zoukankan      html  css  js  c++  java
  • openstack 主机无法ping通instance,无法ssh到instance

    https://docs.openstack.org/zh_CN/user-guide/cli-nova-configure-access-security-for-instances.html 

    好不容易安装好了OpenStack,发现无法ping通instance,无法ssh到instance:

    最后折腾了半天发现是security group的问题:

    Neutron 默认的安全组规则会禁止掉所有从外面访问 instance 的流量。

    本节我们会修改安全组的配置,允许 ping 和 ssh instance。
    有两种方法可以达到这个目的:

    1. 修改 “default” 安全组。 2. 为 cirros-vm1 添加新的安全组。

    一、什么是安全组

    安全组,翻译成英文是 security group。安全组是一些规则的集合,用来对虚拟机的访问流量加以限制,这反映到底层,就是使用iptables,给虚拟机所在的宿主机添加iptables规则。

    可以定义n个安全组,每个安全组可以有n个规则,可以给每个实例绑定n个安全组,nova中总是有一个default安全组,这个是不能被删除的。创建实例的时候,如果不指定安全组,会默认使用这个default安全组。

    现在nova中安全组应该会移到quantum中,并且会增加对虚拟机外出流量的控制。现在nova中的安全组只是对进入虚拟机的流量加以控制,对虚拟机外出流量没有加以限制。

    https://docs.openstack.org/zh_CN/user-guide/cli-nova-configure-access-security-for-instances.html

    设定实例的权限和安全设置

    当你启动一个虚拟机,你可以注入*key pair*,它为你的实例提供了SSH访问路径。为了能运行,镜像必须包含’cloud-init’包

    你可以为每个项目至少创建一个密钥对。你可以在项目所属的多个实例上使用该密钥对。如果你使用外部工具生成密钥对,那么你可以将它导入到OpenStack。

     

     
    注解

    一个密钥对属于独立用户而不属于项目。要想在多个用户中共享密钥,那么每个用户需要导入该密钥对。

    如果镜像使用一个静态根密码或者静态密钥集(都不推荐),那么当你启动实例的时候就没必要提供一个密钥。

    一个*安全组*是一个被命名为网络访问规则的集合,安全组被用来限制访问实例流量的类型。当你启动一个实例时,你可以为它指定一个或多个安全组。如果你没有创建安全组,那么新实例会自动分配一个默认安全组,除非你明确指定一个不同的安全组。

    每个安全组中的关联*规则*控制着组中访问实例的流量。任何进入的流量与规则不匹配将会默认被拒绝。你可以在安全组中添加或删除规则,并且可以修改默认的或任何其他安全组中的规则。

    你可以修改安全组中的规则来允许通过不同的端口和协议访问实例。比如,你可以为实例上运行的DNS修改规则来允许通过SSH访问实例,ping通实例或者允许UDP流量。你可以为规则指定以下参数。

    • 流量来源 允许来自云环境其他组成员的IP地址或所有IP地址的流量访问实例。
    • 协议,SSH用TCP、Pings用ICMP或者UDP。
    • 虚拟机的目标端口。定义一个端口范围。只需要打开单个端口,输入同样的值两次。ICMP不支持端口,你输入一个值定义代码和被允许的ICMP流量类型。

    规则在新建或者修改之后实时生效

    添加密钥对

    你可以生成一个秘钥对或上传一个现有的公钥

    1. 要生成一个密钥对,运行以下命令。

      $ openstack keypair create KEY_NAME > MY_KEY.pem
      

      这个命令生成一个你指定名为KEY_NAME的秘钥对,将私钥写入指定的”.pem”文件里,且为Nova数据库注册公钥。

    2. 运行以下命令,设置”.pem”的权限为只有你本人可读写。

      $ chmod 600 MY_KEY.pem
      

    导入秘钥对

    1. 如果你已经生成一个密钥对且公钥位于”~/.ssh/id_rsa.pub”里面,那么运行以下命令上传公钥。

      $ openstack keypair create --public-key ~/.ssh/id_rsa.pub KEY_NAME
      

      该命令将公钥记录在Nova数据库里且密钥对的名字命名为你指定的“KEY_NAME”。

    2. 为确保密钥对成功导入,将密钥对像以下这样列出:

      $ openstack keypair list
      

    新建和管理安全组

    1. 列出当前项目的安全组,包括说明,输入以下命令:

      $ openstack security group list
      
    2. 要创建有指定名称和描述的安全组,则输入以下命令:

      $ openstack security group create SECURITY_GROUP_NAME --description GROUP_DESCRIPTION
      
    3. 要删除指定的组,请输入以下命令:

      $ openstack security group delete SECURITY_GROUP_NAME
      

     

     
    注解

    您不能删除一个项目的默认安全组。而且您也不能删除已经指定给正在运行的实例的安全组。

    新建和管理安全组规则

    使用命令:command:openstack security group rule`修改安全组规则。开始之前,使用source命令执行OpenStack RC文件。更多细节,参考:doc:../common/cli-set-environment-variables-using-openstack-rc`。

    1. 要列出安全组规则,则运行以下命令:

      $ openstack security group rule list SECURITY_GROUP_NAME
      
    2. 要允许SSH访问实例,则要选择以下项中的其中一项:

      • 允许所有IP访问,指定IP子网 CIDR为``0.0.0.0/0``:

        $ openstack security group rule create SECURITY_GROUP_NAME 
              --protocol tcp --dst-port 22:22 --remote-ip 0.0.0.0/0
        
      • 仅允许访问来自其他安全组(源组)的IP地址访问指定的端口:

        $ openstack security group rule create SECURITY_GROUP_NAME 
              --protocol tcp --dst-port 22:22 --remote-group SOURCE_GROUP_NAME
        
    3. 要允许ping通实例,选择以下项中的其中一项:

      • 允许所有IP访问,指定IP子网 CIDR为``0.0.0.0/0``。

        $ openstack security group rule create --protocol icmp 
          SECURITY_GROUP_NAME
        

        这允许访问所有代码和所有ICMP的流量。

      • 只允许其他安全组(源组)的成员ping 通云主机。

        $ openstack security group rule create --protocol icmp 
          --remote-group SOURCE_GROUP_NAME SECURITY_GROUP
        
    4. 为了允许访问UDP端口,比如允许访问一台虚拟机上面的DNS服务,选择以下选项:

      • 允许IP地址UDP访问,以CIDR的方式指定IP网段为``0.0.0.0/0``。

        $ openstack security group rule create --protocol udp 
          --dst-port 53:53 SECURITY_GROUP
        
      • 只允许来自其他安全组(源组)的IP地址访问指定的端口。

        $ openstack security group rule create --protocol udp 
          --dst-port 53:53 --remote-group SOURCE_GROUP_NAME SECURITY_GROUP
        

    删除安全组规则

    要删除一个安全组规则,请指定规则ID。

    $ openstack security group rule delete RULE_ID

    511 openstack keypair create mykey >mykey.pem
    515 chmod 600 mykey.pem
    517 openstack keypair list

    538 openstack security group rule create 83da1f44-482d-4d9c-90dd-fc081b5756b7 --protocol tcp --dst-port 22:22 --remote-ip 0.0.0.0/0
    541 openstack security group rule list 83da1f44-482d-4d9c-90dd-fc081b5756b7
    542 openstack security group rule create --protocal icmp --remote-ip 0.0.0.0/0
    543 openstack security group rule create --protocal icmp --remote-ip 0.0.0.0/0 83da1f44-482d-4d9c-90dd-fc081b5756b7
    544 openstack security group rule create --protocol icmp --remote-ip 0.0.0.0/0 83da1f44-482d-4d9c-90dd-fc081b5756b7

     
  • 相关阅读:
    NeHe OpenGL教程 第三十四课:地形
    NeHe OpenGL教程 第三十三课:TGA文件
    NeHe OpenGL教程 第三十二课:拾取游戏
    NeHe OpenGL教程 第三十一课:加载模型
    NeHe OpenGL教程 第三十课:碰撞检测
    58. Extjs grid CheckboxSelectionModel 单选
    57.部门职位管理 ExtJs 展示
    56. EditorGridPanel和渲染器renderer的使用
    55. GridPanel中getSelectionModel详解
    54. Extjs组件render说明
  • 原文地址:https://www.cnblogs.com/hilaryqs/p/10192065.html
Copyright © 2011-2022 走看看