cloudstack 安全组

1 安全组

1.1 功能定义
安全组提供一个隔离VM流量的途径，一个安全组由进出两个方向的过滤规则构成。这个规则通过IP（CIDR）地址来限制对VM的访问。VM建立后就会有一个默认的安全组（可以选择自定义安全组），该规则禁止所有进入流量，允许所有出去流量。用户可以自行添加新的安全组，并使用该安全组，如果没有则加入默认安全组。当用户创建VM时候使用了自定义安全组，则在实例“安全组选”中将包含2个安全组：默认的default和自定义安全组。
1.2 设置安全组允许被外部访问

1.2.1 操作流程
点击右侧工具栏”网络”，在视图栏下拉选择“安全组”，选择你要进行修改的安全组


 

1.2.1.1 CIDR方式
选择你要进行修改的安全组的名称，选中“入口规则”标签页，进行规则添加
 

 

 上图中包含了允许所有网段对该安装组VM的80,22端口进行访问，允许ping
1.2.1.2 Account方式
Account 可以实现对同一个安全组中所有VM（同一个用户建立的所有VM，手动设置或者采用默认安全组设置）设置访问规则。

规则实例
允许 用户test00安全组default访问该安全组中所vm的tcp 1-65500端口;允许ping
允许 用户admin 安全组 develop-test 访问该安全组的tcp 80 端口;允许ping；其他拒绝

 

 1.2.1.3 CIDR 和Account比较
在限制其他网段IP对VM访问时多采用采用CIDR方式。
Account用于限制其他安全组VM对该组VM的访问，如果采用CIDR方式，会添加很多条规则；当安全组的VM频繁增加删除时候，Account依然生效。
也可以采用二者混合方式，比如：添加account 规则，允许其他安全组访问自己组的80端口，通过CIDR只允许对方的一台主机可以访问自己组的mysql 3306端口。
1.2.2 注意事项
1.2.2.1 CIDR
其中CIDR指明了那些网段或者IP地址能进行访问该安全组成员。 CIDR格式为：网络号/掩码位数
10.25.11.0/24 表示10.25.11.0 255.255.255.0所有主机； 10.25.11.24/32 表示10.25.11.24这个单个主机

0.0.0.0/0 表示所有主机可以访问。

1.2.2.2 用户安全组
一个用户可以创建多个安全组，可以同时应用多个安全组在一个vm上；默认情况每一个vm都有一个default安全组；对已经存在VM无法进行安全组的添加删除。