NetPoint Cloud2 урок 2. Работа с группами безопасности

В этом уроке мы рассмотрим о том, как реализован внешний файрвол в Cloud2 и научимся настраивать группы безопасности.

Группы безопасности — объект CloudStack, который обеспечивает защиту виртуальной машины с помощью внешнего механизма правил ограничения трафика по протоколам, портам и сетевым маскам (CIDR).

Для успешного использования данной функции вы должны понимать следующие концепции:

  1. Протоколы TCP, UDP, ICMP;
  2. сетевые порты;
  3. CIDR v4, CIDR v6.

Каждая группа безопасности содержит два вида правил:

  • Ingress — правила, которые определяют политики для входящего в виртуальную машину трафика;
  • Egress — правила, которые определяют политики для исходящего с виртуальной машины трафика.

По умолчанию, пустая группа безопасности не пропускает трафик ни к машине ни от машины.

При создании машины вы можете указать одну или более групп безопасности. После создания машины группы безопасности нельзя от нее открепить или заменить на какие-то другие. Вы можете только изменять правила в группах.

Часто применяется реализация двух схем:

  1. каждый сервер получает отдельную, созданную специально для него группу безопасности.
  2. все серверы, у которых одна и та же согласованная политика доступа получают общую группу безопасности.

Подход №1 позволяет гибко управлять трафиком каждой машины по отдельности. Этот подход может успешно применяться при создании логически несвязанных машин.

Подход №2 позволяет управлять политикой пропуска трафика для нескольких машин, например, для серверов СУБД одного проекта из одной точки.

В рамках данного урока мы будем рассматривать подход №1, как более простой и характерный для большинства пользователей, у которых в аккаунте 1-2 виртуальных машины. Второй подход более характерен для массированных аккаунтов с десятками и сотнями машин в аккаунте.

Группа безопасности по умолчанию Default

В каждом аккаунте при выделении сразу создается группа безопасности Default, которая имеет установленные по умолчанию правила, пропускающие трафик во всех направлениях. Эта группа позволяет создавать виртуальные машины, которые не имеют ограничений по трафику, что ожидает большая часть пользователей.

Для просмотра группы выберите вкладку Network и вид Security Groups:

Здесь вы можете видеть все созданные группы безопасности. И создать новые, если требуется. Давайте исследуем группу default. Для этого нажмите на группу и перейдите в вид группы:

Правила для группы можно задать на вкладках Ingress Rule и Egress Rule. Поскольку в группе default правила уже сформированы, давайте их посмотрим. Перейдем на вкладку с Ingress Rule (правила для входящего трафика):

Как можно видеть для входящего трафика определены правила для всех типов трафика, которые все разрешают:

  • ICMP (-1, -1) разрешает весь трафик по ICMP, если требуется разрешить только определенные коды, то требуется указывать явно ICMP Type, ICMP Code.
  • Для TCP разрешен трафик со всех ipv4 узлов (0.0.0.0/0) и для всех ipv6 узлов (::/0) на все порты (1-65535).
  • Для UDP все аналогично TCP.

Перейдя на вкладку Egress Rule, вы можете увидеть такие же правила и для исходящего трафика:

При редактировани правил изменения происходят автоматически. Однако, если вы не видите изменений, просто остановите виртуальную машину и запустите ее заново.

В каких группах безопасности находится машина

Для того, чтобы узнать в каких группах находится виртуальная машина, перейдите в вид виртуальной машины на вкладку Security Groups:

Как видно в примере, машина находится в группе Default.

Заключение

В этом уроке вы научились пользоваться группами безопасности и можете использовать эту возможность для внешнего ограничения трафика к виртуальным машинам.