Reglas de acceso externo

Google Cloud VMware Engine usa reglas de firewall para controlar el acceso a direcciones IP externas. Para todos los demás controles de acceso, administra la configuración del firewall en NSX-T Data Center. Para obtener más detalles, consulta Firewall en modo de administrador.

Antes de comenzar

  • En la política de red que se aplica a tu nube privada, habilita el servicio de acceso a Internet y el servicio de dirección IP externa.
  • Asigna una IP externa.

Crea una regla de acceso externa

Para crear una regla de acceso externa con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:

Consola

Para crear una regla de acceso externo con la consola de Google Cloud, sigue estos pasos:

  1. Accede a la consola de Google Cloud.
  2. En el menú de navegación principal, haz clic en External access rules.
  3. Haz clic en Crear.
  4. Ingresa los detalles de la nueva regla de firewall; revisa las propiedades de la regla de firewall para obtener más información.
  5. Haz clic en Crear para agregar la regla de firewall nueva a la lista de reglas de firewall de tu proyecto.

gcloud

Ingresa el comando gcloud vmware network-policies create para crear una regla de acceso externa con Google Cloud CLI:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Reemplaza lo siguiente:

  • RULE_NAME: Es el nombre de esta regla.
  • REGION: Es la región para esta solicitud.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • ACTION: Es la acción que se realizará, como ACCESS o DENY.

API

Para crear una regla de acceso externa con la API de VMware Engine, realiza una solicitud POST:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Reemplaza lo siguiente:

  • PROJECT_ID: Es el proyecto para esta solicitud.
  • REGION: Es la región para esta solicitud.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • RULE_NAME: Es el nombre de esta regla.
  • ACTION: Es la acción que se realizará, como ACCESS o DENY.

Enumerar reglas de acceso externas

Para crear una lista de reglas de acceso externas con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, sigue estos pasos:

Consola

Para enumerar las reglas de acceso externo con la consola de Google Cloud, sigue estos pasos:

  1. Accede a la consola de Google Cloud.
  2. En el menú de navegación principal, haz clic en External access rules.
  3. La página Resumen contiene una tabla con todas las reglas de acceso externas enumeradas. Cualquier cambio en los atributos se describe en esta página de resumen.

gcloud

Para enumerar las reglas de acceso externas con Google Cloud CLI, usa el comando gcloud vmware network-policies external-access-rules list:

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Reemplaza lo siguiente:

  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • REGION: Es la región para esta solicitud.

API

Para enumerar las reglas de acceso externas con la API de VMware Engine, realiza una solicitud GET:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID de este proyecto.
  • REGION: Es la región para esta solicitud.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.

Editar reglas de acceso externo

Para editar reglas de acceso externo con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, sigue estos pasos:

Consola

Para editar una regla de acceso externo con la consola de Google Cloud, sigue estos pasos:

  1. Accede a la consola de Google Cloud.
  2. En el menú de navegación principal, haz clic en External access rules.
  3. Haz clic en el ícono Más al final de una fila y selecciona Editar.

gcloud

Para editar una regla de acceso externa con Google Cloud CLI, usa el comando gcloud vmware network-policies update:

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Reemplaza lo siguiente:

  • RULE_NAME: Es el nombre de esta regla.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • REGION: Es la región para esta solicitud.

API

Para editar una regla de acceso externo con la API de VMware Engine, realiza una solicitud PATCH:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID de este proyecto.
  • REGION: Es la región para esta solicitud.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • RULE_NAME: Es el nombre de esta regla.
  • ACTION: Es la acción que se realizará, como ACCESS o DENY.

Borrar reglas de acceso externas

Para borrar una regla de acceso externa con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:

Consola

Para borrar una regla de acceso externo con la consola de Google Cloud, sigue estos pasos:

  1. Accede a la consola de Google Cloud.
  2. En el menú de navegación principal, haz clic en External access rules.
  3. Haz clic en el ícono Borrar al final de una fila y selecciona Borrar.

gcloud

Para borrar una regla de acceso externa con Google Cloud CLI, usa el comando gcloud vmware network-policies external-access-rules delete:

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Reemplaza lo siguiente:

  • RULE_NAME: Es el nombre de esta regla.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • REGION: Es la región para esta solicitud.

API

Para borrar una regla de acceso externa con la API de VMware Engine, realiza una solicitud DELETE:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID de este proyecto.
  • REGION: Es la región para esta solicitud.
  • NETWORK_POLICY_NAME: Es la política de red para esta solicitud.
  • RULE_NAME: Es el nombre de esta regla.

Propiedades de las reglas de firewall

Las reglas de firewall tienen las siguientes propiedades:

Nombre de la regla
Un nombre que identifica de forma única la regla de firewall y su propósito.
Política de red
La política de red con la que se asociará la regla de firewall. La regla de firewall se aplica al tráfico desde o hacia las redes de VMware Engine que usan esta política de red.
Descripción
Es una descripción de esta política de red.
Prioridad
Un número entre 100 y 4,096, en el que 100 es la prioridad más alta. Las reglas se procesan de mayor a menor prioridad. Cuando el tráfico encuentra una coincidencia de regla, se detiene el procesamiento de la regla. No se procesan las reglas con prioridades más bajas que tienen los mismos atributos que las reglas con prioridades más altas. No es necesario que la prioridad sea única.
Acción en caso de coincidencia
Indica si la regla de firewall permite o rechaza el tráfico según una coincidencia de regla correcta.
Protocolo
El protocolo de Internet que cubre la regla de firewall.
IP de origen
Direcciones IP de la fuente de tráfico con las que debe coincidir la regla de firewall. Los valores pueden ser direcciones IP o bloques de enrutamiento entre dominios sin clases (CIDR) (por ejemplo, 10.0.0.0/24).
Puerto de origen
Puerto de origen de tráfico con el que debe coincidir la regla de firewall. Los valores pueden ser puertos individuales o un rango de puertos, como 8000-8080 o 443.
IP de destino
Direcciones IP de destino de tráfico con las que debe coincidir la regla de firewall. Los valores pueden ser direcciones IP o todas las direcciones IP externas que se asignaron.
Puerto de destino
Puerto de destino del tráfico con el que debe coincidir la regla de firewall. Los valores pueden ser puertos individuales o un rango de puertos, como 8000-8080 o 443. Especificar un rango te permite crear menos reglas de seguridad.

¿Qué sigue?