Regeln für externen Zugriff
In Google Cloud VMware Engine werden Firewallregeln verwendet, um den Zugriff auf externe IP-Adressen zu steuern. Verwalten Sie für alle anderen Zugriffssteuerungen die Firewalleinstellungen im NSX-T-Rechenzentrum. Weitere Informationen finden Sie unter Firewall im Manager-Modus.
Hinweise
- Aktivieren Sie in der für Ihre private Cloud geltenden Netzwerkrichtlinie den Dienst für Internetzugriff und den Dienst für externe IP-Adresse.
- Weisen Sie eine externe IP-Adresse zu.
Regel für externen Zugriff erstellen
So erstellen Sie eine Regel für den externen Zugriff mit der Google Cloud Console, der Google Cloud CLI oder der VMware Engine API:
Console
So erstellen Sie eine Regel für den externen Zugriff mit der Google Cloud Console:
Rufen Sie in der Google Cloud Console die Seite Regeln für den externen Zugriff auf.
Klicken Sie auf Erstellen.
Geben Sie Details für die neue Firewallregel ein. Weitere Informationen finden Sie unter Eigenschaften der Firewallregel.
Klicken Sie auf Erstellen, um die neue Firewallregel in die Liste der Firewallregeln in Ihrem Projekt aufzunehmen.
gcloud
Erstellen Sie eine Regel für den externen Zugriff mit der Google Cloud CLI. Geben Sie dazu den Befehl gcloud vmware network-policies create
ein:
gcloud vmware network-policies external-access-rules create RULE_NAME \ --location=REGION \ --network-policy=NETWORK_POLICY_NAME \ --priority=1000 \ --ip-protocol=TCP \ --destination-ranges=0.0.0.0/0 \ --source-ports=22,10000-11000 \ --destination-ports=22 \ --action=ACTION
Ersetzen Sie Folgendes:
RULE_NAME
: der Name dieser RegelREGION
: Die Region für diese AnfrageNETWORK_POLICY_NAME
: die Netzwerkrichtlinie für diese AnfrageACTION
: die auszuführende Aktion, z. B.ACCESS
oderDENY
.
API
Wenn Sie eine Regel für den externen Zugriff mit der VMware Engine API erstellen möchten, senden Sie eine POST
-Anfrage:
POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME" '{ "priority": 1000, "action": "ACTION", "ip_protocol": "tcp", "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}], "destination_ports": ["22"], "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}], "source_ports": ["22", "10000-11000"] }'
Ersetzen Sie Folgendes:
PROJECT_ID
: das Projekt für diese AnfrageREGION
: Die Region für diese AnfrageNETWORK_POLICY_NAME
: die Netzwerkrichtlinie für diese AnfrageRULE_NAME
: der Name dieser RegelACTION
: die auszuführende Aktion, z. B.ACCESS
oderDENY
.
Regeln für externen Zugriff auflisten
So listen Sie externe Zugriffsregeln mit der Google Cloud Console, der Google Cloud CLI oder der VMware Engine API auf:
Console
So listen Sie externe Zugriffsregeln mit der Google Cloud Console auf:
Rufen Sie in der Google Cloud Console die Seite Regeln für den externen Zugriff auf.
Die Seite Zusammenfassung enthält eine Tabelle mit allen Regeln für den externen Zugriff. Alle Änderungen an Attributen werden auf dieser Übersichtsseite beschrieben.
gcloud
Verwenden Sie den Befehl gcloud vmware network-policies external-access-rules list
, um mit der Google Cloud CLI externe Zugriffsregeln aufzulisten:
gcloud vmware network-policies external-access-rules list \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Ersetzen Sie Folgendes:
NETWORK_POLICY_NAME
: die Netzwerkrichtlinie für diese AnfrageREGION
: Die Region für diese Anfrage.
API
Wenn Sie externe Zugriffsregeln mit der VMware Engine API auflisten möchten, senden Sie eine GET
-Anfrage:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID für dieses ProjektREGION
: Die Region für diese AnfrageNETWORK_POLICY_NAME
: die Netzwerkrichtlinie für diese Anfrage
Regeln für externen Zugriff bearbeiten
So bearbeiten Sie externe Zugriffsregeln mit der Google Cloud Console, der Google Cloud CLI oder der VMware Engine API:
Console
So bearbeiten Sie eine Regel für den externen Zugriff mit der Google Cloud Console:
Rufen Sie in der Google Cloud Console die Seite Regeln für den externen Zugriff auf.
