[ English | 한국어 (대한민국) | português (Brasil) | français | español | English (United Kingdom) | русский | 中文 (简体, 中国) | Esperanto | Deutsch | Indonesia | नेपाली ]

配置实例的访问和安全

在启动实例之前,您应该添加安全组规则以启用用户 ping 实例并使用 SSH 连接到实例。安全组是 IP 过滤规则的集合,用于定义网络访问,并应用于项目中的所有实例。为此,您可以向默认安全组 向默认安全组添加规则 添加规则,或者添加带有规则的新安全组。

密钥对是在实例启动时注入实例的 SSH 凭证。要使用密钥对注入,实例所基于的镜像必须包含 cloud-init 包。每个项目应至少有一个密钥对。有关更多信息,请参阅 添加密钥对 部分。

如果您使用外部工具生成了密钥对,可以将其导入到 OpenStack。该密钥对可用于属于一个项目的多个实例。有关更多信息,请参阅 导入密钥对 部分。

注意

密钥对属于单个用户,不属于项目。要跨多个用户共享密钥对,每个用户都需要导入该密钥对。

在 OpenStack 中创建实例时,会自动为其分配分配给实例的网络中的固定 IP 地址。此 IP 地址永久与实例关联,直到实例终止。但是,除了固定 IP 地址外,还可以将浮动 IP 地址附加到实例。与固定 IP 地址不同,浮动 IP 地址可以在任何时候修改其关联关系,而与所涉及实例的状态无关。

向默认安全组添加规则

此过程启用对实例的 SSH 和 ICMP(ping)访问。这些规则适用于给定项目中所有实例,除非有禁止对实例进行 SSH 或 ICMP 访问的理由,否则应为每个项目设置这些规则。

如果您的云需要,可以根据需要调整此过程以向项目添加其他安全组规则。

注意

在添加规则时,必须指定与目标端口或源端口一起使用的协议。

  1. 登录到仪表板。

  2. 从左上角的下拉菜单中选择适当的项目。

  3. 项目 选项卡上,打开 网络 选项卡。 安全组 选项卡显示此项目可用的安全组。

  4. 选择默认安全组,然后单击 管理规则

  5. 要允许 SSH 访问,请单击 添加规则

  6. 添加规则 对话框中,输入以下值

    • 规则: SSH

    • 远程: CIDR

    • CIDR: 0.0.0.0/0

    注意

    要接受来自特定 IP 地址范围的请求,请在 CIDR 框中指定 IP 地址块。

  7. 单击 添加

    实例现在将对来自任何 IP 地址的请求开放 SSH 端口 22。

  8. 要添加 ICMP 规则,请单击 添加规则

  9. 添加规则 对话框中,输入以下值

    • 规则: 全部 ICMP

    • 方向: 入站

    • 远程: CIDR

    • CIDR: 0.0.0.0/0

  10. 单击 添加

    实例现在将接受所有传入的 ICMP 数据包。

添加密钥对

为每个项目创建至少一个密钥对。

  1. 登录到仪表板。

  2. 从左上角的下拉菜单中选择适当的项目。

  3. 项目 选项卡上,打开 计算 选项卡。

  4. 单击 密钥对 选项卡,该选项卡显示此项目可用的密钥对。

  5. 单击 创建密钥对

  6. 创建密钥对 对话框中,输入密钥对的名称,然后单击 创建密钥对

  7. 私钥将自动下载。

  8. 要更改其权限,以便只有您可以读取和写入该文件,请运行以下命令

    $ chmod 0600 yourPrivateKey.pem

    注意

    如果您从 Windows 计算机使用仪表板,请使用 PuTTYgen 加载 *.pem 文件,并将其转换为 *.ppk 文件并保存。有关更多信息,请参阅 WinSCP 网站上的 PuTTYgen

  9. 要使 SSH 识别密钥对,请运行 ssh-add 命令。

    $ ssh-add yourPrivateKey.pem

导入密钥对

  1. 登录到仪表板。

  2. 从左上角的下拉菜单中选择适当的项目。

  3. 项目 选项卡上,打开 计算 选项卡。

  4. 单击 密钥对 选项卡,该选项卡显示此项目可用的密钥对。

  5. 单击 导入密钥对

  6. 导入密钥对 对话框中,输入密钥对的名称,将公钥复制到 公钥 框中,然后单击 导入密钥对

计算数据库将注册密钥对的公钥。

仪表板将在 密钥对 选项卡上列出密钥对。

将浮动 IP 地址分配给实例

在 OpenStack 中创建实例时,会自动为其分配分配给实例的网络中的固定 IP 地址。此 IP 地址永久与实例关联,直到实例终止。

但是,除了固定 IP 地址外,还可以将浮动 IP 地址附加到实例。与固定 IP 地址不同,浮动 IP 地址可以在任何时候修改其关联关系,而与所涉及实例的状态无关。此过程详细介绍了从现有地址池中预留浮动 IP 地址,以及将该地址与特定实例关联的过程。

  1. 登录到仪表板。

  2. 从左上角的下拉菜单中选择适当的项目。

  3. 项目 选项卡上,打开 网络 选项卡。

  4. 单击 浮动 IP 选项卡,该选项卡显示分配给实例的浮动 IP 地址。

  5. 单击 将 IP 分配给项目

  6. 选择从中选择 IP 地址的池。

  7. 单击 分配 IP

  8. 浮动 IP 列表中,单击 关联

  9. 管理浮动 IP 关联 对话框中,选择以下选项

    • IP 地址 字段将自动填充,但可以通过单击 + 按钮添加新的 IP 地址。

    • 要关联的端口 字段中,从列表中选择一个端口。

      该列表显示所有实例及其固定 IP 地址。

  10. 单击 关联

注意

要取消将 IP 地址与实例分离,请单击 取消关联 按钮。

要将浮动 IP 地址释放回浮动 IP 池,请单击 操作 列中的 释放浮动 IP 选项。