Regeln für externen Zugriff

In Google Cloud VMware Engine werden Firewallregeln verwendet, um den Zugriff auf externe IP-Adressen zu steuern. Verwalten Sie für alle anderen Zugriffssteuerungen die Firewalleinstellungen im NSX-T-Rechenzentrum. Weitere Informationen finden Sie unter Firewall im Manager-Modus.

Hinweise

  • Aktivieren Sie in der für Ihre private Cloud geltenden Netzwerkrichtlinie den Dienst für Internetzugriff und den Dienst für externe IP-Adresse.
  • Weisen Sie eine externe IP-Adresse zu.

Regel für externen Zugriff erstellen

So erstellen Sie eine Regel für den externen Zugriff mit der Google Cloud Console, der Google Cloud CLI oder der VMware Engine API:

Console

So erstellen Sie eine Regel für den externen Zugriff mit der Google Cloud Console:

  1. Rufen Sie in der Google Cloud Console die Seite Regeln für den externen Zugriff auf.

    Zu den Regeln für externen Zugriff

  2. Klicken Sie auf Erstellen.

  3. Geben Sie Details für die neue Firewallregel ein. Weitere Informationen finden Sie unter Eigenschaften der Firewallregel.

  4. Klicken Sie auf Erstellen, um die neue Firewallregel in die Liste der Firewallregeln in Ihrem Projekt aufzunehmen.

gcloud

Erstellen Sie eine Regel für den externen Zugriff mit der Google Cloud CLI. Geben Sie dazu den Befehl gcloud vmware network-policies create ein:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Ersetzen Sie Folgendes:

  • RULE_NAME: der Name dieser Regel
  • REGION: Die Region für diese Anfrage
  • NETWORK_POLICY_NAME: die Netzwerkrichtlinie für diese Anfrage
  • ACTION: die auszuführende Aktion, z. B. ACCESS oder DENY.

API

Wenn Sie eine Regel für den externen Zugriff mit der VMware Engine API erstellen möchten, senden Sie eine POST-Anfrage:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Ersetzen Sie Folgendes:

  • PROJECT_ID: das Projekt für diese Anfrage
  • REGION: Die Region für diese Anfrage
  • NETWORK_POLICY_NAME: die Netzwerkrichtlinie für diese Anfrage
  • RULE_NAME: der Name dieser Regel
  • ACTION: die auszuführende Aktion, z. B. ACCESS oder DENY.

Regeln für externen Zugriff auflisten

So listen Sie externe Zugriffsregeln mit der Google Cloud Console, der Google Cloud CLI oder der VMware Engine API auf:

Console

So listen Sie externe Zugriffsregeln mit der Google Cloud Console auf:

  1. Rufen Sie in der Google Cloud Console die Seite Regeln für den externen Zugriff auf.

    Zu den Regeln für externen Zugriff

  2. Die Seite Zusammenfassung enthält eine Tabelle mit allen Regeln für den externen Zugriff. Alle Änderungen an Attributen werden auf dieser Übersichtsseite beschrieben.

gcloud

Verwenden Sie den Befehl gcloud vmware network-policies external-access-rules list, um mit der Google Cloud CLI externe Zugriffsregeln aufzulisten:

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Ersetzen Sie Folgendes:

  • NETWORK_POLICY_NAME: die Netzwerkrichtlinie für diese Anfrage
  • REGION: Die Region für diese Anfrage.

API

Wenn Sie externe Zugriffsregeln mit der VMware Engine API auflisten möchten, senden Sie eine GET-Anfrage:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID für dieses Projekt
  • REGION: Die Region für diese Anfrage
  • NETWORK_POLICY_NAME: die Netzwerkrichtlinie für diese Anfrage

Regeln für externen Zugriff bearbeiten

So bearbeiten Sie externe Zugriffsregeln mit der Google Cloud Console, der Google Cloud CLI oder der VMware Engine API:

Console

So bearbeiten Sie eine Regel für den externen Zugriff mit der Google Cloud Console:

  1. Rufen Sie in der Google Cloud Console die Seite Regeln für den externen Zugriff auf.

    Zu den Regeln für externen Zugriff

  2. Klicken Sie am Ende der Zeile auf das Dreipunkt-Menü und wählen Sie Bearbeiten aus.

gcloud

Verwenden Sie den Befehl gcloud vmware network-policies update, um eine Regel für den externen Zugriff mit der Google Cloud CLI zu bearbeiten:

