openstack 命令行管理十一 - 安全组管理 (备忘)

最新推荐文章于 2024-05-26 19:03:18 发布
最新推荐文章于 2024-05-26 19:03:18 发布
阅读量1k 收藏 5
点赞数 1
分类专栏: OpenStack 文章标签: openstack

您必须修改默认安全组的规则,因为用户无法从云外的任何IP地址访问使用默认组的实例。您可以修改安全组中的规则,以允许通过不同的端口和协议访问实例。例如,您可以修改规则以允许通过ssh访问实例、对其执行ping操作或允许UDP通信(例如,对于运行在实例上的DNS服务器)。为规则指定以下参数:流量源。允许来自其他组成员或所有IP地址的来自云内IP地址的实例通信。协议。为ssh选择tcp,为ping选择icp,或为虚拟机上的udp.destination端口选择tcp。定义端口范围。要仅打开一个端口,请输入相同的值两次。ICMP不支持端口:输入值以定义允许的ICMP通信的代码和类型。一旦创建或修改规则,就会自动强制执行规则。

注: 已通过测试, 修改默认 secgroup 或自定义 secgroup 都可以完成数据访问测试

帮助

[root@station140 ~(keystone_admin)]# nova help | grep secgroup
    add-secgroup        Add a Security Group to a server.
    list-secgroup       List Security Group(s) of a server.
    remove-secgroup     Remove a Security Group from a server.
    secgroup-add-group-rule
    secgroup-add-rule   Add a rule to a security group.
    secgroup-create     Create a security group.
    secgroup-delete     Delete a security group.
    secgroup-delete-group-rule
    secgroup-delete-rule
    secgroup-list       List security groups for the current tenant.
    secgroup-list-rules
    secgroup-update     Update a security group.

创建自定义安全组

[root@station140 ~(keystone_admin)]# nova secgroup-create terry "allow ping and ssh"
+--------------------------------------+-------+--------------------+
| Id                                   | Name  | Description        |
+--------------------------------------+-------+--------------------+
| 6966a8e4-0980-40ad-a409-baac65b60287 | terry | allow ping and ssh |
+--------------------------------------+-------+--------------------+

列出当前所有安全组

[root@station140 ~(keystone_admin)]# nova  secgroup-list
+--------------------------------------+---------+--------------------+
| Id                                   | Name    | Description        |
+--------------------------------------+---------+--------------------+
| 91a191a6-b89e-4f87-99c0-0fb985985978 | default | default            |
| 6966a8e4-0980-40ad-a409-baac65b60287 | terry   | allow ping and ssh |
+--------------------------------------+---------+--------------------+

列出某个组中的安全规则

[root@station140 ~(keystone_admin)]# nova  secgroup-list-rules default
+-------------+-----------+---------+----------+--------------+
| IP Protocol | From Port | To Port | IP Range | Source Group |
+-------------+-----------+---------+----------+--------------+
|             |           |         |          | default      |
|             |           |         |          | default      |
+-------------+-----------+---------+----------+--------------+

增加规则方法 (允许 ping)

[root@station140 ~(keystone_admin)]# nova secgroup-add-rule terry icmp -1 -1 0.0.0.0/0
+-------------+-----------+---------+-----------+--------------+
| IP Protocol | From Port | To Port | IP Range  | Source Group |
+-------------+-----------+---------+-----------+--------------+
| icmp        | -1        | -1      | 0.0.0.0/0 |              |
+-------------+-----------+---------+-----------+--------------+

增加规则方法 (允许 ssh)

[root@station140 ~(keystone_admin)]# nova secgroup-add-rule terry tcp  22 22 0.0.0.0/0
+-------------+-----------+---------+-----------+--------------+
| IP Protocol | From Port | To Port | IP Range  | Source Group |
+-------------+-----------+---------+-----------+--------------+
| tcp         | 22        | 22      | 0.0.0.0/0 |              |
+-------------+-----------+---------+-----------+--------------+

增加规则方法 (允许 dns 外部访问)

[root@station140 ~(keystone_admin)]# nova secgroup-add-rule terry udp 53 53 0.0.0.0/0
+-------------+-----------+---------+-----------+--------------+
| IP Protocol | From Port | To Port | IP Range  | Source Group |
+-------------+-----------+---------+-----------+--------------+
| udp         | 53        | 53      | 0.0.0.0/0 |              |
+-------------+-----------+---------+-----------+--------------+

