티스토리 뷰
openstack pike security group
문서
https://docs.openstack.org/python-openstackclient/pike/cli/command-objects/security-group-rule.html https://docs.openstack.org/pike/ |
vim takakocap
export OS_USERNAME=takakocap export OS_PASSWORD=19163f0f017608fd8782ddd12123123dsfsdfsdfsdf export OS_PROJECT_NAME=takakocap export OS_USER_DOMAIN_NAME=Default export OS_PROJECT_DOMAIN_NAME=Default export OS_AUTH_URL=http://con-2x-3x:35357/v3 export OS_IDENTITY_API_VERSION=3 export OS_IMAGE_API_VERSION=2 export OS_AUTH_TYPE=password |
source takakocap
[openstack] CLI
인스턴스 생성
openstack server create 인스턴스이름 --image 이미지이름 --flavor flavor이름 --network 네트워크이름 --security-group 적용할SG이름
|
포트 리스트
openstack port list
|
floating ip 리스트
openstack floating ip list
|
floating ip 연결하기
openstack floating ip set --port 포트ID --fixed-ip-address 사설아이피 공인아이피
|
floating ip 제거하기
openstack server remove floating ip 서버이름 공인아이피
|
사설아이피 제거
openstack server remove fixed ip 서버이름 사설아이피
|
플로팅 아이피 할당받기
openstack floating ip create [network-ID]
|
포트에 사설아이피 할당 (1개 이상)
openstack port set --fixed-ip subnet=6d8d5b45-003b-4298-b914-89244ec6e894,ip-address=172.16.0.100 ef290357-747d-43b3-932c-5f43a7ce025e |
port allowed-address (포트1과 포트2 설정)
openstack port set --allowed-address ip-address=172.16.0.6 --allowed-address ip-address=172.16.0.7 포트1ID openstack port set --allowed-address ip-address=172.16.0.6 --allowed-address ip-address=172.16.0.7 포트2ID |
allowrd 수정 (다 삭제후 남길 포트만 명시)
openstack port set --no-allowed-address --allowed-address ip-address=10.0.0.7 0378e867-b9cc-46ea-a882-1daba6c33f84 |
: port-allowed 동일한 서버에 포트가 2개 연결시 방화벽 설정에 의해 각각 포트에 대한 다른 아이피가 차단되지 않도록 열어주는 설정
시큐리티 그룹 생성
openstack security group create [생성할 시큐리티 그룹 이름] |
시큐리티 그룹 삭제
openstacl security group delete [삭제할 시큐리티 그룹 이름] |
시큐리티 그룹 리스팅
openstack security group list |
+--------------------------------------+---------+------------------------+----------------------------------+
| ID | Name | Description | Project |
+--------------------------------------+---------+------------------------+----------------------------------+
| 87b59212-bf0a-4b7b-8437-5f4733bf6f19 | default | Default security group | ae6f5a69debd44fb812484cf01d1fe7a |
| aad7f85d-7c48-4183-b4a6-7be7f20f2c1d | kek | kek | ae6f5a69debd44fb812484cf01d1fe7a |
+--------------------------------------+---------+------------------------+----------------------------------+
openstack security group rule list |
+--------------------------------------+-------------+-----------+------------+--------------------------------------+--
| ID | IP Protocol | IP Range | Port Range | Remote Security Group | Security Group |
+--------------------------------------+-------------+-----------+------------+--------------------------------------+--
| 10052cc9-be03-4735-9ba6-c548d79b1f9e | tcp | 0.0.0.0/0 | 3389:3389 | None | aad7f85d-7c48-4183-b4a6-7be7f20f2c1d |
| 5490d417-6e72-48f7-92ca-a49a053fcee1 | None | None | | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 |
| 5a3cc981-d960-4e26-b83b-6464e9b35692 | icmp | 0.0.0.0/0 | | None | aad7f85d-7c48-4183-b4a6-7be7f20f2c1d |
| 5ed4f6b9-5632-46ed-8c52-dbbd7f899af2 | None | None | | None | aad7f85d-7c48-4183-b4a6-7be7f20f2c1d |
| 923d3c54-37c0-4add-889d-3e6b40b1ddcc | None | None | | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 |
| abae6ef3-11b9-43bb-a0ee-9d6ab368172b | None | None | | None | aad7f85d-7c48-4183-b4a6-7be7f20f2c1d |
