Verkot Poudassa

Jokaisessa cPouta-projektissa on oletuksena verkko- ja reititinkokoonpano, joka riittää useimpiin käyttötarkoituksiin. Useimmiten sinun ei tarvitse huolehtia verkko- tai reititinkokoonpanosta, vaan voit luoda virtuaalikoneita oletusasetuksilla.

Jos projektistasi puuttuu oletusverkko, et voi luoda virtuaalikonetta. Jos taas reititin puuttuu, et voi esimerkiksi liittää koneeseesi portteja* vaikkapa kelluvaa IP-osoitetta varten.

Jos sinun täytyy luoda verkko ja/tai reititin, voit luoda oletusasetukset uudelleen selainkäyttöliittymässä seuraavien ohjeiden avulla.

Portti on liitäntäpiste, jolla yksittäinen laite liitetään verkkoon.

Luo verkko

1. Avaa cPouta ja siirry kohtaan Network > Networks. Napsauta oikeasta yläkulmasta Create Network -painiketta. Uusi ikkuna avautuu.

   

   • Network Name - Anna verkollesi nimi.
   • Enable Admin State - Ota verkko käyttöön.
   • Create Subnet - Jätä valinta päälle, jos haluat luoda aliverkon.
   • Availability Zone Hints - Jätä oletusarvoksi "nova".

2. Kun olet valmis, napsauta Next. Se avaa seuraavan välilehden, joka koskee aliverkkoa.

   

   • Subnet Name - Anna aliverkollesi nimi
   • Network Address - Määritä verkko CIDR-muodossa. Tässä on linkki, joka voi auttaa verkko-osoitteen laskemisessa.
   • IP Version - Voit jättää arvoksi IPv4
   • Gateway IP - Voit halutessasi valita yhdyskäytävän IP-osoitteen. Jos kenttää ei täytetä, osoite valitaan automaattisesti.

3. Voit napsauttaa Next.

   

   Oletuksena Enable DHCP on käytössä.

   • Allocation Pools - Valitse IP-osoitealue, josta DHCP jakaa IP-osoitteet
   • DNS Name Server - Syötä 193.166.4.24 ja 193.166.4.25 (katso yllä oleva kuvakaappaus)

4. Lopuksi voit napsauttaa Create, ja verkon pitäisi näkyä luettelossa.

Luo reititin

Reititin yhdistää ulkoisen verkon yksityiseen verkkoon.

1. Siirry kohtaan Network > Routers. Napsauta oikeasta yläkulmasta Create Router. Uusi ikkuna avautuu.

   

   • Router Name - Anna reitittimellesi nimi
   • Enable Admin State - Ota reititin käyttöön
   • External Network - Valitse, mitä ulkoista verkkoa haluat käyttää reitittimelle
   • Availability Zone Hints - Valitse saatavuusalueesi.

2. Kun olet täyttänyt tarvittavat kentät, voit napsauttaa Create Router

3. Kun reititin on luotu, sinun täytyy liittää se sisäiseen verkkoosi, jotta yhteys ulkoiseen verkkoon toimii. Napsauta juuri luomaasi reititintä ja siirry välilehdelle Interfaces. Napsauta Add Interface

   

   • Subnet - Valitse verkko, jonka haluat liittää.
   • IP Address - Tämä valinta ei ole pakollinen. Jos et lisää IP-osoitetta, yhdyskäytävän IP-osoite valitaan.

4. Nyt olet liittänyt rajapinnan reitittimeen ja voit muodostaa yhteyden ulkoiseen verkkoon. Näet kaavion napsauttamalla Network > Network Topology ja valitsemalla välilehden Graph

Info

Jos haluat käyttää instanssejasi ulkoisesta verkosta, sinun täytyy liittää kelluva IP-osoite.
Kelluva IP-osoite pysyy instanssisi mukana, kunnes päätät vapauttaa sen.

• Jos haluat käyttää CLI-komentoa:

$ openstack network create test-network
$ openstack subnet create --dns-nameserver 193.166.4.24 --dns-nameserver 193.166.4.25 \
    --network $(openstack network list -f value -c ID -c Name|grep test-network|cut -d " " -f1) \
    --subnet-range 192.168.0.1/24 --allocation-pool start=192.168.0.10,end=192.168.0.30 test-network
$ openstack router create test-router
$ openstack router set --external-gateway public test-router
$ openstack router add subnet test-router test-network

Tietoturvaryhmät

Tietoturvaryhmät ovat palomuurisääntöjen joukkoja, jotka rajoittavat pääsyä koneillesi. Virtuaalikone voi käyttää yhtä tai useampaa tietoturvaryhmää. Yksi tietoturvaryhmä voidaan myös liittää yhteen tai useampaan virtuaalikoneeseen. Tietoturvaryhmä voi sisältää yhden tai useampia sääntöjä. Nämä palomuurisäännöt tehdään OpenStack-kerroksessa, ja lisäksi virtuaalikoneesi sisällä voi olla muita palomuurisääntöjä. Jos yhteyksissä on ongelmia, varmista, että sekä tietoturvaryhmä että virtuaalikoneen sisäinen palomuuri on määritetty oikein.