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Ersetzen Sie Folgendes:

  • RULE_NAME: der Name dieser Regel
  • NETWORK_POLICY_NAME: die Netzwerkrichtlinie für diese Anfrage
  • REGION: Die Region für diese Anfrage

API

Wenn Sie eine Regel für den externen Zugriff mit der VMware Engine API bearbeiten möchten, senden Sie eine PATCH-Anfrage:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID für dieses Projekt
  • REGION: Die Region für diese Anfrage
  • NETWORK_POLICY_NAME: die Netzwerkrichtlinie für diese Anfrage
  • RULE_NAME: der Name dieser Regel
  • ACTION: die auszuführende Aktion, z. B. ACCESS oder DENY.

Regeln für externen Zugriff löschen

So löschen Sie eine Regel für den externen Zugriff mit der Google Cloud Console, der Google Cloud CLI oder der VMware Engine API:

Console

So löschen Sie eine Regel für den externen Zugriff mit der Google Cloud Console:

  1. Rufen Sie in der Google Cloud Console die Seite Regeln für den externen Zugriff auf.

    Zu den Regeln für externen Zugriff

  2. Klicken Sie am Ende der Zeile auf das Symbol Löschen und wählen Sie Löschen aus.

gcloud

Verwenden Sie den Befehl gcloud vmware network-policies external-access-rules delete, um eine Regel für den externen Zugriff mit der Google Cloud CLI zu löschen:

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Ersetzen Sie Folgendes:

  • RULE_NAME: der Name dieser Regel
  • NETWORK_POLICY_NAME: die Netzwerkrichtlinie für diese Anfrage
  • REGION: Die Region für diese Anfrage

API

Wenn Sie eine Regel für den externen Zugriff mit der VMware Engine API löschen möchten, senden Sie eine DELETE-Anfrage:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID für dieses Projekt
  • REGION: Die Region für diese Anfrage
  • NETWORK_POLICY_NAME: die Netzwerkrichtlinie für diese Anfrage
  • RULE_NAME: der Name dieser Regel

Attribute von Firewallregeln

Firewallregeln haben folgende Eigenschaften:

Regelname
Ein Name, der die Firewallregel und ihren Zweck eindeutig identifiziert.
Netzwerkrichtlinie
Die Netzwerkrichtlinie, mit der die Firewallregel verknüpft werden soll. Die Firewallregel gilt für Traffic zu oder von VMware Engine-Netzwerken, die diese Netzwerkrichtlinie verwenden.
Beschreibung
Eine Beschreibung dieser Netzwerkrichtlinie.
Priorität
Eine Zahl zwischen 100 und 4096, wobei 100 die höchste Priorität ist. Regeln werden von der höchsten bis zur niedrigsten Priorität verarbeitet. Wenn der Traffic mit einer Regel übereinstimmt, wird die Regelverarbeitung beendet. Regeln mit niedrigeren Prioritäten und denselben Attributen wie Regeln mit höheren Prioritäten werden nicht verarbeitet. Die Priorität muss nicht eindeutig sein.
Aktion bei Übereinstimmung
Gibt an, ob die Firewallregel Traffic basierend auf einer erfolgreichen Regelübereinstimmung zulässt oder ablehnt.
Protokoll
Das Internetprotokoll, das von der Firewallregel abgedeckt wird.
Quell-IP-Adressen
Quell-IP-Adressen des Traffics, für die die Firewallregel abgeglichen werden soll. Werte können IP-Adressen oder CIDR-Blöcke (z. B. 10.0.0.0/24) sein.
Quellport
Quellport des Traffics, für den die Firewallregel abgeglichen werden soll. Die Werte können einzelne Ports oder einen Portbereich sein, z. B. 443 oder 8000–8080.
Ziel-IP-Adressen
Ziel-IP-Adressen des Traffics, für die die Firewallregel abgeglichen werden soll. Als Werte können IP-Adressen oder alle zugewiesenen externen IP-Adressen angegeben werden.
Zielport
Zielport des Traffics, für den die Firewallregel abgeglichen werden soll. Die Werte können einzelne Ports oder einen Portbereich sein, z. B. 443 oder 8000–8080. Wenn Sie einen Bereich angeben, können Sie weniger Sicherheitsregeln erstellen.

Nächste Schritte