1、安全組概述

安全組security-group是一些規(guī)則的集合，用于限制虛擬機(jī)的訪問(wèn)流量，本質(zhì)上就是iptables也就是虛擬防火墻，VM端口關(guān)聯(lián)安全組后，該安全組的規(guī)則會(huì)對(duì)進(jìn)出該虛擬機(jī)端口的網(wǎng)絡(luò)報(bào)文進(jìn)行過(guò)濾，只有規(guī)則允許的報(bào)文才能通過(guò)，即以白名單的形式放通流量。

2、openstack安全組配置

1）缺省安全組

默認(rèn)情況下openstack上創(chuàng)建VM后會(huì)給VM的端口綁定默認(rèn)的default安全，該安全組包含放通所有的流量。缺省安全組不可以被刪除，但是可以修改里面的規(guī)則。默認(rèn)情況下缺省安全組如下：

2）自定義安全組

用戶也可以自定義安全組，每個(gè)安全組里面包含多個(gè)安全組規(guī)則，一個(gè)VM可以關(guān)聯(lián)多個(gè)安全組。當(dāng)這個(gè)VM端口發(fā)出或者收到的報(bào)文匹配到其關(guān)聯(lián)的任意一個(gè)安全組中的某個(gè)規(guī)則時(shí)，則放通該報(bào)文，即規(guī)則的匹配順序不需要關(guān)注。同樣一個(gè)安全組也可以被多個(gè)VM的端口關(guān)聯(lián)。

舉例：

1）創(chuàng)建安全組，登錄openstack dashboard “項(xiàng)目”-->“網(wǎng)絡(luò)”--->“安全組”-->“創(chuàng)建安全組”

2）創(chuàng)建VM綁定安全組