Security Groups i Firewall

Security Group oraz Firewall to dwa rodzaje zapory sieciowej, którymi możemy zarządzać z poziomu panelu Atman Cloud. Różnice między nimi to sposób zarządzania oraz umiejscowienie w infrastrukturze.

Na powyższym schemacie znajduje się standardowy schemat sieci w środowisku chmurowym. Dwie instancje podłączone są do jednej sieci wewnętrznej, która z kolei podłączona jest do internetu za pośrednictwem wirtualnego routera.

Firewall to zapora sieciowa działająca na routerze lub grupie routerów, konfigurowany jest więc dla części lub całości środowiska. Zarządzanie regułami odbywa się z poziomu zakładki Network > Firewalls:

Security Group to firewall działający na wszystkich interfejsach sieciowych instancji, konfigurowany jest oddzielnie dla każdej instancji. Zarządzanie regułami odbywa się z zakładki Network > Security Groups:

Domyślnie każda instancja posiada Security Group „default”, która zezwala na ruch wychodzący oraz blokuje cały ruch przychodzący do instancji. Aby połączyć się z instancją należy otworzyć wybrany port dodając go do listy otwartych portów w Security Group.

Domyślnie Firewall nie jest skonfigurowany, router przepuszcza cały ruch wychodzący i przychodzący. Security Group również można wyłączyć i polegać na zaporze sieciowej skonfigurowanej samodzielnie po stronie systemu operacyjnego instancji.

Istnieje także możliwość połączenia tych rozwiązań, jednak odradzamy ją ze względów praktycznych – w przypadku wystąpienia problemów z dostępem do instancji stosowanie wielu zapór sieciowych utrudnia diagnostykę.

Security Group – zarządzanie

Na poniższym przykładzie zaprezentowane zostanie otworzenie portu 80 w instancji.

Przechodzimy do zakładki Network > Security Groups i wybieramy +CREATE SECURITY GROUP. W pierwszym oknie podajemy nazwę grupy:

Klikamy w CREATE a następnie w MANAGE RULES:

Nowa grupa posiada reguły domyślne, które pokrywają się z regułami grupy „default”, mogą więc zostać usunięte.

Po wybraniu +ADD RULE pojawi się okno z konfiguracją reguły. W polu Rule można wybrać jeden ze zdefiniowanych protokołów lub wskazać port TCP/UDP który zostanie otwarty dla ruchu przychodzącego z adresów wskazanych przez CIDR lub z instancji, do których przypisana jest wybrana z listy Security Group.

Istniejącą Security Group należy następnie dodać do instancji. Można to zrobić na dwa sposoby:

Podczas tworzenia instancji wybieramy Security Group w zakładce konfiguratora:

Lub dodajemy grupę do istniejącej instancji – w zakładce Compute > Instances wybieramy Edit Security Groups

Aby sprawdzić, jakie grupy są przypisane do instancji należy kliknąć na jej nazwę w zakładce Compute > Instances: