Privzeto je ves vhodni promet (INGRESS) blokiran. To pomeni, da storitve na strežniku od zunaj niso dosegljive, torej tudi povezava preko SSH ne bo delovala. Ves odhodni promet (EGRESS) pa je privzeto odprt, zato lahko strežnik vzpostavlja povezave navzven (npr. za posodobitve, API klice, pošiljanje e-pošte itd.).
Pred vzpostavitvijo prvega virtualnega strežnika predlagamo, da si kreirate novo pravilo v Security groups. Security Groups v okolju Domenca Cloud predstavljajo logično plast požarnega zidu, ki deluje nad omrežno infrastrukturo. Gre za virtualni firewall, ki filtrira promet na ravni posameznega virtualnega strežnika (VM), ne glede na fizično omrežje ali hipervizor.
1. Najprej se prijavite v Domenca cloud.
2. V levem meniju kliknite na Network in nato Security groups. Prikazana bodo pravila, ki jih imate ustvarjene.
3. Kliknite na gumb Add security group in v pojavnem oknu vnesite ime pravila.
4. Kreirano je novo pravilo, ki pa še nima nobenih vrednosti.
5. Kliknite na pravilo in nato v zavihku Ingress Rule.
6. V polja vnesite pravila, ki jih želite dodati v Security group.
Pri vsakem pravilu določite:
- Protokol – izberite, ali se pravilo nanaša na TCP, UDP ali ICMP promet.
- Start Port – začetni port, na katerega se bo pravilo nanašalo (npr. 80).
- End Port – končni port. Če je pravilo namenjeno le enemu portu, naj bosta začetni in končni port enaka (npr. 80–80).
- CIDR – omrežni obseg, iz katerega je dostop dovoljen (npr. 0.0.0.0/0 za dostop z vseh IP-jev ali bolj omejen obseg, kot je 192.168.1.10/32).
Ko vnesete želena polja, pravilo shranite. Pravila se nato samodejno uporabijo na vseh VM-jih, ki so povezani s to security group.
PRIMER: Ustvarili smo nabor pravil za standardni web/mail stack, kjer je dostop omogočen vsem IP naslovom. Za dostop prek SSH (port 22) smo dodali omejitev, ki dovoljuje povezavo le z vnaprej določenega IP naslova.
Ustvarite lahko tudi pravilo “ALL IN”, ki omogoča dostop iz vseh omrežij na vse porte. To storite tako, da pri Protocol izberete možnost ALL, v polje CIDR pa vnesete 0.0.0.0/0. S tem dovolite neomejen vhodni dostop iz kateregakoli IP naslova.
Takšno pravilo priporočamo uporabljati le, kadar je to res nujno, saj popolnoma odpre dostop do strežnika.
7. Ko so pravila dodana, jih je potrebno še določiti posameznemu strežniku.
Pri vzpostavitvi novega strežnika
Navodila za vzpostavitev novega strežnika: https://www.domenca.com/podpora/kb/vzpostavitev-domenca-cloud/
V 4. koraku zgornjih navodil pri postavki Security groups izberete ustvarjeno pravilo.
Pri že vzpostavljenem strežniku
V levem meniju izberite Compute in nato Instances ter kliknite na želen strežnik ter ga ustavite. Po končanem postopku ustavitve kliknite na Security groups in nato gumb Update security groups.
V pojavnem oknu izberite vašo skupino (v našem primeru standard-access) ter odstranite ‘default’. Kliknite OK in ponovno zaženite strežnik.
