OpenStack Docs: 设定实例的权限和安全设置 |
您所在的位置:网站首页 › openstack安全组原理 › OpenStack Docs: 设定实例的权限和安全设置 |
|
设定实例的权限和安全设置¶
在登录实例之前,你应该为实例创建安全组规则来使用户可以使用ping功能和使用SSH登录功能。安全组是一系列定义了网络访问的IP过滤规则,并且安全组被应用到该租户的所有实例上。为了实现它,你可以在default安全组上添加规则(请参考`security_groups_add_rule`)或者添加一个新的带有规则的安全组。 密钥对是在主机创建时注册到主机内的一个SSH的凭据。为了使密钥对注册,创建实例时使用的镜像必须包含“cloud-init”包。每个项目应该至少包含一对秘钥。获取更多信息,请参考章节:keypair_add 如果你使用外部工具生成了一个密钥对,你可以将它导入到OpenStack。密钥对可以被属于同一个项目的多个实例使用。获取更多信息,请参考章节:dashboard_import_keypair 注解 一个密钥对属于独立用户而不属于项目。要想在多个用户中共享密钥,那么每个用户需要导入该密钥对。 当你在OpenStack中创建一个实例,它会被自动分配一个该实例所在网络的固定IP地址。这个IP地址将会与该实例永久绑定,直到实例被删除。然而除了固定IP地址以外,实例也可以加载浮动IP地址。与固定IP地址不同,浮动IP地址可以随时更改与实例的绑定关系而不受实例的状态影响。 为默认安全组添加一个规则¶此过程启用对实例的SSH和ICMP(ping)访问。 规则适用于给定项目中的所有实例,并且应对每个项目进行设置,除非有理由禁止SSH或ICMP访问实例。 如果云需要,可以根据需要调整此过程以向项目添加其他安全组规则。 注解 当添加一条规则时,你必须指定使用的协议及目的端口或源端口 登录仪表盘 从左上角的下拉菜单中选择合适的项目 在 :guilabel:`项目`选项卡中,打开:guilabel:`计算`选项卡,然后单击:guilabel:`访问和安全`类别。:guilabel:`安全组`选项卡显示可用于此项目的安全组。 选择默认的安全组并单击 管理规则。 为允许SSH访问,单击:guilabel:添加规则。 在 :guilabel:`添加规则`对话框中,输入以下值: 规则:SSH 远程:CIDR CIDR:0.0.0.0/0注解 要接受来自特定IP地址范围的请求,请在 :guilabel:`CIDR`框中指定IP地址块。 单击 添加。 实例将为所有IP地址的请求打开SSH端口22。 要添加ICMP规则,请单击:guilabel:添加规则。 在 :guilabel:`添加规则`对话框中,输入以下值: 规则:All ICMP 方向: Ingress 远程:CIDR CIDR:0.0.0.0/0单击 添加。 实例现在将会接收所有ICMP包。 添加密钥对¶为每个项目至少创建一个密钥对。 登录仪表盘 从左上角的下拉菜单中选择合适的项目 在:guilabel:`项目`选项卡中,打开:guilabel:`计算`选项卡,然后单击:guilabel:`安全和访问`类别。 单击:guilabel:`密钥对`选项卡,其中显示可用于此项目的密钥对。 单击:guilabel:创建密钥对。 在:guilabel:创建密钥对`对话框中,输入密钥对的名称,然后单击:guilabel:`创建密钥对。 对下载密钥对的提示进行响应。 导入秘钥对¶登录仪表盘 从左上角的下拉菜单中选择合适的项目 在:guilabel:`项目`选项卡中,打开:guilabel:`计算`选项卡,然后单击:guilabel:`安全和访问`类别。 单击:guilabel:`密钥对`选项卡,其中显示可用于此项目的密钥对。 单击 导入密钥对。 在:guilabel:导入密钥对`对话框中,输入密钥对的名称,将公钥复制到:guilabel:`公钥`框中,然后单击:guilabel:`导入密钥对。 将``*.pem`文件存到本地 运行以下命令,设置它的权限为只有你本人可读写 $ chmod 0600 yourPrivateKey.pem注解 如果在Windows计算机上使用仪表板,请使用PuTTYgen加载``*.pem``文件,转换并将其保存为``*.ppk``。有关更多信息,请参阅`WinSCP web page for PuTTYgen `__。 为使SSH知晓密钥对,请执行命令:command:ssh-add command。 $ ssh-add yourPrivateKey.pemCompute数据库注册密钥对的公钥。 仪表盘在:guilabel:`访问和安全`选项卡中列出了密钥对。 为云主机分配一个浮动IP地址。¶在OpenStack上创建一个云主机时,它会自动在分配的云主机网络中分配一个固定的IP地址。此IP地址永久与云主机相关联,直到云主机被终止。 然而,除了固定的IP地址,一个浮动的IP地址也可以连接到云主机。不同于固定的IP地址,无论涉及什么情况下的状态,浮动的IP地址可以在任何时间修改他们的关联。此过程详细介绍了在现有的地址池中保留的浮动IP地址,以及与一个特定实例关联地址。 登录仪表盘 从左上角的下拉菜单中选择合适的项目 在:guilabel:`项目`选项卡中,打开:guilabel:`计算`选项卡,然后单击:guilabel:`安全和访问`类别。 单击:guilabel:`浮动IP`选项卡,其中显示分配给实例的浮动IP地址。 点击:guilabel:分配IP到项目。 从地址池中选择你要选的IP地址。 点击 分配IP。 在:guilabel:浮动IP 列表中,单击:guilabel:关联. 在:guilabel:`管理浮动IP关联`对话框中,选择如下选项: :guilabel:`IP地址`字段可自动填充,但可以通过单击:guilabel:`+`按钮添加一个新的IP地址。 在:guilabel:`要关联的端口`字段中,从列表中选择一个端口。 该列表展示了所有云主机的固定IP地址。 点击:guilabel:关联。 注解 要从一个云主机中释放IP地址,点击::guilabel: ‘Disassociate’按钮。 要将浮动IP地址释放回浮动IP池,请在:guilabel:`动作`列点击:guilabel:`释放浮动IP`选项。 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |