1 安全组

1.1 功能定义
安全组提供一个隔离VM流量的途径,一个安全组由进出两个方向的过滤规则构成。这个规则通过IP(CIDR)地址来限制对VM的访问。VM建立后就会有一个默认的安全组(可以选择自定义安全组),该规则禁止所有进入流量,允许所有出去流量。用户可以自行添加新的安全组,并使用该安全组,如果没有则加入默认安全组。当用户创建VM时候使用了自定义安全组,则在实例“安全组选”中将包含2个安全组:默认的default和自定义安全组。
1.2 设置安全组允许被外部访问

1.2.1 操作流程
点击右侧工具栏”网络”,在视图栏下拉选择“安全组”,选择你要进行修改的安全组

1.2.1.1 CIDR方式
选择你要进行修改的安全组的名称,选中“入口规则”标签页,进行规则添加
 

上图中包含了允许所有网段对该安装组VM的80,22端口进行访问,允许ping
1.2.1.2 Account方式
Account 可以实现对同一个安全组中所有VM(同一个用户建立的所有VM,手动设置或者采用默认安全组设置)设置访问规则。

规则实例
允许 用户test00安全组default访问该安全组中所vm的tcp 1-65500端口;允许ping
允许 用户admin 安全组 develop-test 访问该安全组的tcp 80 端口;允许ping;其他拒绝

1.2.1.3 CIDR 和Account比较
在限制其他网段IP对VM访问时多采用采用CIDR方式。
Account用于限制其他安全组VM对该组VM的访问,如果采用CIDR方式,会添加很多条规则;当安全组的VM频繁增加删除时候,Account依然生效。
也可以采用二者混合方式,比如:添加account 规则,允许其他安全组访问自己组的80端口,通过CIDR只允许对方的一台主机可以访问自己组的mysql 3306端口。
1.2.2 注意事项
1.2.2.1 CIDR
其中CIDR指明了那些网段或者IP地址能进行访问该安全组成员。 CIDR格式为:网络号/掩码位数
10.25.11.0/24 表示10.25.11.0 255.255.255.0所有主机; 10.25.11.24/32 表示10.25.11.24这个单个主机

0.0.0.0/0 表示所有主机可以访问。

1.2.2.2 用户安全组
一个用户可以创建多个安全组,可以同时应用多个安全组在一个vm上;默认情况每一个vm都有一个default安全组;对已经存在VM无法进行安全组的添加删除。

转载于:https://blog.51cto.com/emulator/1158449

cloudstack 安全组相关推荐

  1. BackTrack平台中主流渗透测试工具

    信息收集第一类.DNS扫描工具 收集信息包括:域名注册信息 域名解析服务器(DNS  Server).有效的子域名称 1.Whois 使用方法:#whois    顶级域名 2.Dnsenum 所在路 ...

  2. CloudStack集成KVM报NFS错误

    问题描述: Cloudstack4.0集成KVM,可以正常添加主机,并且可以正常操作到ZONE启用,但是到系统VM启动的时候就开始报错,报异常. `/mnt/xx': Invalid argument ...

  3. CloudStack的基本使用

    ISO和模板文件的管理 ISO和模板文件通过HTTP或HTTPS协议上传到二级存储中.CloudStack中的模板分为三种:系统模板,内置模板和用户模板: 系统模板:创建系统虚拟机实例时使用 内置模板 ...

  4. CloudStack管理员文档 - 虚拟机

    关于虚拟机 管理员完全控制着客户虚拟机的生命周期. 客户虚拟机可以配置为高可用的,高可用的虚拟机会被系统监控,如果系统检测到虚拟机被关闭,会尝试重启该虚拟机,并且可能在另外一个host重启该虚拟机. ...

  5. CloudStack学习-1

    环境准备 实验使用的虚拟机配置 Vmware Workstation 虚拟机系统2个 系统版本:centos6.6 x86_64 内存:4GB 网络:两台机器都是nat 磁盘:装完系统后额外添加个50 ...

  6. CloudStack学习-2

    环境准备 这次实验主要是CloudStack结合glusterfs. 两台宿主机,做gluster复制卷 VmWare添加一台和agent1配置一样的机器 系统版本:centos6.6 x86_64 ...

  7. CloudStack学习-3

    此次试验主要是CloudStack结合openvswitch 背景介绍 之所以引入openswitch,是因为如果按照之前的方式,一个网桥占用一个vlan,假如一个zone有20个vlan,那么岂不是 ...

  8. CloudStack 配置高级网络简明手册

    玩过CloudStack的朋友都知道,新建区域(Zone)的时候,会有两个选项: 1 基本网络: 提供一个网络,将直接从此网络中为每个 VM 实例分配一个 IP.可以通过安全组等第 3 层方式提供来宾 ...

  9. CloudStack(二)基础网络模式安装部署

    概述: 在CloudStack(一)简介及相关理论介绍里面简单的介绍了下cloudstack的相关概念好让我们安装部署的时候好理解一点,在cloudstack的区域里面有两种网络模式, 基础模式 基础 ...

最新文章

  1. Android开发之LisitView的图文并排效果实现(源代码分享)
  2. linux 查看 定时任务 crontab 日志记录
  3. WinAPI: waveInGetNumDevs - 获取波形输入设备的数目
  4. JavaScript绑定事件的方法[3种]
  5. 全 球 最 老 金 鱼 病 逝
  6. 集合中重写equals方法删除new的对象
  7. python的进程线程和协程_python成长之路 :线程、进程和协程
  8. 小蜜团队万字长文 | 讲透对话管理模型最新研究进展
  9. UnrealScript语言基础
  10. 小程序自定义tabbar custom-tab-bar 6s出不来解决方案,cover-view不兼容
  11. windows获取主板序列号和盘符号_【装机帮扶站】第342期:甭管是什么主机,盘它!...
  12. 程序员是如何一步一步被诈骗的?《原力计划-打卡挑战》第二周周榜揭晓
  13. win2k,XP下用setupapi.dll自动安装Driver
  14. addEventListener监听
  15. MAC修改.bashrc/.bash_profile无效,默认的用户配置文件是.zshrc,
  16. 声网3D空间音频技术解析:3D空间音效+空气衰减模拟+人声模糊
  17. 如何远程操作另一台电脑,看这里就够了,远程控制另一台电脑的操作
  18. 知识图谱学习(笔记整理)
  19. RCLAMP0544T 国产替代上海雷卯ULC0544T
  20. 深入C#里static readonly的安全性与内存分配[原创]

热门文章

  1. 拿到一个待检测的站或给你一个网站,你觉得应该先做什么?
  2. ubuntu安装portainer_Docker安装管理界面portainer
  3. 301跳转:http跳转https不带www跳转到带www
  4. 如何检查域名解析是否生效
  5. 【C语言】关键字的补充
  6. [基础]tfcenter开启Webdav文件服务
  7. 修改idea字体大小
  8. 计算机文件预览取消,关闭视频文件预览,保留图片文件预览(windows7) -电脑资料...
  9. 如何运行 Python 程序?
  10. mat opencv 修改roi_OpenCV Android:在新Mat中定义并保存ROI(OpenCV Android: Define and save ROI in new Mat)...