[ English | English (United Kingdom) | 中文 (简体, 中国) | Indonesia | русский | français | नेपाली | Deutsch | Esperanto | português (Brasil) | español | 한국어 (대한민국) ]

Zugriff und Sicherheit für Instanzen konfigurieren

Bevor Sie eine Instanz starten, sollten Sie Sicherheitsgruppenregeln hinzufügen, damit Benutzer pingen können und SSH zur Verbindung mit der Instanz verwenden können. Sicherheitsgruppen sind Sätze von IP-Filterregeln, die den Netzwerkzugriff definieren und auf alle Instanzen innerhalb eines Projekts angewendet werden. Dazu fügen Sie entweder Regeln zur Standard-Sicherheitsgruppe Hinzufügen einer Regel zur Standard-Sicherheitsgruppe hinzu oder fügen eine neue Sicherheitsgruppe mit Regeln hinzu.

Schlüsselpaare sind SSH-Anmeldeinformationen, die beim Start in eine Instanz injiziert werden. Um die Schlüsselpaarinjektion zu verwenden, muss das Image, auf dem die Instanz basiert, das Paket cloud-init enthalten. Jedes Projekt sollte mindestens ein Schlüsselpaar haben. Weitere Informationen finden Sie im Abschnitt Hinzufügen eines Schlüsselpaares.

Wenn Sie ein Schlüsselpaar mit einem externen Tool generiert haben, können Sie es in OpenStack importieren. Das Schlüsselpaar kann für mehrere Instanzen verwendet werden, die zu einem Projekt gehören. Weitere Informationen finden Sie im Abschnitt Ein Schlüsselpaar importieren.

Bemerkung

Ein Schlüsselpaar gehört zu einem einzelnen Benutzer, nicht zu einem Projekt. Um ein Schlüsselpaar für mehrere Benutzer gemeinsam zu nutzen, muss jeder Benutzer dieses Schlüsselpaar importieren.

Wenn eine Instanz in OpenStack erstellt wird, wird ihr automatisch eine feste IP-Adresse in dem Netzwerk zugewiesen, dem die Instanz zugeordnet ist. Diese IP-Adresse ist der Instanz dauerhaft zugeordnet, bis die Instanz beendet wird. Neben der festen IP-Adresse kann aber auch eine freie IP-Adresse an eine Instanz angehängt werden. Im Gegensatz zu festen IP-Adressen können Floating IP-Adressen ihre Zuordnungen jederzeit ändern lassen, unabhängig vom Zustand der beteiligten Instanzen.

Hinzufügen einer Regel zur Standard-Sicherheitsgruppe

Diese Prozedur ermöglicht SSH und ICMP (ping) den Zugriff auf Instanzen. Die Regeln gelten für alle Instanzen innerhalb eines bestimmten Projekts und sollten für jedes Projekt festgelegt werden, es sei denn, es gibt einen Grund, den Zugriff auf die Instanzen über SSH oder ICMP zu verbieten.

Dieses Verfahren kann bei Bedarf angepasst werden, um einem Projekt zusätzliche Sicherheitsgruppenregeln hinzuzufügen, wenn Ihre Cloud diese benötigt.

Bemerkung

Wenn Sie eine Regel hinzufügen, müssen Sie das Protokoll angeben, das mit dem Zielport oder dem Quellport verwendet wird.

  1. Melden Sie sich im Dashboard an.

  2. Wählen Sie das entsprechende Projekt aus dem Dropdown-Menü oben links aus.

  3. Öffnen Sie auf der Registerkarte Projekt die Registerkarte Netzwerk. Die Registerkarte Sicherheitsgruppen zeigt die Sicherheitsgruppen, die für dieses Projekt verfügbar sind.

  4. Wählen Sie die Standard-Sicherheitsgruppe aus und klicken Sie auf Manage Rules.

  5. Um den SSH-Zugriff zu erlauben, klicken Sie auf Add Rule.

  6. Geben Sie im Dialogfenster Add Rule die folgenden Werte ein:

    • Regel: „SSH“.

    • Remote: CIDR

    • CIDR: 0.0.0.0/0

    Bemerkung

    Um Anfragen von einem bestimmten Bereich von IP-Adressen anzunehmen, geben Sie den IP-Adressblock im Feld CIDR an.

  7. Klicken Sie auf Add.

    Instanzen haben nun den SSH-Port 22 offen für Anfragen von jeder IP-Adresse.

  8. Um eine ICMP-Regel hinzuzufügen, klicken Sie auf Add Rule.

  9. Geben Sie im Dialogfenster Add Rule die folgenden Werte ein:

    • Rule: All ICMP

    • Direction: Ingress

    • Remote: CIDR

    • CIDR: 0.0.0.0/0

  10. Klicken Sie auf Add.

    Instanzen akzeptieren nun alle eingehenden ICMP-Pakete.

