Laiendatud võimalused VPC tulemüürireeglite halduseks Riigipilve iseteeninduskeskkonnas
Turvarühm on virtuaalse privaatpilve tasemel defineeritud tulemüürireeglite kogum, millega on võimalik piirata virtuaalmasinate võrguliiklust Riigipilves. Tehniliselt on turvarühmad realiseeritud OpenStack Security Group mehhanismi abil. Turvarühmade rakendamiseks lisatakse nad VPC sees loodud virtuaalmasinatele, mis aktiveerib vastavad tulemüürireeglid virtuaalmasinate võrguliidestel.
Et võimaldada paremat tulemüürireeglite haldust, oleme lisanud täiendava funktsionaalsuse nende haldamiseks Riigipilve iseteeninduses.
IPv6 tugi tulemüürireeglites
Kuigi Riigipilve IaaS teenus hetkel veel ei paku klientidele IPv6 välisvõrke, töö IPv6 toe lisamiseks siiski käib. Iseteeninduses on nüüd võimalus määrata tulemüürireeglites ka IPv6 protokolli.
Egress tulemüürireeglite haldamise võimalus
Ingress reeglid on mõeldud virtuaalmasina võrguliikluse piiramiseks väljast sisse. Egress reeglid aga kontrollivad võrguliiklust virtuaalmasinast välja. Vaikimisi (ehk default) turvarühm lubab virtuaalmasinale kogu liikluse välja (egress) ning lubab antud LAN subnet piires vaikimisi sama turvarühma kasutavate virtuaalmasinate vahel ka kogu siseneva liikluse (ingress, mis on piiratud LAN subnet source maskiga). Juhul, kui virtuaalmasina sees on tundlikum rakendus, soovitame kindlasti lisada ning rakendada ka eraldi egress reeglid, piiramaks seda, kuhu virtuaalmasinast saab teha päringuid. Seni oli egress tulemüürireeglite haldus võimalik ainult kasutajatel, kes olid tellinud endale otseligipääsu OpenStack halduspaneelile.
Turvarühma põhise source/target piirangu seadmine tulemüürireeglites
Lisaks käsitsi “Remote CIDR” source/target IP segmendi määramisele reeglites on nüüd võimalik rakendada ka teise turvarühmaga (“Remote security group”) seotud source/target ligipääsupiirangute dünaamilist genereerimist. Juhul, kui tulemüüri reeglis on “Remote security group” väljal valitud seotud turvarühm, lubatakse antud reegli põhjal liiklus virtuaalmasinatest (ingress) või virtuaalmasinate suunal (egress), kus antud “Remote security group” on rakendatud. Näiteks kasutab seda meetodit vaikimisi, ehk “default” turvarühma ingress reegel - mis automaatselt lubab siseneva võrguliikluse kõigist samas LAN subnetis asuvatest virtuaalmasinatest, millele on rakendatud seesama “default” turvarühm.
Tulemüürireeglite kirjeldused
Kui reeglite arv muutub suureks, muutub nende haldus keeruliseks. Et parandada ülevaatlikust, oleme lisanud võimaluse lisada iga reegli kohta väike selgitav kirjeldus.