Reglas de acceso externo

Google Cloud VMware Engine usa reglas de cortafuegos para controlar el acceso a direcciones IP externas. Para el resto de los controles de acceso, gestiona la configuración del cortafuegos en NSX Data Center. Para obtener más información, consulta Regla de firewall en el modo Administrador.

Antes de empezar

  • En la política de red que se aplique a tu nube privada, habilita el servicio de acceso a Internet y el servicio de direcciones IP externas.
  • Asigna una IP externa.

Crear una regla de acceso externo

Para crear una regla de acceso externo con la Google Cloud consola, la CLI de Google Cloud o la API de VMware Engine, haz lo siguiente:

Consola

Para crear una regla de acceso externo con la Google Cloud consola, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Reglas de acceso externo.

Ir a reglas de acceso externo

  1. Haz clic en Crear.
  2. Introduce los detalles de la nueva regla de cortafuegos. Consulta las propiedades de la regla de cortafuegos para obtener más información.
  3. Haz clic en Crear para añadir la nueva regla de cortafuegos a la lista de reglas de cortafuegos de tu proyecto.

gcloud

Crea una regla de acceso externo con Google Cloud CLI introduciendo el comando gcloud vmware network-policies create:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Haz los cambios siguientes:

  • RULE_NAME: nombre de esta regla.
  • REGION: la región de esta solicitud.
  • NETWORK_POLICY_NAME: la política de red de esta solicitud
  • ACTION: la acción que se debe llevar a cabo, como ACCESS o DENY.

API

Para crear una regla de acceso externo con la API de VMware Engine, haz una solicitud POST:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Haz los cambios siguientes:

  • PROJECT_ID: el proyecto de esta solicitud
  • REGION: la región de esta solicitud.
  • NETWORK_POLICY_NAME: la política de red de esta solicitud
  • RULE_NAME: nombre de esta regla.
  • ACTION: la acción que se debe llevar a cabo, como ACCESS o DENY.

Mostrar reglas de acceso externo

Para enumerar las reglas de acceso externo mediante la Google Cloud consola, la CLI de Google Cloud o la API de VMware Engine, haz lo siguiente:

Consola

Para enumerar las reglas de acceso externo mediante la consola Google Cloud , sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Reglas de acceso externo.

Ir a reglas de acceso externo

  1. La página Resumen contiene una tabla con todas las reglas de acceso externo. Los cambios en los atributos se describen en esta página de resumen.

gcloud

Para enumerar las reglas de acceso externo con la CLI de Google Cloud, usa el comando gcloud vmware network-policies external-access-rules list:

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Haz los cambios siguientes:

  • NETWORK_POLICY_NAME: la política de red de esta solicitud
  • REGION: la región de esta solicitud.

API

Para enumerar las reglas de acceso externo mediante la API de VMware Engine, haz una solicitud GET:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Haz los cambios siguientes:

  • PROJECT_ID: el ID de este proyecto
  • REGION: la región de esta solicitud.
  • NETWORK_POLICY_NAME: la política de red de esta solicitud

Editar reglas de acceso externo

Para editar reglas de acceso externo con la Google Cloud consola, la CLI de Google Cloud o la API de VMware Engine, haz lo siguiente:

Consola

Para editar una regla de acceso externo mediante la consola Google Cloud , sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Reglas de acceso externo.

Ir a reglas de acceso externo

  1. Haz clic en el icono Más al final de una fila y selecciona Editar.

gcloud

Para editar una regla de acceso externo con la CLI de Google Cloud, usa el comando gcloud vmware network-policies update:

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Haz los cambios siguientes:

  • RULE_NAME: nombre de esta regla.
  • NETWORK_POLICY_NAME: la política de red de esta solicitud
  • REGION: la región de esta solicitud.

API

Para editar una regla de acceso externo mediante la API de VMware Engine, haz una solicitud de PATCH:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Haz los cambios siguientes:

  • PROJECT_ID: el ID de este proyecto
  • REGION: la región de esta solicitud.
  • NETWORK_POLICY_NAME: la política de red de esta solicitud
  • RULE_NAME: nombre de esta regla.
  • ACTION: la acción que se debe llevar a cabo, como ACCESS o DENY.

Eliminar reglas de acceso externo

Para eliminar una regla de acceso externo mediante la Google Cloud consola, la CLI de Google Cloud o la API de VMware Engine, haz lo siguiente:

Consola

Para eliminar una regla de acceso externo mediante la consola Google Cloud , sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Reglas de acceso externo.

Ir a reglas de acceso externo

  1. Haz clic en Eliminar.

    situado al final de una fila y selecciona Eliminar.

gcloud

Para eliminar una regla de acceso externo con la CLI de Google Cloud, usa el comando gcloud vmware network-policies external-access-rules delete:

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Haz los cambios siguientes:

  • RULE_NAME: nombre de esta regla.
  • NETWORK_POLICY_NAME: la política de red de esta solicitud
  • REGION: la región de esta solicitud.

API

Para eliminar una regla de acceso externo mediante la API de VMware Engine, haz una solicitud DELETE:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Haz los cambios siguientes:

  • PROJECT_ID: el ID de este proyecto
  • REGION: la región de esta solicitud.
  • NETWORK_POLICY_NAME: la política de red de esta solicitud
  • RULE_NAME: nombre de esta regla.

Propiedades de las reglas de cortafuegos

Las reglas de cortafuegos tienen las siguientes propiedades:

Nombre de la regla
Nombre que identifica de forma única la regla de cortafuegos y su finalidad.
Política de red
La política de red a la que se asociará la regla de cortafuegos. La regla de cortafuegos se aplica al tráfico hacia o desde redes de VMware Engine que usan esta política de red.
Descripción
Una descripción de esta política de red.
Prioridad
Un número entre 100 y 4096, donde 100 es la prioridad más alta. Las reglas se procesan de mayor a menor prioridad. Cuando el tráfico coincide con una regla, se detiene el procesamiento de reglas. Las reglas con prioridades más bajas que tienen los mismos atributos que las reglas con prioridades más altas no se procesan. La prioridad no tiene por qué ser única.
Acción tras coincidencia
Si la regla de cortafuegos permite o deniega el tráfico en función de una coincidencia de regla correcta.
Protocolo
El protocolo de Internet que abarca la regla de cortafuegos.
IPs de origen
Direcciones IP de origen del tráfico con las que debe coincidir la regla de cortafuegos. Los valores pueden ser direcciones IP o bloques de enrutamiento entre dominios sin clases (CIDR) (por ejemplo, 10.0.0.0/24).
Puerto de origen
Puerto de origen del tráfico con el que debe coincidir la regla de cortafuegos. Los valores pueden ser puertos individuales o intervalos de puertos, como 443 u 8000-8080.
IPs de destino
Direcciones IP de destino del tráfico con las que se comparará la regla de cortafuegos. Los valores pueden ser direcciones IP o todas las direcciones IP externas que se hayan asignado.
Puerto de destino
Puerto de destino del tráfico con el que debe coincidir la regla de cortafuegos. Los valores pueden ser puertos individuales o intervalos de puertos, como 443 u 8000-8080. Si especificas un intervalo, podrás crear menos reglas de seguridad.

Siguientes pasos