セキュリティーグループの適用に順序性はありますか?
Issue
-
A と B の 2 つのネットワークと default と Allpermit の 2 つのセキュリティグループ をもつプロジェクトで、 ネットワーク A を接続しセキュリティグループ Allpermit を設定したインスタンスを作成しました。
- default セキュリティグループ: 送信は同じグループ内でのみ許可するよう設定する
- Allpermit セキュリティグループ: 送受信を全て許可する
-
次に、
nova interface-attach
コマンドでもう一つのネットワーク B を追加で接続したところ、ネットワーク B が追加された後、今度はセキュリティグループ default がインスタンス全体へ適用されました。
- 質問1:
nova interface-attach
コマンドでネットワークを追加する場合にセキュリティグループを指定することは可能ですか? - 質問2: Dashboard からセキュリティグループの付与・削除をした場合、セキュリティグループの適用には順序性があり、先にセキュリティグループ Allpermit を適用した場合、後で追加した default のフィルタリングよりも Allpermit が優先され、パケットが通過するのでしょうか?
- 2 つのネットワークを持つインスタンスに Dashboard からセキュリティグループの付与・削除をした場合、先に追加したネットワークのセキュリティグループしか有効にならないということでしょうか?
- つまりそれぞれのネットワークポートに対して別々のセキュリティグループを適用したい場合は CLI を使用して
neutron port-update --security-group SECURITY_GROUP PORT
でセキュリティグループを指定しないとそれぞれのポートに対して別々のセキュリティグループを付与できないのでしょうか?
Environment
- Red Hat OpenStack Platform 7.0
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.