Reglas de acceso externo

Google Cloud VMware Engine usa reglas de firewall para controlar el acceso a las direcciones IP externas. Para todos los demás controles de acceso, administra la configuración del firewall en los datos de NSX-T Centro. Para obtener más detalles, consulta Firewall en modo de administrador.

Antes de comenzar

  • En la política de red que se aplica a tu nube privada, habilita el servicio de acceso a Internet y el servicio de dirección IP externa.
  • Asigna una IP externa.

Crea una regla de acceso externa

Para crear una regla de acceso externa con la consola de Google Cloud, sigue estos pasos: Google Cloud CLI o la API de VMware Engine, haz lo siguiente:

Console

Para crear una regla de acceso externa con la consola de Google Cloud, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Reglas de acceso externo.

    Ir a Reglas de acceso externo

  2. Haz clic en Crear.

  3. Ingresa los detalles de la regla de firewall nueva. opinión propiedades de la regla de firewall para obtener más información.

  4. Haz clic en Crear para agregar la nueva regla de firewall a la lista de reglas de firewall. reglas de tu proyecto.

gcloud

Crea una regla de acceso externa con Google Cloud CLI. Para ello, ingresa Comando gcloud vmware network-policies create:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Reemplaza lo siguiente:

  • RULE_NAME: Es el nombre de esta regla.
  • REGION: la región para esta solicitud.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • ACTION: La acción que se realizará, como ACCESS o DENY.

API

Para crear una regla de acceso externo con la API de VMware Engine, realiza una solicitud POST:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Reemplaza lo siguiente:

  • PROJECT_ID: Es el proyecto de esta solicitud.
  • REGION: la región para esta solicitud.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • RULE_NAME: Es el nombre de esta regla.
  • ACTION: La acción que se debe realizar, como ACCESS o DENY.

Cómo enumerar las reglas de acceso externo

Para obtener una lista de las reglas de acceso externo con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:

Console

Para enumerar las reglas de acceso externo con la consola de Google Cloud, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Reglas de acceso externo.

    Ir a Reglas de acceso externo

  2. La página Resumen contiene una tabla con todas las reglas de acceso externo. Los cambios que se realicen en los atributos se describen en esta página de resumen.

gcloud

Para enumerar las reglas de acceso externo con Google Cloud CLI, usa el comando gcloud vmware network-policies external-access-rules list:

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Reemplaza lo siguiente:

  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • REGION: Es la región para esta solicitud.

API

Para enumerar las reglas de acceso externo con la API de VMware Engine, realiza una solicitud GET:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID de este proyecto.
  • REGION: la región para esta solicitud.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.

Edita las reglas de acceso externo

Para editar reglas de acceso externo con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:

Console

Para editar una regla de acceso externo con la consola de Google Cloud, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Reglas de acceso externo.

    Ir a Reglas de acceso externo

  2. Haz clic en el ícono Más al final de una fila y selecciona Editar.

gcloud

Para editar una regla de acceso externo con Google Cloud CLI, usa el comando gcloud vmware network-policies update:

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Reemplaza lo siguiente:

  • RULE_NAME: Es el nombre de esta regla.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • REGION: la región para esta solicitud.

API

Para editar una regla de acceso externo con la API de VMware Engine, realiza una solicitud PATCH:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID de este proyecto.
  • REGION: la región para esta solicitud.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • RULE_NAME: Es el nombre de esta regla.
  • ACTION: La acción que se debe realizar, como ACCESS o DENY.

Borra reglas de acceso externo

Para borrar una regla de acceso externo con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:

Console

Para borrar una regla de acceso externa con la consola de Google Cloud, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Reglas de acceso externo.

    Ve a Reglas de acceso externo.

  2. Haz clic en el ícono Borrar. al final de una fila y selecciona Borrar.

gcloud

Para borrar una regla de acceso externo con Google Cloud CLI, usa ⃃ el comando gcloud vmware network-policies external-access-rules delete:

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Reemplaza lo siguiente:

  • RULE_NAME: Es el nombre de esta regla.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • REGION: la región para esta solicitud.

API

Para borrar una regla de acceso externo con la API de VMware Engine, realiza una solicitud DELETE:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID de este proyecto.
  • REGION: la región para esta solicitud.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • RULE_NAME: Es el nombre de esta regla.

Propiedades de las reglas de firewall

Las reglas de firewall tienen las siguientes propiedades:

Nombre de la regla
Un nombre que identifique de forma única la regla de firewall y su propósito.
Política de red
La política de red con la que se asociará la regla de firewall. La regla de firewall se aplica al tráfico hacia o desde las redes de VMware Engine que usan esta política de red.
Descripción
Es una descripción de esta política de red.
Prioridad
Un número entre 100 y 4,096, con 100 como la prioridad más alta. Las reglas son se procesan de mayor a menor prioridad. Cuando el tráfico se encuentra con una coincidencia de regla, el procesamiento de reglas se detiene. No se procesan las reglas con prioridades más bajas que tengan los mismos atributos que las reglas con prioridades más altas. No es necesario que la prioridad sea única.
Acción en caso de coincidencia
Determina si la regla de firewall permite o rechaza el tráfico según una coincidencia correcta de la regla.
Protocolo
Es el protocolo de Internet que cubre la regla de firewall.
IP de origen
Direcciones IP de origen de tráfico con las que debe coincidir la regla de firewall. Los valores pueden ser direcciones IP o bloques de enrutamiento entre dominios sin clases (CIDR) (10.0.0.0/24, por ejemplo).
Puerto de origen
Puerto de origen de tráfico con el que debe coincidir la regla de firewall. Los valores pueden ser puertos individuales o un rango de puertos, como 443 o 8000-8080.
IP de destino
Direcciones IP de destino de tráfico con las que debe coincidir la regla de firewall. Los valores pueden ser direcciones IP o todas las direcciones IP externas que se hayan asignado.
Puerto de destino
Puerto de destino de tráfico con el que debe coincidir la regla de firewall. Los valores pueden ser puertos individuales o un rango de puertos, como 443 o 8000-8080. Especificar un rango te permite crear menos reglas de seguridad.

¿Qué sigue?