18.6. 공유 보안 그룹 구성
하나 이상의 RHOSP(Red Hat OpenStack Platform) 프로젝트에서 데이터를 공유할 수 있도록 하려면 RHOSP Networking 서비스(neutron) RBAC 정책 기능을 사용하여 보안 그룹을 공유할 수 있습니다. OpenStack Client를 사용하여 보안 그룹 및 네트워킹 서비스 역할 기반 액세스 제어(RBAC) 정책을 생성합니다.
인스턴스를 생성하는 동안 인스턴스에 직접 보안 그룹을 적용하거나 실행 중인 인스턴스의 포트에 적용할 수 있습니다.
인스턴스를 생성하는 동안에는 RBAC(역할 기반 액세스 제어)-공유 보안 그룹을 인스턴스에 직접 적용할 수 없습니다. RBAC-shared 보안 그룹을 인스턴스에 적용하려면 먼저 포트를 생성하고, 공유 보안 그룹을 해당 포트에 적용한 다음 해당 포트를 인스턴스에 할당해야 합니다. 포트에 보안 그룹 추가를 참조하십시오.
사전 요구 사항
- 공유할 RHOSP 프로젝트가 두 개 이상 있습니다.
현재 프로젝트 중 하나에서 현재 프로젝트인 대상 프로젝트인 다른 프로젝트와 공유할 보안 그룹을 생성했습니다.
이 예에서는
ping_ssh보안 그룹이 생성됩니다.예제
$ openstack security group create ping_ssh
절차
- 보안 그룹이 포함된 현재 프로젝트의 오버클라우드에 로그인합니다.
대상 프로젝트의 이름 또는 ID를 가져옵니다.
$ openstack project list
RHOSP 프로젝트 간에 공유할 보안 그룹의 이름 또는 ID를 가져옵니다.
$ openstack security group list
이전 단계의 식별자를 사용하여
openstack network rbac create명령을 사용하여 RBAC 정책을 생성합니다.이 예에서 대상 프로젝트의 ID는
32016615de5d43de99e7f2e26a1e입니다. 보안 그룹의 ID는5ba835b7-22b0-4be6-bdbe-e0722d1b5f24입니다.예제
$ openstack network rbac create --target-project \ 32016615de5d43bb88de99e7f2e26a1e --action access_as_shared \ --type security_group 5ba835b7-22b0-4be6-bdbe-e0722d1b5f24
--target-project보안 그룹에 액세스해야 하는 프로젝트를 지정합니다.
작은 정보--target-인수를 사용하여 모든 프로젝트 간에 데이터를 공유할 수 있습니다. 기본적으로 admin 사용자만 이 권한을 갖습니다.project <target-project> 대신 --target-all-projects--action access_as_shared- 프로젝트에서 수행할 수 있는 작업을 지정합니다.
--type- 대상 개체가 보안 그룹임을 나타냅니다.
5ba835b7-22b0-4be6-bdbe-e0722d1b5f24- 가 액세스 권한이 부여되는 특정 보안 그룹의 ID입니다.
대상 프로젝트는 OpenStack Client 보안 그룹 명령을 실행할 때 보안 그룹에 액세스할 수 있을 뿐만 아니라 해당 포트에 바인딩할 수 있습니다. 관리자 및 소유자 이외의 다른 사용자는 보안 그룹에 액세스할 수 없습니다.
대상 프로젝트에 대한 액세스를 제거하려면 openstack network rbac delete 명령을 사용하여 허용하는 RBAC 정책을 삭제합니다.
추가 리소스
- 인스턴스 생성 및 관리 가이드에서 보안 그룹 생성
- 명령줄 인터페이스 참조에서 보안 그룹 생성
- 명령줄 인터페이스 참조에서 네트워크 RBAC 생성
