Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

22.2.3.9. 创建 OpenStack 部署主机安全组

OpenStack 网络允许用户定义入站和出站流量过滤器,可以应用到网络上的每个实例。这允许用户根据实例服务的功能限制每个实例的网络流量,而不依赖于基于主机的过滤。OpenShift Ansible 安装程序处理除部署主机外,为 OpenShift Container Platform 集群一部分的每种主机需要的所有端口和服务正确创建。

以下命令创建一个空安全组,没有为部署主机设置规则。

$ source path/to/examplerc
$ openstack security group create <deployment-sg-name>

验证安全组的创建:

$ openstack security group list

部署主机安全组

部署实例只需要允许入站 ssh。此实例存在,供操作员提供一个稳定的基础,以部署、监控和管理 OpenShift Container Platform 环境。

表 22.3. 部署主机安全组 TCP 端口

端口/协议服务远程源用途

ICMP

ICMP

任意

允许 ping、traceroute 等。

22/TCP

SSH

任意

安全 shell 登录

创建上述安全组规则如下:

$ source /path/to/examplerc
$ openstack security group rule create \
    --ingress \
    --protocol icmp \
    <deployment-sg-name>
$ openstack security group rule create \
    --ingress \
    --protocol tcp \
    --dst-port 22 \
    <deployment-sg-name>

安全组规则验证如下:

$ openstack security group rule list <deployment-sg-name>
+--------------------------------------+-------------+-----------+------------+-----------------------+
| ID                                   | IP Protocol | IP Range  | Port Range | Remote Security Group |
+--------------------------------------+-------------+-----------+------------+-----------------------+
| 7971fc03-4bfe-4153-8bde-5ae0f93e94a8 | icmp        | 0.0.0.0/0 |            | None                  |
| b8508884-e82b-4ee3-9f36-f57e1803e4a4 | None        | None      |            | None                  |
| cb914caf-3e84-48e2-8a01-c23e61855bf6 | tcp         | 0.0.0.0/0 | 22:22      | None                  |
| e8764c02-526e-453f-b978-c5ea757c3ac5 | None        | None      |            | None                  |
+--------------------------------------+-------------+-----------+------------+-----------------------+