Zum Hauptinhalt springen

Sicherheitsgruppen

Sicherheitsgruppen (Security Groups) in OpenStack dienen der Steuerung des ein- und ausgehenden Netzwerkverkehrs für Instanzen (VMs). Sie funktionieren wie virtuelle Firewalls. Jede Regel in einer Sicherheitsgruppe definiert, welcher Traffic (z. B. SSH oder HTTP) erlaubt ist. Standardmäßig ist sämtlicher eingehender Traffic blockiert.

Funktionsweise

  • Security Groups bestehen aus Rules, die eingehenden oder ausgehenden Netzwerkverkehr auf Basis von Protokoll, Port und Quelle/Ziel zulassen.
  • Regeln können sich auf:
    • CIDR: ein Subnet (z. B. 0.0.0.0/0 für „alle“)
    • oder auf eine Entfernte Sicherheitsgruppe beziehen: nur Traffic von Instanzen mit derselben (oder einer bestimmten) Security Group.

Default Security Group

In einem Projekt ist Standardmäßig eine Sicherheitsgruppe mit dem Namen default provisioniert. Diese erlaubt folgendes:

  • IPv4 Egress (Ausgehend) uneingeschränkt
  • IPv6 Egress (Ausgehend) uneingeschränkt
  • IPv4 Ingress (Eingehend) von allen Instanzen mit der selben Sicherheitsgruppe (default)
  • IPv6 Ingress (Eingehend) von allen Instanzen mit der selben Sicherheitsgruppe (default)

Die Default Sicherheitsgruppe kann im Regelwerk angepasst, jedoch nicht gelöscht gewerden. Genau wie andere Security Groups muss auch die Default Sicherheitsgruppe explizit einer Instanz zugewiesen werden um effektiv zu werden.

Sicherheitsgruppe in Horizon erstellen

  1. Navigieren Sie zu Project → Network → Security Groups.

  2. Klicken Sie auf Create Security Group.

  • Geben Sie Name und optional eine Beschreibung an.
  1. Nach dem Anlegen: Klicken Sie auf Manage Rules neben der neuen Gruppe.
info

Bei Erstellung einer Sicherheitsgruppe werden automatisch Regeln für IPv4 sowie IPv6 Egress (Ausgehend) erstellt. Entfernen Sie diese bei Bedarf.

  1. Klicken Sie auf Add Rule.
  • Wählen Sie einen Regeltyp (z. B. SSH, HTTP).
  • Für eigenen Portbereich: Typ „Custom TCP/UDP Rule“ wählen und Port Range manuell angeben.
  • Direction: Eingehend (Ingress) oder ausgehend (Egress).
  • Remote:
    • CIDR: z. B. 0.0.0.0/0 für öffentlich oder 10.0.0.0/24 für internes Subnetz.
    • oder Sicherheitsgruppe auswählen, wenn Traffic von bestimmten VMs erlaubt sein soll.

Beispiel: SSH-Zugriff aus dem Internet:

  • Rule: Custom TCP Rule

  • Direction: Ingress

  • Port Range: 22

  • Remote: CIDR → 0.0.0.0/0

Nun können sie die Sicherheitsgruppe beim erstellen einer Instanz verwenden.

Sicherheitsgruppe per CLI anlegen

  1. Neue Gruppe erstellen
openstack security group create my-secgroup --description "SSH und HTTP Zugriff"
  1. SSH-Zugriff (Port 22) aus dem Internet erlauben:
openstack security group rule create --proto tcp --dst-port 22:22 \
  --remote-ip 0.0.0.0/0 my-secgroup

Hinweise

  • Jede Instanz kann mehrere Security Groups haben.

  • Änderungen an Security Groups wirken sofort – auch auf bereits gestartete Instanzen.

  • Wenn keine Ingress-Regel vorhanden ist, kann kein Traffic zur Instanz gelangen.