安全组
安全组是一种虚拟的包过滤防火墙,通过设置安全组出入方向的规则来控制关联的虚拟机的访问策略。如控制虚拟机是否被其他网络可以被访问,以及虚拟机可访问的外部资源等。一个虚拟机支持关联多个安全组(最多5个)。
安全组规则策略默认为严进宽出。
- 入方向:白名单机制,安全组未设置任何规则时,将拒绝所有流量访问虚拟机,需要根据需求添加安全组规则放行指定网络访问虚拟机的指定端口等。
- 出方向:黑名单机制,安全组出方向默认允许虚拟机访问任意资源,需要根据需求添加安全组规则控制虚拟机可以访问的资源。
安全组来源
在云管平台上新建安全组及规则;
同步其它平台上的安全组及规则;
- 云到本地:云管平台的安全组列表会同步所有对接私有云和公有云平台上安全组及规则信息。在私有云和公有云上的安全组更新后,将会同步到本地的安全组。
- 本地到云:而在云管平台添加的安全组只有绑定到对应私有云或公有云平台的虚拟机时,才会将绑定的安全组同步到私有云或公有云平台, 且只有在云上新建的安全组第一次会同步规则,后面不再同步安全组规则。
注意
由于不同平台上安全组规则优先级与云管平台上安全组规则优先级数值与取值范围不太相同。大致分为以下两种情况进行优先级转换。
- 若其他平台上规则优先级数值越小,优先级越大,而云管平台上优先级数值越大,优先级越高。将其他平台上的安全组和规则同步到云管平台时,将会在后台转换优先级数值保证同步到云管平台的规则具有相同的优先级高低顺序。将云管平台上的安全组规则同步到其他平台也进行同样的转换。
- 若其他平台上优先级数值取值范围值大于云管平台上的1~100,将会在后台进行比例缩放转换优先级数值使其处在云管平台的取值范围内。
安全组规则生效原则
本地IDC中安全组规则生效原则:
- 当虚拟机仅绑定一个安全组时,分别按照安全组出、入方向的规则按照优先级高低匹配规则,优先级高的规则优先匹配生效,优先级低的规则后匹配生效。
- 若优先级低的规则与优先级高的规则匹配参数相同,但策略相反,则优先级低的规则不生效。
- 若两条规则优先级相同,规则匹配参数相同,但策略相反,则拒绝(deny)策略的规则生效。
- 当虚拟机绑定多个安全组时,分别按照安全组出、入方向按照优先级高低排列所有安全组中的规则。优先级高的规则优先匹配生效,优先级低的规则后匹配生效。
- 若优先级低的规则与优先级高的规则匹配参数相同,但策略相反,则优先级低的规则不生效。
- 若两条规则优先级相同,规则匹配参数相同,但策略相反,则拒绝(deny)策略的规则生效。
纳管的私有云及公有云中安全组生效原则:
- 当公有云或私有云中的虚拟机绑定安全组时,云管平台会将绑定的对应云平台上的安全组,按照对应云平台上的匹配原则生效。
入口:在云管平台单击左上角导航菜单,在弹出的左侧菜单栏中单击 “主机/网络/安全组” 菜单项,进入安全组页面。
查看安全组列表
该功能用于查看安全组列表。
- 搜索:支持通过来源/目标和端口等搜索安全组。
- 规则预览:在列表中单击规则预览列的数字,展开查看安全组下的规则信息。
- 查看安全组关联的虚拟机:在列表中单击关联虚拟机列的数子,在弹出的关联虚拟机对话框中查看安全组关联的虚拟机。
新建安全组及规则
安全组及规则添加顺序一般为先新建安全组,并在安全组内添加出入方向的规则列表。
新建安全组
云管平台目前内置三种安全组模板:
- 通用Web服务器:创建放通22,80,443,3389端口和ICMP协议的安全组规则。
- 开放所有端口:创建放通所有端口的安全组规则。
- 自定义:默认不设置任何规则,等安全组创建完成后,用户自定义设置安全组规则。
- 在安全组页面,单击列表上方 “新建” 按钮,弹出新建对话框。
- 选择指定项目、模板、设置安全组名称,单击 “确定” 按钮,完成安全组的创建。
批量追加规则
该功能用于批量为多个安全组添加相同规则。
- 在安全组列表中选择一个或多个安全组,单击 “批量追加规则” 按钮,弹出批量追加规则对话框。
- 配置以下参数:
- 设置规则方向,包括“入方向”或“出方向”。
- 选择类型,包括自定义、微软远程桌面(3389)、SSH(22)、HTTP(80)、HTTPS(443)、ping。
- 当选择自定义类型时,需要自定义配置所有参数。
