Filtrage des accès avec les “Security Groups”

Note

Les “Security Groups” dans OpenStack sont des filtres IP qui peuvent être appliqués à une ou plusieurs instances voir à toutes les instances du projet.

Un “security group” appelé “default” est créé dans chaque projet et il s’applique à toutes les instances du projet.

Par défaut un certain nombre de règles standards, non visibles par les utilisateurs, comme par exemple autoriser le ping ainsi que d’autres règles spécifiques au réseau du CC ont été ajoutés afin de faciliter certains accès génériques.

Pour afficher l’aide

% openstack help security group
Command "security" matches:
  security group create
  security group delete
  security group list
  security group rule create
  security group rule delete
  security group rule list
  security group rule show
  security group set
  security group show

Créer un security group

% openstack security group create --description "Mon groupe de sécurité" mon_secgroup

Ajouter des règles

  • Ajouter une règle qui autorise SSH depuis une machine. Exemple d’une machine qui a comme adresse ip “192.168.1.100” :

    % openstack security group rule create --remote-ip 192.168.1.100/32 --protocol tcp --dst-port 22 mon_secgroup
    
  • Ajouter une règle qui autorise SSH depuis un réseau. Exemple du réseau “192.168.1.0/24” :

    % openstack security group rule create --remote-ip 192.168.1.0/24 --protocol tcp --dst-port 22 mon_secgroup
    
  • Lister les règles du security group

    % openstack security group rule list --long mon_secgroup
    +--------------------------------------+-------------+-------------------+------------+-----------+-----------+-----------------------+
    | ID                                   | IP Protocol | IP Range          | Port Range | Direction | Ethertype | Remote Security Group |
    +--------------------------------------+-------------+-------------------+------------+-----------+-----------+-----------------------+
    | 154b4191-c1e6-4d23-9bfa-6455b4fff87a | tcp         | 192.168.1.100/32  | 22:22      | ingress   | IPv4      | None                  |
    | 3a5184cb-965c-4f0e-9e56-5738337709dc | None        | None              |            | egress    | IPv6      | None                  |
    | d21613f1-7a0a-4357-a051-8ee705d596fe | None        | None              |            | egress    | IPv4      | None                  |
    +--------------------------------------+-------------+-------------------+------------+-----------+-----------+-----------------------+
    

Ajouter le security group à une VM

% openstack server add security group ma_vm mon_secgroup

Supprimer une règle

% openstack security group rule delete 154b4191-c1e6-4d23-9bfa-6455b4fff87a

Important

Il est possible de supprimer une règle mais il n’est pas possible de la modifier.