[ English | English (United Kingdom) | 中文 (简体, 中国) | Indonesia | русский | français | नेपाली | Deutsch | Esperanto | português (Brasil) | español | 한국어 (대한민국) ]

Настройте доступ и безопасность для инстансов

Перед запуском инстанса следует добавить правила группы безопасности, чтобы пользователи могли выполнять пинг и использовать SSH для подключения к инстансу. Группы безопасности представляют собой наборы правил IP фильтрации, которые определяют сетевой доступ и применяются ко всем инстансам в рамках проекта. Для этого вам нужно либо добавить правила в группу безопасности по умолчанию :ref:`security_groups_add_rule`или добавить новую группу безопасности с правилами.

Пары ключей — это данные SSH, которые вводятся в инстанс при его запуске. Чтобы иметь возможность ввода пары ключей, образ, на котором основан инстанс, должен содержать пакет cloud-init. Каждый проект должен иметь как минимум одну пару ключей. Для получения дополнительной информации см. раздел Добавить пару ключей.

Если вы сгенерировали пару ключей с помощью внешнего инструмента, вы можете импортировать ее в OpenStack. Пару ключей можно использовать для нескольких инстансов, принадлежащих проекту. Для получения дополнительной информации см. раздел Импортировать пару ключей.

Примечание

Пара ключей принадлежит отдельному пользователю, а не проекту. Чтобы поделиться парой ключей между несколькими пользователями, каждому пользователю необходимо импортировать эту пару ключей.

При создании инстансов в OpenStack ему автоматически назначается фиксированный IP-адрес в сети, к которой он привязан. Этот IP-адрес постоянно связан с инстансом до тех пор, пока инстанс не будет остановлен. Однако, в дополнение к фиксированному IP-адресу, к инстансу может быть также привязан плавающий IP-адрес. В отличие от фиксированных IP-адресов, привязки плавающих IP-адреса могут быть изменены в любое время, независимо от состояния задействованных инстансов.

Добавить правило в группу безопасности по умолчанию

Эта процедура включает SSH доступ и ICMP (ping) к инстансам. Правила применяются ко всем инстансам в рамках данного проекта и должны быть установлены для каждого проекта, если только нет причин запрещать доступ по SSH или ICMP к инстансам.

Эту процедуру можно при необходимости скорректировать, чтобы добавить в проект дополнительные правила группы безопасности, если они требуются вашему облаку.

Примечание

При добавлении правила необходимо указать протокол, используемый для порта назначения или портом источником.

  1. Войдите в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. На вкладке Проект откройте вкладку Сеть. На вкладке Группы безопасности отображаются группы безопасности, доступные для этого проекта.

  4. Выберите группу безопасности по умолчанию и нажмите Управление правилами.

  5. Чтобы разрешить доступ по SSH, нажмите Добавить правило.

  6. В диалоговом окне Добавить правило введите следующие значения:

    • Правило: SSH

    • Удаленный адрес: CIDR

    • CIDR: 0.0.0.0/0

    Примечание

    Чтобы принимать запросы с определенного диапазона IP-адресов, укажите блок IP-адресов в поле CIDR.

  7. Нажмите Добавить.

    Теперь у инстансов будет открыт SSH порт 22 для запросов с любого IP-адреса.

  8. Чтобы добавить правило ICMP, нажмите Добавить правило.

  9. В диалоговом окне Добавить правило введите следующие значения:

    • Правило: Все ICMP

    • Направление: Входящий трафик

    • Удаленный адрес: CIDR

    • CIDR: 0.0.0.0/0

  10. Нажмите Добавить.

    Инстансы теперь будут принимать все входящие пакеты ICMP.

Добавить пару ключей

Создайте как минимум одну пару ключей для каждого проекта.

  1. Войдите в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. На вкладке Проект откройте вкладку Вычислительные ресурсы.

  4. Нажмите на вкладку Ключевые пары, после чего будут показаны пары ключей, доступные для этого проекта.

  5. Нажмите Создать ключевую пару.

  6. В диалоговом окне Создать ключевую пару введите имя для вашей пары ключей и нажмите Создать ключевую пару.

  7. Приватный ключ будет загружен автоматически.

  8. Чтобы изменить разрешения для того, чтобы только вы могли читать и изменять файл, выполните следующую команду:

    $ chmod 0600 yourPrivateKey.pem

    Примечание

    Если вы используете компьютер с операционной системой Windows, используйте PuTTYgen для загрузки файла *.pem, конвертируйте и сохраните его как *.ppk. Для получения дополнительной информации см. страницу WinSCP для PuTTYgen.

  9. Чтобы сделать пару ключей известной для SSH, выполните команду ssh-add.

    $ ssh-add yourPrivateKey.pem

Импортировать пару ключей

  1. Войдите в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. На вкладке Проект откройте вкладку Вычислительные ресурсы.

  4. Нажмите на вкладку Ключевые пары, после чего будут показаны пары ключей, доступные для этого проекта.

  5. Нажмите Импортировать ключевую пару.

  6. В диалоговом окне Импортировать открытый ключ введите имя вашей пары ключей, скопируйте открытый ключ в поле Открытый ключ, а затем нажмите Импортировать открытый ключ.

База данных службы Compute регистрирует открытый ключ ключевой пары.

В панели пара ключей отображается на вкладке Ключевые пары.

Выделить инстансу плавающий IP-адрес

При создании инстанса в OpenStack ему автоматически назначается фиксированный IP-адрес в сети, к которой он назначен. Этот IP-адрес постоянно связан с инстансом до тех пор, пока экземпляр не будет остановлен.

Однако, в дополнение к фиксированному IP-адресу, к инстансу может быть также прикреплен плавающий IP-адрес. В отличие от фиксированных IP-адресов, плавающие IP-адреса могут изменять свои привязки в любое время, независимо от состояния задействованных инстансов. Эта процедура подробно описывает резервирование плавающего IP-адреса из существующего пула адресов и привязку этого адреса к определенному инстансу.

  1. Войдите в панель управления.

  2. Выберите соответствующий проект из раскрывающегося меню в левом верхнем углу.

  3. На вкладке Проект откройте вкладку Сеть.

  4. Нажмите на вкладку Плавающие IP, на которой отображаются плавающие IP-адреса, назначенные инстансам.

  5. Нажмите Выделить IP проекту.

  6. Выберите пул, из которого следует выбрать IP-адрес.

  7. Нажмите Выделить IP.

  8. В списке Плавающие IP-адреса нажмите Назначить.

  9. В диалоговом окне Управление назначением плавающих IP выберите следующие параметры:

    • Поле IP-адрес заполняется автоматически, но вы можете добавить новый IP-адрес, нажав кнопку +.

    • В поле Порт для назначения выберите порт из списка.

      В списке показаны все инстансы с их фиксированными IP-адресами.

  10. Нажмите Назначить.

Примечание

Чтобы отменить привязку IP-адреса к инстансу, нажмите кнопку Снять назначение.

Чтобы вернуть плавающий IP-адрес обратно в пул плавающих IP-адресов, нажмите кнопку Освободить плавающий IP в столбце Действия.