- 当选择微软远程桌面(3389)、SSH(22)、HTTP(80)、HTTPS(443)、ping后,将会自动确定规则的协议和端口号(如ping类型,协议为ICMP、端口为ALL)。用户只需要配置目标、策略、优先级即可。
- 设置来源或目标。
- 当为入方向创建规则时,设置来源,即访问虚拟机的源IP地址或CIDR。
- 当为出方向创建规则时,设置目标,即虚拟机访问的目标IP或CIDR网段。
- 当勾选右下角任意IP时,目标自动设置为0.0.0.0/0。当设置单个IP时,格式为192.168.0.1,当设置CIDR网段时,格式为192.168.1.0/24。
- 设置协议,目前支持的协议为TCP、UDP、ICMP、任意协议,当选择任意协议时,将匹配所有端口。
- 设置端口:可设置1~65535之间的任意数值。
- 设置策略:包括允许和拒绝。
- 设置优先级:可设置1~100之间的任意数值,数值越大,代表规则的优先级越高,优先生效。
- 单击 “确定” 按钮,添加规则,按照上述操作为安全组添加对应规则。
配置规则
一般新建的安全组默认显示在第一个。需要用户在新建的安全组详情中设置对应规则。安全组详情页面分为”入方向“、”出方向“两部分。分别控制虚拟机入方向的流量以及出方向的流量。可分别在入方向或出方向创建规则,规则创建方式相同。
新建规则
- 在安全组页面,单击安全组右侧操作列 “配置规则” 按钮,进入入方向页面。
- 分别在“入方向”或“出方向”页面,单击 “新建” 按钮,弹出新建规则对话框。
- 配置以下参数:
- 类型:包括自定义、微软远程桌面(3389)、SSH(22)、HTTP(80)、HTTPS(443)、ping。
- 当选择自定义类型时,需要自定义配置所有参数。
- 当选择微软远程桌面(3389)、SSH(22)、HTTP(80)、HTTPS(443)、ping后,将会自动确定规则的协议和端口号(如ping类型,协议为ICMP、端口为ALL)。用户只需要配置目标、策略、优先级即可。
- 来源/目标:设置流量的来源(入方向)或目标(出方向)。支持选择IP地址、CIDR。
- IP地址和CIDR:填写单一IP地址或者选择CIDR网段,当勾选右下角任意IP时,目标自动设置为0.0.0.0/0。当设置单个IP时,格式为192.168.0.1,当设置CIDR网段时,格式为192.168.1.0/24。
- 协议:目前支持的协议为TCP、UDP、ICMP、任意协议,当选择任意协议时,将匹配所有端口。
- 端口:可设置1~65535之间的任意数值。
- 策略:包括允许和拒绝。
- 优先级:可设置1~100之间的任意数值,数值越大,代表规则的优先级越高,优先生效。
- 备注:设置规则的备注信息。
- 类型:包括自定义、微软远程桌面(3389)、SSH(22)、HTTP(80)、HTTPS(443)、ping。
- 单击 “确定” 按钮,添加规则,按照上述操作为安全组添加对应规则。
编辑规则
该功能用于编辑已有规则。
- 在安全组页面,单击安全组右侧操作列 “配置规则” 按钮,进入入方向页面。
- 单击“入方向”或“出方向”页面规则右侧操作列 “编辑” 按钮,弹出编辑对话框。
- 修改协议、策略、优先级等,单击 “确定” 按钮,完成操作。
克隆规则
该功能用于克隆已有规则。
- 在安全组页面,单击安全组右侧操作列 “配置规则” 按钮,进入入方向页面。
- 单击“入方向”或“出方向”页面规则右侧操作列 “克隆” 按钮,弹出克隆规则对话框。
- 修改相关参数,单击 “确定” 按钮,完成操作。
删除规则
该功能用于删除规则。支持单个或批量删除规则。
单个删除
- 在安全组页面,单击安全组右侧操作列 “配置规则” 按钮,进入入方向页面。
- 单击“入方向”或“出方向”页面规则右侧操作列 “删除” 按钮,弹出操作确认对话框。
- 单击 “确定” 按钮,完成操作。
批量删除
- 在安全组页面,单击安全组右侧操作列 “配置规则” 按钮,进入入方向页面。
- 在“入方向”或“出方向”页面中选择一条或多条规则,单击列表上方 “删除” 按钮,弹出操作确认对话框。
- 单击 “确定” 按钮,完成操作。
管理虚拟机
该功能用于将管理安全组关联的虚拟机。一个安全组可以关联多个虚拟机,一个虚拟机也可以关联多个安全组(最多5个安全组)。
关联虚拟机
- 在安全组页面,单击安全组右侧操作列 “管理虚拟机” 按钮,进入关联虚拟机页面。
