cloudstack 安全组

1 安全组

1.1 功能定义
安全组提供一个隔离VM流量的途径,一个安全组由进出两个方向的过滤规则构成。这个规则通过IP(CIDR)地址来限制对VM的访问。VM建立后就会有一个默认的安全组(可以选择自定义安全组),该规则禁止所有进入流量,允许所有出去流量。用户可以自行添加新的安全组,并使用该安全组,如果没有则加入默认安全组。当用户创建VM时候使用了自定义安全组,则在实例“安全组选”中将包含2个安全组:默认的default和自定义安全组。
1.2 设置安全组允许被外部访问

1.2.1 操作流程
点击右侧工具栏”网络”,在视图栏下拉选择“安全组”,选择你要进行修改的安全组


 

1.2.1.1 CIDR方式
选择你要进行修改的安全组的名称,选中“入口规则”标签页,进行规则添加
 

 
 上图中包含了允许所有网段对该安装组VM的80,22端口进行访问,允许ping
1.2.1.2 Account方式
Account 可以实现对同一个安全组中所有VM(同一个用户建立的所有VM,手动设置或者采用默认安全组设置)设置访问规则。

规则实例
允许 用户test00安全组default访问该安全组中所vm的tcp 1-65500端口;允许ping
允许 用户admin 安全组 develop-test 访问该安全组的tcp 80 端口;允许ping;其他拒绝


 

 1.2.1.3 CIDR 和Account比较
在限制其他网段IP对VM访问时多采用采用CIDR方式。
Account用于限制其他安全组VM对该组VM的访问,如果采用CIDR方式,会添加很多条规则;当安全组的VM频繁增加删除时候,Account依然生效。
也可以采用二者混合方式,比如:添加account 规则,允许其他安全组访问自己组的80端口,通过CIDR只允许对方的一台主机可以访问自己组的mysql 3306端口。
1.2.2 注意事项
1.2.2.1 CIDR
其中CIDR指明了那些网段或者IP地址能进行访问该安全组成员。 CIDR格式为:网络号/掩码位数
10.25.11.0/24 表示10.25.11.0 255.255.255.0所有主机; 10.25.11.24/32 表示10.25.11.24这个单个主机

0.0.0.0/0 表示所有主机可以访问。


1.2.2.2 用户安全组
一个用户可以创建多个安全组,可以同时应用多个安全组在一个vm上;默认情况每一个vm都有一个default安全组;对已经存在VM无法进行安全组的添加删除。

你可能感兴趣的:(Security,CloudStack,group,CIDR,ICMP)