Hinweis

Dieses Plugin ist Teil des openstack.cloud Sammlung (Version 1.2.1).

Um es zu installieren, verwenden Sie: ansible-galaxy collection install openstack.cloud.

Um es in einem Playbook zu verwenden, geben Sie an: openstack.cloud.security_group_rule.

  • Synopsis
  • Anforderungen
  • Parameter
  • Hinweise
  • Beispiele
  • Rückgabewerte

Synopse

  • Hinzufügen oder Entfernen einer Regel aus einer bestehenden Sicherheitsgruppe

Anforderungen

Die folgenden Anforderungen werden auf dem Host benötigt, der dieses Modul ausführt.

  • openstacksdk
  • openstacksdk >= 0.12.0
  • python >= 3.6

Parameter

Parameter Wahlmöglichkeiten/Vorgaben Kommentare
api_timeoutGanzzahl Wie lange soll die Socket-Schicht warten, bevor die Zeit für API-Aufrufe abgelaufen ist. Wenn dies weggelassen wird, wird nichts an die Anforderungsbibliothek übergeben.
authWörterbuch Wörterbuch mit Authentifizierungsinformationen, wie sie von der Authentifizierungs-Plugin-Strategie der Cloud benötigt werden. Für den Standard Kennwort Plugin würde dies enthalten auth_url, Nutzername, Kennwort, projekt_name und alle Informationen über Domänen (zum Beispiel, user_domain_name oder projekt_domain_name), wenn die Cloud sie unterstützt. Für andere Plugins muss dieser Parameter alle Parameter enthalten, die das auth-Plugin benötigt. Dieser Parameter wird nicht benötigt, wenn eine benannte Cloud bereitgestellt wird oder OpenStack OS_* Umgebungsvariablen vorhanden sind.
auth_typestring Name des zu verwendenden Auth-Plugins. Wenn die Cloud etwas anderes als die Passwortauthentifizierung verwendet, sollte der Name des Plugins hier angegeben werden und der Inhalt des Feldes auth Parameters sollte entsprechend aktualisiert werden.
verfügbarkeit_zonestring Ignoriert. Vorhanden für Abwärtskompatibilität
ca_certZeichenkette Ein Pfad zu einem CA Cert-Bündel, das als Teil der Verifizierung von SSL-API-Anfragen verwendet werden kann.
alias: cacert
client_certstring Ein Pfad zu einem Client-Zertifikat, das als Teil der SSL-Transaktion verwendet werden soll.
alias: cert
client_keystring Ein Pfad zu einem Client-Schlüssel, der als Teil der SSL-Transaktion verwendet wird.
alias: Schlüssel
Wolkeroh Benannte Wolke oder Wolkenkonfiguration, mit der gearbeitet werden soll. Wenn Wolke ein String ist, verweist er auf eine benannte Cloud-Konfiguration, wie sie in einer OpenStack clouds.yaml-Datei definiert ist. Bietet Standardwerte für auth und auth_type. Dieser Parameter wird nicht benötigt, wenn auth bereitgestellt wird oder wenn OpenStack OS_* Umgebungsvariablen vorhanden sind. Wenn cloud ein Diktat ist, enthält es eine komplette Cloud-Konfiguration, wie sie in einem Abschnitt von clouds.yaml stehen würde.
RichtungZeichenkette
    Auswahlmöglichkeiten:

  • Austritt
  • Eingang
Die Richtung, in der die Sicherheitsgruppenregel angewendet wird. Nicht alle Anbieter unterstützen Egress.
ethertypeZeichenfolge
    Auswahlmöglichkeiten:

  • IPv4
  • IPv6
Es muss sich um IPv4 oder IPv6 handeln, und die in CIDR dargestellten Adressen müssen mit den Ingress- oder Egress-Regeln übereinstimmen. Nicht alle Anbieter unterstützen IPv6.
SchnittstelleZeichenfolge
    Auswahlmöglichkeiten:

  • admin
  • intern
  • öffentlich
Endpunkt-URL-Typ zum Abrufen aus dem Servicekatalog.
Aliase: endpoint_type
port_range_maxGanzzahl Ende des Ports
Anschluss_Bereich_minGanzzahl Start-Port
ProjektZeichenkette Eindeutiger Name oder ID des Projekts.
ProtokollZeichenfolge
    Auswahlmöglichkeiten:

  • beliebig
  • tcp
  • udp
  • icmp
  • 112
  • 132
  • Keine
IP-Protokolle ANY TCP UDP ICMP 112 (VRRP) 132 (SCTP)
region_nameZeichenfolge Name der Region.
remote_groupstring Name oder ID der zu verknüpfenden Sicherheitsgruppe (ausschließlich mit remote_ip_prefix)
entfernter_ip_präfixZeichenfolge Quell-IP-Adresse(n) in CIDR-Notation (ausschließlich mit remote_group)
security_groupZeichenfolge / erforderlich Name oder ID der Sicherheitsgruppe
ZustandZeichenfolge
    Auswahlmöglichkeiten:

  • vorhanden
  • abwesend
Soll die Ressource vorhanden oder abwesend sein.
timeoutGanzzahl Voreinstellung:
180
Wie lange soll ansible auf die angeforderte Ressource warten.
validate_certsboolean
    Wahlmöglichkeiten:

  • keine
  • ja
Ob SSL-API-Anfragen verifiziert werden sollen oder nicht. Vor Ansible 2.3 war dies standardmäßig auf yes.
alias: verify
wartenboolesch
    Auswahlmöglichkeiten:

  • keine
  • ja
Soll ansible warten, bis die angeforderte Ressource vollständig ist.

Hinweise

Hinweis

  • Die Standard-OpenStack-Umgebungsvariablen, wie z. B. OS_USERNAME können verwendet werden, anstatt explizite Werte anzugeben.
  • Auth-Informationen werden von openstacksdk gesteuert, was bedeutet, dass Werte aus einer yaml-Konfigurationsdatei in /etc/ansible/openstack.yaml, /etc/openstack/clouds.yaml oder ~/.config/openstack/clouds.yaml, dann aus Standard-Umgebungsvariablen und schließlich aus expliziten Parametern in plays stammen können. Weitere Informationen finden Sie unter https://docs.openstack.org/openstacksdk/.

Beispiele

# Create a security group rule-openstack.cloud.security_group_rule:cloud: mordred
    security_group: foo
    protocol: tcp
    port_range_min:80port_range_max:80remote_ip_prefix: 0.0.0.0/0

# Create a security group rule for ping-openstack.cloud.security_group_rule:cloud: mordred
    security_group: foo
    protocol: icmp
    remote_ip_prefix: 0.0.0.0/0

# Another way to create the ping rule-openstack.cloud.security_group_rule:cloud: mordred
    security_group: foo
    protocol: icmp
    port_range_min:-1port_range_max:-1remote_ip_prefix: 0.0.0.0/0

# Create a TCP rule covering all ports-openstack.cloud.security_group_rule:cloud: mordred
    security_group: foo
    protocol: tcp
    port_range_min:1port_range_max:65535remote_ip_prefix: 0.0.0.0/0

# Another way to create the TCP rule above (defaults to all ports)-openstack.cloud.security_group_rule:cloud: mordred
    security_group: foo
    protocol: tcp
    remote_ip_prefix: 0.0.0.0/0

# Create a rule for VRRP with numbered protocol 112-openstack.cloud.security_group_rule:security_group: loadbalancer_sg
    protocol:112remote_group: loadbalancer-node_sg

# Create a security group rule for a given project-openstack.cloud.security_group_rule:cloud: mordred
    security_group: foo
    protocol: icmp
    remote_ip_prefix: 0.0.0.0/0
    project: myproj

# Remove the default created egress rule for IPv4-openstack.cloud.security_group_rule:cloud: mordred
   security_group: foo
   protocol: any
   remote_ip_prefix: 0.0.0.0/0

Rückgabewerte

Allgemeine Rückgabewerte sind dokumentiert hier Im Folgenden sind die Felder aufgeführt, die für dieses Modul einzigartig sind:

Schlüssel Zurückgegeben Beschreibung
RichtungZeichenkette Zustand == vorhanden Die Richtung, in der die Sicherheitsgruppenregel angewendet wird.
Beispiel: egress
EthertypZeichenfolge Zustand == vorhanden Einer von IPv4 oder IPv6.
Beispiel: IPv4
idZeichenfolge Zustand == vorhanden Eindeutige Regel UUID.
port_range_maxGanzzahl Zustand == vorhanden Die maximale Portnummer in dem Bereich, auf den die Sicherheitsgruppenregel passt.
Beispiel: 8000
port_bereich_minGanzzahl Zustand == vorhanden Die minimale Portnummer in dem Bereich, auf den die Sicherheitsgruppenregel zutrifft.
Beispiel: 8000
ProtokollZeichenkette Zustand == vorhanden Das Protokoll, auf das die Sicherheitsgruppenregel zutrifft.
Beispiel: tcp
entfernter_ip_präfixstring Zustand == vorhanden Das entfernte IP-Präfix, das mit dieser Sicherheitsgruppenregel verknüpft werden soll.
Beispiel: 0.0.0.0/0
security_group_idstring status == vorhanden Die Sicherheitsgruppen-ID, die mit dieser Sicherheitsgruppenregel verknüpft werden soll.

Autoren

  • OpenStack Ansible SIG