- 单击列表上方 “关联虚拟机” 按钮,弹出关联虚拟机对话框。
- 选择需要关联安全组的虚拟机(支持选择多个),单击 “确定” 按钮,将安全组关联到虚拟机。
解绑虚拟机
单个解绑
- 在安全组页面,单击安全组右侧操作列 “管理虚拟机” 按钮,进入关联虚拟机页面。
- 单击虚拟机右侧操作列 “解绑” 按钮,弹出操作确认对话框。
- 单击 “确定” 按钮,完成操作。
批量解绑
- 在安全组页面,单击安全组右侧操作列 “管理虚拟机” 按钮,进入关联虚拟机页面。
- 在列表中选择一个或多个虚拟机,单击列表上方 “解绑” 按钮,弹出操作确认对话框。
- 单击 “确定” 按钮,完成操作。
克隆
该功能是基于当前安全组创建一个规则、参数等完全相同的安全组。
- 在安全组页面,单击安全组右侧操作列 “更多” 按钮,选择下拉菜单 “克隆” 菜单项,弹出克隆对话框。
- 设置克隆的安全组的名称,单击 “确定” 按钮,即可创建与当前安全组相同规则相同的安全组。
导入安全组规则
该功能用于批量导入安全组规则,支持将导出的安全组规则导入到指定的安全组中。
注意
由于导出安全组会导出列表中所有安全组的规则,而导入规则将在指定安全组上导入规则。建议用户按照以下方式操作:
- 导出单个安全组规则:通过筛选功能搜索到具体要备份的安全组时,单击列表右上角图标导出单个安全组规则,并通过导入安全组规则功能将其导入到具体的安全组中。
- 导出多个安全组规则:当用户通过导出功能导出多个安全组规则时,在导入时,需要明确具体要导入的安全组规则,并将其整理到表格的一个sheet页面,并进行导入。
- 在安全组页面,单击安全组右侧操作列 “更多” 按钮,选择下拉菜单 “导入安全组规则” 菜单项,弹出导入安全组规则对话框。
- 导入安全组规则需要按照预先设定的格式,请先下载模板,在下载的export-secgrouprules.xlsx文件中补充安全组规则信息,安全组出入方向请都放在同一个sheet页面,用in和out区分。
- 单击虚线框或将export-secgrouprules.xlsx文件拖拽到虚线框,单击**_“确定”_** 按钮,完成操作。
合并安全组
该功能用于将具有相同规则的安全组合并为一个安全组。该功能可以减少列表中的安全组数量,删除不必要的安全组。相同规则代表安全组内的所有规则IP地址、端口、协议、方向等都保持一致。
- 在安全组页面,单击安全组右侧操作列 “更多” 按钮,选择下拉菜单 “合并安全组” 菜单项,弹出合并安全组对话框。
- 输入或选择可以合并的安全组,单击 “确定” 按钮,将安全组合并为一个,删除可合并的安全组。
更改项目
该功能用于更改安全组的所属项目。
- 在安全组页面,单击安全组右侧操作列 “更多” 按钮,选择下拉菜单 “更改项目” 菜单项,弹出更改项目对话框。
- 设置域和项目,单击 “确定” 按钮。
设置共享
该功能用于设置安全的组的共享范围。
项目资源的共享范围有五种:
- 不共享(私有):即项目资源只能本项目的用户可以使用。
- 项目共享-部分(本域内多项目共享):即项目资源可以共享到同域下的指定项目(一个或多个),只有本项目和被共享项目下的用户可以使用项目资源。
- 项目共享-全部(本域共享):即项目资源可以共享给域下所有项目,即项目所在域的用户都可以使用项目资源。
- 域共享-部分(多域共享):即项目资源可以共享到指定域(一个或多个),只有项目资源所在域和共享域下的用户可以使用项目资源。
- 域共享-全部(全局共享):即项目资源可以共享给全部域使用,即系统中所有用户都可以使用项目资源。
说明
设置域共享的条件:
- 在云联壹云平台已开启三级权限。
- 用户处于管理后台。
设置项目共享的条件:
- 用户处于管理后台或域管理后台。
注意
云联壹云平台上安全组即使是从云账号同步下来的,但是安全组的共享范围不受云账号的影响。单个安全组设置共享
- 在安全组页面,单击安全组右侧操作列 “更多” 按钮,选择下拉菜单 “设置为共享” 菜单项,弹出设置共享对话框。
- 配置以下参数。
- 当共享范围选择为“不共享”时,即项目资源的共享范围为私有,仅本项目的用户可以使用。
- 当共享范围选择为“项目共享”时,需要选择本域下可共享的项目。
