[ English | Deutsch | français | नेपाली | español | English (United Kingdom) | Indonesia | português (Brasil) | Esperanto | 中文 (简体, 中国) | русский | 한국어 (대한민국) ]

Настройте доступ и безопасность для инстансов

Перед запуском инстанса следует добавить правила группы безопасности, чтобы пользователи могли выполнять пинг и использовать SSH для подключения к инстансу. Группы безопасности представляют собой наборы правил IP фильтрации, которые определяют сетевой доступ и применяются ко всем инстансам в рамках проекта. Для этого вам нужно либо добавить правила в группу безопасности по умолчанию :ref:`security_groups_add_rule`или добавить новую группу безопасности с правилами.

Пары ключей — это данные SSH, которые вводятся в инстанс при его запуске. Чтобы иметь возможность ввода пары ключей, образ, на котором основан инстанс, должен содержать пакет cloud-init. Каждый проект должен иметь как минимум одну пару ключей. Для получения дополнительной информации см. раздел Добавление ключевой пары.

Если вы сгенерировали пару ключей с помощью внешнего инструмента, вы можете импортировать ее в OpenStack. Пару ключей можно использовать для нескольких инстансов, принадлежащих проекту. Для получения дополнительной информации см. раздел Импорт ключевой пары.

Примечание

Пара ключей принадлежит отдельному пользователю, а не проекту. Чтобы поделиться парой ключей между несколькими пользователями, каждому пользователю необходимо импортировать эту пару ключей.

При создании инстансов в OpenStack ему автоматически назначается фиксированный IP-адрес в сети, к которой он привязан. Этот IP-адрес постоянно связан с инстансом до тех пор, пока инстанс не будет удален. Однако, в дополнение к фиксированному IP-адресу, к инстансу может быть также привязан плавающий IP-адрес. В отличие от фиксированных IP-адресов, привязки плавающих IP-адреса могут быть изменены в любое время, независимо от состояния задействованных инстансов.

Добавить правило в группу безопасности по умолчанию

Эта процедура включает SSH доступ и ICMP (ping) к инстансам. Правила применяются ко всем инстансам в рамках данного проекта и должны быть установлены для каждого проекта, если только нет причин запрещать доступ по SSH или ICMP к инстансам.

Эту процедуру можно при необходимости скорректировать, чтобы добавить в проект дополнительные правила группы безопасности, если они требуются вашему облаку.

Примечание

При добавлении правила необходимо указать протокол, используемый для порта назначения или портом источником.

  1. Вход в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. Во вкладке Проект откройте вкладку Сеть. На вкладке Группы безопасности отображаются группы безопасности, доступные для этого проекта.

  4. Выберите группу безопасности по умолчанию и нажмите Управление правилами.

  5. Чтобы разрешить доступ по SSH, нажмите Добавить правило.

  6. В диалоговом окне Добавить правило введите следующие значения:

    • Правило: SSH

    • Удаленный адрес: CIDR

    • CIDR: 0.0.0.0/0

    Примечание

    Чтобы принимать запросы с определенного диапазона IP-адресов, укажите блок IP-адресов в поле CIDR.

  7. Нажмите Добавить.

    Теперь у инстансов будет открыт SSH порт 22 для запросов с любого IP-адреса.

  8. Чтобы добавить правило ICMP, нажмите Добавить правило.

  9. В диалоговом окне Добавить правило введите следующие значения:

    • Правило: Все ICMP

    • Направление: Входящий трафик

    • Удаленный адрес: CIDR

    • CIDR: 0.0.0.0/0

  10. Нажмите Добавить.

    Инстансы теперь будут принимать все входящие пакеты ICMP.

Добавление ключевой пары

Создайте как минимум одну пару ключей для каждого проекта.

  1. Вход в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. Во вкладке Проект откройте вкладку :guilabel:`Вычислительные ресурсы `.

  4. Нажмите на вкладку Ключевые пары, после чего будут показаны пары ключей, доступные для этого проекта.

  5. Нажмите Создать ключевую пару.

  6. В диалоговом окне Создать ключевую пару введите имя для вашей пары ключей и нажмите Создать ключевую пару.

  7. Приватный ключ будет загружен автоматически.

  8. Чтобы изменить разрешения для того, чтобы только вы могли читать и изменять файл, выполните следующую команду:

    $ chmod 0600 yourPrivateKey.pem

    Примечание

    Если вы используете компьютер с операционной системой Windows, используйте PuTTYgen для загрузки файла *.pem, конвертируйте и сохраните его как *.ppk. Для получения дополнительной информации см. страницу WinSCP для PuTTYgen.

  9. Чтобы сделать пару ключей известной для SSH, выполните команду ssh-add.

    $ ssh-add yourPrivateKey.pem

Импорт ключевой пары

  1. Вход в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. Во вкладке Проект откройте вкладку :guilabel:`Вычислительные ресурсы `.

  4. Нажмите на вкладку Ключевые пары, после чего будут показаны пары ключей, доступные для этого проекта.

  5. Нажмите Импортировать ключевую пару.

  6. В диалоговом окне Импортировать открытый ключ введите имя вашей пары ключей, скопируйте открытый ключ в поле Открытый ключ, а затем нажмите Импортировать открытый ключ.

База данных вычислительной службы регистрирует открытый ключ ключевой пары.

В панели пара ключей отображается во вкладке Ключевые пары.

Выделение плавающего IP-адреса инстансу

При создании инстанса в OpenStack ему автоматически назначается фиксированный IP-адрес в сети, к которой он назначен. Этот IP-адрес постоянно связан с инстансом до тех пор, пока инстанс не будет удален.

Однако, в дополнение к фиксированному IP-адресу, к инстансу может быть также прикреплен плавающий IP-адрес. В отличие от фиксированных IP-адресов, плавающие IP-адреса могут изменять свои привязки в любое время, независимо от состояния задействованных инстансов. Эта процедура подробно описывает резервирование плавающего IP-адреса из существующего пула адресов и привязку этого адреса к определенному инстансу.

  1. Вход в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. Во вкладке Проект откройте вкладку Сеть.

  4. Нажмите на вкладку Плавающие IP, на которой отображаются плавающие IP-адреса, назначенные инстансам.

  5. Нажмите Выделить IP проекту.

  6. Выберите пул, из которого следует выбрать IP-адрес.

  7. Нажмите Выделить IP.

  8. В списке Плавающие IP-адреса нажмите Назначить.

  9. В диалоговом окне Управление назначением плавающих IP выберите следующие параметры:

    • Поле IP-адрес заполняется автоматически, но вы можете добавить новый IP-адрес, нажав кнопку +.

    • В поле Порт для назначения выберите порт из списка.

      В списке показаны все инстансы с их фиксированными IP-адресами.

  10. Нажмите Назначить.

Примечание

Чтобы отменить привязку IP-адреса к инстансу, нажмите кнопку Снять назначение.

Чтобы вернуть плавающий IP-адрес обратно в пул плавающих IP-адресов, нажмите кнопку Освободить плавающий IP в столбце Действия.