應用新安全組 - 天天5分鐘玩轉 OpenStack（116）

Neutron 默認的安全組規則會禁止掉全部從外面訪問 instance 的流量。

本節咱們會修改安全組的配置，容許 ping 和 ssh instance。
有兩種方法能夠達到這個目的：

1. 修改 「default」 安全組。
2. 爲 cirros-vm1 添加新的安全組。

這裏咱們採用第二種方法。

在安全組列表頁面點擊按鈕。

爲安全組命名並點擊 「Create Security Group」。
新的安全組 「allow ping & ssh」 建立成功。

點擊按鈕，查看 「allow ping & ssh」 的規則。

系統默認定義了兩條規則，運行全部的外出流量。
爲清晰起見，能夠點擊按鈕刪除這兩條規則。

點擊按鈕，添加容許 ping 的規則。

「Rule」 選擇 「All ICMP」，「Direction」 選擇 「Ingress」，而後點擊 「Add」 按鈕。

一樣的方式添加 ssh 規則。

在列表中查看添加成功的規則。

接下來設置 cirros-vm1，使用新的安全組。
進入 instance 列表頁面，點擊 cirros-vm1 下拉操做列表中的 「Edit Security Groups」

能夠看到 cirros-vm1 當前使用的安全組爲 「default」，可選安全組爲 「allow ping & ssh」。

點擊安全組 「allow ping & ssh」 後面的 「+」 按鈕。

點擊 「Save」 保存。

iptables 會當即更新，下面經過 vimdiff 查看 iptables 先後的變化。

「allow ping & ssh」 安全組引入了下面兩條 iptables 規則。
做用是運行 ingress 的 ssh 和 ping 流量。

-A neutron-linuxbri-i8bca5b86-2 -p tcp -m tcp --dport 22 -j RETURN
-A neutron-linuxbri-i8bca5b86-2 -p icmp -j RETURN

測試一下，如今可以 ping 和 ssh cirros-vm1 了。

小結

安全組有如下特性：
1. 經過宿主機上 iptables 規則控制進出 instance 的流量。
2. 安全組做用在 instance 的 port 上。
3. 安全組的規則都是 allow，不能定義 deny 的規則。
4. instance 可應用多個安全組疊加使用這些安全組中的規則。

安全組學習完了，下節咱們討論 Neutron 的另外一個安全機制 -- 虛擬防火牆。