Tietoturvaryhmää voi muokata tai luoda missä tahansa virtuaalikoneen elinkaaren vaiheessa. Kaikki muutokset, jotka tehdään virtuaalikoneeseen liitettyyn tietoturvaryhmään, tulevat voimaan välittömästi virtuaalikoneessa. Tietoturvaryhmien käytöstä ei aiheudu kustannuksia.

• Suositus on pyrkiä sellaiseen ryhmien ja sääntöjen kokonaisuuteen, joka on järjestetty tavalla, joka helpottaa niiden tarkoituksen ymmärtämistä. Jokaisella palvelulla tulisi olla oma tietoturvaryhmänsä, ja sekä nimen että kuvauksen tulisi kertoa selkeästi, mitä tämä ryhmä tarjoaa ja mihin se avaa pääsyn (kohdeportit) sekä mistä (lähde-IP-osoitteet).

  

  Yllä olevassa esimerkissä on default-ryhmän lisäksi 3 tietoturvaryhmää: kaksi sisäistä valvontaan ja hallintaan sekä yksi julkinen käyttäjille tarjottavaa palvelua varten.

  Instanssinäkymä

  Instanssinäkymä näyttää kaikki virtuaalikoneen asetukset, mukaan lukien kaikki siihen lisätyt tietoturvaryhmät ja kunkin niistä asetukset. Se on erittäin hyödyllinen verkkoyhteysongelmien selvittämisessä ja virtuaalikoneen tietoturvan varmistamisessa.

• Default-tietoturvaryhmä sisältää säännöt, jotka sallivat sisäisen viestinnän niiden virtuaalikoneiden välillä, jotka kuuluvat tähän tietoturvaryhmään:

  

  Älä muokkaa oletustietoturvaryhmää

  Vaikka oletustietoturvaryhmän muokkaaminen on sallittua, sitä ei suositella. Osa alustustoimenpiteistä perustuu oletustietoturvaryhmän kokoonpanoon.

  default-tietoturvaryhmässä kaksi ensimmäistä sääntöä sallivat lähtevän liikenteen (Egress) mihin tahansa IP-osoitteeseen tai Port-porttiin. Kaksi viimeistä sääntöä sallivat viestinnän kaikkien default-tietoturvaryhmän jäsenten välillä myös mihin tahansa IP-osoitteeseen tai Port-porttiin. Tämä tarkoittaa, että oletuksena mikä tahansa virtuaalikone voi ottaa yhteyttä mihin tahansa julkisessa internetissä sekä toisiin saman ryhmän koneisiin. Tätä voidaan rajoittaa keskimääräistä turvallisemmissa ympäristöissä, mutta se tulee tehdä vaatimukset ymmärtäen.

Luo tietoturvaryhmä

1.First go to the Security Groups management page in Pouta. For a new empty project, only the default security group will be there.

1. Click in + Create Security Group

   

2. The "Create Security Group" page will appear. Provide a Name and a Description.

3. Then click in Manage Rules, and in the view that is displayed, click Add Rule.

   

   • Rule has several options:
     • There is a list of protocols (DNS, HTTP, IMAP, ...), they provide an somewhat simpler way to create a rule. For example the SSH protocol only requires to input the CIDR that will be allowed by this rule.
     • The 3 more generic and configurable options are Custom TCP Rule, Custom UDP Rule and Custom ICMP Rule, they are the ones that allow the most fine tuning of the firewall options.
     • Finally the All ICMP/TCP/UDP open all ports for a given protocol to a given CIDR. They are only advisable for tests and when the list of allowed IPs is restricted and controlled.
   • Description is not compulsory, but advisable for complex Security Groups with several Rules. For example, when adding several IP ranges, the description should state what are these IPs associated with (office network, VPN, ...).
   • Direction can be Ingress or Egress. In principle , most rules will be Ingress rules as by default Egress is open.
   • Open Port can be single Port, Port Range, or All ports.
   • Port or Port Range is self explanatory. If you do not know which port to open, an alternative option is to use one of the predefined protocols in Rule.
   • CIDR or Classless Inter-Domain Routing is a way to specify ranges of IPs. You can specify a single IP by adding the /32 suffix (188.184.77.250/32), or a whole Class C subnet with the suffix /16 (188.184.77.250/16).

A security group can hold as many rules as needed.

Yllä olevassa esimerkissä avataan portit 80 (http) ja 443 (https) aliverkolle 188.184.0.0/16 ([188.184.0.0–188.184.255.255]).

Onko tämä sivu hyödyllinen?

Kyllä

Kiitos palautteestasi!

Ei

Kiitos! Arvostamme palautettasi.

Kerro meille miten voisimme parantaa tätä sivua ottamalla meihin yhteyttä.