Menu Close
Settings Close

Language and Page Formatting Options

18.6. 공유 보안 그룹 구성

하나 이상의 RHOSP(Red Hat OpenStack Platform) 프로젝트에서 데이터를 공유할 수 있도록 하려면 RHOSP Networking 서비스(neutron) RBAC 정책 기능을 사용하여 보안 그룹을 공유할 수 있습니다. OpenStack Client를 사용하여 보안 그룹 및 네트워킹 서비스 역할 기반 액세스 제어(RBAC) 정책을 생성합니다.

사전 요구 사항

  • 공유할 RHOSP 프로젝트가 두 개 이상 있습니다.
  • 현재 프로젝트 중 하나에서 현재 프로젝트인 대상 프로젝트인 다른 프로젝트와 공유할 보안 그룹을 생성했습니다.

    이 예에서는 ping_ssh 보안 그룹이 생성됩니다.

    예제

    $ openstack security group create ping_ssh

절차

  1. 보안 그룹이 포함된 현재 프로젝트의 오버클라우드에 로그인합니다.
  2. 대상 프로젝트의 이름 또는 ID를 가져옵니다.

    $ openstack project list
  3. RHOSP 프로젝트 간에 공유할 보안 그룹의 이름 또는 ID를 가져옵니다.

    $ openstack security group list
  4. 이전 단계의 식별자를 사용하여 openstack network rbac create 명령을 사용하여 RBAC 정책을 생성합니다.

    이 예에서 대상 프로젝트의 ID는 32016615de5d43de99e7f2e26a1e 입니다. 보안 그룹의 ID는 5ba835b7-22b0-4be6-bdbe-e0722d1b5f24 입니다.

    예제

    $ openstack network rbac create --target-project \
    32016615de5d43bb88de99e7f2e26a1e --action access_as_shared \
    --type security_group 5ba835b7-22b0-4be6-bdbe-e0722d1b5f24

    --target-project

    보안 그룹에 액세스해야 하는 프로젝트를 지정합니다.

    작은 정보

    --target- project <target-project> 대신 --target-all- projects 인수를 사용하여 모든 프로젝트 간에 데이터를 공유할 수 있습니다. 기본적으로 admin 사용자만 이 권한을 갖습니다.

    --action access_as_shared
    프로젝트에서 수행할 수 있는 작업을 지정합니다.
    --type
    대상 개체가 보안 그룹임을 나타냅니다.
    5ba835b7-22b0-4be6-bdbe-e0722d1b5f24
    가 액세스 권한이 부여되는 특정 보안 그룹의 ID입니다.

대상 프로젝트는 OpenStack Client 보안 그룹 명령을 실행할 때 보안 그룹에 액세스할 수 있을 뿐만 아니라 해당 포트에 바인딩할 수 있습니다. 관리자 및 소유자 이외의 다른 사용자는 보안 그룹에 액세스할 수 없습니다.

작은 정보

대상 프로젝트에 대한 액세스를 제거하려면 openstack network rbac delete 명령을 사용하여 허용하는 RBAC 정책을 삭제합니다.

추가 리소스