How To Create Security Groups with Horizon on OpenStack Ocata
ในส่วนของ Security Groups บน OpenStack เป็นลักษณะ Micro-Segmentation โดยสร้าง chain บน ipables ในการทำ Firewall Policy และจะวางไว้หน้า Instances แต่ละตัวแยกกันเลยครับ
ดูจากรูปขวาของตัวอย่าง จะเห็นว่า เป็น Network Firewall จะวางติดกับ Instances เลย แน่นอนว่า เครื่องที่อยู่ใน Network (Data Link Layer) เดียวกัน เราก็จะสามารถทำ Security Policy ได้ครับ
Micro-segmentation allows security policies to be defined by workload, applications, VM, OS, or other characteristic.
Source: VMware
อ้างอิงข้อมูล: https://www.sdxcentral.com/sdn/network-virtualization/definitions/how-does-micro-segmentation-help-security-explanation/
สำหรับบทความนี้เรามาลองสร้าง Security Groups แบบง่ายๆ ให้กับ Instance ที่เราจะสร้าง โดยกำหนด Firewall Policy คล้ายๆ กับที่เราใช้งานอยู่บน Server ทั่วไป โดยเปิดบริการ HTTP, HTTPS, ICMP และ SSH เป็นต้น ด้วย Dashboard (Horizon) เริ่มกันเลยครับ
1. ทำการ Login เข้าไปหน้า Dashboard (Horizon) จากนั้นไปที่เมนู Project > Network > Security Groups แล้วเลือกปุ่ม +Create Security Group ดังรูป
2. กำหนดชือ่ของ Security Group ที่ต้องการสร้างครับ
3. ให้เลือกปุ่ม Manage Rules ของ Security Group ที่เราได้สร้างก่อนหน้านี้ดังรูป
4. ทำการเพิ่ม Security Group Rule โดยการเลือกที่ปุ่ม +Add Rule ดังรูปครับ
5. ทำการเลือก Rule เป็น ALL ICMP เพื่ออนุญาต ICMP Traffic Ingress (ขาเข้า) ของทุกๆ ICMP Type ดังรูป
6. เลือกที่ปุ่ม +Add Rule และเลือก Rule เป็น HTTP เพื่ออนุญาต HTTP (port 80) Traffic Ingress (ขาเข้า) ดังรูป
7. เลือกที่ปุ่ม +Add Rule และเลือก Rule เป็น HTTPS เพื่ออนุญาต HTTPS (port 443) Traffic Ingress (ขาเข้า) ดังรูป
8. เลือกที่ปุ่ม +Add Rule และเลือก Rule เป็น SSH เพื่ออนุญาต SSH (port 22) Traffic Ingress (ขาเข้า) ดังรูป
9. เมื่อเสร็จแล้วจะได้ Security Groups Rules ดังรูปครับ
เราสามารถสร้าง Security Policy ให้กับ Instance ผ่านทาง Security Group บน Horizon เรียบร้อยครับ เดี๋ยวจะนำไปใช้งานในบทความต่อๆ ไปครับ
