티스토리 뷰

Cloud

openstack pike security group CLI 정리

초보의 CHOMAN 2018.03.20 11:51

openstack pike security group



문서



https://docs.openstack.org/python-openstackclient/pike/cli/command-objects/security-group-rule.html


https://docs.openstack.org/pike/





vim takakocap


 

export OS_USERNAME=takakocap

export OS_PASSWORD=19163f0f017608fd8782ddd12123123dsfsdfsdfsdf

export OS_PROJECT_NAME=takakocap

export OS_USER_DOMAIN_NAME=Default

export OS_PROJECT_DOMAIN_NAME=Default

export OS_AUTH_URL=http://con-2x-3x:35357/v3

export OS_IDENTITY_API_VERSION=3

export OS_IMAGE_API_VERSION=2


export OS_AUTH_TYPE=password




source takakocap




[openstack] CLI



인스턴스 생성



openstack server create 인스턴스이름 --image 이미지이름 --flavor flavor이름 --network 네트워크이름 --security-group 적용할SG이름

 




포트 리스트



openstack port list

 





floating ip 리스트



openstack floating ip list

 





floating ip 연결하기



openstack floating ip set --port 포트ID --fixed-ip-address 사설아이피 공인아이피

 




floating ip 제거하기



openstack server remove floating ip 서버이름 공인아이피

 





사설아이피 제거



openstack server remove fixed ip 서버이름 사설아이피

 





플로팅 아이피 할당받기



openstack floating ip create [network-ID]

 





포트에 사설아이피 할당 (1개 이상)




openstack port set --fixed-ip subnet=6d8d5b45-003b-4298-b914-89244ec6e894,ip-address=172.16.0.100 ef290357-747d-43b3-932c-5f43a7ce025e








port allowed-address (포트1과 포트2 설정)



openstack port set --allowed-address ip-address=172.16.0.6 --allowed-address ip-address=172.16.0.7 포트1ID

openstack port set --allowed-address ip-address=172.16.0.6 --allowed-address ip-address=172.16.0.7 포트2ID





allowrd 수정 (다 삭제후 남길 포트만 명시)



openstack port set --no-allowed-address --allowed-address ip-address=10.0.0.7 0378e867-b9cc-46ea-a882-1daba6c33f84



: port-allowed 동일한 서버에 포트가 2개 연결시 방화벽 설정에 의해 각각 포트에 대한 다른 아이피가 차단되지 않도록 열어주는 설정






시큐리티 그룹 생성



 openstack security group create [생성할 시큐리티 그룹 이름]





시큐리티 그룹 삭제



 openstacl security group delete [삭제할 시큐리티 그룹 이름]





시큐리티 그룹 리스팅



 openstack security group list




+--------------------------------------+---------+------------------------+----------------------------------+

 | ID                                              | Name   | Description             | Project                                |

+--------------------------------------+---------+------------------------+----------------------------------+

| 87b59212-bf0a-4b7b-8437-5f4733bf6f19 | default | Default security group | ae6f5a69debd44fb812484cf01d1fe7a |

| aad7f85d-7c48-4183-b4a6-7be7f20f2c1d | kek     | kek                    | ae6f5a69debd44fb812484cf01d1fe7a |

+--------------------------------------+---------+------------------------+----------------------------------+




시큐리티 그룹 정책 보기


 openstack security group rule list




+--------------------------------------+-------------+-----------+------------+--------------------------------------+--

| ID                                   | IP Protocol | IP Range  | Port Range | Remote Security Group                | Security Group                       |

+--------------------------------------+-------------+-----------+------------+--------------------------------------+--

| 10052cc9-be03-4735-9ba6-c548d79b1f9e | tcp         | 0.0.0.0/0 | 3389:3389  | None                                 | aad7f85d-7c48-4183-b4a6-7be7f20f2c1d |

| 5490d417-6e72-48f7-92ca-a49a053fcee1 | None        | None      |            | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 |

| 5a3cc981-d960-4e26-b83b-6464e9b35692 | icmp        | 0.0.0.0/0 |            | None                                 | aad7f85d-7c48-4183-b4a6-7be7f20f2c1d |

| 5ed4f6b9-5632-46ed-8c52-dbbd7f899af2 | None        | None      |            | None                                 | aad7f85d-7c48-4183-b4a6-7be7f20f2c1d |

| 923d3c54-37c0-4add-889d-3e6b40b1ddcc | None        | None      |            | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 |

| abae6ef3-11b9-43bb-a0ee-9d6ab368172b | None        | None      |            | None                                 | aad7f85d-7c48-4183-b4a6-7be7f20f2c1d |

| f41f31b8-1fb1-4799-b822-a558c3c49182 | None        | None      |            | None                                 | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 |

| f638db0c-96f6-4be3-b426-fa0b761df9d5 | None        | None      |            | None                                 | 87b59212-bf0a-4b7b-8437-5f4733bf6f19 |