Hinzufügen eines Schlüsselpaares

Erstellen Sie mindestens ein Schlüsselpaar für jedes Projekt.

  1. Melden Sie sich im Dashboard an.

  2. Wählen Sie das entsprechende Projekt aus dem Dropdown-Menü oben links aus.

  3. Öffnen Sie auf der Registerkarte Projekt die Registerkarte Compute.

  4. Klicken Sie auf die Registerkarte Key Pairs, die die Schlüsselpaare anzeigt, die für dieses Projekt verfügbar sind.

  5. Klicken Sie auf Create Key Pair.

  6. Geben Sie im Dialogfeld Create Key Pair einen Namen für Ihr Schlüsselpaar ein und klicken Sie auf Create Key Pair.

  7. Der private Schlüssel wird automatisch heruntergeladen.

  8. Um seine Berechtigungen so zu ändern, dass nur Sie in die Datei lesen und schreiben können, führen Sie den folgenden Befehl aus:

    $ chmod 0600 yourPrivateKey.pem

    Bemerkung

    Wenn Sie das Dashboard von einem Windows-Computer aus verwenden, laden Sie mit PuTTYgen die Datei *.pem und konvertieren und speichern Sie sie als *.ppk. Weitere Informationen finden Sie auf der WinSCP-Webseite für PuTTYgen.

  9. Um das Schlüsselpaar SSH bekannt zu machen, führen Sie den Befehl ssh-add aus.

    $ ssh-add yourPrivateKey.pem

Ein Schlüsselpaar importieren

  1. Melden Sie sich im Dashboard an.

  2. Wählen Sie das entsprechende Projekt aus dem Dropdown-Menü oben links aus.

  3. Öffnen Sie auf der Registerkarte Projekt die Registerkarte Compute.

  4. Klicken Sie auf die Registerkarte Key Pairs, die die Schlüsselpaare anzeigt, die für dieses Projekt verfügbar sind.

  5. Klicken Sie auf Import Key Pair.

  6. Geben Sie im Dialogfeld Import Key Pair den Namen Ihres Schlüsselpaares ein, kopieren Sie den öffentlichen Schlüssel in das Feld Public Key und klicken Sie dann auf Import Key Pair.

Die Compute-Datenbank registriert den öffentlichen Schlüssel des Schlüsselpaares.

Das Dashboard listet das Schlüsselpaar auf der Registerkarte Key Pairs auf.

Weisen Sie einer Instanz eine freie IP-Adresse zu.

Wenn eine Instanz in OpenStack erstellt wird, wird ihr automatisch eine feste IP-Adresse in dem Netzwerk zugewiesen, dem die Instanz zugeordnet ist. Diese IP-Adresse ist der Instanz dauerhaft zugeordnet, bis die Instanz beendet wird.

Neben der festen IP-Adresse kann aber auch eine freie IP-Adresse an eine Instanz angehängt werden. Im Gegensatz zu festen IP-Adressen können Floating IP-Adressen ihre Zuordnungen jederzeit ändern lassen, unabhängig vom Zustand der beteiligten Instanzen. Dieses Verfahren beschreibt die Reservierung einer freien IP-Adresse aus einem bestehenden Adresspool und die Zuordnung dieser Adresse zu einer bestimmten Instanz.

  1. Melden Sie sich im Dashboard an.

  2. Wählen Sie das entsprechende Projekt aus dem Dropdown-Menü oben links aus.

  3. Öffnen Sie auf der Registerkarte Projekt die Registerkarte Netzwerk.

  4. Klicken Sie auf die Registerkarte Floating IPs, die die den Instanzen zugeordneten Floating IP-Adressen anzeigt.

  5. Klicken Sie auf Allocate IP To Project.

  6. Wählen Sie den Pool, aus dem Sie die IP-Adresse auswählen möchten.

  7. Klicken Sie auf Allocate IP.

  8. Klicken Sie in der Liste Floating IPs auf Associate.

  9. Wählen Sie im Dialogfenster Manage Floating IP Associations die folgenden Optionen:

    • Das Feld IP Address wird automatisch ausgefüllt, aber Sie können eine neue IP-Adresse hinzufügen, indem Sie auf die Schaltfläche + klicken.

    • Wählen Sie im Feld Port to be associated einen Port aus der Liste aus.

      Die Liste zeigt alle Instanzen mit ihren festen IP-Adressen.

  10. Klicken Sie auf Associate.

Bemerkung

Um eine IP-Adresse von einer Instanz zu trennen, klicken Sie auf die Schaltfläche Disassociate.

Um die Floating IP Adresse wieder in den Floating IP Pool freizugeben, klicken Sie auf die Option Release Floating IP in der Spalte Actions.