Reglas de acceso externo
Google Cloud VMware Engine usa reglas de firewall para controlar el acceso a direcciones IP externas. Para todos los demás controles de acceso, administra la configuración del firewall en NSX-T Data Center. Para obtener más detalles, consulta Firewall en modo de administrador.
Antes de comenzar
- En la política de red que se aplica a tu nube privada, habilita el servicio de acceso a Internet y el servicio de dirección IP externa.
- Asigna una IP externa.
Crea una regla de acceso externa
Para crear una regla de acceso externa con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:
Consola
Para crear una regla de acceso externo con la consola de Google Cloud, sigue estos pasos:
- Accede a la consola de Google Cloud.
- En el menú de navegación principal, haz clic en External access rules.
- Haz clic en Crear.
- Ingresa los detalles de la nueva regla de firewall; revisa las propiedades de la regla de firewall para obtener más información.
- Haz clic en Crear para agregar la regla de firewall nueva a la lista de reglas de firewall de tu proyecto.
gcloud
Ingresa el comando gcloud vmware network-policies create
para crear una regla de acceso externa con Google Cloud CLI:
gcloud vmware network-policies external-access-rules create RULE_NAME \ --location=REGION \ --network-policy=NETWORK_POLICY_NAME \ --priority=1000 \ --ip-protocol=TCP \ --destination-ranges=0.0.0.0/0 \ --source-ports=22,10000-11000 \ --destination-ports=22 \ --action=ACTION
Reemplaza lo siguiente:
RULE_NAME
: Es el nombre de esta regla.REGION
: Es la región para esta solicitud.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.ACTION
: Es la acción que se realizará, comoACCESS
oDENY
.
API
Para crear una regla de acceso externa con la API de VMware Engine, realiza una solicitud POST
:
POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME" '{ "priority": 1000, "action": "ACTION", "ip_protocol": "tcp", "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}], "destination_ports": ["22"], "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}], "source_ports": ["22", "10000-11000"] }'
Reemplaza lo siguiente:
PROJECT_ID
: Es el proyecto para esta solicitud.REGION
: Es la región para esta solicitud.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.RULE_NAME
: Es el nombre de esta regla.ACTION
: Es la acción que se realizará, comoACCESS
oDENY
.
Enumerar reglas de acceso externas
Para crear una lista de reglas de acceso externas con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, sigue estos pasos:
Consola
Para enumerar las reglas de acceso externo con la consola de Google Cloud, sigue estos pasos:
- Accede a la consola de Google Cloud.
- En el menú de navegación principal, haz clic en External access rules.
- La página Resumen contiene una tabla con todas las reglas de acceso externas enumeradas. Cualquier cambio en los atributos se describe en esta página de resumen.
gcloud
Para enumerar las reglas de acceso externas con Google Cloud CLI, usa el comando gcloud vmware network-policies external-access-rules list
:
gcloud vmware network-policies external-access-rules list \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Reemplaza lo siguiente:
NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.REGION
: Es la región para esta solicitud.
API
Para enumerar las reglas de acceso externas con la API de VMware Engine, realiza una solicitud GET
:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID de este proyecto.REGION
: Es la región para esta solicitud.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.
Editar reglas de acceso externo
Para editar reglas de acceso externo con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, sigue estos pasos:
Consola
Para editar una regla de acceso externo con la consola de Google Cloud, sigue estos pasos:
- Accede a la consola de Google Cloud.
- En el menú de navegación principal, haz clic en External access rules.
- Haz clic en el ícono Más al final de una fila y selecciona Editar.
gcloud
Para editar una regla de acceso externa con Google Cloud CLI, usa el comando gcloud vmware network-policies update
:
gcloud vmware network-policies external-access-rules update RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION \ --action=ACTION \ --ip-protocol UDP \ --priority 999
Reemplaza lo siguiente:
RULE_NAME
: Es el nombre de esta regla.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.REGION
: Es la región para esta solicitud.
API
Para editar una regla de acceso externo con la API de VMware Engine, realiza una solicitud PATCH
:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority" '{ "action": "ACTION", "ip_protocol": "udp", "priority": 999 }'
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID de este proyecto.REGION
: Es la región para esta solicitud.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.RULE_NAME
: Es el nombre de esta regla.ACTION
: Es la acción que se realizará, comoACCESS
oDENY
.
Borrar reglas de acceso externas
Para borrar una regla de acceso externa con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:
Consola
Para borrar una regla de acceso externo con la consola de Google Cloud, sigue estos pasos:
- Accede a la consola de Google Cloud.
- En el menú de navegación principal, haz clic en External access rules.
- Haz clic en el ícono Borrar al final de una fila y selecciona Borrar.
gcloud
Para borrar una regla de acceso externa con Google Cloud CLI, usa el comando gcloud vmware network-policies external-access-rules delete
:
gcloud vmware network-policies external-access-rules delete RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Reemplaza lo siguiente:
RULE_NAME
: Es el nombre de esta regla.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.REGION
: Es la región para esta solicitud.
API
Para borrar una regla de acceso externa con la API de VMware Engine, realiza una solicitud DELETE
:
DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID de este proyecto.REGION
: Es la región para esta solicitud.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.RULE_NAME
: Es el nombre de esta regla.
Propiedades de las reglas de firewall
Las reglas de firewall tienen las siguientes propiedades:
- Nombre de la regla
- Un nombre que identifica de forma única la regla de firewall y su propósito.
- Política de red
- La política de red con la que se asociará la regla de firewall. La regla de firewall se aplica al tráfico desde o hacia las redes de VMware Engine que usan esta política de red.
- Descripción
- Es una descripción de esta política de red.
- Prioridad
- Un número entre 100 y 4,096, en el que 100 es la prioridad más alta. Las reglas se procesan de mayor a menor prioridad. Cuando el tráfico encuentra una coincidencia de regla, se detiene el procesamiento de la regla. No se procesan las reglas con prioridades más bajas que tienen los mismos atributos que las reglas con prioridades más altas. No es necesario que la prioridad sea única.
- Acción en caso de coincidencia
- Indica si la regla de firewall permite o rechaza el tráfico según una coincidencia de regla correcta.
- Protocolo
- El protocolo de Internet que cubre la regla de firewall.
- IP de origen
- Direcciones IP de la fuente de tráfico con las que debe coincidir la regla de firewall. Los valores pueden ser direcciones IP o bloques de enrutamiento entre dominios sin clases (CIDR) (por ejemplo, 10.0.0.0/24).
- Puerto de origen
- Puerto de origen de tráfico con el que debe coincidir la regla de firewall. Los valores pueden ser puertos individuales o un rango de puertos, como 8000-8080 o 443.
- IP de destino
- Direcciones IP de destino de tráfico con las que debe coincidir la regla de firewall. Los valores pueden ser direcciones IP o todas las direcciones IP externas que se asignaron.
- Puerto de destino
- Puerto de destino del tráfico con el que debe coincidir la regla de firewall. Los valores pueden ser puertos individuales o un rango de puertos, como 8000-8080 o 443. Especificar un rango te permite crear menos reglas de seguridad.