Klicken Sie am Ende der Zeile auf das Dreipunkt-Menü
und wählen Sie Bearbeiten aus.
gcloud
Verwenden Sie den Befehl gcloud vmware network-policies update
, um eine Regel für den externen Zugriff mit der Google Cloud CLI zu bearbeiten:
gcloud vmware network-policies external-access-rules update RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION \ --action=ACTION \ --ip-protocol UDP \ --priority 999
Ersetzen Sie Folgendes:
RULE_NAME
: der Name dieser RegelNETWORK_POLICY_NAME
: die Netzwerkrichtlinie für diese AnfrageREGION
: Die Region für diese Anfrage
API
Wenn Sie eine Regel für den externen Zugriff mit der VMware Engine API bearbeiten möchten, senden Sie eine PATCH
-Anfrage:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority" '{ "action": "ACTION", "ip_protocol": "udp", "priority": 999 }'
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID für dieses ProjektREGION
: Die Region für diese AnfrageNETWORK_POLICY_NAME
: die Netzwerkrichtlinie für diese AnfrageRULE_NAME
: der Name dieser RegelACTION
: die auszuführende Aktion, z. B.ACCESS
oderDENY
.
Regeln für externen Zugriff löschen
So löschen Sie eine Regel für den externen Zugriff mit der Google Cloud Console, der Google Cloud CLI oder der VMware Engine API:
Console
So löschen Sie eine Regel für den externen Zugriff mit der Google Cloud Console:
Rufen Sie in der Google Cloud Console die Seite Regeln für den externen Zugriff auf.
Klicken Sie am Ende der Zeile auf das Symbol Löschen
und wählen Sie Löschen aus.
gcloud
Verwenden Sie den Befehl gcloud vmware network-policies external-access-rules delete
, um eine Regel für den externen Zugriff mit der Google Cloud CLI zu löschen:
gcloud vmware network-policies external-access-rules delete RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Ersetzen Sie Folgendes:
RULE_NAME
: der Name dieser RegelNETWORK_POLICY_NAME
: die Netzwerkrichtlinie für diese AnfrageREGION
: Die Region für diese Anfrage
API
Wenn Sie eine Regel für den externen Zugriff mit der VMware Engine API löschen möchten, senden Sie eine DELETE
-Anfrage:
DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID für dieses ProjektREGION
: Die Region für diese AnfrageNETWORK_POLICY_NAME
: die Netzwerkrichtlinie für diese AnfrageRULE_NAME
: der Name dieser Regel
Attribute von Firewallregeln
Firewallregeln haben folgende Eigenschaften:
- Regelname
- Ein Name, der die Firewallregel und ihren Zweck eindeutig identifiziert.
- Netzwerkrichtlinie
- Die Netzwerkrichtlinie, mit der die Firewallregel verknüpft werden soll. Die Firewallregel gilt für Traffic zu oder von VMware Engine-Netzwerken, die diese Netzwerkrichtlinie verwenden.
- Beschreibung
- Eine Beschreibung dieser Netzwerkrichtlinie.
- Priorität
- Eine Zahl zwischen 100 und 4096, wobei 100 die höchste Priorität ist. Regeln werden von der höchsten bis zur niedrigsten Priorität verarbeitet. Wenn der Traffic mit einer Regel übereinstimmt, wird die Regelverarbeitung beendet. Regeln mit niedrigeren Prioritäten und denselben Attributen wie Regeln mit höheren Prioritäten werden nicht verarbeitet. Die Priorität muss nicht eindeutig sein.
- Aktion bei Übereinstimmung
- Gibt an, ob die Firewallregel Traffic basierend auf einer erfolgreichen Regelübereinstimmung zulässt oder ablehnt.
- Protokoll
- Das Internetprotokoll, das von der Firewallregel abgedeckt wird.
- Quell-IP-Adressen
- Quell-IP-Adressen des Traffics, für die die Firewallregel abgeglichen werden soll. Werte können IP-Adressen oder CIDR-Blöcke (z. B. 10.0.0.0/24) sein.
- Quellport
- Quellport des Traffics, für den die Firewallregel abgeglichen werden soll. Die Werte können einzelne Ports oder einen Portbereich sein, z. B. 443 oder 8000–8080.
- Ziel-IP-Adressen
- Ziel-IP-Adressen des Traffics, für die die Firewallregel abgeglichen werden soll. Als Werte können IP-Adressen oder alle zugewiesenen externen IP-Adressen angegeben werden.
- Zielport
- Zielport des Traffics, für den die Firewallregel abgeglichen werden soll. Die Werte können einzelne Ports oder einen Portbereich sein, z. B. 443 oder 8000–8080. Wenn Sie einen Bereich angeben, können Sie weniger Sicherheitsregeln erstellen.