列出自定义组规则

[root@station140 ~(keystone_admin)]# nova secgroup-list-rules terry
+-------------+-----------+---------+-----------+--------------+
| IP Protocol | From Port | To Port | IP Range  | Source Group |
+-------------+-----------+---------+-----------+--------------+
| tcp         | 22        | 22      | 0.0.0.0/0 |              |
| udp         | 53        | 53      | 0.0.0.0/0 |              |
| icmp        | -1        | -1      | 0.0.0.0/0 |              |
+-------------+-----------+---------+-----------+--------------+

尝试修改 default secgroup
列出 default secgroup 规则

[root@station140 ~(keystone_admin)]# nova secgroup-list-rules default
+-------------+-----------+---------+----------+--------------+
| IP Protocol | From Port | To Port | IP Range | Source Group |
+-------------+-----------+---------+----------+--------------+
|             |           |         |          | default      |
|             |           |         |          | default      |
+-------------+-----------+---------+----------+--------------+

添加规则 (允许 ping)

[root@station140 ~(keystone_admin)]# nova secgroup-add-rule default icmp -1 -1 0.0.0.0/0
+-------------+-----------+---------+-----------+--------------+
| IP Protocol | From Port | To Port | IP Range  | Source Group |
+-------------+-----------+---------+-----------+--------------+
| icmp        | -1        | -1      | 0.0.0.0/0 |              |
+-------------+-----------+---------+-----------+--------------+

添加规则 (允许 ssh)

[root@station140 ~(keystone_admin)]# nova secgroup-add-rule default tcp  22 22 0.0.0.0/0
+-------------+-----------+---------+-----------+--------------+
| IP Protocol | From Port | To Port | IP Range  | Source Group |
+-------------+-----------+---------+-----------+--------------+
| tcp         | 22        | 22      | 0.0.0.0/0 |              |
+-------------+-----------+---------+-----------+--------------+

添加规则 (允许 dns外部访问)

[root@station140 ~(keystone_admin)]# nova secgroup-add-rule default udp 53 53 0.0.0.0/0
+-------------+-----------+---------+-----------+--------------+
| IP Protocol | From Port | To Port | IP Range  | Source Group |
+-------------+-----------+---------+-----------+--------------+
| udp         | 53        | 53      | 0.0.0.0/0 |              |
+-------------+-----------+---------+-----------+--------------+

列出默认组规则

[root@station140 ~(keystone_admin)]# nova secgroup-list-rules default
+-------------+-----------+---------+-----------+--------------+
| IP Protocol | From Port | To Port | IP Range  | Source Group |
+-------------+-----------+---------+-----------+--------------+
|             |           |         |           | default      |
| icmp        | -1        | -1      | 0.0.0.0/0 |              |
| tcp         | 22        | 22      | 0.0.0.0/0 |              |
|             |           |         |           | default      |
| udp         | 53        | 53      | 0.0.0.0/0 |              |
+-------------+-----------+---------+-----------+--------------+