| f41f31b8-1fb1-4799-b822-a558c3c49182 | None | None | | None | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 |
| f638db0c-96f6-4be3-b426-fa0b761df9d5 | None | None | | None | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 |
+--------------------------------------+-------------+-----------+------------+--------------------------------------+--
openstack security group rule create --ingree (--egress) --ethertype --protocol --dst-port --remote-ip |
openstack security group rule delete
openstack security group rule show 10052cc9-be03-4735-9ba6-c548d79b1f9e
+-------------------+--------------------------------------+
| Field | Value |
+-------------------+--------------------------------------+
| created_at | 2018-03-20T00:53:28Z |
| description | |
| direction | ingress |
| ether_type | IPv4 |
| id | 10052cc9-be03-4735-9ba6-c548d79b1f9e |
| name | None |
| port_range_max | 3389 |
| port_range_min | 3389 |
| project_id | ae6f5a69debd44fb812484cf01d1fe7a |
| protocol | tcp |
| remote_group_id | None |
| remote_ip_prefix | 0.0.0.0/0 |
| revision_number | 0 |
| security_group_id | aad7f85d-7c48-4183-b4a6-7be7f20f2c1d |
| updated_at | 2018-03-20T00:53:28Z |
+-------------------+--------------------------------------+
openstack security group set aad7f85d-7c48-4183-b4a6-7be7f20f2c1d --name takakocap_sg1 --description takakocap_sg1
security group show
openstack security group rule create takakocap_sg1 --ingress --ethertype IPv4 --dst-port 3389:3389 --protocol tcp --remote-ip 0.0.0.0/0
openstack security group rule create --ingress --protocol tcp --dst-port 8080 --remote-ip 0.0.0.0/0 BYPASS
ipv4 나가는 모든 열기
openstack security group rule create takakocap_sg1 --egress --ethertype IPv4 |
ipv6 나가는 모든 열기
openstack security group rule create takakocap_sg1 --egress --ethertype IPv6 |
ipv4 들어오는 모든 열기
openstack security group rule create takakocap_sg1 --ingress --ethertype IPv4 |
ipv6 들어오는 모든 열기
openstack security group rule create takakocap_sg1 --ingress --ethertype IPv6 |
포트 제거시 시큐리티그룹을 참조하기 때문에 해당 포트에 시큐리티 그룹을 변경하거나 삭제를 해야 참조하고 있는 시큐리티 그룹 삭제가 가능하다.
protocol number ( 0 ~ 255) pike 버젼에서 CLI 입력 가능한 프로토콜 번호
1 : ICMP 2 : IGMP 6 : TCP 8 : EGP 17 : UDP 33 : DCCP 41 : IPV6 --> 41번으로 입력 ethertype 옵션과 중복 43 : IPV6-ROUTE 44 : IPV6-FRAG 46 : RSVP 47 : GRE 50 : ESP 51 : AH 58 : IPV6-ICMP 59 : IPV6-NONXT 60 : IPV6-OPTS 89 : OSPF 112 : VRRP 113 : PGM 132 : SCTP 136 : UDPLITE |
Security group ALL OPEN
neutron security-group-rule-create --direction ingress --ethertype IPv4 --remote-ip-prefix 0.0.0.0/0 takakocap-sg3 |
: openstack CLI 에서는 아직 지원하지 않아서 neutron 명령어를 사용하였음
ISSUE
openstack 인바운드 아웃바운드 ALL ACCEPT
security group 설정시 remote 를 0.0.0.0 설정과 security group 설정시 remote 를 동일 시큐리티 그룹 설정 2개가 공존하면 충돌발생
|
'Cloud' 카테고리의 다른 글
| openstack pci passthrough (0) | 2018.07.03 |
|---|---|
| Open vSwitch Firewall Driver (0) | 2018.03.22 |
| 공인아이피 (public ip) 확인 방법 (0) | 2018.01.31 |
| 마켓플레이스 (marketplace) 조사 (0) | 2017.04.21 |
| oauth (0) | 2017.04.21 |
- Total
- Today
- Yesterday
- php
- SSL
- cURL
- NGINX
- glusterfs
- iptables
- centOS7
- WAF
- ssh
- ntp
- gitlab
- mod_security
- yum
- HAProxy
- Apache
- GeoIP
- virtualbox
- 베이어다이나믹
- kvm
- 인증서
- 리눅스
- pptp
- L2TP
- mariadb
- centos8
- OpenVPN
- MySQL
- softether
- galera
- IPSEC
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |