设定实例的权限和安全设置

updated: 2017-07-18 08:53
Contents

设定实例的权限和安全设置

在登录实例之前,你应该为实例创建安全组规则来使用户可以使用ping功能和使用SSH登录功能。安全组是一系列定义了网络访问的IP过滤规则,并且安全组被应用到该租户的所有实例上。为了实现它,你可以在default安全组上添加规则(请参考`security_groups_add_rule`)或者添加一个新的带有规则的安全组。

密钥对是在主机创建时注册到主机内的一个SSH的凭据。为了使密钥对注册,创建实例时使用的镜像必须包含“cloud-init”包。每个项目应该至少包含一对秘钥。获取更多信息,请参考章节:keypair_add

如果你使用外部工具生成了一个密钥对,你可以将它导入到OpenStack。密钥对可以被属于同一个项目的多个实例使用。获取更多信息,请参考章节:dashboard_import_keypair

注解

一个密钥对属于独立用户而不属于项目。要想在多个用户中共享密钥,那么每个用户需要导入该密钥对。

当你在OpenStack中创建一个实例,它会被自动分配一个该实例所在网络的固定IP地址。这个IP地址将会与该实例永久绑定,直到实例被删除。然而除了固定IP地址以外,实例也可以加载浮动IP地址。与固定IP地址不同,浮动IP地址可以随时更改与实例的绑定关系而不受实例的状态影响。

为默认安全组添加一个规则

此过程启用对实例的SSH和ICMP(ping)访问。 规则适用于给定项目中的所有实例,并且应对每个项目进行设置,除非有理由禁止SSH或ICMP访问实例。

如果云需要,可以根据需要调整此过程以向项目添加其他安全组规则。

注解

当添加一条规则时,你必须指定使用的协议及目的端口或源端口

  1. 登录仪表盘

  2. 从左上角的下拉菜单中选择合适的项目

  3. 在 :guilabel:`项目`选项卡中,打开:guilabel:`计算`选项卡,然后单击:guilabel:`访问和安全`类别。:guilabel:`安全组`选项卡显示可用于此项目的安全组。

  4. 选择默认的安全组并单击 管理规则

  5. 为允许SSH访问,单击:guilabel:添加规则

  6. 在 :guilabel:`添加规则`对话框中,输入以下值:

    • 规则SSH
    • 远程CIDR
    • CIDR0.0.0.0/0

    注解

    要接受来自特定IP地址范围的请求,请在 :guilabel:`CIDR`框中指定IP地址块。

  7. 单击 添加

    实例将为所有IP地址的请求打开SSH端口22。

  8. 要添加ICMP规则,请单击:guilabel:添加规则

  9. 在 :guilabel:`添加规则`对话框中,输入以下值:

    • 规则All ICMP
    • 方向Ingress
    • 远程CIDR
    • CIDR0.0.0.0/0

  10. 单击 添加

    实例现在将会接收所有ICMP包。

添加密钥对

为每个项目至少创建一个密钥对。

  1. 登录仪表盘
  2. 从左上角的下拉菜单中选择合适的项目
  3. 在:guilabel:`项目`选项卡中,打开:guilabel:`计算`选项卡,然后单击:guilabel:`安全和访问`类别。
  4. 单击:guilabel:`密钥对`选项卡,其中显示可用于此项目的密钥对。
  5. 单击:guilabel:创建密钥对
  6. 在:guilabel:创建密钥对`对话框中,输入密钥对的名称,然后单击:guilabel:`创建密钥对
  7. 对下载密钥对的提示进行响应。

导入秘钥对

  1. 登录仪表盘

  2. 从左上角的下拉菜单中选择合适的项目

  3. 在:guilabel:`项目`选项卡中,打开:guilabel:`计算`选项卡,然后单击:guilabel:`安全和访问`类别。

  4. 单击:guilabel:`密钥对`选项卡,其中显示可用于此项目的密钥对。

  5. 单击 导入密钥对

  6. 在:guilabel:导入密钥对`对话框中,输入密钥对的名称,将公钥复制到:guilabel:`公钥`框中,然后单击:guilabel:`导入密钥对

  7. 将``*.pem`文件存到本地

  8. 运行以下命令,设置它的权限为只有你本人可读写

    $ chmod 0600 yourPrivateKey.pem

    注解

    如果在Windows计算机上使用仪表板,请使用PuTTYgen加载``*.pem``文件,转换并将其保存为``*.ppk``。有关更多信息,请参阅`WinSCP web page for PuTTYgen <http://winscp.net/eng/docs/ui_puttygen>`__。

  9. 为使SSH知晓密钥对,请执行命令:command:ssh-add command。

    $ ssh-add yourPrivateKey.pem

Compute数据库注册密钥对的公钥。

仪表盘在:guilabel:`访问和安全`选项卡中列出了密钥对。

为云主机分配一个浮动IP地址。

在OpenStack上创建一个云主机时,它会自动在分配的云主机网络中分配一个固定的IP地址。此IP地址永久与云主机相关联,直到云主机被终止。

然而,除了固定的IP地址,一个浮动的IP地址也可以连接到云主机。不同于固定的IP地址,无论涉及什么情况下的状态,浮动的IP地址可以在任何时间修改他们的关联。此过程详细介绍了在现有的地址池中保留的浮动IP地址,以及与一个特定实例关联地址。

  1. 登录仪表盘

  2. 从左上角的下拉菜单中选择合适的项目

  3. 在:guilabel:`项目`选项卡中,打开:guilabel:`计算`选项卡,然后单击:guilabel:`安全和访问`类别。

  4. 单击:guilabel:`浮动IP`选项卡,其中显示分配给实例的浮动IP地址。

  5. 点击:guilabel:分配IP到项目

  6. 从地址池中选择你要选的IP地址。

  7. 点击 分配IP

  8. 在:guilabel:浮动IP 列表中,单击:guilabel:关联.

  9. 在:guilabel:`管理浮动IP关联`对话框中,选择如下选项:

    • :guilabel:`IP地址`字段可自动填充,但可以通过单击:guilabel:`+`按钮添加一个新的IP地址。

    • 在:guilabel:`要关联的端口`字段中,从列表中选择一个端口。

      该列表展示了所有云主机的固定IP地址。

  10. 点击:guilabel:关联

注解

要从一个云主机中释放IP地址,点击::guilabel: ‘Disassociate’按钮。

要将浮动IP地址释放回浮动IP池,请在:guilabel:`动作`列点击:guilabel:`释放浮动IP`选项。

updated: 2017-07-18 08:53
Creative Commons Attribution 3.0 License

Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.

found an error? report a bug questions?