FisGeo & INFN Perugia

Come configurare le regole di accesso mediante i Security Group

I Security Group consentono all'utente di modificare le regole di accesso alle macchine virtuali. L'utente può facilmente decidere quali porte aprire (in ingresso o uscita) e da/verso quali IP o sottoreti.

Per gestire i security group, accedere alla web dashboard di Openstack con i propri username e password. Nella parte sinistra, cliccare su Project, poi Access & Security, e poi sulla sezione Security Groups, dove si trova la lista dei Security Group già presenti nel tenant.

Per creare un nuovo Security Group, cliccare su Create Security Group in alto a destra.

Nella nuova finestra, indicare un nome e una descrizione per il security group e poi cliccare su Create Security Group per crearlo.

Per gestire un Security Group (aggiungere o rimuovere regole), cliccare su Manage Rules. Nella nuova finestra, la lista delle regole per quel security group apparirà. Per aggiungere nuove regole cliccare su Add Rule e configurare la regola desiderata (vedi gli esempi).

Infine, bisogna aggiungere il nuovo security group alla VM. Nella parte sinistra della pagina, cliccare su Instances, poi cliccare sul menu a destra in corrispondenza della VM e selezionare Edit Security Groups.

Nella nuova finestra, è possibile aggiungere o rimuovere Security Group dalla VM.

Esempi

In seguito, alcuni esempi su come configurare alcune regole verranno mostrati.

• Esempio 1: Aggiungere la regola SSH (analogamente per HTTP, HTTPS...)

  Dopo aver cliccato su Add Rule, nella nuova finestra selezionare "SSH" dal menu Rule; nel menu Remote bisogna scegliere "CIDR" o "Security Group" come sorgente di traffico: se si sceglie "CIDR", nel menu CIDR indicare la rete da cui si vuole accedere tramite ssh alla VM (es.: 90.147.66.0/24), o lasciare 0.0.0.0/0 se si vuole che la porta sia aperta al traffico proveniente da qualsiasi parte.

  

• Esempio 2: Aggiungere la regola ALL ICMP per consentire il ping

  Dopo aver cliccato su Add Rule, nella nuova finestra selezionare "ALL ICMP" dal menu Rule; nel menu Direction scegliere "Ingress" o "Egress"; le altre opzioni sono come nell'esempio precedente.

  

• Esempio 3: Aggiungere una regola TCP personalizzata

  Dopo aver cliccato su Add Rule, nella nuova finestra selezionare "Custom TCP Rule" dal menu Rule; nel menu Direction scegliere "Ingress" o "Egress"; nel menu Open Port scegliere "Port" o "Port Range", e, secondo questa scelta, nel menu successivo indicare la porta (o il range di porte) che si vuole aprire; le altre opzioni sono come nel primo esempio.