Управлять фильтрацией трафика (port security)

Управлять фильтрацией трафика (port security)

Фильтрация трафика (port security) позволяет:

• назначать группы безопасности на порты облачных серверов;
• ограничивать доступ к балансировщику нагрузки.

Фильтрация трафика по умолчанию выключена в сетях Servercore, вы можете включить фильтрацию в сети.

При необходимости вы сможете выключить фильтрацию.

Включить фильтрацию трафика в сети⁠

осторожно

Мы не рекомендуем включать фильтрацию трафика в существующих сетях, где работает балансировщик нагрузки или кластер облачных баз данных, это может привести к сбою в работе балансировщика и нарушению репликации в кластере. Создайте новую приватную сеть или публичную подсеть и включите в ней фильтрацию трафика.

После включения фильтрации в сети все новые порты в ней будут создаваться с группой безопасности по умолчанию. Вы можете назначить другую группу безопасности при создании порта. Вы также можете изменять группы безопасности на существующем порте: отключить группу безопасности от порта и назначить на порт другую группу.

Если в сети работает балансировщик нагрузки, его необходимо будет пересоздать через службу поддержки, чтобы применить на служебных портах балансировщика новые настройки фильтрации в сети.

Чтобы включить фильтрацию:

• в приватной сети, в которой нет балансировщика нагрузки — используйте OpenStack CLI;
• в приватной сети, в которой работает балансировщик нагрузки, или в публичной подсети — обратитесь в службу поддержки.

Включить фильтрацию трафика через Openstack CLI⁠

1. Убедитесь, что в сети не работает балансировщик нагрузки:

   1.1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

   1.2. Перейдите в раздел Сеть → вкладка Приватные сети.

   1.3. Откройте страницу сети → вкладка Порты.

   1.4. Убедитесь, что в списке портов нет отмеченного тегом Балансировщик. Если такой порт есть, включите фильтрацию через службу поддержки. Если такого порта нет, перейдите на шаг 2.

2. Откройте OpenStack CLI.

3. Включите фильтрацию трафика (port security) в сети:

   openstack network set \
     --enable-port-security \
     <network>

   Укажите <network> — ID или имя сети, можно посмотреть с помощью команды openstack network list.

4. Если в сети есть порты облачных серверов, фильтрация трафика на них не включится автоматически. Чтобы назначить группы безопасности на эти порты, включите фильтрацию отдельно для каждого порта:

   openstack port set \
     --security-group <security_group> \
     --enable-port-security \
     <port>

   Укажите:

   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;
   • <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.

Включить фильтрацию трафика через службу поддержки⁠

1. Создайте тикет с просьбой включить фильтрацию трафика (port security) в сети. В тикете укажите:

   • ID сети, можно скопировать в панели управления: в верхнем меню нажмите Продукты → Облачные серверы → Сеть → вкладка Публичные сети или Приватные сети;
   • если в сети есть балансировщик нагрузки — ID балансировщика, можно скопировать в панели управления: в верхнем меню нажмите Продукты → Облачные серверы → Балансировщики.

2. Мы свяжемся с вами в тикете и согласуем время включения фильтрации трафика. Если в сети работает балансировщик нагрузки, при включении фильтрации произойдет пересоздание инстансов балансировщика, недоступность балансировщика может составить до 5 секунд.

3. Дождитесь ответа в тикете о том, что фильтрация трафика включена.

4. Если в сети есть порты облачных серверов, фильтрация трафика на них не включится при включении фильтрации в сети. Чтобы назначить группы безопасности на эти порты, включите на них фильтрацию отдельно для каждого порта:

   4.1. Откройте OpenStack CLI.

   4.2. Включите фильтрацию на каждом порте:

   openstack port set \
     --security-group <security_group> \
     --enable-port-security \
     <port>

   Укажите:

   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;
   • <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.

Выключить фильтрацию трафика в сети⁠

Чтобы выключить фильтрацию:

• в приватной сети, в которой нет балансировщика нагрузки — используйте OpenStack CLI;
• в приватной сети, в которой работает балансировщик нагрузки, или в публичной подсети — обратитесь в службу поддержки.

Выключить фильтрацию трафика через Openstack CLI⁠

1. Откройте OpenStack CLI.

2. Выключите фильтрацию трафика в сети:

   openstack network set \
     --disable-port-security \
     <network>

   Укажите <network> — ID или имя сети, можно посмотреть с помощью команды openstack network list.

3. Опционально: если в сети есть порты облачных серверов, созданные с включенной фильтрацией трафика, фильтрация не выключится на них автоматически — выключите фильтрацию на каждом порте:

   3.1. Удалите с порта группы безопасности:

   openstack port set \
     --no-security-group
     <port>

   Укажите <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.

   3.2. Выключите фильтрацию трафика на порте:

   openstack port set \
     --disable-port-security \
     <port>

   Укажите <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.

Выключить фильтрацию трафика через службу поддержки⁠

1. Создайте тикет с просьбой выключить фильтрацию трафика (port security) в сети. В тикете укажите:

   • ID сети, можно скопировать в панели управления: в верхнем меню нажмите Продукты → Облачные серверы → Сеть → вкладка Приватные сети или Публичные сети;
   • если в сети работает балансировщик нагрузки — ID балансировщика, можно скопировать в панели управления: в верхнем меню нажмите Продукты → Облачные серверы → Балансировщики.

2. Мы свяжемся с вами в тикете и согласуем время выключения фильтрации трафика. Если в сети работает балансировщик нагрузки, при выключении фильтрации произойдет пересоздание инстансов балансировщика, недоступность балансировщика может составить до 5 секунд.

3. Дождитесь ответа в тикете о том, что фильтрация трафика выключена.

4. Опционально: если в сети есть порты облачных серверов с включенной фильтрацией трафика, фильтрация не выключится на них автоматически — выключите фильтрацию на каждом порте:

   4.1. Откройте OpenStack CLI.

   4.2. Удалите с порта группы безопасности:

   openstack port set \
     --disable-port-security \
     <port>

   Укажите <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.