Трафикті шектеу
OpenStack порттары үшін IP Source Guard пайдаланатын IP-адрестер тізімін көрсетуге болады. Порт арқылы тек көзінің IP-мекенжайы осы тізімде бар трафик қана өтеді. Бұл IP-мекенжайды ауыстыру шабуылдарынан қорғануға көмектеседі.
Мысалы, мыналарға рұқсат беруге болады:
- OpenStack портын пайдаланатын виртуалды машинадан келетін трафикке ғана.
- Виртуалды машина арқылы өтетін бүкіл трафикке (
0.0.0.0/0). Бұл виртуалды машина трафикті өңдеуге қатысып, желінің аралық торабы болған кезде (мысалы, маршрутизатор, файервол немесе VPN-шлюз) пайдалы болуы мүмкін.
Қауіпсіздік топтары инстанстар порттарына тағайындалады және виртуалды желілердегі трафикті шектейді. Бұл топтар кіріс және шығыс трафикті өңдеу ережелерін қамтиды және «рұқсат етілмегеннің бәріне тыйым салынады» қағидаты бойынша жұмыс істейді.
Жеке кабинетте мәндерді жасау кезінде әр портқа қауіпсіздік тобы тағайындалады. Бұл платформа ішіндегі трафик қауіпсіздігін қамтамасыз етеді.
Келесі порттар үшін қауіпсіздік тобы автоматты түрде тағайындалады:
- Виртуалды машиналар порттары — әдепкі қауіпсіздік тобы.
- Қызметтік порттар (мысалы, маршрутизатор немесе жүктеме теңгергіші үшін) — әдепкі қауіпсіздік тобы.
- PaaS-сервистерінің инстанстары — автоматты түрде жасалатын арнайы қауіпсіздік топтары.
Виртуалды машиналар порттарына, соның ішінде PaaS-сервистері инстанстарына бірнеше қауіпсіздік тобын тағайындауға болады. Сіз басқа алдын ала бапталған топтарды пайдалана аласыз немесе өз топтарыңызды жасай аласыз.
OpenStack CLI және Terraform порттарды басқарудың кеңірек мүмкіндіктерін ұсынады: кез келген порттарға өз қауіпсіздік топтарыңызды тағайындай аласыз немесе тіпті портты қауіпсіздік тобынсыз жасай және пайдалана аласыз.
Әдепкі бойынша жоба ішінде тек default қауіпсіздік тобы ғана қолжетімді. Бұл топ келесі трафикке рұқсат береді:
- Дәл осындай қауіпсіздік тобы бапталған басқа порттардан келетін барлық кіріс трафик. Бұл ереже VK Cloud ішіндегі мәндер арасында деректер алмасуды қамтамасыз етеді.
- Барлық шығыс трафик.
Мысалы, осы қауіпсіздік тобы бар ВМ-ге VK Cloud ішінен, соның ішінде VNC-консоль арқылы немесе бұлт ішіндегі default тобы қосылған басқа ВМ-ден қосыла аласыз. Бірақ ол сыртқы желіге қосылып, жария IP-мекенжайы болса да, оған SSH арқылы қосыла алмайсыз.
default тобы жеке кабинетте, OpenStack CLI және Terraform арқылы қолжетімді.
Жеке кабинетте сіз алдын ала бапталған қауіпсіздік топтарын келесі ережелермен пайдалана аласыз.
Топ атауы | Сипаттама | Ереже |
|---|---|---|
ssh | SSH-трафикке рұқсат береді | Кез келген IP-адрестерден TCP |
ssh+www | SSH және HTTP(S)-трафикке рұқсат береді | Кез келген IP-адрестерден TCP порттарына кіріс трафикке рұқсат етілген:
|
rdp | RDP-трафикке рұқсат береді | Кез келген IP-адрестерден TCP |
rdp+www | RDP және HTTP(S)-трафикке рұқсат береді | Кез келген IP-адрестерден TCP порттарына кіріс трафикке рұқсат етілген:
|
all (Барлығына рұқсат етілген) | Бүкіл трафикке рұқсат береді | Кез келген IP-адрестерден келетін кез келген кіріс трафикке рұқсат етілген |
Алдын ала бапталған қауіпсіздік тобын пайдалану үшін, осы топпен ВМ жасаңыз. Осыдан кейін топ жоба ішінде пайда болады және ВМ жойылғаннан кейін де қолжетімді болады.
ВМ-ге тағайындауға болатын алдын ала бапталған қауіпсіздік топтары ОС образына байланысты:
- ОС Linux бар ВМ үшін мына топтар қолжетімді: ssh, ssh+www, all (Барлығына рұқсат етілген).
- ОС Windows бар ВМ үшін мына топтар қолжетімді: rdp, rdp+www, all (Барлығына рұқсат етілген).
Трафикті шектеудің кез келген басқа түрлерін жасай аласыз. Ол үшін белгілі бір ережелері бар қауіпсіздік топтарын жасаңыз және оларды инстанстар порттарына тағайындаңыз.
Пайдаланушылық қауіпсіздік топтары дұрыс жұмыс істеуі үшін:
- Не оларға тек кіріс қана емес, шығыс ережелерін де баптаңыз.
- Не оларды кез келген шығыс трафикке рұқсат беретін әдепкі қауіпсіздік тобымен бірге қолданыңыз.
Пайдаланушылық қауіпсіздік топтарын басқару жеке кабинетте, OpenStack CLI немесе Terraform арқылы қолжетімді.
Жеке кабинетте алдын ала бапталған топтардағыдай атаулармен топтар жасауға болмайды. Бұл топтарды жобаға тек ВМ жасау арқылы ғана қоса аласыз. OpenStack CLI және Terraform арқылы мұндай шектеулер жоқ: осындай атаулары бар қауіпсіздік топтарын жасап, оларды жоба ішінде пайдалана аласыз.