Question

在 OpenStack 中，配置实例的访问和安全性是确保虚拟机和网络环境安全的关键步骤。通过合理的配置，你可以控制谁能够访问你的实例、限制访问权限以及保证网络的隔离性。以下是一些常见的配置方法和工具来管理 OpenStack 实例的访问和安全性：

1. 配置安全组（Security Groups）

安全组（Security Groups） 是 OpenStack 中用于控制实例访问的关键组件。它们充当防火墙的角色，定义了哪些流量可以进出实例。

创建安全组

你可以使用 OpenStack CLI 创建安全组：

openstack security group create <安全组名称> --description "描述信息"

示例：

openstack security group create my-sec-group --description "My security group"

添加规则到安全组

安全组中包含规则，允许或拒绝特定类型的流量。你可以使用以下命令添加规则：

openstack security group rule create --protocol tcp --dst-port 22 --ingress <安全组 ID>

这个命令为安全组添加了一条规则，允许通过 TCP 协议的 22 端口（即 SSH）进行访问。

• --protocol ：指定协议（如 tcp , udp , icmp ）。
• --dst-port ：指定目标端口。
• --ingress ：指定规则是入站流量（可以是出站流量，使用 --egress ）。
• <安全组 ID> ：安全组的 ID 或名称。

你可以根据需要配置多个端口和协议的规则，以下是一些常见的安全组规则示例：

• 允许 SSH 访问（端口 22） ：

  openstack security group rule create --protocol tcp --dst-port 22 --ingress my-sec-group
  

• 允许 HTTP 访问（端口 80） ：

  openstack security group rule create --protocol tcp --dst-port 80 --ingress my-sec-group
  

• 允许 ICMP（Ping）流量 ：

  openstack security group rule create --protocol icmp --ingress my-sec-group
  

将安全组应用到实例

当你创建实例时，你可以指定一个或多个安全组：

openstack server create --flavor <flavor> --image <image> --network <network> --security-group <安全组名称> <实例名称>

例如：

openstack server create --flavor m1.small --image ubuntu-20.04 --network private-net --security-group my-sec-group my-instance

你也可以通过以下命令将安全组添加到现有实例：

openstack server add security group <实例 ID> <安全组名称>

2. 配置密钥对（SSH Keys）

密钥对是用来远程访问实例（通常是通过 SSH）的一种安全机制。在创建实例时，你需要指定一个公钥，实例启动后，只有拥有对应私钥的人才能访问该实例。

创建密钥对

你可以使用 OpenStack CLI 创建 SSH 密钥对：

openstack keypair create --public-key <公钥文件路径> <密钥对名称>

示例：

openstack keypair create --public-key ~/.ssh/id_rsa.pub my-keypair

将密钥对应用到实例

当创建实例时，使用以下命令指定密钥对：

openstack server create --flavor m1.small --image ubuntu-20.04 --key-name my-keypair --network private-net my-instance

下载密钥对（如果没有现有公钥）

如果你没有现成的公钥，也可以使用 OpenStack 来下载生成的密钥对的私钥：

openstack keypair create --private-key my-keypair.pem my-keypair

这会将密钥对的私钥保存到 my-keypair.pem 文件，你可以用它来 SSH 连接实例。

3. 配置网络和子网安全

网络和子网是确保实例访问和安全的基础。你可以通过配置网络和子网的安全性来确保实例的网络通信受到控制。

创建私有网络和子网

在 OpenStack 中，你可以创建私有网络并为其配置子网。这样，你可以将实例放置在受控的网络环境中，从而提高安全性。

创建网络：

openstack network create private-net

创建子网：

openstack subnet create --network private-net --subnet-range 192.168.1.0/24 --gateway 192.168.1.1 private-subnet

这将创建一个名为 private-net 的网络，并为其配置一个子网 private-subnet ，其 IP 地址范围为 192.168.1.0/24 ，默认网关为 192.168.1.1 。

配置网络策略（如防火墙）

你可以使用 Neutron 网络服务来配置更加复杂的网络访问控制。例如，可以创建防火墙规则来限制哪些流量可以进出网络。

4. 使用防火墙和路由器

OpenStack Neutron 提供了强大的网络管理功能，你可以配置 防火墙 和 路由器 来控制实例的网络访问。

创建防火墙规则

你可以创建防火墙规则来控制哪些流量被允许或拒绝。

openstack firewall rule create --protocol tcp --dst-port 22 --action allow --ingress

配置路由器

在 OpenStack 中，你可以为私有网络配置路由器，从而使实例能够访问外部网络（例如互联网）。你可以使用以下命令创建一个路由器并连接到外部网络。

openstack router create my-router
openstack router add subnet my-router private-subnet
openstack router set --external-gateway public-net my-router

这将创建一个路由器，并将其连接到名为 public-net 的外部网络，同时将私有子网 private-subnet 添加到路由器中，从而允许实例访问外部网络。

5. 使用 Keystone 控制身份和权限

OpenStack 使用 Keystone 来进行身份验证和授权控制。通过 Keystone，你可以配置哪些用户和角色能够访问哪些资源。

创建用户和角色

你可以创建新的用户并为他们分配不同的角色，以控制他们的权限。

openstack user create --domain default --password <password> <用户名>
openstack role add --project <项目名> --user <用户名> <角色名>

示例：

openstack user create --domain default --password password123 admin
openstack role add --project admin-project --user admin admin

这样，用户 admin 将获得 admin-project 项目的管理权限。

配置服务访问权限

你还可以配置用户对 OpenStack 服务（如 Nova、Neutron、Cinder 等）的访问权限。

6. 配置实例访问审计

OpenStack 提供了 Audit Logs （审计日志）功能，你可以监控实例的访问和操作历史记录。这有助于追踪和分析潜在的安全问题。

审计日志可以在 OpenStack 控制台中查看，或者通过命令行查看：

openstack logger list

总结

在 OpenStack 中配置实例的访问和安全性主要通过以下几个方面来实现：

1. 安全组 ：控制实例的入站和出站流量。
2. SSH 密钥对 ：通过公钥和私钥确保实例的安全访问。
3. 网络和子网安全 ：创建私有网络并限制网络流量。
4. 防火墙和路由器 ：配置防火墙规则和路由器来管理网络访问。
5. Keystone 权限控制 ：使用 Keystone 控制用户和角色的权限。
6. 审计日志 ：监控实例的访问和操作记录，确保安全性。

通过这些配置，你可以确保 OpenStack 实例在安全的环境中运行，限制未经授权的访问。