Mengkonfigurasi akses dan keamanan untuk instance

updated: 2017-07-18 08:56
Contents

Mengkonfigurasi akses dan keamanan untuk instance

Ketika Anda memulai mesin virtual, Anda dapat menyuntikkan key pair, yang menyediakan akses SSH untuk instance Anda. Untuk ini untuk bekerja, image harus berisi paket cloud-init.

Anda dapat membuat setidaknya satu sepasang kunci (key pair) untuk setiap proyek. Anda dapat menggunakan sepasang kunci untuk beberapa instance yang tergabung dalam proyek itu. Jika Anda menghasilkan pasangan kunci dengan alat eksternal, Anda dapat mengimpor ke OpenStack.

Catatan

Key pair milik pengguna individu, bukan untuk sebuah proyek. Untuk share key pair di beberapa pengguna, setiap pengguna perlu mengimpor sepasang kunci itu.

Jika image menggunakan password root statis atau satu set kunci statis (tidak disarankan), Anda tidak harus memberikan sepasang kunci ketika Anda memulai instance.

security group adalah kumpulan nama aturan akses jaringan yang digunakan untuk membatasi tipe traffic yang memiliki akses ke instance. Ketika Anda memulai sebuah instance, Anda dapat menetapkan satu atau lebih kelompok keamanan untuk itu. Jika Anda tidak membuat kelompok keamanan, instance baru secara otomatis ditetapkan ke kelompok keamanan secara default, kecuali Anda secara eksplisit menentukan kelompok keamanan yang berbeda.

rules terkait di setiap kontrol kelompok keamanan traffic ke instance dalam kelompok. Setiap traffic masuk yang tidak cocok dengan aturan ditolak akses secara default. Anda dapat menambahkan aturan atau menghapus aturan dari kelompok keamanan, dan Anda dapat memodifikasi aturan untuk default dan kelompok keamanan lainnya.

Anda dapat memodifikasi aturan dalam kelompok keamanan untuk memungkinkan akses ke instance melalui port yang berbeda dan protokol. Misalnya, Anda dapat mengubah aturan untuk memungkinkan akses ke instance melalui SSH, ping instance, atau untuk mengizinkan traffic UDP; misalnya, untuk server DNS berjalan pada sebuah instance. Anda menentukan parameter berikut untuk aturan:

  • Source of traffic. Aktifkan lalu lintas (traffic) ke instance dari alamat IP di dalam cloud dari anggota kelompok lain atau dari semua alamat IP.
  • Protocol. Pilih TCP untuk SSH, ICMP untuk ping, atau UDP.
  • Destination port on virtual machine. Mendefinisikan berbagai port. Untuk membuka port tunggal saja, masukkan nilai yang sama dua kali. ICMP tidak mendukung port; sebaliknya, Anda memasukkan nilai untuk menentukan kode dan tipe traffic ICMP yang akan diizinkan.

Aturan secara otomatis diberlakukan segera setelah Anda membuat atau memodifikasi mereka.

Catatan

Instance yang menggunakan kelompok keamanan default tidak bisa, secara default, diakses dari alamat IP di luar cloud. Jika Anda ingin alamat IP itu untuk mengakses instance, Anda harus memodifikasi aturan untuk grup keamanan default. Selain itu, kelompok keamanan otomatis akan turun tanggapan DHCP yang datang dari instance.

Anda juga dapat menetapkan alamat IP mengambang ke instance yang menjalankan supaya dapat diakses dari luar cloud. Lihat Mengelola alamat IP.

Menambahkan sepasang kunci (key pair)

Anda dapat menghasilkan sepasang kunci atau meng-upload kunci publik (public key) yang ada.

  1. Untuk menghasilkan sepasang kunci, jalankan perintah berikut.

    $ openstack keypair create KEY_NAME > MY_KEY.pem

    Perintah ini menghasilkan pasangan kunci (key pair) dengan nama yang Anda tentukan untuk KEY_NAME, menulis kunci pribadi (private key) ke file .pem yang Anda tentukan, dan register kunci publik (public key) ke database Nova.

  2. Untuk mengatur hak akses dari file .pem sehingga hanya Anda dapat membaca dan menulis untuk itu, jalankan perintah berikut.