删除某个实例, 使用中的规则

nova remove-secgroup terry_instance1 terry

注: 在虚拟机启动后, 无法在增加其他规则
 

yongwan5637
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OPENSTACK命令行快速操作入门.docx
01-02
* 列出当前安全或默认安全规则信息:`nova secgroup-list` NEUTRON 客户端工具的使用 NEUTRON 客户端工具提供了多种命令来管理网络资源,包括: * 列出当前用户的网络:`neutron net-list` * 列出当前用户的...
OpenStack 命令行速查表.docx
01-02
OpenStack 是一个开源的云计算平台,它提供了丰富的命令行工具来管理其各个件,包括计算、存储、网络等。这份文档主要聚焦于OpenStack命令行速查表,旨在帮助用户快速查找和执行常见的管理任务。 1. **认证 ...
openstack命令大全-手册
2401_83817916的博客
04-17 1175
学完之后,若是想验收效果如何,其实最好的方法就是可自己去总结一下。比如我就会在学习完一个东西之后自己去手绘一份xmind文件的知识梳理大纲脑图,这样也可方便后续的复习,且都是自己的理解,相信随便瞟几眼就能迅速过完整个知识,脑补回来。下方即为我手绘的MyBtis知识脑图,由于是xmind文件,不好上传,所以小编将其以图片形式导出来传在此处,细节方面不是特别清晰。但可给感兴趣的朋友提供完整的MyBtis知识脑图原件(包括上方的面试解析xmind文档)
openstack安全管理
weixin_30847271的博客
10-26 517
命令概览 [root@controller02 ~]# openstack help securityCommand "security" matches: security group create security group delete security group list security group rule create security group rule de...
OpenStack平台Nova管理
最新发布
m0_73299799的博客
05-26 387
1. 规划节点使用OpenStack平台节点规划2. 基础准备部署的OpenStack平台。
默认OpenStack安全:如何更改规则?
weixin_33911824的博客
07-04 195
OpenStack安全管理员可以控制进入云计算实例的流量。但是, 有一个问题,在默认的是否可以更改规则? 首先,没有类似于默认OpenStack安全这样的事。每个项目都有自己的默认,它在管理员开始一个新项目之时就已经创建。 这些安全带有标准规则,不允许对该项目中的实例进行访问。默认OpenStack安全始终以这种方式传递,因为它直接从Ope...
应用新安全 - 每天5分钟玩转 OpenStack(116)
weixin_34296641的博客
11-23 91
2019独角兽企业重金招聘Python工程师标准>>> ...
Openstack平台命令操作和创建
qq_45843048的博客
11-12 4417
1.创建外部网络 1.在openstack私有云平台上,使用命令创建云主机外部网络ext,子网extsubnet,虚拟机网段为192.168.x.0/24(其中x是vlan号),网关为192.168.x.1网络使用vlan模式。 [root@controller ~]# neutron net-create --router:external=true --provider:network_type vlan --provider:physical_network provider --provide
openstack】Neutron 添加Icmp和ssh规则(web界面)
zsWang9的博客
07-23 1509
在配置之前,需要准备好安全规则。 因为默认安全是不允许ping icmp报文和SSH远程登录的。需要手动配置对应port的安全,或者添加到默认安全规则里边即可。 本方法是直接添加到默认安全里边。 添加ping报文准入规则: 添加ssh报文准入规则   ...
Openstack管理员考试-纯中文版本.pdf
10-21
OpenStack管理员考试试题,纯中文版pdf OpenStack管理员操作考试试题纯中文版PDF
OpenStack认证管理
03-20
OpenStack认证管理
terraform-provider-openstack:Terraform OpenStack提供程序
02-06
Terraform OpenStack提供程序 网站: : 邮件列表: 维护者 此提供程序插件通过以下方式维护: Andrei Ozerov( ) 加文·威廉姆斯( ) 乔·Topjian( ) 要求 0.12.x 1.15(构建提供程序插件) 建立提供者 ...
openstack-placement-api-2.0.0-1.el7.noarch.rpm
12-29
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
OpenStack-安装指南-yum-kilo
09-20
OpenStack-安装指南-yum-kilo
OpenStack编排管理
03-20
OpenStack编排管理
OpenStack网络管理
03-20
OpenStack网络管理
OpenStack 功能修改说明文档
weixin_34279184的博客
08-20 177
2019独角兽企业重金招聘Python工程师标准>>> ...
修改openstack默认安全规则
u014706515的博客
11-30 5516
因为项目有一个新的需求,需要修改openstack中每次新建租户后的默认安全规则。 首先先来分析一下: 我用的openstack版本为queens。每次新建租户后本来是没有安全的,当使用新租户第一次访问dashboard的安全列表或者调用API时,openstack会自动的为该租户创建一个default安全,有4条规则。如图 大意就是 1)允许使用该安全的虚拟机向外部发送一切...
关于openstack下虚拟机端口开放的问题
Chris'blog
10-11 2749
  首先交代下背景:由于想比较openstack下各种热迁移方法的性能,我开放了将要迁移的实例的8000端口,然后执行一个脚步程序,从远端不断请求访问这个实例,与此同时进行热迁移,记录迁移时间及效率。然而,在开放端口后,远端并不能访问该实例。 此时,将宿主节点的防火墙重新关闭: systemctl start iptables.service systemctl stop iptables...
openstack-config --set命令
05-26
`openstack-config --set` 命令用于设置 OpenStack 配置文件中的选项值。具体使用方法如下: ```bash openstack-config --set /path/to/config-file section option value ``` 其中,`/path/to/config-file` 是配置文件的路径;`section` 是配置文件中的节名;`option` 是需要设置的选项名;`value` 是需要设置的选项值。 例如,如果需要在 `nova.conf` 配置文件中将 `verbose` 选项的值设置为 `True`,可以使用以下命令: ```bash openstack-config --set /etc/nova/nova.conf DEFAULT verbose True ``` 这样就会将 `nova.conf` 文件中 `[DEFAULT]` 节下的 `verbose` 选项的值设置为 `True`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值