Open Stack 운영.2(user)

•  

Open Stack 운영.1 에 이어서..

2020/07/01 - [Infra/프라이빗 클라우드 인프라] - Open Stack 운영.1(admin)

Open Stack 운영.1(admin)

Open Stack 운영.3

2020/07/02 - [Infra/프라이빗 클라우드 인프라] - Open Stack 운영.3 (user)

Open Stack 운영.3 (user)

 

 

 

 

9. 보안 그룹 생성

• test-user로 로그인
• 일반 사용자 입장에서 오픈스택에서 인스턴스를 생성하기 위해 첫번째 단계로 보안 그룹을 생성해야 한다.
• 보안 그룹은 인스턴스의 네트워크 필터링 정책이다.
• hypervisor(Nova)가 관리한다.
• openstack에서 논리적으로 만들어 놓은 방화벽이다.
• 가상머신의 방화벽(firewalld, iptables)과는 별개이다.
• Project  ->  Network  ->  Security Groups

• default 보안그룹은 packstack으로 오픈스택 설치 시 함께 설치된다.
• Manage Rules로 규칙을 확인할 수 있다.

 

• default 보안 그룹의 규칙은 기본적으로 아웃바운드 정책은 모두 허용되어있고, 인바운드 정책은 default 보안 그룹이 설정되어있는 인스턴스에서만 접근 가능하도록 설정되어있는 구성이다.
• 필요시 기존 규칙에 규칙 추가 및 규칙 삭제를 할 수 있다.
• 규칙
  • 원격 보안 그룹 →  들어옴의 원격보안그룹이 default라고 지정해놓으면 default 보안그룹으로 설정 해놓은 인스턴스에서만 들어올 수 있다는 의미
  • 출발지와 보안그룹의 이름에 따라서 논리적으로 네트워크를 격리 시킬 수 있다 굳이 네트워크를 나누지 않아도.
  • 보안그룹 생성할 때 기능별로 따로 만드는것이 좋다.
  • 인스턴스에 하나 이상의 보안그룹을 선택할 수 있다.

 

• Security Groups  ->  Create Security Group

• Name = SSH&ICMP&HTTP

 

• Manage Rules

• 기본적으로 모든 아웃바운드 규칙은 허용되어있다.
• 인바운드 규칙은 아무것도 없다.  ->  모든 인바운드 차단

 

• Add Rule

• Rule = ALL ICMP, HTTP, SSH

 

 

 

 

 

 

10. keypair 설정

• 인터넷에 공개되어있는 대부분의 클라우드 이미지는 SSH 키 인증방식으로만 접근이 가능하다.
  • cirros는 test용 이미지이기 때문에 password인증 가능
• 이유는 공개되어있는 이미지가 관리자의 패스워드나 이를 이용하여 아무나 SSH 패스워드 인증방식으로 접근하지 못하도록 하기 위한 조치이다.
• 키 페어는 인스턴스 생성 시 적용할 SSH 키를 등록하기 위한 키 쌍을 생성해주는 부분이다.
• 모든 키는 처음에 없다. 부팅을 하면서 자동으로 생성이 된다. 즉 가상머신을 새로 만들때마다 키가 달라진다.
• ssh-keygen로 키 생성 → ~/.ssh/id_rsa → ssh-copy-id → server의 ~/.ssh/authorized.keys 에 등록
• id가 안붙어있는 파일이라면 위치가 어디있는지 모른다면(ssh디렉안에 없을경우) ssh -i 옵션을 사용해준다.
• cloud init에 의해서 public key가 ~/.ssh/authorized.keys 파일에 저장.
• .pem → private key 파일. 생성할때 힌반만 다운 받을 수 있다.
• 키 교체 안됨 → 보안상 안전하지 않기때문에 기능을 제공하지 않는다.
• Project  ->  Compute  ->  Key Pairs  ->  Create Key Pair

• Key Pair Name = test-key

• Create Key Pair

• 이 때 다운받지 않으면 다시는 다운 받을 수 없다.
• 키 파일을 분실하면 새로운 키를 다시 생성해야 한다.

 

• test-key 링크를 선택하면 공개 키 정보를 확인할 수 있다.

 

 

 

 

 

11. 유동 IP 생성

• Floating은 인스턴스에 할당하여 외부 네트워크에서 인스턴스에 접근할 수 있도록 해주는 IP이다.
• Project  ->  Network  ->  Floating IPs  ->  Allocate IP To Project

• Pool = ext-net
• ext-net 외부 네트워크를 생성할 때 지정한 Pool의 범위 내에서 아이피가 할당된다.
• 여기서 유동 IP를 생성하는 것은 단순히 생성만 하는 것이고, 실제 인스턴스가 Floating IP를 사용하기 위해서는 인스턴스 생성 후 지금 만든 Floating IP를 연결 시켜 주어야 한다.

 

 

 

 

 

12. 내부 네트워크 생성

• 인스턴스가 사용할 네트워크
• Project  ->  Network  ->  Networks  -> Create Network

• Network Name = test-net

 

• Subnet Name = test-subnet
• Network Address = 172.16.0.0/24
• Gateway IP는 내부네트워크에서 외부로 나갈 때 사용할 라우터의 게이트 웨이 주소이다.
• 아직 라우터를 생성하지 않았다. 또한 설정하지 않으면 네트워크 주소의 첫 번째 IP가 자동으로 할당된다.
• 이 서브넷은 인스턴스가 사용해야하는 서브넷이기 때문에 DHCP 사용을 활성화한다.

• ext-net (external network) 네트워크는 admin 관리자가 생성한 외부 네트워크이며 외부 네트워크는 어떤 사용자로 로그인해도 어떤 프로젝트에서도 사용이 가능하다.
• 외부 네트워크의 "관련 서브넷"은 관리자 권한이 있는 사용자만 확인할 수 있다.