    $ chmod 600 MY_KEY.pem

Import key pair

  1. Jika Anda telah menghasilkan sepasang kunci dan kunci publik terletak di ~/.ssh/id_rsa.pub, jalankan perintah berikut untuk meng-upload kunci publik.

    $ openstack keypair create --public-key ~/.ssh/id_rsa.pub KEY_NAME

    Perintah ini me-register kunci publik di Nova database dan nama kunci pasangan nama yang Anda tentukan untuk KEY_NAME.

  2. Untuk memastikan bahwa pasangan kunci (key pair) telah berhasil diimpor, daftar pasangan kunci sebagai berikut:

    $ openstack keypair list

Membuat dan mengelola kelompok keamanan

  1. Untuk mendaftar kelompok keamanan untuk proyek ini, termasuk deskripsi, masukkan perintah berikut:

    $ openstack security group list

  2. Untuk membuat kelompok keamanan dengan nama tertentu dan deskripsi, masukkan perintah berikut:

    $ openstack security group create SECURITY_GROUP_NAME --description GROUP_DESCRIPTION

  3. Untuk menghapus kelompok tertentu, masukkan perintah berikut:

    $ openstack security group delete SECURITY_GROUP_NAME

Catatan

Anda tidak dapat menghapus kelompok keamanan default untuk sebuah proyek. Juga, Anda tidak dapat menghapus kelompok keamanan yang ditugaskan untuk instance menjalankan.

Membuat dan mengelola aturan kelompok keamanan

Memodifikasi aturan grup keamanan dengan perintah openstack security group rule. Sebelum Anda mulai, dapatkan sumber file OpenStack RC. Untuk rincian, lihat Set variabel lingkungan menggunakan file OpenStack RC.

  1. Untuk mendaftar aturan untuk kelompok keamanan, jalankan perintah berikut:

    $ openstack security group rule list SECURITY_GROUP_NAME

  2. Untuk mengizinkan akses SSH ke instance, pilih salah satu opsi berikut:

    • Mengizinkan akses dari semua alamat IP, ditetapkan sebagai IP subnet 0.0.0.0/0 dalam notasi CIDR:

      $ openstack security group rule create SECURITY_GROUP_NAME \
      --protocol tcp --dst-port 22:22 --remote-ip 0.0.0.0/0

    • Mengizinkan akses hanya dari alamat IP dari kelompok keamanan lainnya (kelompok sumber) untuk mengakses port tertentu:

      $ openstack security group rule create SECURITY_GROUP_NAME \
      --protocol tcp --dst-port 22:22 --remote-group SOURCE_GROUP_NAME

  3. Untuk Mengizinkan ping dari instance, pilih salah satu opsi berikut:

    • Mengizinkan ping dari semua alamat IP, ditetapkan sebagai IP subnet 0.0.0.0/0 dalam notasi CIDR.

      $ openstack security group rule create --protocol icmp \
  SECURITY_GROUP_NAME

      Hal ini Mengizinkan akses ke semua kode dan semua jenis lalu lintas ICMP.

    • Hanya mengizinkan anggota kelompok keamanan lainnya (kelompok sumber) melakukan ping instance.

      $ openstack security group rule create --protocol icmp \
  --remote-group SOURCE_GROUP_NAME SECURITY_GROUP

  4. Untuk Mengizinkan akses melalui port UDP, seperti mengizinkan akses ke server DNS yang berjalan pada VM, pilih salah satu opsi berikut:

    • Mengizinkan akses UDP dari alamat IP, ditetapkan sebagai IP subnet 0.0.0.0/0 dalam notasi CIDR.

      $ openstack security group rule create --protocol udp \
  --dst-port 53:53 SECURITY_GROUP

    • Hanya mengizinkan alamat IP dari kelompok keamanan lainnya (source groups) untuk mengakses port tertentu.

      $ openstack security group rule create --protocol udp \
  --dst-port 53:53 --remote-group SOURCE_GROUP_NAME SECURITY_GROUP

Menghapus aturan kelompok keamanan

Untuk menghapus grup aturan keamanan, tentukan ID dari aturan.

$ openstack security group rule delete RULE_ID
updated: 2017-07-18 08:56
Creative Commons Attribution 3.0 License

Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.

found an error? report a bug questions?