+--------------------------------------+-------------+-----------+------------+--------------------------------------+--





openstack security group rule create --ingree (--egress) --ethertype --protocol --dst-port --remote-ip 






openstack security group rule delete



openstack security group rule show 10052cc9-be03-4735-9ba6-c548d79b1f9e


+-------------------+--------------------------------------+

| Field             | Value                                |

+-------------------+--------------------------------------+

| created_at        | 2018-03-20T00:53:28Z                 |

| description       |                                      |

| direction         | ingress                              |

| ether_type        | IPv4                                 |

| id                | 10052cc9-be03-4735-9ba6-c548d79b1f9e |

| name              | None                                 |

| port_range_max    | 3389                                 |

| port_range_min    | 3389                                 |

| project_id        | ae6f5a69debd44fb812484cf01d1fe7a     |

| protocol          | tcp                                  |

| remote_group_id   | None                                 |

| remote_ip_prefix  | 0.0.0.0/0                            |

| revision_number   | 0                                    |

| security_group_id | aad7f85d-7c48-4183-b4a6-7be7f20f2c1d |

| updated_at        | 2018-03-20T00:53:28Z                 |

+-------------------+--------------------------------------+


openstack security group set aad7f85d-7c48-4183-b4a6-7be7f20f2c1d --name takakocap_sg1 --description takakocap_sg1


security group show



openstack security group rule create takakocap_sg1 --ingress  --ethertype IPv4 --dst-port 3389:3389  --protocol tcp --remote-ip 0.0.0.0/0




openstack security group rule create --ingress --protocol tcp --dst-port 8080 --remote-ip 0.0.0.0/0 BYPASS





ipv4 나가는 모든 열기



openstack security group rule create takakocap_sg1 --egress --ethertype IPv4 





ipv6 나가는 모든 열기



openstack security group rule create takakocap_sg1 --egress --ethertype IPv6





ipv4 들어오는 모든 열기



openstack security group rule create takakocap_sg1 --ingress --ethertype IPv4





ipv6 들어오는 모든 열기



openstack security group rule create takakocap_sg1 --ingress --ethertype IPv6 





포트 제거시 시큐리티그룹을 참조하기 때문에 해당 포트에 시큐리티 그룹을 변경하거나 삭제를 해야 참조하고 있는 시큐리티 그룹 삭제가 가능하다.




protocol number ( 0 ~ 255) pike 버젼에서 CLI 입력 가능한 프로토콜 번호



1 : ICMP

2 : IGMP

6 : TCP

8 : EGP

17 : UDP

33 : DCCP

41 : IPV6 --> 41번으로 입력 ethertype 옵션과 중복

43 : IPV6-ROUTE

44 : IPV6-FRAG

46 : RSVP

47 : GRE

50 : ESP

51 : AH

58 : IPV6-ICMP

59 : IPV6-NONXT

60 : IPV6-OPTS

89 : OSPF

112 : VRRP

113 : PGM

132 : SCTP

136 : UDPLITE




Security group ALL OPEN



neutron security-group-rule-create --direction ingress --ethertype IPv4 --remote-ip-prefix 0.0.0.0/0 takakocap-sg3




: openstack CLI 에서는 아직 지원하지 않아서 neutron 명령어를 사용하였음





ISSUE


openstack 인바운드 아웃바운드 ALL ACCEPT



security group 설정시 remote 를 0.0.0.0 설정과


security group 설정시 remote 를 동일 시큐리티 그룹 설정 


2개가 공존하면 충돌발생

 


'Cloud' 카테고리의 다른 글

openstack pci passthrough  (0) 2018.07.03
Open vSwitch Firewall Driver  (0) 2018.03.22
openstack pike security group CLI 정리  (0) 2018.03.20
공인아이피 (public ip) 확인 방법  (0) 2018.01.31
마켓플레이스 (marketplace) 조사  (0) 2017.04.21
oauth  (0) 2017.04.21
댓글
댓글쓰기 폼