Hướng dẫn sử dụng Security Group trong Portal Cloud Gdata
Giới thiệu
Hướng dẫn sử dụng Security Group trong Portal Cloud Gdata giúp người dùng cấu hình firewall bảo vệ Cloud Server trước các truy cập không mong muốn từ Internet hoặc mạng nội bộ.
Security Group trong OpenStack hoạt động như một lớp tường lửa ảo, cho phép kiểm soát lưu lượng Ingress và Egress theo từng protocol, port và địa chỉ IP cụ thể.
Người dùng có thể tạo nhiều Security Group khác nhau cho từng hệ thống dịch vụ như Web Server, Database Server hoặc Application Server để tăng cường bảo mật hạ tầng cloud.
Điều kiện trước khi thực hiện
Trước khi cấu hình Security Group trong Portal Cloud Gdata, người dùng cần chuẩn bị:
• Đã đăng nhập vào Portal Cloud Gdata
• Đã có Cloud Server hoạt động
• Đã có Network và Router hoạt động bình thường
• Có kiến thức cơ bản về TCP, UDP, Port và CIDR
• Xác định trước các port cần mở cho dịch vụ
Nguyên nhân phổ biến
Security Group thường được sử dụng để giới hạn quyền truy cập vào Cloud Server và chỉ cho phép các kết nối cần thiết.
Một số trường hợp phổ biến cần sử dụng Security Group gồm:
• Mở SSH để quản trị Linux Server
• Mở HTTP và HTTPS cho Website
• Giới hạn IP truy cập dịch vụ nội bộ
• Bảo vệ Database Server khỏi truy cập công khai
• Chặn các kết nối không hợp lệ từ Internet
Hướng dẫn sử dụng Security Group trong Portal Cloud Gdata chi tiết
Bước 1: Truy cập chức năng Security Group
Tại giao diện Portal Cloud Gdata, chọn mục Security Group trong menu Network.
Hệ thống sẽ hiển thị danh sách Security Group hiện có trong Project.
Thực hiện:
Mở menu Security Group để truy cập giao diện quản lý firewall cho Cloud Server.
Mặc định hệ thống sẽ có sẵn Security Group tên default.
Kiểm tra:
• Tên Security Group
• ID Security Group
• Mô tả
Lưu ý:
• Security Group mặc định thường chỉ cho phép outbound traffic
• Nên tạo Security Group riêng cho từng hệ thống dịch vụ
• Không nên sử dụng duy nhất Security Group default cho production
Bước 2: Tạo Security Group mới
Sau khi truy cập màn hình Security Group, nhấn nút Tạo Security Group để khởi tạo nhóm firewall mới.
Hệ thống sẽ hiển thị form nhập thông tin Security Group.
Thực hiện:
Nhập các thông tin cấu hình gồm:
• Tên Security Group
• Mô tả
Ví dụ:
• Tên Security Group: demo-sg
• Mô tả: sg demo
Sau khi nhập đầy đủ thông tin, nhấn nút Xác nhận để tạo Security Group.
Kiểm tra:
• Security Group xuất hiện trong danh sách
• Tên hiển thị đúng
• Mô tả hiển thị đúng
• Hệ thống tự động tạo các rule egress mặc định
Lưu ý:
• Nên đặt tên theo chức năng sử dụng
• Không nên dùng tên quá dài hoặc khó hiểu
• Mỗi dịch vụ nên có Security Group riêng để dễ quản trị
Bước 3: Truy cập quản lý Rules
Sau khi tạo Security Group thành công, người dùng cần cấu hình các rule firewall để cho phép hoặc giới hạn truy cập.
Rule sẽ quyết định port nào được phép kết nối vào hoặc ra khỏi Cloud Server.
Thực hiện:
Tại danh sách Security Group, chọn biểu tượng thao tác bên phải Security Group cần cấu hình rồi chọn Quản lý rules.
Hệ thống sẽ mở màn hình Chi tiết Security Group.
Kiểm tra:
• Direction
• Protocol
• Port range
• Remote IP prefix
• Remote Security Group
Lưu ý:
• Rule mặc định chỉ cho phép outbound traffic
• Nếu chưa có ingress rule, Cloud Server sẽ không truy cập được từ bên ngoài
• Nên kiểm tra kỹ Direction trước khi tạo rule
Bước 4: Tạo Rule mở SSH
SSH là rule phổ biến nhất để quản trị Linux Server từ xa thông qua port 22.
Nếu không mở SSH, người dùng sẽ không thể kết nối tới Linux Server qua terminal.
Thực hiện:
Trong màn hình Chi tiết Security Group, nhấn nút Tạo Rule.
Tại form tạo Rule:
• Chọn Rule là SSH
• Remote chọn CIDR
• CIDR nhập 0.0.0.0/0 nếu cho phép truy cập toàn bộ Internet
Sau đó nhấn nút Xác nhận để tạo rule.
Kiểm tra:
• Direction hiển thị ingress
• Protocol hiển thị tcp
• Port range hiển thị 22
• Remote IP prefix hiển thị 0.0.0.0/0
Lưu ý:
• Không nên mở SSH toàn bộ Internet trên môi trường production
• Nên giới hạn CIDR theo IP quản trị cụ thể
• Chỉ mở port 22 khi thực sự cần SSH
Bước 5: Tạo Rule tùy chỉnh theo Port
Ngoài SSH, người dùng có thể tạo rule cho các dịch vụ khác như HTTP, HTTPS hoặc ứng dụng riêng.
Portal Cloud Gdata hỗ trợ nhiều loại rule dựng sẵn và custom port.
Thực hiện:
Tại form Tạo Rule, chọn loại rule phù hợp:
• HTTP
• HTTPS
• All TCP
• All UDP
• Custom TCP
• Custom UDP
Nếu chọn Custom TCP hoặc Custom UDP, nhập port cần mở tại trường Port.
Ví dụ:
• Port 8080
• Port 3306
• Port 6379
Sau đó chọn CIDR phù hợp và nhấn Xác nhận.
Kiểm tra:
• Protocol hiển thị đúng loại giao thức
• Port range hiển thị đúng port đã mở
• Remote IP prefix hiển thị đúng CIDR
Lưu ý:
• Không mở toàn bộ port nếu không cần thiết
• Database nên giới hạn CIDR nội bộ
• Chỉ mở đúng port phục vụ dịch vụ đang sử dụng
Bước 6: Kiểm tra Security Group sau khi cấu hình
Sau khi tạo rule thành công, hệ thống sẽ hiển thị danh sách rule trong màn hình Chi tiết Security Group.
Người dùng có thể theo dõi hoặc xóa rule nếu không còn sử dụng.
Thực hiện:
Kiểm tra lại toàn bộ rule đã tạo trong danh sách.
Đảm bảo các port cần thiết đã được mở đúng protocol và CIDR.
Kiểm tra:
• Direction
• Protocol
• Port range
• Remote IP prefix
• Remote Security Group
Kết quả:
Security Group đã sẵn sàng để gắn vào Cloud Server và cho phép các kết nối theo đúng rule đã cấu hình.
Lưu ý:
• Rule sai có thể làm mất kết nối tới Cloud Server
• Nên kiểm tra kỹ CIDR trước khi mở public
• Không để tồn tại các rule không còn sử dụng
Kết quả sau khi thực hiện
Sau khi hoàn tất cấu hình Security Group, người dùng đã có thể kiểm soát truy cập mạng tới Cloud Server theo từng protocol và port cụ thể.
Security Group giúp tăng cường bảo mật, giảm nguy cơ truy cập trái phép và hỗ trợ triển khai dịch vụ cloud an toàn hơn.
Kết quả:
• Security Group được tạo thành công
• Rule firewall hoạt động đúng cấu hình
• SSH có thể truy cập nếu đã mở port 22
• Website có thể hoạt động nếu đã mở HTTP hoặc HTTPS
• Cloud Server được bảo vệ khỏi truy cập không mong muốn
Các lỗi thường gặp
Lỗi: Không SSH được vào Cloud Server
Nguyên nhân:
• Chưa mở port 22
• Sai CIDR
• Rule đang cấu hình sai Direction
Cách xử lý:
• Tạo rule SSH mới
• Kiểm tra Direction là ingress
• Kiểm tra CIDR cho phép đúng IP truy cập
Lỗi: Website không truy cập được
Nguyên nhân:
• Chưa mở port 80 hoặc 443
• Service trên máy chủ chưa hoạt động
• Security Group chưa gắn đúng vào máy chủ
Cách xử lý:
• Mở HTTP hoặc HTTPS
• Kiểm tra service web server
• Kiểm tra Security Group đang sử dụng
Lỗi: Không tạo được Rule
Nguyên nhân:
• Port nhập sai định dạng
• CIDR không hợp lệ
• Chọn sai protocol
Cách xử lý:
• Kiểm tra lại port
• Kiểm tra định dạng CIDR
• Chọn đúng loại rule phù hợp
Lỗi: Cloud Server bị public toàn bộ dịch vụ
Nguyên nhân:
• Mở All TCP với CIDR 0.0.0.0/0
• Mở quá nhiều port không cần thiết
• Không kiểm soát Security Group theo dịch vụ
Cách xử lý:
• Xóa các rule không cần thiết
• Chỉ mở đúng port sử dụng
• Giới hạn CIDR theo IP cụ thể
Khuyến nghị và lưu ý bảo mật:
• Chỉ mở các port thực sự cần thiết
• Không sử dụng CIDR 0.0.0.0/0 cho dịch vụ nội bộ
• Tạo Security Group riêng cho từng hệ thống
• Giới hạn IP quản trị SSH nếu có thể
• Thường xuyên kiểm tra các rule đang hoạt động
• Xóa các rule không còn sử dụng
• Không mở database trực tiếp ra Internet
• Kiểm tra Security Group sau mỗi lần thay đổi cấu hình mạng