管理租户安全（manage project security）

安全组：用于所有项目，定义租户访问网络权限。

项目成员可以编辑默认规则和添加新规则。

注：所有项目都有一个“default”默认安全组。

在使用RDO部署安装allinone的Openstack，在安装完成后根目录下会生成两个认证文件：“keystonerc_admin”，“keystonerc_demo”；

有关安全组的操作需切换到admin或者是demo租户；

$ source keystonerc_admin

1.查看现有安全组

$ nova secgroup-list

1-1查看安全组中有哪些规则

# nova secgroup-list-rules default

+――――-+―――�C+―――+―――�C+――――�C+
| IP Protocol | From Port | To Port | IP Range  | Source Group |
+――――-+―――�C+―――+―――�C+――――�C+
| tcp         | 22        | 22      |           | default      |
|             |           |         |           | default      |
| tcp         | 22        | 22      | 0.0.0.0/0 |              |
| icmp        | -1        | -1      |           | default      |
|             |           |         |           | default      |
+――――-+―――�C+―――+―――�C+――――�C+

2.创建安全组

# nova secgroup-create kernal "Kernal test group"
+――――――――――――�C+――�C+――――――-+
| Id                                   | Name   | Description       |
+――――――――――――�C+――�C+――――――-+
| cc0c51ec-feb7-422e-b46b-303582fc3410 | kernal | Kernal test group |
+――――――――――――�C+――�C+――――――-+

2-1为此安全组添加新规则

# nova secgroup-add-rule kernal tcp 22 22 192.168.1.0/24
+――――-+―――�C+―――+―――――-+――――�C+
| IP Protocol | From Port | To Port | IP Range       | Source Group |
+――――-+―――�C+―――+―――――-+――――�C+
| tcp         | 22        | 22      | 192.168.1.0/24 |              |
+――――-+―――�C+―――+―――――-+――――�C+

2-2查看安全组中已有的规则

# nova secgroup-list-rules kernal
+――――-+―――�C+―――+―――――-+――――�C+
| IP Protocol | From Port | To Port | IP Range       | Source Group |
+――――-+―――�C+―――+―――――-+――――�C+
| tcp         | 22        | 22      | 192.168.1.0/24 |              |
+――――-+―――�C+―――+―――――-+――――�C+

3.删除安全组

# nova secgroup-delete kernal
+――――――――――――�C+――�C+――――――-+
| Id                                   | Name   | Description       |
+――――――――――――�C+――�C+――――――-+
| cc0c51ec-feb7-422e-b46b-303582fc3410 | kernal | Kernal test group |
+――――――――――――�C+――�C+――――――-+

4.安全组高级配置

4-1给实例集群，创建一个安全组

$ nova secgroup-add-group-rule SecGroupName source-group ip-protocol from-port to-port