设置分布式防火墙
Everoute 支持全局网络安全策略、安全策略和虚拟机隔离三种分布式防火墙安全策略。
- 全局网络安全策略:全局网络安全策略应用于 Everoute 服务管理的所有虚拟机。全局网络安全策略包括全局默认策略和全局白名单。
- 安全策略:安全策略应用于 Everoute 服务管理的的携带标签的虚拟机。当配置了安全策略后,虚拟机将只被允许与白名单进行通信。
- 虚拟机隔离:虚拟机隔离策略应用于单个虚拟机。当虚拟机中毒或需进行调试时,可以对虚拟机进行隔离。
优先级说明
全局默认策略、安全策略和虚拟机隔离三种安全策略的优先级按照从低到高的顺序,依次为:全局默认策略 < 安全策略 < 虚拟机隔离。
此外,Everoute 支持设置全局白名单以避免安全策略影响用户在数据中心之外所部署的服务(例如堡垒机)。
为虚拟机设置英文标签
Everoute 根据英文标签识别虚拟机分组并为其动态生成安全规则。因此,在设置安全策略之前,请先为虚拟机设置英文标签。
- 进入 CloudTower 的标签管理界面,单击右上方创建标签,弹出创建标签对话框。
- 输入标签信息,单击创建,完成标签的创建。
- 进入 Everoute 服务所关联的 SMTX OS(ELF)集群的虚拟机列表,选中待设置安全策略的虚拟机后,单击 ...,选择编辑标签。
- 在弹出的编辑标签对话框中,单击关联标签,选择和虚拟机关联的标签,完成虚拟机和标签的关联。
设置全局网络安全策略
全局网络安全策略包括全局默认策略和全局白名单。
- 全局默认策略:当虚拟机未设置任何网络安全策略且未处于隔离状态时,全局默认策略将对虚拟机生效。
- 全局白名单:全局白名单用于在不影响已有安全策略(除虚拟机隔离)的前提下,确保用户部署的数据中心外部服务(例如堡垒机等)可以与数据中心内虚拟机正常通信。
初始设置
在部署 Everoute 服务时即可对全局网络安全策略进行初始设置,设置方法请参考在 SMTX OS 集群部署 Everoute 服务。
变更设置
若需变更 Everoute 服务的全局网络安全策略:
在网络与安全界面中,单击运维管理,在 Everoute 服务下,选择要变更全局策略的 Everoute 服务。
进入全局网络安全策略界面,重新设置全局默认策略和全局白名单,单击保存。
设置安全策略
安全策略根据标签识别虚拟机分组并为其动态生成安全规则,从而控制各组虚拟机之间的网络连通,增强数据中心内部的安全性。
- 当虚拟机应用了多条策略时,多条安全策略取并集,共同控制虚拟机流量,即只要有一条策略允许流量通过该虚拟机,流量即被允许通过。
- 若策略对象的出、入流量任意一侧选择了全允许通过,即使在策略对象组内配置了拒绝互相通信,策略对象组内的虚拟机之间仍然可以互相通信。
- 不允许策略对象的出、入流量都选择为全允许通过。
创建安全策略
在网络与安全界面中,选择安全策略,在界面的右侧单击创建策略,弹出创建网络安全策略界面。
填写基本信息,包括安全策略的名称、描述和所属 Everoute 服务。
选择安全策略所属的 Everoute 服务后,该安全策略将应用于关联了此 Everoute 服务的集群。
单击下一步,进入创建网络安全策略界面。单击添加策略对象。设置完毕后单击添加,完成策略对象设置。
配置 说明 搜索标签 输入策略生效对象匹配的标签,可在下拉框中选择。仅支持关联英文标签。 策略对象互相通信 选择应用该策略的每个虚拟机组内是否可以互相通信。 设置策略对象的入流量对象。
若选择全允许,则策略对象可接收所有流量。
若需指定可接受的流量,请选择仅白名单。单击添加白名单,可添加虚拟机白名单和 IP 地址白名单。
白名单类型 说明 虚拟机白名单 通过英文标签筛选入流量虚拟机白名单,并可指定允许的 TCP、UDP、ICMP 协议和端口,如无需限制可选择任意协议。 IP 地址白名单 输入 IP 地址或 CIDR 块指定 IP 地址白名单,并可指定允许的 TCP、UDP、ICMP 协议和端口,如无需限制可选择任意协议。
设置策略对象的出流量对象。设置方法可参考步骤 4。
单击保存,完成网络安全策略的设置。
编辑安全策略
在网络安全策略管理界面,可查看已创建的策略。若需变更策略设置或删除策略,可单击策略右侧 ... 进行操作。
设置隔离策略
虚拟机的隔离策略分为完全隔离和诊断隔离。
完全隔离:该隔离模式下,虚拟机将拒绝所有的出、入流量。此隔离模式适用于虚拟机中毒场景,可避免病毒在内部环境中传播,减少对业务的影响。
诊断隔离:该隔离模式下,虚拟机仅允许与白名单通信。可以分别设置虚拟机的出流量白名单和入流量白名单。
隔离虚拟机
- 登录 CloudTower,进入集群的虚拟机列表。
- 单击待隔离的虚拟机,进入虚拟机详情面板。在网络安全页签下,单击隔离,为虚拟机设置隔离策略。
编辑隔离策略
在 CloudTower 中选择网络与安全 > 分布式防火墙 > 隔离中的虚拟机,查看进入隔离状态的虚拟机。您也可以在集群的虚拟机列表中,选中状态栏为隔离中
的虚拟机,在虚拟机详情面板中查看其详细信息。
如欲变更虚拟机的隔离策略,或者对虚拟机停止隔离,可进入该虚拟机的详情面板进行策略变更。