Regole di accesso esterno
Google Cloud VMware Engine utilizza le regole firewall per controllare l'accesso a indirizzi IP esterni indirizzi IP esterni. Per tutti gli altri controlli dell'accesso, gestisci le impostazioni del firewall in NSX-T Data al centro. Per maggiori dettagli, consulta Firewall in modalità di gestione.
Prima di iniziare
- Nei criteri di rete applicabili ai tuoi contenuti privati abilitare il servizio di accesso a internet e il servizio di indirizzi IP esterni.
- Alloca un IP esterno.
Crea una regola di accesso esterno
Per creare una regola di accesso esterno utilizzando la console Google Cloud: Google Cloud CLI o API VMware Engine, segui questi passaggi:
Console
Per creare una regola di accesso esterno utilizzando la console Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Regole di accesso esterno.
Fai clic su Crea.
Inserisci i dettagli della nuova regola firewall. recensione proprietà della regola firewall.
Fai clic su Crea per aggiungere la nuova regola firewall all'elenco delle regole di firewall nel progetto.
gcloud
Crea una regola di accesso esterno utilizzando Google Cloud CLI inserendo il
Comando gcloud vmware network-policies create
:
gcloud vmware network-policies external-access-rules create RULE_NAME \ --location=REGION \ --network-policy=NETWORK_POLICY_NAME \ --priority=1000 \ --ip-protocol=TCP \ --destination-ranges=0.0.0.0/0 \ --source-ports=22,10000-11000 \ --destination-ports=22 \ --action=ACTION
Sostituisci quanto segue:
RULE_NAME
: il nome di questa regolaREGION
: la regione per questa richiestaNETWORK_POLICY_NAME
: il criterio di rete per questa richiestaACTION
: l'azione da intraprendere, ad esempioACCESS
oDENY
.
API
Per creare una regola di accesso esterno utilizzando l'API VMware Engine,
invia una richiesta POST
:
POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME" '{ "priority": 1000, "action": "ACTION", "ip_protocol": "tcp", "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}], "destination_ports": ["22"], "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}], "source_ports": ["22", "10000-11000"] }'
Sostituisci quanto segue:
PROJECT_ID
: il progetto per questa richiestaREGION
: la regione per questa richiestaNETWORK_POLICY_NAME
: il criterio di rete per questa richiestaRULE_NAME
: il nome di questa regolaACTION
: l'azione da intraprendere, ad esempioACCESS
oDENY
.
Elenca regole di accesso esterno
Per elencare le regole di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine, segui questi passaggi:
Console
Per elencare le regole di accesso esterno utilizzando la console Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Regole di accesso esterno.
La pagina Riepilogo contiene una tabella con tutte le regole di accesso esterno elencate. Le eventuali modifiche agli attributi sono descritte in questa pagina di riepilogo.
gcloud
Per elencare le regole di accesso esterno utilizzando Google Cloud CLI, utilizza il comando gcloud vmware network-policies external-access-rules list
:
gcloud vmware network-policies external-access-rules list \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Sostituisci quanto segue:
NETWORK_POLICY_NAME
: il criterio di rete per questa richiestaREGION
: la regione per questa richiesta.
API
Per elencare le regole di accesso esterno utilizzando l'API VMware Engine, effettua una richiesta GET
:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"
Sostituisci quanto segue:
PROJECT_ID
: l'ID di questo progettoREGION
: la regione per questa richiestaNETWORK_POLICY_NAME
: il criterio di rete per questa richiesta
Modifica regole di accesso esterno
Per modificare le regole di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine, segui questi passaggi:
Console
Per modificare una regola di accesso esterno utilizzando la console Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Regole di accesso esterno.
