OpenStack安全组允许管理员控制进入云计算实例的流量。但是,有一个问题,是否可以更改默认组中的规则?首先,没有默认的OpenStack安全组这样的东西。每个项目都有自己的默认组,这是在管理员启动新项目时创建的。这些安全组具有不允许访问项目中的实例的标准规则。默认的OpenStack安全组总是以这种方式传递,因为它是直接从OpenStack软件生成的。默认安全组中的标准规则会自动应用于新项目。但是,一旦应用了安全组,云管理员就可以通过命令行界面更改组的规则。例如,管理员可以使用OpenStack安全组规则命令:create-protocoltcp–dst-port22,默认添加规则到允许传入SecureSocketShell的默认安全组。在多租户OpenStack环境中,有多个名为“default”的安全组。在这种情况下,请使用安全组ID而不是安全组名称。云管理员可以使用OpenStack安全组列表来显示所有安全组及其当前分配的名称。(参见图1)要以更加自动化的方式管理OpenStack安全组内容,云管理员可以使用Heat模板。如果您通常使用Heat将配置部署到OpenStack,请使用具有以下示例内容的模板:资源:默认值:类型:操作系统:中子:安全组属性:规则:-协议:tcpremote_ip_prefix:0.0.0.0/0port_range_min:22port_range_max:22如上所示创建堆栈后,可以像openstackstackcreate-t??hot.txthotspot一样使用openstackstackcreate-t??命令来申请。
