• 为实例设置权限和安全选项
    • 添加一对密钥
    • 导入一对密钥
    • 创建和管理安全组
    • 创建和管理安全组规则
    • 删除用户组规则

    为实例设置权限和安全选项

    当您启动一个虚拟机时,您可以向其中注入一对密钥,这样您就能通过SSH访问实例了。不过,这样做的前提是您的实例中必须安装了cloud-init这个包。

    您可以为一个实例创建不止一对密钥,您也可以将一对密钥放在同一Project下的多个服务器中。如果您的密钥对是用外部工具创建的,您还可以将其导入进OpenStack。

    注意:
    一对密钥只属于一个用户,并不属于一个组。如果要和多个用户共享一对密钥,每个最终用户都要把相同的密钥导入一次。

    如果某个镜像是用固定的root密码,或一个静态的密钥来做认证的,您就不能在启动这个实例时创建密钥对了。

    “安全组”是一组网络规则,它能限制对实例的网络访问类型。当您启动实例时,您可以为其设置一个或多个安全组。如果您没有创建安全组,新的实例会被自动分配默认的安全组,除非您另外指定别的组了。

    安全组里的安全规则控制着组内实例的网络。任何不符合规则的网络流量都会被拒绝。您可以在网络组中添加或删除规则,还可以修改默认安全组或者其他安全组内的规则。

    您可以在安全组中设置允许连接实例的哪些端口(或者是通过哪些协议来连接)。例如,您可以修改规则,允许外部通过SSH来连接服务器,Ping这个服务器,或者允许UDP连接(比如DNS之类的服务)。具体说来,您可以指定规则中的如下参数:

    1. - 网络流量的来源:可以设置成允许云中的某个IP,其他组的某个IP,或者所有的IP
    2. - 协议:如果连接SSH的话就要选TCP。如果要ping的话就选ICMP。有时候还可能要选UDP
    3. - 虚拟机上的目标端口:定义一个端口范围。如果只想开放一个端口,则需要把这个端口写两遍。ICMP不支持端口,如果您要开发ICMP流量,您需要输入值来定义开放ICMP中的哪些类别和代号。

    如果您修改了规则,这些规则即刻生效。

    注意:
    使用了默认安全组的实例是不能被任何外部IP访问到的。如果您希望用这些外部IP来访问实例,您必须修改默认安全组中的规则。
    您也可以为运行中的实例分配一个浮动IP,这样便能从云的外部访问到了。请参看Manage IP Addresses章节。

    添加一对密钥

    您可以生成一对密钥,也可以将已经生成的公钥上传进OpenStack

    1. 如果想生成一对密钥,请使用如下命令:
    1. $ nova keypair-add KEY_NAME > MY_KEY.pem

    这条命令会生成一对密钥,其中KEY_NAME是您指定的这对密钥的名称,私钥会保存在您指定的.pem文件中,然后将公钥注册进Nova数据库里。

    1. 运行如下命令,保证只有您能读写这个文件的内容:
    1. $ chmod 600 MY_KEY.pem

    导入一对密钥

    1. 如果您已经创建了一对密钥了,假如您的公钥存放在~/.ssh/id_rsa.pub,您可以运行如下命令来上传公钥。
    1. $ nova keypair-add --pub_key ~/.ssh/id_rsa.pub KEY_NAME

    这条命令会将您的公钥注册在Nova数据库中,保存的名称是您指定的,此处是KEY_NAME。

    1. 为了确认您的密钥已经成功导入,用下面的命令列出所有的密钥对:
    1. $ nova keypair-list

    创建和管理安全组

    1. 如果要列出当前Project所有的安全组,包括描述,请使用以下命令:
    1. $ nova secgroup-list
    1. 如果要创建一个安全组,请使用如下命令(该命令同时会为安全组命名,还会添加描述):
    1. $ nova secgroup-create SECURITY_GROUP_NAME GROUP_DESCRIPTION
    1. 如果要删除某个安全组,请使用如下命令:
    1. $ nova secgroup-delete SECURITY_GROUP_NAME

    注意:
    您不能删除某个Project下的默认安全组,也不能删除已经分配给一个运行中的实例的安全组。

    创建和管理安全组规则

    nova secgroup-*-rule命令专门用来修改用户组规则。在您开始修改这些规则前,请先载入OpenStack RC 文件。详情请参阅Set environment variables using the OpenStack RC file。

    1. 1. 如果您要列出安全组下地所有规则,请执行以下命令:
    2. ```
    3. $ nova secgroup-list-rules SECURITY_GROUP_NAME
    4. ```
    5. 2. 如果要允许本机的SSH,从以下两个命令中选择一个:
    6. - 允许所有的网络连接,用CIDR格式写明0.0.0.0/0IP和子网。
    7. ```
    8. $ nova secgroup-add-rule SECURITY_GROUP_NAME tcp 22 22 0.0.0.0/0
    9. ```
    10. - 只允许别的安全组内的IP来访问特定端口:
    11. ```
    12. $ nova secgroup-add-group-rule --ip_proto tcp --from_port 22 \
    13. --to_port 22 SECURITY_GROUP_NAME SOURCE_GROUP_NAME
    14. ```
    15. 3. 如果要允许实例接受ping,从以下两个命令中任选一个:
    16. - 允许从任意地址发来的ping,用CIDR格式写明0.0.0.0/0IP和子网。
    17. ```
    18. $ nova secgroup-add-rule SECURITY_GROUP_NAME icmp -1 -1 0.0.0.0/0
    19. ```
    20. 这条命令将打开所有ICMP流量的所有编码和种类。
    21. - 只允许别的安全组内的IPping
    22. ```
    23. $ nova secgroup-add-group-rule --ip_proto icmp --from_port -1 \
    24. --to_port -1 SECURITY_GROUP_NAME SOURCE_GROUP_NAME
    25. ```
    26. 4. 如果要允许UDP通信,比如需要在虚拟机上搭建DNS的时候,请从下面两个命令中任选一个:
    27. - 允许从任意地址发来的UDP通信,用CIDR格式写明0.0.0.0/0IP和子网。
    28. ```
    29. $ nova secgroup-add-rule SECURITY_GROUP_NAME udp 53 53 0.0.0.0/0
    30. ```
    31. - 只允许别的安全组内的IP来访问特定端口:
    32. ```
    33. $ nova secgroup-add-group-rule --ip_proto udp --from_port 53 \
    34. --to_port 53 SECURITY_GROUP_NAME SOURCE_GROUP_NAME
    35. ```

    删除用户组规则

    如果要删除安全组规则,您要在删除指令后面写明您创建这个规则时添加的参数。

    比如,如果您要删除允许所有IP连接SSH的规则,请使用如下指令:

    1. $ nova secgroup-delete-rule SECURITY_GROUP_NAME tcp 22 22 0.0.0.0/0