22.2.3.9. OpenStack 배포 호스트 보안 그룹 생성
OpenStack 네트워킹을 사용하면 네트워크의 각 인스턴스에 적용할 수 있는 인바운드 및 아웃바운드 트래픽 필터를 정의할 수 있습니다. 이를 통해 사용자는 인스턴스 서비스의 기능에 따라 각 인스턴스로 네트워크 트래픽을 제한할 수 있으며 호스트 기반 필터링에 의존하지 않습니다. OpenShift Ansible 설치 프로그램은 배포 호스트를 제외하고 OpenShift Container Platform 클러스터의 일부인 각 호스트 유형에 필요한 모든 포트 및 서비스의 올바른 생성을 처리합니다.
다음 명령은 배포 호스트에 대해 설정된 규칙 없이 빈 보안 그룹을 만듭니다.
$ source path/to/examplerc
$ openstack security group create <deployment-sg-name>보안 그룹 생성을 확인합니다.
$ openstack security group list
Deployment Host Security Group
배포 인스턴스는 인바운드 ssh 만 허용하면 됩니다. 이 인스턴스는 OpenShift Container Platform 환경을 배포, 모니터링 및 관리할 수 있는 안정적인 기반을 제공하기 위해 존재합니다.
| 포트/프로토콜 | Service | 원격 소스 | 목적 |
|---|---|---|---|
| ICMP | ICMP | Any | ping, traceroute 등을 허용합니다. |
| 22/TCP | SSH | Any | 보안 쉘 로그인 |
위의 보안 그룹 규칙은 다음과 같습니다.
$ source /path/to/examplerc
$ openstack security group rule create \
--ingress \
--protocol icmp \
<deployment-sg-name>
$ openstack security group rule create \
--ingress \
--protocol tcp \
--dst-port 22 \
<deployment-sg-name>보안 그룹 규칙은 다음과 같습니다.
$ openstack security group rule list <deployment-sg-name>
+--------------------------------------+-------------+-----------+------------+-----------------------+
| ID | IP Protocol | IP Range | Port Range | Remote Security Group |
+--------------------------------------+-------------+-----------+------------+-----------------------+
| 7971fc03-4bfe-4153-8bde-5ae0f93e94a8 | icmp | 0.0.0.0/0 | | None |
| b8508884-e82b-4ee3-9f36-f57e1803e4a4 | None | None | | None |
| cb914caf-3e84-48e2-8a01-c23e61855bf6 | tcp | 0.0.0.0/0 | 22:22 | None |
| e8764c02-526e-453f-b978-c5ea757c3ac5 | None | None | | None |
+--------------------------------------+-------------+-----------+------------+-----------------------+