Ctrl+K
Ctrl+K
PDF
Ctrl+K
PDF

Версии

Управление группами безопасности в интерфейсе командной строки

Управление группами безопасности в интерфейсе командной строки#

Управление группами безопасности осуществляется с помощью инструмента командной строки onesecgroup.

Добавление, удаление и просмотр списка групп безопасности#

Для создания группы безопасности используется команда:

onesecgroup create <файл-шаблон>

где <файл-шаблон> — файл шаблона c параметрами группы безопасности.

Примечание

Примеры

  1. Содержание файла шаблона sg.txt:

    NAME = test
RULE = [
   PROTOCOL = TCP,
   RULE_TYPE = inbound,
   RANGE = 1000:2000
]
RULE = [
   PROTOCOL= TCP,
   RULE_TYPE = outbound,
   RANGE = 1000:2000
]
RULE = [
   PROTOCOL = ICMP,
   RULE_TYPE = inbound,
   NETWORK_ID = 0
]

  2. Создание группы безопасности с использованием файла шаблона sg.txt:

    onesecgroup create sg.txt

    Пример вывода после выполнения команды:

    ID: 100

Для просмотра имеющихся групп безопасности, необходимо выполнить команду:

onesecgroup list

Пример вывода после выполнения команды:

ID      USER         GROUP        NAME        UPDATED     OUTDATED     ERROR
100     oneadmin     brestadm     test        0           0            0
0       oneadmin     brestadm     default     0           0            0

Для удаления группы безопасности используется команда:

onesecgroup delete <идентификатор / наименование_группы>

В качестве наименования сети можно указать перечень сетей (идентификаторов или наименований, разделенных запятыми) или диапазон идентификаторов сетей, крайние значения которого разделены двумя точками.

Просмотр и изменение правил группы безопасности#

Для просмотра правил, установленных в группе безопасности, необходимо выполнить команду:

onesecgroup show <идентификатор / наименование_группы>

Пример вывода после выполнения команды:

SECURITY GROUP 100 INFORMATION
ID             : 100
NAME           : test
USER           : oneadmin
GROUP          : brestadmins

PERMISSIONS
OWNER          : um-
GROUP          : ---
OTHER          : ---

VIRTUAL MACHINES
UPDATED        :
OUTDATED       :
ERROR          :

RULES
TYPE         PROTOCOL     ICMP_TYPE     ICMVP6_TYPE     NETWORK     RANGE
inbound      TCP                                        Any         1000:2000
outbound     TCP                                        Any         1000:2000
inbound      ICMP                                       VNet        0

Для изменения правил необходимо использовать команду:

onesecgroup update <идентификатор / наименование_группы> [<файл-шаблон>]

где <файл-шаблон> — файл шаблона для изменения правил. Если файл шаблона не указан, то после ввода команды откроется текстовый редактор Vim, для формирования временного шаблона. После сохранения внесенных данных и закрытия редактора, подготовленный шаблон будет применен для изменения правил, а временный файл шаблона будет удален.

Кроме того, можно изменить название группы безопасности при помощи команды:

onesecgroup rename <идентификатор_группы> <новое_наименование_группы>

Применение группы безопасности#

Для применения групп безопасности к виртуальным машинам необходимо конкретные группы безопасности присвоить сети, используемой в ВМ. Для этого необходимо выполнить команду:

onevnet update <идентификатор / наименование_сети>

После ввода команды откроется текстовый редактор Vim, в котором отобразятся параметры сети — для работы редактора используется временный файл шаблона. Необходимо скорректировать значение параметра SECURITY_GROUPS, указав через запятую перечень идентификаторов групп безопасности. После сохранения измененных значений параметров и закрытия редактора, измененный шаблон будет применен для установки новых значений параметров сети, а временный файл шаблона будет удален.

Также возможно настроить группы безопасности для каждого диапазона адресов (AR) сети. Для этого необходимо выполнить команду:

onevnet updatear <идентификатор / наименование_сети> <идентификатор_AR>

После ввода команды откроется текстовый редактор Vim, в котором отобразятся параметры диапазона адресов (для работы редактора используется временный файл шаблона). Необходимо скорректировать значение параметра SECURITY_GROUPS, указав через запятую перечень идентификаторов групп безопасности. После сохранения измененных значений параметров и закрытия редактора, измененный шаблон будет применен для установки новых значений параметров диапазона адресов, а временный файл шаблона будет удален.

Кроме того, в группе параметров NIC каждого шаблона сети может определять перечень групп безопасности.

Примечание

Пример

NIC = [
  NETWORK = "private-net",
  NETWORK_UNAME = "oneadmin",
  SECURITY_GROUPS = "103, 125"
]

Предупреждение

Если AR или NIC шаблона определяют группы безопасности с помощью параметра SECURITY_GROUPS, то указанные идентификаторы не будут перезаписывать идентификаторы, определенные в сети. Все идентификаторы групп безопасности объединяются и применяются в отношении экземпляра ВМ.

Для редактирования или добавления новых правил фильтрации трафика можно обновлять группы безопасности. Эти изменения будут применяться ко всем ВМ в группе безопасности, поэтому внесение изменений может занять некоторое время. Конкретный статус ВМ можно проверить в свойствах группы безопасности, где перечислены устаревшие и текущие ВМ.

Если необходимо сбросить процесс обновления, т.е. снова применить правила, использовать команду:

onesecgroup commit
Содержание