Сетевые группы безопасности - это настройки межсетевого фильтра (iptables), применяемые к портам снаружи виртуального сервера, другими словами,
эти настройки являются частью настроек виртуальной инфраструктуры датацентра, а не настройками внутри виртуальных серверов.
Управлять сетевыми группами безопасности вы можете в Панели управления, через API или
в командной строке,
могут быть автоматизированы в оркестраторе
Openstack Heat или
системе управления конфигурациями серверов.
Таким образом, отпадает необходимость конфигурировать межсетевой экран непосредственно на самих виртуальных серверах.
Назначаемая по умолчанию группа
default разрешает сетевой трафик
внутри локальной сети и исходящи трафик. Вы можете создавать свои наборы
правил сетевой безопасности и по необходимости добавлять в них серверы или исключать из их.
Таким образом, вы можете обновлять систему, устанавливать дополнительное
ПО, конфигурировать его без риска несанкционированного доступа к портам снаружи.
Если вы назначаете серверу внешний IP адрес, правила сетевой безопасности
применяются и к нему.
Общие сведения о сетевой безопасности по
ссылке.
Добавление группы безопасности в Панели управления
1. Переходим в раздел датацентра
Сети
2. Нажмаем
Добавить группу безопасности
3. В открывшейся форме указываем название группы безопасности и нажимаем
Добавить.
Дальше мы можем переходить к конфигурированию группы.
Конфигурирование безопасности в Панели управления
Правила группы по умолчанию содержат два правила, которые разрешают исходящий(egress) трафик для сетей IPv4 и IPv6.
При таком наборе правил соединения к серверу закрыты.
Чтобы разрешить входящий icmp трафик и разрешить соединения к серверу на 80 и 443 порты воспользуемся формой добавления правил.
Важно: панель управления не позволяет указать параметр 'все' либо пустые поля одновременно для исходящей сети и портов. Это сделано намеренно, чтобы
исключить ситуацию, когда все порты хоста будут открыты всему миру.
Для протокола icmp в параметре
Исходящая сеть укажем
Все, номера портов не указываем и нажимаем
Добавить
Для http/https трафика указываем протокол
tcp и порты
80 и
443, каждый отдельным правилом,
min и
max
указываем одинаково.
Если нужно указать диапазон портов, указываем разные значение в
min и
max.
Дальше можно переходить в разделы конфигурирования серверы и в секции
Группы сетевой безопасности назначить серверу соответствующую группу.
После добавления сервера в группу правила будут сразу применены к его сетевому порту.
Следует также понимать, что:
- правила групп безопасности применяются к трафику, приходящему из VPN/IPSec
соединений к датацентру и на внешний IP адрес (Float IP), если он назначен к серверу;
- правила не применяются к трафику внутри локальной сети датацентра;