[ English | español | Deutsch | Esperanto | नेपाली | 한국어 (대한민국) | English (United Kingdom) | 中文 (简体, 中国) | français | português (Brasil) | русский | Indonesia ]

Настройте доступ и безопасность для инстансов

Перед запуском инстанса следует добавить правила группы безопасности, чтобы пользователи могли выполнять пинг и использовать SSH для подключения к инстансу. Группы безопасности представляют собой наборы правил IP фильтрации, которые определяют сетевой доступ и применяются ко всем инстансам в рамках проекта. Для этого вам нужно либо добавить правила в группу безопасности по умолчанию Добавить правило в группу безопасности по умолчанию или добавить новую группу безопасности с правилами.

Ключевые пары — это данные SSH, которые вводятся в инстанс при его запуске. Чтобы иметь возможность ввода ключевой пары, образ, на котором основан инстанс, должен содержать пакет cloud-init. Каждый проект должен иметь как минимум одну пару ключей. Для получения дополнительной информации см. раздел Добавление ключевой пары.

Если вы сгенерировали пару ключей с помощью внешнего инструмента, вы можете импортировать ее в OpenStack. Пару ключей можно использовать для нескольких инстансов, принадлежащих проекту. Для получения дополнительной информации см. раздел Импорт ключевой пары.

Примечание

Ключевая пара принадлежит каждому пользователю, а не проекту. Чтобы поделиться ключевой парой между несколькими пользователями, каждому пользователю необходимо импортировать эту ключевую пару.

При создании инстансов в OpenStack ему автоматически назначается фиксированный IP-адрес в сети, к которой он привязан. Этот IP-адрес постоянно связан с инстансом до тех пор, пока инстанс не будет удален. Однако, в дополнение к фиксированному IP-адресу, к инстансу может быть также привязан плавающий IP-адрес. В отличие от фиксированных IP-адресов, привязки плавающих IP-адреса могут быть изменены в любое время, независимо от состояния задействованных инстансов.

Добавить правило в группу безопасности по умолчанию

Эта процедура включает SSH доступ и ICMP (ping) к инстансам. Правила применяются ко всем инстансам в рамках данного проекта и должны быть установлены для каждого проекта, если только нет причин запрещать доступ по SSH или ICMP к инстансам.

Эту процедуру можно при необходимости скорректировать, чтобы добавить в проект дополнительные правила группы безопасности, если они требуются вашему облаку.

Примечание

При добавлении правила необходимо указать протокол, используемый для порта назначения или портом источником.

  1. Вход в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. Во вкладке Проект откройте вкладку Сеть. На вкладке Группы безопасности отображаются группы безопасности, доступные для этого проекта.

  4. Выберите группу безопасности по умолчанию и нажмите Управление правилами.

  5. Чтобы разрешить доступ по SSH, нажмите Добавить правило.

  6. В диалоговом окне Добавить правило введите следующие значения:

    • Правило: SSH

    • Удаленный: CIDR

    • CIDR: 0.0.0.0/0

    Примечание

    Чтобы принимать запросы с определенного диапазона IP-адресов, укажите блок IP-адресов в поле CIDR.

  7. Нажмите Добавить.

    Теперь у инстансов будет открыт SSH порт 22 для запросов с любого IP-адреса.

  8. Чтобы добавить правило ICMP, нажмите Добавить правило.

  9. В диалоговом окне Добавить правило введите следующие значения:

    • Правило: все ICMP

    • Направление: входящий трафик

    • Удаленный: CIDR

    • CIDR: 0.0.0.0/0

  10. Нажмите Добавить.

    Инстансы теперь будут принимать все входящие пакеты ICMP.

Добавление ключевой пары

Создайте как минимум одну пару ключей для каждого проекта.

  1. Вход в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. Во вкладке Проект откройте вкладку Вычислительные ресурсы.

  4. Нажмите на вкладку Ключевые пары, после чего будут показаны ключевые пары, доступные для этого проекта.

  5. Нажмите Создать ключевую пару.

  6. В диалоговом окне Создать ключевую пару введите имя для вашей ключевой пары и нажмите Создать ключевую пару.

  7. Закрытый ключ будет загружен автоматически.

  8. Чтобы изменить разрешения для того, чтобы только вы могли читать и изменять файл, выполните следующую команду:

    $ chmod 0600 yourPrivateKey.pem

    Примечание

    Если вы используете компьютер с операционной системой Windows, используйте PuTTYgen для загрузки файла *.pem, конвертируйте и сохраните его как *.ppk. Для получения дополнительной информации см. страницу WinSCP для PuTTYgen.

  9. Чтобы сделать пару ключей известной для SSH, выполните команду ssh-add.

    $ ssh-add yourPrivateKey.pem

Импорт ключевой пары

  1. Вход в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. Во вкладке Проект откройте вкладку Вычислительные ресурсы.

  4. Нажмите на вкладку Ключевые пары, после чего будут показаны ключевые пары, доступные для этого проекта.

  5. Нажмите Импортировать ключевую пару.

  6. В диалоговом окне Импортировать открытый ключ введите имя вашей ключевой пары, скопируйте открытый ключ в поле Открытый ключ, а затем нажмите Импортировать открытый ключ.

База данных вычислительной службы регистрирует открытый ключ ключевой пары.

В панели управления, список ключевых пар отображается во вкладке Ключевые пары.

Выделение плавающего IP-адреса инстансу

При создании инстанса в OpenStack ему автоматически назначается фиксированный IP-адрес в сети, к которой он назначен. Этот IP-адрес постоянно связан с инстансом до тех пор, пока инстанс не будет удален.

Однако, в дополнение к фиксированному IP-адресу, к инстансу может быть также прикреплен плавающий IP-адрес. В отличие от фиксированных IP-адресов, плавающие IP-адреса могут изменять свои привязки в любое время, независимо от состояния задействованных инстансов. Эта процедура подробно описывает резервирование плавающего IP-адреса из существующего пула адресов и привязку этого адреса к определенному инстансу.

  1. Вход в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. Во вкладке Проект откройте вкладку Сеть.

  4. Нажмите на вкладку Плавающие IP, на которой отображаются плавающие IP-адреса, назначенные инстансам.

  5. Нажмите Выделить IP проекту.

  6. Выберите пул, из которого следует выбрать IP-адрес.

  7. Нажмите Выделить IP.

  8. В списке Плавающие IP нажмите Назначить.

  9. В диалоговом окне Управление назначением плавающих IP выберите следующие параметры:

    • Поле IP-адрес заполняется автоматически, но вы можете добавить новый IP-адрес, нажав кнопку +.

    • В поле Порт для назначения выберите порт из списка.

      В списке показаны все инстансы с их фиксированными IP-адресами.

  10. Нажмите Назначить.

Примечание

Чтобы отменить привязку IP-адреса к инстансу, нажмите кнопку Снять назначение.

Чтобы вернуть плавающий IP-адрес обратно в пул плавающих IP-адресов, нажмите кнопку Освободить плавающий IP в столбце Действия.