Open Stack 운영.1 에 이어서..
2020/07/01 - [Infra/프라이빗 클라우드 인프라] - Open Stack 운영.1(admin)
Open Stack 운영.3
2020/07/02 - [Infra/프라이빗 클라우드 인프라] - Open Stack 운영.3 (user)
9. 보안 그룹 생성
- test-user로 로그인
- 일반 사용자 입장에서 오픈스택에서 인스턴스를 생성하기 위해 첫번째 단계로 보안 그룹을 생성해야 한다.
- 보안 그룹은 인스턴스의 네트워크 필터링 정책이다.
- hypervisor(Nova)가 관리한다.
- openstack에서 논리적으로 만들어 놓은 방화벽이다.
- 가상머신의 방화벽(firewalld, iptables)과는 별개이다.
- Project -> Network -> Security Groups
- default 보안그룹은 packstack으로 오픈스택 설치 시 함께 설치된다.
- Manage Rules로 규칙을 확인할 수 있다.
- default 보안 그룹의 규칙은 기본적으로 아웃바운드 정책은 모두 허용되어있고, 인바운드 정책은 default 보안 그룹이 설정되어있는 인스턴스에서만 접근 가능하도록 설정되어있는 구성이다.
- 필요시 기존 규칙에 규칙 추가 및 규칙 삭제를 할 수 있다.
- 규칙
- 원격 보안 그룹 → 들어옴의 원격보안그룹이 default라고 지정해놓으면 default 보안그룹으로 설정 해놓은 인스턴스에서만 들어올 수 있다는 의미
- 출발지와 보안그룹의 이름에 따라서 논리적으로 네트워크를 격리 시킬 수 있다 굳이 네트워크를 나누지 않아도.
- 보안그룹 생성할 때 기능별로 따로 만드는것이 좋다.
- 인스턴스에 하나 이상의 보안그룹을 선택할 수 있다.
- Security Groups -> Create Security Group
- Name = SSH&ICMP&HTTP
- Manage Rules
- 기본적으로 모든 아웃바운드 규칙은 허용되어있다.
- 인바운드 규칙은 아무것도 없다. -> 모든 인바운드 차단
- Add Rule
- Rule = ALL ICMP, HTTP, SSH
10. keypair 설정
- 인터넷에 공개되어있는 대부분의 클라우드 이미지는 SSH 키 인증방식으로만 접근이 가능하다.
- cirros는 test용 이미지이기 때문에 password인증 가능
- 이유는 공개되어있는 이미지가 관리자의 패스워드나 이를 이용하여 아무나 SSH 패스워드 인증방식으로 접근하지 못하도록 하기 위한 조치이다.
- 키 페어는 인스턴스 생성 시 적용할 SSH 키를 등록하기 위한 키 쌍을 생성해주는 부분이다.
- 모든 키는 처음에 없다. 부팅을 하면서 자동으로 생성이 된다. 즉 가상머신을 새로 만들때마다 키가 달라진다.
- ssh-keygen로 키 생성 → ~/.ssh/id_rsa → ssh-copy-id → server의 ~/.ssh/authorized.keys 에 등록
- id가 안붙어있는 파일이라면 위치가 어디있는지 모른다면(ssh디렉안에 없을경우) ssh -i 옵션을 사용해준다.
- cloud init에 의해서 public key가 ~/.ssh/authorized.keys 파일에 저장.
- .pem → private key 파일. 생성할때 힌반만 다운 받을 수 있다.
- 키 교체 안됨 → 보안상 안전하지 않기때문에 기능을 제공하지 않는다.
- Project -> Compute -> Key Pairs -> Create Key Pair
- Key Pair Name = test-key
- Create Key Pair
- 이 때 다운받지 않으면 다시는 다운 받을 수 없다.
- 키 파일을 분실하면 새로운 키를 다시 생성해야 한다.
- test-key 링크를 선택하면 공개 키 정보를 확인할 수 있다.
11. 유동 IP 생성
- Floating은 인스턴스에 할당하여 외부 네트워크에서 인스턴스에 접근할 수 있도록 해주는 IP이다.
- Project -> Network -> Floating IPs -> Allocate IP To Project
- Pool = ext-net
- ext-net 외부 네트워크를 생성할 때 지정한 Pool의 범위 내에서 아이피가 할당된다.
- 여기서 유동 IP를 생성하는 것은 단순히 생성만 하는 것이고, 실제 인스턴스가 Floating IP를 사용하기 위해서는 인스턴스 생성 후 지금 만든 Floating IP를 연결 시켜 주어야 한다.
12. 내부 네트워크 생성
- 인스턴스가 사용할 네트워크
- Project -> Network -> Networks -> Create Network
- Network Name = test-net
- Subnet Name = test-subnet
- Network Address = 172.16.0.0/24
- Gateway IP는 내부네트워크에서 외부로 나갈 때 사용할 라우터의 게이트 웨이 주소이다.
- 아직 라우터를 생성하지 않았다. 또한 설정하지 않으면 네트워크 주소의 첫 번째 IP가 자동으로 할당된다.
- 이 서브넷은 인스턴스가 사용해야하는 서브넷이기 때문에 DHCP 사용을 활성화한다.
- ext-net (external network) 네트워크는 admin 관리자가 생성한 외부 네트워크이며 외부 네트워크는 어떤 사용자로 로그인해도 어떤 프로젝트에서도 사용이 가능하다.
- 외부 네트워크의 "관련 서브넷"은 관리자 권한이 있는 사용자만 확인할 수 있다.
'Infra > 프라이빗 클라우드 인프라' 카테고리의 다른 글
Open Stack - Cloud-init (wordpress) (0) | 2020.07.02 |
---|---|
Open Stack 운영.3 (user) (0) | 2020.07.02 |
Instance (0) | 2020.07.01 |
Open Stack 운영.1(admin) (0) | 2020.07.01 |
Open Stack 소개 (0) | 2020.06.30 |
댓글