Fai clic sull'icona Altro
alla fine di una riga e seleziona Modifica.
gcloud
Per modificare una regola di accesso esterno utilizzando Google Cloud CLI, utilizza il comando gcloud vmware network-policies update
:
gcloud vmware network-policies external-access-rules update RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION \ --action=ACTION \ --ip-protocol UDP \ --priority 999
Sostituisci quanto segue:
RULE_NAME
: il nome di questa regolaNETWORK_POLICY_NAME
: il criterio di rete per questa richiestaREGION
: la regione per questa richiesta
API
Per modificare una regola di accesso esterno utilizzando l'API VMware Engine, effettua una richiesta PATCH
:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority" '{ "action": "ACTION", "ip_protocol": "udp", "priority": 999 }'
Sostituisci quanto segue:
PROJECT_ID
: l'ID di questo progettoREGION
: la regione per questa richiestaNETWORK_POLICY_NAME
: il criterio di rete per questa richiestaRULE_NAME
: il nome di questa regolaACTION
: l'azione da intraprendere, ad esempioACCESS
oDENY
.
Elimina regole di accesso esterno
Per eliminare una regola di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine, segui questi passaggi:
Console
Per eliminare una regola di accesso esterno utilizzando la console Google Cloud, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Regole di accesso esterno.
Fai clic sul pulsante Elimina
alla fine di una riga e seleziona Elimina.
gcloud
Per eliminare una regola di accesso esterno utilizzando Google Cloud CLI, utilizza il comando gcloud vmware network-policies external-access-rules delete
:
gcloud vmware network-policies external-access-rules delete RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Sostituisci quanto segue:
RULE_NAME
: il nome di questa regolaNETWORK_POLICY_NAME
: il criterio di rete per questa richiestaREGION
: la regione per questa richiesta
API
Per eliminare una regola di accesso esterno utilizzando l'API VMware Engine, effettua una richiesta DELETE
:
DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"
Sostituisci quanto segue:
PROJECT_ID
: l'ID di questo progettoREGION
: la regione per questa richiestaNETWORK_POLICY_NAME
: il criterio di rete per questa richiestaRULE_NAME
: il nome di questa regola
Proprietà delle regole firewall
Le regole firewall hanno le seguenti proprietà:
- Nome regola
- Un nome che identifica in modo univoco la regola firewall e la relativa finalità.
- Criterio di rete
- Il criterio di rete a cui associare la regola firewall. La regola firewall si applica al traffico da o verso le reti VMware Engine che utilizzano questo criteri di rete.
- Descrizione
- Una descrizione di questo criterio di rete.
- Priorità
- Un numero compreso tra 100 e 4096, dove 100 rappresenta la priorità massima. Le regole sono elaborati dalla priorità più alta a quella più bassa. Quando il traffico rileva una regola corrispondenza, l'elaborazione della regola si interrompe. Regole con priorità inferiori che hanno lo stesso poiché le regole con priorità più elevata non vengono elaborate. La priorità non deve essere univoca.
- Azione in caso di corrispondenza
- Indica se la regola firewall consente o nega il traffico in base a una corrispondenza della regola riuscita.
- Protocollo
- Il protocollo internet coperto dalla regola firewall.
- IP di origine
- Indirizzi IP delle sorgenti di traffico a cui abbinare la regola firewall. I valori possono essere indirizzi IP o blocchi CIDR (Classless Inter-Domain Routing; ad esempio 10.0.0.0/24).
- Porta di origine
- Porta della sorgente di traffico a cui abbinare la regola firewall. I valori possono essere singole porte o un intervallo di porte, ad esempio 443 o 8000-8080.
- IP di destinazione
- Indirizzi IP di destinazione del traffico a cui abbinare la regola firewall. I valori possono essere indirizzi IP o tutti gli indirizzi IP esterni allocati.
- Porta di destinazione
- Porta di destinazione del traffico a cui abbinare la regola firewall. I valori possono essere singole porte o un intervallo di porte, ad esempio 443 o 8000-8080. Se specifichi un intervallo, puoi creare meno regole di sicurezza.