Regras de acesso externo

O Google Cloud VMware Engine usa regras de firewall para controlar o acesso a endereços IP externos. Para todos os outros controles de acesso, gerencie as configurações de firewall no data center NSX-T. Para detalhes, consulte Firewall no modo de administrador.

Antes de começar

  • Na política de rede que se aplica à nuvem privada, ative os serviços de acesso à Internet e de endereços IP externos.
  • Aloque um IP externo.

Criar uma regra de acesso externo

Para criar uma regra de acesso externo usando o console do Google Cloud, a CLI do Google Cloud ou a API VMware Engine, faça o seguinte:

Console

Para criar uma regra de acesso externo usando o console do Google Cloud, faça o seguinte:

  1. No console do Google Cloud, acesse a página Regras de acesso externo.

    Acessar as regras de acesso externo

  2. Clique em Criar.

  3. Insira os detalhes da nova regra de firewall. Revise as propriedades da regra de firewall para mais informações.

  4. Clique em Criar para adicionar a nova regra de firewall à lista de regras de firewall em seu projeto.

gcloud

Crie uma regra de acesso externo usando a Google Cloud CLI inserindo o comando gcloud vmware network-policies create:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Substitua:

  • RULE_NAME: o nome dessa regra
  • REGION: a região desta solicitação
  • NETWORK_POLICY_NAME: a política de rede da solicitação
  • ACTION: a ação a ser realizada, como ACCESS ou DENY.

API

Para criar uma regra de acesso externo usando a API VMware Engine, faça uma solicitação POST:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Substitua:

  • PROJECT_ID: o projeto para esta solicitação
  • REGION: a região desta solicitação
  • NETWORK_POLICY_NAME: a política de rede da solicitação
  • RULE_NAME: o nome dessa regra
  • ACTION: a ação a ser realizada, como ACCESS ou DENY.

Listar regras de acesso externo

Para listar regras de acesso externo usando o console do Google Cloud, a CLI do Google Cloud ou a API VMware Engine, faça o seguinte:

Console

Para listar regras de acesso externo usando o console do Google Cloud, faça o seguinte:

  1. No console do Google Cloud, acesse a página Regras de acesso externo.

    Acessar as regras de acesso externo

  2. A página Resumo contém uma tabela com todas as regras de acesso externo listadas. Todas as alterações de atributos são descritas nesta página de resumo.

gcloud

Para listar regras de acesso externo usando a Google Cloud CLI, use o comando gcloud vmware network-policies external-access-rules list:

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Substitua:

  • NETWORK_POLICY_NAME: a política de rede da solicitação
  • REGION: a região desta solicitação

API

Para listar regras de acesso externo usando a API VMware Engine, faça uma solicitação GET:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Substitua:

  • PROJECT_ID: o ID deste projeto
  • REGION: a região desta solicitação
  • NETWORK_POLICY_NAME: a política de rede da solicitação

Editar regras de acesso externo

Para editar regras de acesso externo usando o console do Google Cloud, a CLI do Google Cloud ou a API VMware Engine, faça o seguinte:

Console

Para editar uma regra de acesso externo usando o console do Google Cloud, faça o seguinte:

  1. No console do Google Cloud, acesse a página Regras de acesso externo.

    Acessar as regras de acesso externo

  2. Clique no ícone Mais no final de uma linha e selecione Editar.

gcloud

Para editar uma regra de acesso externo usando a Google Cloud CLI, use o comando gcloud vmware network-policies update:

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Substitua:

  • RULE_NAME: o nome dessa regra
  • NETWORK_POLICY_NAME: a política de rede da solicitação
  • REGION: a região desta solicitação

API

Para editar uma regra de acesso externo usando a API VMware Engine, faça uma solicitação PATCH:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Substitua:

  • PROJECT_ID: o ID deste projeto
  • REGION: a região desta solicitação
  • NETWORK_POLICY_NAME: a política de rede da solicitação
  • RULE_NAME: o nome dessa regra
  • ACTION: a ação a ser realizada, como ACCESS ou DENY.

Excluir regras de acesso externo

Para excluir uma regra de acesso externo usando o console do Google Cloud, a CLI do Google Cloud ou a API VMware Engine, faça o seguinte:

Console

Para excluir uma regra de acesso externo usando o console do Google Cloud, faça o seguinte:

  1. No console do Google Cloud, acesse a página Regras de acesso externo.

    Acessar as regras de acesso externo

  2. Clique no ícone Excluir no final de uma linha e selecione Excluir.

gcloud

Para excluir uma regra de acesso externo usando a Google Cloud CLI, use o comando gcloud vmware network-policies external-access-rules delete:

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Substitua:

  • RULE_NAME: o nome dessa regra
  • NETWORK_POLICY_NAME: a política de rede da solicitação
  • REGION: a região desta solicitação

API

Para excluir uma regra de acesso externo usando a API VMware Engine, faça uma solicitação DELETE:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Substitua:

  • PROJECT_ID: o ID deste projeto
  • REGION: a região desta solicitação
  • NETWORK_POLICY_NAME: a política de rede da solicitação
  • RULE_NAME: o nome dessa regra

Propriedades da regra de firewall

As regras de firewall têm as seguintes propriedades:

Nome da regra
Um nome que identifica exclusivamente a regra de firewall e sua finalidade.
Política de rede
A política de rede à qual a regra de firewall será associada. A regra de firewall se aplica ao tráfego de entrada e saída de redes do VMware Engine que usam esta política de rede.
Descrição
Uma descrição para esta política de rede.
Prioridade
Um número entre 100 e 4.096, com 100 sendo a prioridade mais alta. As regras são processadas da prioridade mais alta para a mais baixa. Quando o tráfego encontra uma correspondência de regra, o processamento da regra é interrompido. As regras com prioridades mais baixas que têm os mesmos atributos que as regras com prioridades mais altas não são processadas. A prioridade não precisa ser única.
Ação se houver correspondência
Se a regra de firewall permite ou nega o tráfego com base em uma correspondência de regra bem-sucedida.
Protocolo
O protocolo de Internet coberto pela regra de firewall.
IPs de origem
Endereços IP de origem de tráfego para correspondência da regra de firewall. Os valores podem ser endereços IP ou blocos de roteamento entre domínios sem classe (CIDR) (10.0.0.0/24, por exemplo).
Porta de origem
Porta de origem de tráfego para correspondência da regra de firewall. Os valores podem ser portas individuais ou um intervalo de portas, como 443 ou 8000-8080.
IPs de destino
Programe endereços IP de destino para correspondência da regra de firewall. Os valores podem ser endereços IP ou todos os endereços IP externos alocados.
Porta de destino
Porta de destino de tráfego para correspondência da regra de firewall. Os valores podem ser portas individuais ou um intervalo de portas, como 443 ou 8000-8080. Especificar um intervalo permite criar menos regras de segurança

A seguir