Назначить группу безопасности

Назначить группу безопасности

Чтобы на порт можно было назначить группу безопасности, в сети порта должна быть включена фильтрация трафика (port security). Состояние фильтрации в сети можно можно посмотреть в панели управления: в верхнем меню нажмите Продукты → Облачные серверы → Сеть → вкладка Приватные сети или Публичные сети. Сеть с включенной фильтрацией отмечена .

При создании порта на него назначается группа безопасности по умолчанию с именем default. Вы также можете указать другую группу безопасности при создании порта или сервера, она будет назначена вместо группы по умолчанию.

Вы можете назначить группу безопасности:

• на порт — при создании порта или на существующий порт облачного сервера;
• на сервер — при создании сервера.

В панели управления можно только назначить группу на существующий порт.

Назначить группу безопасности при создании порта⁠

OpenStack CLI

1. Откройте OpenStack CLI.

2. Создайте порт с группой безопасности:

   openstack port create \
     --network <network> \
     --fixed-ip subnet=<subnet>,ip-address=<port_ip_address> \
     --security-group <security_group> \
     <port_name>

   Укажите:

   • <network> — ID или имя сети, можно посмотреть с помощью команды openstack network list. Для публичной подсети совпадает с параметром <subnet>;
   • <subnet> — ID или имя подсети, можно посмотреть с помощью команды openstack subnet list;
   • <port_ip_address> — IP-адрес порта;
   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;
   • <port_name> — имя порта.

3. Добавьте порт к серверу:

   openstack server add port <server> <port>

   Укажите:

   • <server> — ID или имя облачного сервера, можно посмотреть с помощью команды openstack server list;
   • <port> — ID или имя порта, который вы создали на шаге 2, можно посмотреть с помощью команды openstack port list.

Назначить группу на существующий порт облачного сервера⁠

осторожно

После назначения группы на порте прервутся все активные сессии, которые не соответствуют правилам группы.

Приватная подсеть, подсеть глобального роутера

Панель управления

1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

2. Откройте страницу сервера → вкладка Порты.

3. В карточке порта в поле групп безопасности нажмите .

4. В поле Группы безопасности отметьте группы, которые нужно назначить на порт, или нажмите Новая группа безопасности и создайте группу.

5. Нажмите Сохранить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Назначьте группу безопасности на порт:

   openstack port set \
     --security-group <security_group> \
     <port>

   Укажите:

   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;
   • <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.

Публичная подсеть

Панель управления

1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

2. Откройте страницу сервера → вкладка Порты.

3. В строке порта в поле Группы безопасности нажмите .

4. В поле Группы безопасности отметьте группы, которые нужно назначить на порт, или нажмите Новая группа безопасности и создайте группу.

5. Нажмите Сохранить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Назначьте группу безопасности на порт:

   openstack port set \
     --security-group <security_group> \
     <port>

   Укажите:

   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;
   • <port> — ID или имя порта, можно посмотреть с помощью команды openstack port list.

Назначить группу при создании сервера⁠

Группа будет назначена только на те порты, которые создадутся вместе с сервером.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Создайте в подсети облачный сервер c указанием группы безопасности:

   openstack server create \
     [--image <image> | --volume <volume> | --snapshot <snapshot>] \
     --flavor <flavor> \
     --availability-zone <pool_segment> \
     --nic net-id=<net_uuid> \
     --security-group <security_group> \
     --key-name <key_name> \
     <server_name>

   Укажите:

   • тип источника:

     • --image <image> — для создания сервера из готового или собственного образа. Параметр <image> — ID или имя образа, можно посмотреть с помощью команды openstack image list;
     • --volume <volume> — для создания сервера из сетевого диска. Параметр <volume> — ID или имя диска, можно посмотреть с помощью команды openstack volume list;
     • --snapshot <snapshot> — для создания сервера из снапшота. Параметр <snapshot> — ID или имя снапшота, можно посмотреть с помощью команды openstack snapshot list;

   • <flavor> — ID или имя флейвора. Флейворы соответствуют конфигурациям облачного сервера и определяют количество vCPU, RAM и размер локального диска (опционально) сервера. Можно использовать флейворы фиксированных конфигураций или создать флейвор. Например, 4011 — ID для создания сервера с фиксированной конфигурацией линейки Memory Line с 2 vCPU, 16 ГБ RAM в пуле ru-9. Список флейворов можно посмотреть с помощью команды openstack flavor list или в таблице Список флейворов фиксированной конфигурации во всех пулах;

   • <pool_segment> — сегмент пула, в котором будет создан облачный сервер, например ru-9a. Список доступных сегментов пула можно посмотреть в инструкции Матрицы доступности;

   • <net_uuid> — ID приватной или публичной сети, к которой будет подключен сервер, можно посмотреть с помощью команды openstack network list;

   • <key_name> — имя пары SSH-ключей сервисного пользователя. Если SSH-ключи не созданы, сгенерируйте их. Список можно посмотреть с помощью команды openstack keypair list;

   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list;

   • опционально: --block-device-mapping vdb=<extra_volume> — для добавления дополнительного диска. Параметр <extra_volume> — ID или имя дополнительного диска, можно посмотреть с помощью команды openstack volume list;

   • опционально: --tag <tag_name> --os-compute-api-version 2.52 — тег для добавления дополнительной информации о сервере. Параметр <tag_name> — имя тега;

   • опционально: --tag preemptible --os-compute-api-version 2.72 — тег для создания прерываемого сервера;

   • опционально: --user-data <user_data.file> — для указания скрипта для выполнения при первой загрузке операционной системы. Параметр <user_data.file> — путь до скрипта в кодировке Base64. Примеры скриптов можно посмотреть в инструкции User data;

   • <server_name> — имя сервера.