Security Groups

Le Security Groups sono gruppi di regole IP che vengono applicate alle macchine virtuali e che ne regolano il traffico di rete.
In altre parole e’ un firewall di base per l’istanza in esecuzione.

Quando viene creata una VM, viene applicata, a meno che non sia esplicitamente rimossa dal form di creazione, la Security Group “default”.
Tale politica di sicurezza:

  1. Abilita tutto il traffico in uscita verso qualsiasi direzione.
  2. abilita tutto il traffico in ingresso proveniente da tutte le istanze a cui e’ applicata la Security Group “default”.

Ogni tenant (Polo) può gestire le proprie Security Groups andando nel menu’ Project -> Compute -> Access & Security della dashboard.

Attualmente ogni istanza che, oltre ad avere la Security Group “default”, appartiene anche ad una rete privata con router virtuale impostato come gateway verso la rete esterna, è automaticamente abilitata ad uscire su internet anche senza avere un floating ip associato (ip pubblico).

In tal caso, quando deve raggiungere l’esterno, l’istanza prende l’ip pubblico del gateway assegnato alla tenant (tramite SNAT).

Stiamo valutando le implicazioni e le soluzioni alternative al funzionamento attuale della SNAT e vi terremo aggiornati tramite il blog su eventuali modifiche.