7.2. セキュリティーグループルールの更新

手順

1. システムの OS_CLOUD 変数がクラウドに設定されていることを確認します。

   $ echo $OS_CLOUD
   my_cloud

   必要に応じて変数をリセットします。

   $ export OS_CLOUD=my_other_cloud

   代わりに、openstack コマンドを実行するたびに --os-cloud <cloud_name> オプションを追加してクラウド名を指定することもできます。

2. ルールを更新するセキュリティーグループの名前または ID を取得します。

   $ openstack security group list

3. セキュリティーグループに適用する必要があるルールを決定します。

4. セキュリティーグループにルールを追加します。

   $ openstack security group rule create --protocol <protocol> \
   [--dst-port <port-range>] \
   [--remote-ip <ip-address> | --remote-group <group>] \
   [--ingress | --egress] <group_name>

   • <protocol> を、インスタンスとの通信に許可するプロトコルの名前に置き換えます。
   • (オプション) <port-range> を、プロトコル用に開く送信先ポートまたはポート範囲に置き換えます。IP プロトコル (TCP、UDP、および SCTP) には必須です。指定されたプロトコルのポートをすべて許可するには、-1 に設定します。ポート範囲の値はコロンで区切ります。
   • (オプション) 指定した IP アドレスからのアクセスのみを許可するには、--remote-ip を使用してリモート IP アドレスブロックを指定するか、--remote-group を使用して、ルールがリモートグループのメンバーであるインターフェイスからのパケットにのみ適用されることを指定します。--remote-ip を使用する場合は、<ip-address> をリモート IP アドレスブロックに置き換えます。CIDR 表記を使用できます。--remote-group を使用する場合は、<group> を既存のセキュリティーグループの名前または ID に置き換えてください。いずれのオプションも指定されない場合は、リモート IP アクセス範囲のデフォルトは IPv4 が 0.0.0.0/0、IPv6 が ::/0 なので、すべてのアドレスにアクセスが許可されます。
   • プロトコルルールが適用されるネットワークトラフィックの方向、つまり受信 (ingress) または送信 (egress) のいずれかを指定します。指定されない場合、デフォルトは ingress に設定されます。
   • <group_name> を、ルールを適用するセキュリティーグループの名前または ID に置き換えてください。

5. 前のステップを繰り返し、インスタンスへのアクセスを許可するすべてのプロトコルのルールを作成します。

   以下の例では、セキュリティーグループ mySecGroup のインスタンスへの SSH 接続を許可するルールを作成します。

   $ openstack security group rule create --protocol tcp \
    --dst-port 22 mySecGroup