À propos des security groups

Les security groups vous permettent de gérer le trafic vers et depuis vos instances selon vos besoins et votre architecture.

Chaque instance, dans le Cloud public comme dans un Virtual Private Cloud (VPC), est lancée derrière au moins un security group auquel vous pouvez ajouter ou retirer des règles. Pour en savoir plus, voir À propos des règles des security groups.

Informations générales

Un security group est un appareil réseau virtuel agissant comme un pare-feu et un switch, qui autorise ou interdit les flux entrants ou sortants d’une ou plusieurs instances. Ils permettent donc aux instances de communiquer entre elles ou avec des services ou appareils externes selon les règles que vous spécifiez.

Lorsque vous lancez une instance, vous devez spécifier un ou plusieurs security groups à associer à celle-ci.

Vous ne pouvez pas dissocier un security group d’une instance ou associer d’autres security groups avec celle-ci une fois qu’elle est lancée. Cependant, vous pouvez ajouter ou retirer des règles à tout moment pour modifier les contrôles de flux.

Les security groups sont soit alloués pour le Cloud public, soit pour un VPC que vous spécifiez.

Des security groups par défaut sont fournis pour le Cloud public et pour chacun de vos VPC. Ces security groups par défaut ont pour nom default et apparaissent sur la page Security groups de Cockpit.

Pour identifier vos ressources plus facilement, vous pouvez leur ajouter des tags. Pour en savoir plus, voir Ajouter ou retirer des tags.

Si vous ne souhaitez pas utiliser les security groups par défaut pour vos instances, vous pouvez créer vos propres security groups. Lorsque vous les créez, vous devez choisir entre un security group pour le Cloud public ou pour un VPC spécifique. Vous pouvez créer plusieurs security groups selon les différents rôles de vos instances et les flux entrants et sortants nécessaires. Chaque security group doit avoir un nom unique.

  • Si vous ne spécifiez aucun security group lorsque vous lancez une instance, le security group par défaut correspondant est utilisé.

  • Si vous planifiez d’associer vos propres security groups à une instance, vous devez les créer avant de lancer l’instance.
    Cockpit vous permet de créer un security group lorsque vous lancez une instance. Pour en savoir plus, voir Créer / Lancer des instances.

Vous pouvez ensuite ajouter ou retirer des règles à la fois pour les security groups par défaut et vos propres security groups selon votre architecture et vos besoins.

3DS OUTSCALE attribue un ID au format sg-xxxxxxxx à tout security group, par défaut ou que vous créez. Les security groups que vous créez vous appartiennent et vous pouvez les supprimer à tout moment si besoin. Vous ne pouvez cependant pas supprimer les security groups par défaut.

Security groups pour le Cloud public

Si votre instance est dans le Cloud public, vous pouvez uniquement utiliser des security groups alloués au Cloud public. Lorsque vous lancez une instance dans le Cloud public, vous devez spécifier un security group qui se trouve dans la même Région que l’instance.

Les security groups pour le Cloud public vous permettent de spécifier des règles uniquement pour les flux entrants, et autorisent tous les flux sortants de l’instance. Les instances dans le Cloud public ayant une adresse IP publique, elles peuvent accéder à Internet.

3DS OUTSCALE fournit un security group pour le Cloud public par défaut pour votre compte. Les règles initiales de ce security group pour les flux entrants par défaut autorisent uniquement les instances associées à ce même security group à communiquer entre elles, en protocoles TCP, UDP et ICMP.

Les security groups que vous créez pour le Cloud public ne contiennent aucune règle initiale pour les flux entrants.

Pour en savoir plus, voir À propos des règles des security groups.

Security groups pour les Virtual Private Clouds

Si votre instance est dans un VPC, vous pouvez uniquement utiliser des security groups alloués à ce VPC.

Les security groups dans un VPC agissent au niveau de l’instance et non au niveau du subnet. Ils vous permettent de spécifier des règles pour les flux entrants et sortants.

Lorsque vous créez un VPC, 3DS OUTSCALE crée un security group par défaut alloué à ce VPC. Les règles initiales de ces security groups pour les flux entrants autorisent uniquement les instances associées à ce même security group à communiquer entre elles, en protocoles TCP, UDP et ICMP. Leurs règles initiales pour les flux sortants autorisent tous les flux sortant de l’instance.

Les security groups par défaut dans les VPC sont créés avec des règles autorisant tous les flux sortants.

Les security groups que vous créez pour un VPC ne contiennent aucune règle initiale pour les flux entrants et contiennent une règle initiale pour les flux sortants qui autorise tous les flux sortants de l’instance.

Les règles initiales pour les flux sortants autorisent tous les flux sortants y compris vers internet, mais les instances peuvent accéder à internet uniquement si une Internet gateway est attachée à un VPC et que le CIDR 0.0.0.0/0 est routé vers celle-ci.

Pour en savoir plus, voir À propos des règles des security groups.

Pages connexes