- 当项目选择同域下的一个或多个项目时,即项目资源的共享范围为项目共享-部分,只有项目资源所在项目和共享项目下的用户可以使用项目资源。
- 当项目选择全部时,即项目资源的共享范围为项目共享-全部,项目所在域下的用户都可以使用项目资源。
- 当共享范围选择为“域共享”时,需要选择共享的域。
- 当域选择其中的一个或多个域时,即项目资源的共享范围为域共享-部分,只有项目资源所在域和共享域下的用户可以使用域资源。
- 当域选择全部时,即项目资源的共享范围为域共享-全部,系统中的所有用户都可以使用项目资源。
- 单击 “确定” 按钮,完成操作。
批量设置共享
- 在安全组列表中选择一个或多个安全组,单击列表上方 “设置共享” 按钮,弹出设置共享对话框。
- 配置以下参数。
- 当共享范围选择为“不共享”时,即项目资源的共享范围为私有,仅本项目的用户可以使用。
- 当共享范围选择为“项目共享”时,需要选择本域下可共享的项目。
- 当项目选择同域下的一个或多个项目时,即项目资源的共享范围为项目共享-部分,只有项目资源所在项目和共享项目下的用户可以使用项目资源。
- 当项目选择全部时,即项目资源的共享范围为项目共享-全部,项目所在域下的用户都可以使用项目资源。
- 当共享范围选择为“域共享”时,需要选择共享的域。
- 当域选择其中的一个或多个域时,即项目资源的共享范围为域共享-部分,只有项目资源所在域和共享域下的用户可以使用域资源。
- 当域选择全部时,即项目资源的共享范围为域共享-全部,系统中的所有用户都可以使用项目资源。
- 单击 “确定” 按钮,完成操作。
删除
该功能用于删除安全组,当安全组关联实例不为0时,不允许删除安全组。
单个删除
- 在安全组页面,单击安全组右侧操作列 “更多” 按钮,选择下拉菜单 “删除” 菜单项,弹出操作确认对话框。
- 单击 “确定” 按钮,完成操作。
批量删除
- 在安全组列表中选择一个或多个安全组,单击列表上方 “删除” 按钮,弹出操作确认对话框。
- 单击 “确定” 按钮,完成操作。
查看安全组详情
该功能用于查看安全组详细信息。
- 在安全组页面,单击安全组名称项,进入安全组详情页面。
- 详情页面顶部菜单项支持对安全组进行管理操作。
- 查看安全组的云上ID、ID、名称、状态、域、项目、共享范围、关联虚拟机、缓存份数、共享范围、创建时间、更新时间、备注等。
查看关联虚拟机列表
该功能用于查看安全组关联的虚拟机列表,支持取消关联虚拟机。
- 在安全组详情页面,单击“关联虚拟机”页签,进入关联虚拟机列表。
- 解绑虚拟机:该功能用于取消安全组与虚拟机的关联。
- 单击虚拟机右侧操作列 “解绑” 按钮,弹出操作确认对话框。
- 单击 “确定” 按钮,完成操作。
查看缓存列表
缓存列表来源有两种:
- 创建私有云/公有云平台虚拟机时使用云联壹云平台上的安全组时,将会为每个平台产生一条同名的缓存记录。
- 同步私有云/公有云平台上的安全组
- 若开启安全组自动合并, 安全组与本地安全组规则一致时将合并,并在对应安全组缓存列表中生成与私有云/公有云平台名称一致的安全组缓存记录,若不一致,则在云联壹云平台上新建安全组并产生一条同名的缓存记录。
- 若未开启安全组自动合并, 则在云联壹云平台上新建安全组并产生一条同名的缓存记录
- 安全组自动合并功能默认关闭
- 在安全组详情页面,单击“缓存列表”页签,进入缓存页面页面。
- 查看安全组的缓存列表信息,包括安全组名称、状态、创建时间、更新时间、VPC、平台、区域、云账号。
- 支持对安全组缓存进行删除操作,在云管平台上删除缓存后将同步删除公有云/私有云平台上的对应的安全组。
查看操作日志
该功能用于查看安全组相关操作的日志信息。
- 在安全组详情页面,单击“操作日志”页签,进入操作日志页面。
- 加载更多日志:列表默认显示20条操作日志信息,如需查看更多操作日志,请单击 “加载更多” 按钮,获取更多日志信息。
- 查看日志详情:单击操作日志右侧操作列 “查看” 按钮,查看日志的详情信息。支持复制详情内容。
- 查看指定时间段的日志:如需查看某个时间段的操作日志,在列表右上方的开始日期和结束日期中设置具体的日期,查询指定时间段的日志信息。
- 导出日志:目前仅支持导出本页显示的日志。单击右上角图标,在弹出的导出数据对话框中,设置导出数据列,单击 “确定” 按钮,导出日志。