Neutron 默認的安全組規則會禁止掉所有從外面訪問 instance 的流量。
本節我們會修改安全組的配置,允許 ping 和 ssh instance。
有兩種方法可以達到這個目的:
1. 修改 “default” 安全組。 2. 為 cirros-vm1 添加新的安全組。
這里我們采用第二種方法。
在安全組列表頁面點擊
按鈕。
為安全組命名並點擊 “Create Security Group”。 新的安全組 “allow ping & ssh” 創建成功。
點擊
按鈕,查看 “allow ping & ssh” 的規則。
系統默認定義了兩條規則,運行所有的外出流量。 為清晰起見,可以點擊
按鈕刪除這兩條規則。
點擊
按鈕,添加允許 ping 的規則。
“Rule” 選擇 “All ICMP”,“Direction” 選擇 “Ingress”,然后點擊 “Add” 按鈕。
同樣的方式添加 ssh 規則。
在列表中查看添加成功的規則。
接下來設置 cirros-vm1,使用新的安全組。 進入 instance 列表頁面,點擊 cirros-vm1 下拉操作列表中的 “Edit Security Groups”
可以看到 cirros-vm1 當前使用的安全組為 “default”,可選安全組為 “allow ping & ssh”。
點擊安全組 “allow ping & ssh” 后面的 “+” 按鈕。
點擊 “Save” 保存。
iptables 會立即更新,下面通過 vimdiff 查看 iptables 前后的變化。
“allow ping & ssh” 安全組引入了下面兩條 iptables 規則。 作用是運行 ingress 的 ssh 和 ping 流量。
-A neutron-linuxbri-i8bca5b86-2 -p tcp -m tcp --dport 22 -j RETURN -A neutron-linuxbri-i8bca5b86-2 -p icmp -j RETURN
測試一下,現在能夠 ping 和 ssh cirros-vm1 了。
小結
安全組有以下特性: 1. 通過宿主機上 iptables 規則控制進出 instance 的流量。 2. 安全組作用在 instance 的 port 上。 3. 安全組的規則都是 allow,不能定義 deny 的規則。 4. instance 可應用多個安全組疊加使用這些安全組中的規則。
安全組學習完了,下節我們討論 Neutron 的另一個安全機制 -- 虛擬防火牆。
