначена вместо группы по умолчанию.
Вы можете назначить группу безопасности:
- на порт — при создании порта или на существующий порт облачного сервера;
- на сервер — при создании сервера.
Назначить группу безопасности при создании порта
Назначить группу безопасности при создании порта можно только на порт в публичной или приватной подсети. Если вы настраиваете порт с прямым публичным IP-адресом, то сначала добавьте порт к серверу, затем назначьте на него группу безопасности.
OpenStack CLI
-
Создайте порт с группой безопасности в приватной или публичной подсети:
openstack port create \--network <network> \--fixed-ip subnet=<subnet>,ip-address=<port_ip_address> \--security-group <security_group> \<port_name>Укажите:
<network>— ID или имя сети, можно посмотреть с помощью командыopenstack network list. Для публичной подсети совпадает с параметром<subnet>;<subnet>— ID или имя подсети, можно посмотреть с помощью командыopenstack subnet list;<port_ip_address>— IP-адрес порта;<security_group>— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list;<port_name>— имя порта.
-
Добавьте порт к серверу:
openstack server add port <server> <port>Укажите:
<server>— ID или имя облачного сервера, можно посмотреть с помощью командыopenstack server list;<port>— ID или имя порта, который вы создали на шаге 2, можно посмотреть с помощью командыopenstack port list.
Назначить группу на существующий порт облачного сервера
После назначения группы на порте прервутся все активные сессии, которые не соответствуют правилам группы.
Панель управления
OpenStack CLI
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Откройте страницу сервера → вкладка Порты.
-
В карточке порта в поле групп безопасности нажмите .
-
В поле Группы безопасности отметьте группы, которые нужно назначить на порт, или нажмите Новая группа безопасности и создайте группу.
-
Нажмите Сохранить.
Назначить группу при создании сервера
Группа будет назначена только на те порты, которые создадутся вместе с сервером.
OpenStack CLI
-
Создайте в подсети облачный сервер c указанием группы безопасности:
openstack server create \[--image <image> | --volume <volume> | --snapshot <snapshot>] \--flavor <flavor> \--availability-zone <pool_segment> \--nic net-id=<net_uuid> \--security-group <security_group> \--key-name <key_name> \<server_name>Укажите:
-
тип источника:
--image <image>— для создания сервера из готового или собственного образа. Параметр<image>— ID или имя образа, можно посмотреть с помощью командыopenstack image list;--volume <volume>— для создания сервера из сетевого диска. Параметр<volume>— ID или имя диска, можно посмотреть с помощью командыopenstack volume list;--snapshot <snapshot>— для создания сервера из снапшота. Параметр<snapshot>— ID или имя снапшота, можно посмотреть с помощью командыopenstack snapshot list;
-
<flavor>— ID или имя флейвора. Флейворы соответствуют конфигурациям облачного сервера и определяют количество vCPU, RAM и размер локального диска (опционально) сервера. Можно использовать флейворы фиксированных конфигураций или создать флейвор. Например,1015— ID для создания сервера с фиксированной конфигурацией линейки Standard с 4 vCPU, 16 ГБ RAM в пуле ru-9. Список флейворов можно посмотреть с помощью командыopenstack flavor listили в таблице Список флейворов фиксированной конфигурации во всех пулах; -
<pool_segment>— сегмент пула, в котором будет создан облачный сервер, напримерru-9a. Список доступных сегментов пула можно посмотреть в инструкции Матрицы доступности; -
<net_uuid>— ID приватной или публичной сети, к которой будет подключен сервер, можно посмотреть с помощью командыopenstack network list; -
<key_name>— имя пары SSH-ключей сервисного пользователя. Если SSH-ключи не созданы, сгенерируйте их. Список можно посмотреть с помощью командыopenstack keypair list; -
<security_group>— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list; -
опционально:
--block-device-mapping vdb=<extra_volume>— для добавления дополнительного диска. Параметр<extra_volume>— ID или имя дополнительного диска, можно посмотреть с помощью командыopenstack volume list; -
опционально:
--property x_cloud_smt_enabled=false— выключение Hyper-Threading (SMT). Если параметр не указан — Hyper-Threading (SMT) будет включен по умолчанию. Можно использовать только с флейворами, которые поддерживают работу выделенных ядер. Список флейворов можно посмотреть в таблице Список флейворов фиксированной конфигурации во всех пулах; -
опционально:
--property x_cloud_numa_nodes=1— размещение ресурсов на одной NUMA-ноде. Можно использовать только с флейворами, которые поддерживают работу выделенных ядер. Список флейворов можно посмотреть в таблице Список флейворов фиксированной конфигурации во всех пулах; -
опционально:
--tag <tag_name> --os-compute-api-version 2.52— тег для добавления дополнительной информации о сервере. Параметр<tag_name>— имя тега; -
опционально:
--tag preemptible --os-compute-api-version 2.72— тег для создания прерываемого сервера; -
опционально:
--user-data <user_data.file>— для указания скрипта для выполнения при первой загрузке операционной системы. Параметр<user_data.file>— путь до скрипта в кодировке Base64. Примеры скриптов можно посмотреть в инструкции User data; -
<server_name>— имя сервера.
-