https://docs.openstack.org/zh_CN/user-guide/cli-nova-configure-access-security-for-instances.html 

好不容易安装好了OpenStack,发现无法ping通instance,无法ssh到instance:

SRE实战 互联网时代守护先锋,助力企业售后服务体系运筹帷幄!一键直达领取阿里云限量特价优惠。

最后折腾了半天发现是security group的问题:

Neutron 默认的安全组规则会禁止掉所有从外面访问 instance 的流量。

本节我们会修改安全组的配置,允许 ping 和 ssh instance。
有两种方法可以达到这个目的:

1. 修改 “default” 安全组。 2. 为 cirros-vm1 添加新的安全组。

一、什么是安全组

安全组,翻译成英文是 security group。安全组是一些规则的集合,用来对虚拟机的访问流量加以限制,这反映到底层,就是使用iptables,给虚拟机所在的宿主机添加iptables规则。

可以定义n个安全组,每个安全组可以有n个规则,可以给每个实例绑定n个安全组,nova中总是有一个default安全组,这个是不能被删除的。创建实例的时候,如果不指定安全组,会默认使用这个default安全组。

现在nova中安全组应该会移到quantum中,并且会增加对虚拟机外出流量的控制。现在nova中的安全组只是对进入虚拟机的流量加以控制,对虚拟机外出流量没有加以限制。

https://docs.openstack.org/zh_CN/user-guide/cli-nova-configure-access-security-for-instances.html

设定实例的权限和安全设置

当你启动一个虚拟机,你可以注入*key pair*,它为你的实例提供了SSH访问路径。为了能运行,镜像必须包含’cloud-init’包

你可以为每个项目至少创建一个密钥对。你可以在项目所属的多个实例上使用该密钥对。如果你使用外部工具生成密钥对,那么你可以将它导入到OpenStack。

 

  注解

 

一个密钥对属于独立用户而不属于项目。要想在多个用户中共享密钥,那么每个用户需要导入该密钥对。

如果镜像使用一个静态根密码或者静态密钥集(都不推荐),那么当你启动实例的时候就没必要提供一个密钥。

一个*安全组*是一个被命名为网络访问规则的集合,安全组被用来限制访问实例流量的类型。当你启动一个实例时,你可以为它指定一个或多个安全组。如果你没有创建安全组,那么新实例会自动分配一个默认安全组,除非你明确指定一个不同的安全组。

每个安全组中的关联*规则*控制着组中访问实例的流量。任何进入的流量与规则不匹配将会默认被拒绝。你可以在安全组中添加或删除规则,并且可以修改默认的或任何其他安全组中的规则。

你可以修改安全组中的规则来允许通过不同的端口和协议访问实例。比如,你可以为实例上运行的DNS修改规则来允许通过SSH访问实例,ping通实例或者允许UDP流量。你可以为规则指定以下参数。

  • 流量来源 允许来自云环境其他组成员的IP地址或所有IP地址的流量访问实例。
  • 协议,SSH用TCP、Pings用ICMP或者UDP。
  • 虚拟机的目标端口。定义一个端口范围。只需要打开单个端口,输入同样的值两次。ICMP不支持端口,你输入一个值定义代码和被允许的ICMP流量类型。

规则在新建或者修改之后实时生效

添加密钥对

你可以生成一个秘钥对或上传一个现有的公钥

  1. 要生成一个密钥对,运行以下命令。

    $ openstack keypair create KEY_NAME > MY_KEY.pem
    

    这个命令生成一个你指定名为KEY_NAME的秘钥对,将私钥写入指定的”.pem”文件里,且为Nova数据库注册公钥。

  2. 运行以下命令,设置”.pem”的权限为只有你本人可读写。

    $ chmod 600 MY_KEY.pem 

导入秘钥对

  1. 如果你已经生成一个密钥对且公钥位于”~/.ssh/id_rsa.pub”里面,那么运行以下命令上传公钥。

    $ openstack keypair create --public-key ~/.ssh/id_rsa.pub KEY_NAME
    

    该命令将公钥记录在Nova数据库里且密钥对的名字命名为你指定的“KEY_NAME”。

  2. 为确保密钥对成功导入,将密钥对像以下这样列出:

    $ openstack keypair list
    

新建和管理安全组

  1. 列出当前项目的安全组,包括说明,输入以下命令:

    $ openstack security group list
    
  2. 要创建有指定名称和描述的安全组,则输入以下命令:

    $ openstack security group create SECURITY_GROUP_NAME --description GROUP_DESCRIPTION
    
  3. 要删除指定的组,请输入以下命令:

    $ openstack security group delete SECURITY_GROUP_NAME
    

 

  注解

 

您不能删除一个项目的默认安全组。而且您也不能删除已经指定给正在运行的实例的安全组。

新建和管理安全组规则

使用命令:command:openstack security group rule`修改安全组规则。开始之前,使用source命令执行OpenStack RC文件。更多细节,参考:doc:../common/cli-set-environment-variables-using-openstack-rc`。

  1. 要列出安全组规则,则运行以下命令:

    $ openstack security group rule list SECURITY_GROUP_NAME
    
  2. 要允许SSH访问实例,则要选择以下项中的其中一项:

    • 允许所有IP访问,指定IP子网 CIDR为``0.0.0.0/0``:

      $ openstack security group rule create SECURITY_GROUP_NAME \ --protocol tcp --dst-port 22:22 --remote-ip 0.0.0.0/0 
    • 仅允许访问来自其他安全组(源组)的IP地址访问指定的端口:

      $ openstack security group rule create SECURITY_GROUP_NAME \ --protocol tcp --dst-port 22:22 --remote-group SOURCE_GROUP_NAME 
  3. 要允许ping通实例,选择以下项中的其中一项:

    • 允许所有IP访问,指定IP子网 CIDR为``0.0.0.0/0``。

      $ openstack security group rule create --protocol icmp \ SECURITY_GROUP_NAME 

      这允许访问所有代码和所有ICMP的流量。

    • 只允许其他安全组(源组)的成员ping 通云主机。

      $ openstack security group rule create --protocol icmp \ --remote-group SOURCE_GROUP_NAME SECURITY_GROUP 
  4. 为了允许访问UDP端口,比如允许访问一台虚拟机上面的DNS服务,选择以下选项:

    • 允许IP地址UDP访问,以CIDR的方式指定IP网段为``0.0.0.0/0``。

      $ openstack security group rule create --protocol udp \ --dst-port 53:53 SECURITY_GROUP 
    • 只允许来自其他安全组(源组)的IP地址访问指定的端口。

      $ openstack security group rule create --protocol udp \ --dst-port 53:53 --remote-group SOURCE_GROUP_NAME SECURITY_GROUP 

删除安全组规则

要删除一个安全组规则,请指定规则ID。

$ openstack security group rule delete RULE_ID

511 openstack keypair create mykey >mykey.pem
515 chmod 600 mykey.pem
517 openstack keypair list

538 openstack security group rule create 83da1f44-482d-4d9c-90dd-fc081b5756b7 --protocol tcp --dst-port 22:22 --remote-ip 0.0.0.0/0
541 openstack security group rule list 83da1f44-482d-4d9c-90dd-fc081b5756b7
542 openstack security group rule create --protocal icmp --remote-ip 0.0.0.0/0
543 openstack security group rule create --protocal icmp --remote-ip 0.0.0.0/0 83da1f44-482d-4d9c-90dd-fc081b5756b7
544 openstack security group rule create --protocol icmp --remote-ip 0.0.0.0/0 83da1f44-482d-4d9c-90dd-fc081b5756b7

 
扫码关注我们
微信号:SRE实战
拒绝背锅 运筹帷幄