Sicherheitsgruppen anlegen

Sicherheitsgruppen verwalten

Instanzen in heiCLOUD befinden sich hinter einer Firewall. Diese Firewall bekommt ihre Regeln aus einer Sicherheitsgruppe. Abhängig davon wie/worüber sie auf eine Instanz zugreifen möchten, müssen Sie Sicherheitsgruppen anlegen, in denen die jeweiligen Regeln (Sicherheitsregeln) gelten die Sie benötigen. Es können mehrere Sicherheitsgruppen mit unterschiedlichen Sicherheitsregeln angelegt und verschiedenen Instanzen zugewiesen werden. Standardmäßig exisitert nur die Sicherheitsgruppe "default".
 

Damit Sie auf Ihre Instanz von außen zugreifen können benötigen Sie neben einer zugewiesenen Floating-IP ("Instanz starten" Punkt 11) noch die enstprechenden Sicherheitsregeln. Standardmäßig ist es Instanzen nämlich nur erlaubt Verbindungen nach außen aufzubauen (z.B. für Updates). Der Aufbau von Verbindungen von außen zur Instanz ist dagegen nicht erlaubt. Um dies z.B. für SSH- bzw. RDP-Zugriff oder HTTP(S) zu erlauben, gehen Sie bitte wie folgt vor:

  1. Anmeldung bei der heiCLOUD.
  2. Klicken Sie unterhalb von Projekt → Compute auf Zugriff & Sicherheit. Klicken Sie auf den Reiter Sicherheitsgruppen. Sie sehen eine Übersicht ihrer (vorhandenen) Sicherheitsgruppen.
  3. (optional) Um eine neue Sicherheitsgruppe zu erstellen, klicken Sie rechts oben auf den Button Sicherheitsgruppe erstellen. Es öffnet sich ein neues Fenster. 
  4. (optional) Geben Sie der neuen Gruppe einen Namen (zB. Fernzugriff).
  5. Um eine Sicherheitsgruppen zu verwalten klicken Sie in der Zeile der jeweiligen Sicherheitsgruppe rechts auf den Button Sicherheitsgruppe verwalten. Es öffnet sich ein neues Fenster.
    Alle Sicherheitsgruppen enthalten automatisch zwei Sicherheitsregeln die ausgehende Verbindungen erlauben.
  6. Um eine neue Regel hinzuzufügen klicken Sie rechts oben auf den Button Regel hinzufügen. Es öffnet sich ein neues Fenster.
  7. Wählen Sie beim Dropdown-Menü Regel die Option aus, für die Sie einen Port öffnen möchten. Für den Fernzugriff auf Ihre Instanzen benötigen Sie folgende Regeln:

    (Linux) Um SSH-Zugriff zu erlauben wählen Sie bitte SSH aus.
    (Windows) Um RDP-Zugriff zu erlauben wählen Sie bitte RDP aus.

    (optional) Im Feld CIDR können Sie einen Adressbereich angeben aus dem der Zugriff möglich ist. Standardmäßig ist der Zugriff weltweit möglich ("any", 0.0.0.0/0). Um den Zugriff auf das Uninetzwerk zu beschränken, erstellen Sie zwei identische Regel, wobei sie für die erste einen CIDR-Adressbereich von 129.206.0.0/16 angeben, für die zweite Regel einen Adressbereich von 147.142.0.0/16.

    Für Windows bzw. RDP-Zugriff wird dringend empfohlen diese Option zu Nutzen und den Zugriff auf bekannte IP-Bereiche (z.B. die angegebenen Netze der Universität Heidelberg) oder besser: die IP ihres Arbeitsrechners zu beschränken!
     

  8. Klicken Sie auf Hinzufügen um den Vorgang abzuschließen.
  9. Instanzen haben standardmäßig nur die Sicherheitsgruppe Default zugeteilt. Sollten Sie eine neue Sicherheitsgruppe erstellt haben, muss diese noch den entsprechenden Instanzen zugeteilt werden:
    1. Für neue Instanzen: Beachten Sie hierfür Punkt 7 in unserer Anleitung Instanzen starten und verwalten
    2. Für bestehende Instanzen: Projekt → Compute  → Instanzen im Dropdown-Menü (Spalte: Aktionen) der Instanz Punkt Sicherheitsgruppen bearbeiten.

Wenn Sie mehr Freigaben hinzufügen möchten z.B. für HTTP oder HTTPS können Sie die obigen Schritte einfach mit der entsprechenden Regel (Punkt 7) wiederholen.

Bitte halten Sie aus Sicherheitsgründen Freigaben, aber auch die erlaubten Adressbereiche so gering wie möglich!

Datenbanken wie MySQL, MongoDB aber auch Elasticsearch, sowie Cache-Software (Varnish, memcached) sollten niemals direkt von außen erreichbar sein.