Подключиться
Yandex Virtual Private Cloud

Создать группу безопасности

Статья создана

    Функция находится на стадии Preview.

    Важно

    Группы безопасности действуют по принципу «запрещено все, что не разрешено». Если назначить сетевому интерфейсу ВМ группу безопасности без правил, ВМ не сможет передавать и принимать трафик.

    Чтобы создать новую группу безопасности:

    1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать группу безопасности.
    2. Откройте вкладку Группы безопасности.
    3. Нажмите кнопку Создать группу.
    4. Введите имя группы безопасности.
    5. В поле Сеть выберите сеть, которой будет назначена группа безопасности.
    6. В блоке Правила создайте правила для управления трафиком:
      1. Выберите вкладку Исходящий трафик или Входящий трафик.
      2. Нажмите кнопку Добавить правило.
      3. В открывшемся окне в поле Диапазон портов укажите один порт или диапазон портов, куда или откуда будет поступать трафик.
      4. В поле Протокол укажите нужный протокол или оставьте Любой, чтобы разрешить передачу трафика по всем протоколам.
      5. В поле Назначение или Источник выберите назначение правила:
        1. CIDR — правило будет применено к диапазону IP-адресов. В поле CIDR блоки укажите CIDR и маски подсетей, в которые или из которых будет поступать трафик. Чтобы добавить несколько CIDR, нажимайте кнопку Добавить CIDR.
        2. Группа безопасности — правило будет применено к ВМ из текущей группы или из выбранной группы безопасности.
    7. Нажмите кнопку Сохранить. Если требуется, добавьте другие правила.
    8. Нажмите кнопку Сохранить.

    При создании группы безопасности можно использовать следующие параметры:

    • --name — имя группы безопасности.
    • --rule — описание правила:
      • direction — направление трафика. ingress — входящий трафик, egress — исходящий.
      • port — порт для получения или передачи трафика. Также можно указать диапазон портов с помощью параметров from-port и to-port.
      • protocol — протокол передачи данных. Возможные значения: tcp, udp, icmp, any.
      • v4-cidrs — список CIDR IPv4 и масок подсетей, откуда или куда будет поступать трафик.

    Чтобы создать группу с правилом для IPv4 CIDR, выполните команду:

    $ yc vpc security-group create --name test-sg-cli \
"--rule" "direction=ingress,port=443,protocol=tcp,v4-cidrs=[10.0.0.0/24]" \
--network-id c645mh47vscba1d64tbs

    Если у вас ещё нет Terraform, установите его и настройте провайдер Yandex.Cloud.

    Чтобы создать группу безопасности с несколькими правилами:

    1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

      • name – имя группы безопасности.
      • description – опциональное описание группы безопасности.
      • network_id – идентификатор сети, которой будет назначена группа безопасности.
      • ingress и egress – параметры правил для входящего и исходящего трафика:
        • protocol – протокол передачи трафика.
        • description – опциональное описание правила. Возможные значения: tcp, udp, icmp, any.
        • v4_cidr_blocks — список CIDR и масок подсетей, откуда или куда будет поступать трафик.
        • port – порт для трафика.
        • from-port — первый порт из диапазона портов для трафика.
        • to-port — последний порт из диапазона портов для трафика.

      Пример структуры конфигурационного файла:

      provider "yandex" {
  token     = "<OAuth или статический ключ сервисного аккаунта>"
  folder_id = "<идентификатор каталога>"
  zone      = "ru-central1-a"
}

resource "yandex_vpc_security_group" "test-sg" {
  name        = "Test security group"
  description = "Description for security group"
  network_id  = "<Идентификатор сети>"

  ingress {
    protocol       = "TCP"
    description    = "Rule description 1"
    v4_cidr_blocks = ["10.0.1.0/24", "10.0.2.0/24"]
    port           = 8080
  }

  egress {
    protocol       = "ANY"
    description    = "Rule description 2"
    v4_cidr_blocks = ["10.0.1.0/24", "10.0.2.0/24"]
    from_port      = 8090
    to_port        = 8099
  }
}

      Более подробную информацию о ресурсах, которые вы можете создать с помощью Terraform, см. в документации провайдера.

    2. Проверьте корректность конфигурационных файлов.

      1. В командной строке перейдите в папку, где вы создали конфигурационный файл.
      2. Выполните проверку с помощью команды: 
        $ terraform plan

      Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

    3. Разверните облачные ресурсы.

      1. Если в конфигурации нет ошибок, выполните команду: 
        $ terraform apply
      2. Подтвердите создание ресурсов.

      После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления.