目录

一、环境准备

二、浮动IP

1、浮动IP介绍

2、创建和分配浮动IP

三、安全组

1、安全组介绍

2、创建安全组

3、给云主机绑定安全组

---

一、环境准备

部署openstack私有云环境：02_openstack私有云部署_桂安俊@kylinOS的博客-CSDN博客

创建项目和用户：03_openstack之项目及用户管理_桂安俊@kylinOS的博客-CSDN博客

创建镜像：04_openstack之Glance镜像和云主机类型_桂安俊@kylinOS的博客-CSDN博客

创建网络：05_openstack之Neutron网络管理_桂安俊@kylinOS的博客-CSDN博客

创建云主机：06_openstack之创建云主机和常见错误_桂安俊@kylinOS的博客-CSDN博客

以下操作均基于上述环境
 

二、浮动IP

1、浮动IP介绍

• 浮动IP一般是花钱从运营商购买的；
• 浮动IP地址用于从外界访问虚拟机实例；
• 浮动IP只能从现有浮动IP地址池中分配；
• 虚拟机实例启动后，可以为其关联一个浮动IP地址；
• 虚拟机实例也可以解除IP地址绑定；

2、创建和分配浮动IP

根据前文创建完云主机后，还不能直接外网访问云主机IP，这时候需要用到浮动IP：

 普通用户user01登录管理界面，选择【计算】--->【访问和安全】--->【分配IP给项目】：

 点击【分配IP】，这个分配的是前面创建的wan IP，即实际生成环境中向运营商买的互联网IP：

每点击一次【分配】IP，就会总WAN IP的资源池里获取一个IP，我们这里可以将资源池分配完，后面创建的云主机就可以直接绑定浮动IP了，直到WAN IP资源池分完，就不会再允许分配IP了：

 回到云主机列表，后面的下拉菜单可以选择【绑定浮动IP】：

选择一个WAN IP，点击关联：

 可以看到host1云主机已经分配了浮动IP：

 此时，外网主机就可以直接ping通：

如果ping不通，可能是默认安全组的原因，下面还要对安全组进行配置。

三、安全组

1、安全组介绍

• 安全组用于控制对虚拟机实例的访问；
• 安全组在高层定义了哪些网络及哪些协议是被授权可以访问虚拟机实例的；
• 每个项目都可以定义自己的安全组；
• 项目成员可以编辑默认的安全规则，也可以添加新的安全规则；
• 每个规则都有出和入两个方向；
• 所有项目都有一个默认的default安全组；

2、创建安全组

如下，默认有一个自带的default安全组，default默认策略是允许内部云主机访问外部资源，不允许外部访问内部，如果内部云主机需要对外开放策略，需要修改或创建新的安全组

 点击【管理规则】进行规则配置：

 在openstack安全组规则中，分为出口和进口2个方向，进就是外部访问内部云主机的策略，出就是内部云主机访问外部网络的策略，这里添加一个入口方向的ALL ICMP规则，即允许外部主机ping通内网云主机：

3、给云主机绑定安全组

 移除default安全组，使用test自建安全组，保存即生效：

 此时云主机可以外部ping通：

如果想ssh访问的话，还需要再修改安全组，开放TCP SSH服务：

这时可以通过外部网络ssh访问云主机内部：

 如果想要开放任何协议、任何IP和端口，即将云主机网络权限全部放开，可以选择“其他协议”：