Cette page a été traduite par l'API Cloud Translation.

Règles d'accès externe

Google Cloud VMware Engine utilise des règles de pare-feu pour contrôler l'accès aux adresses IP externes. Pour tous les autres contrôles d'accès, gérez les paramètres du pare-feu dans NSX-T Data de sécurité. Pour en savoir plus, consultez la section Pare-feu en mode gestionnaire.

Avant de commencer

Dans la règle de réseau qui s'applique à votre cloud privé, activez le service d'accès Internet et le service d'adresse IP externe.
Allouez une adresse IP externe.

Créer une règle d'accès externe

Pour créer une règle d'accès externe à l'aide de la console Google Cloud, de la Google Cloud CLI ou de l'API VMware Engine, procédez comme suit :

Console

Pour créer une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit:

Dans la console Google Cloud, accédez à la page Règles d'accès externe.

Accéder à "Règles d'accès externe"
Cliquez sur Créer.
Saisissez les détails de la nouvelle règle de pare-feu. Pour en savoir plus, consultez les propriétés de la règle de pare-feu.
Cliquez sur Créer pour ajouter la nouvelle règle de pare-feu à la liste règles de votre projet.

gcloud

Créez une règle d'accès externe à l'aide de Google Cloud CLI en saisissant la Commande gcloud vmware network-policies create:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Remplacez les éléments suivants :

RULE_NAME: nom de cette règle.
REGION : région de la requête.
NETWORK_POLICY_NAME: règle de réseau pour cette requête
ACTION: action à effectuer, par exemple ACCESS ou DENY.

API

Pour créer une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête POST :

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Remplacez les éléments suivants :

PROJECT_ID : projet de cette requête
REGION : région de la requête.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
RULE_NAME : nom de cette règle
ACTION: action à effectuer, par exemple ACCESS ou DENY.

Répertorier les règles d'accès externe

Pour répertorier les règles d'accès externe à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:

Console

Pour répertorier les règles d'accès externe à l'aide de la console Google Cloud, procédez comme suit:

Dans la console Google Cloud, accédez à la page Règles d'accès externe.

Accéder à "Règles d'accès externe"
La page Récapitulatif contient une table avec toutes les règles d'accès externe dans la liste. Toutes les modifications apportées aux attributs sont décrites sur cette page récapitulative.

gcloud

Pour répertorier les règles d'accès externe à l'aide de la Google Cloud CLI, exécutez la commande gcloud vmware network-policies external-access-rules list:

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Remplacez les éléments suivants :

NETWORK_POLICY_NAME : stratégie réseau pour cette requête
REGION : région de la requête.

API

Pour répertorier les règles d'accès externe à l'aide de l'API VMware Engine, exécutez une requête GET:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Remplacez les éléments suivants :

PROJECT_ID: ID de ce projet.
REGION : région de la requête.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête

Modifier les règles d'accès externe

Pour modifier des règles d'accès externe à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:

Console

Pour modifier une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit :

Dans la console Google Cloud, accédez à la page Règles d'accès externe.

Accéder à la page "Règles d'accès externe"
Cliquez sur l'icône Plus au bout d'une ligne et sélectionnez Modifier.

gcloud

Pour modifier une règle d'accès externe à l'aide de Google Cloud CLI, utilisez la commande gcloud vmware network-policies update :

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Remplacez les éléments suivants :

RULE_NAME: nom de cette règle.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
REGION : région de la requête.

API

Pour modifier une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête PATCH:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Remplacez les éléments suivants :

PROJECT_ID: ID de ce projet.
REGION : région de la requête.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
RULE_NAME : nom de cette règle
ACTION: action à effectuer, par exemple ACCESS ou DENY.

Supprimer des règles d'accès externe

Pour supprimer une règle d'accès externe à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:

Console

Pour supprimer une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit :

Dans la console Google Cloud, accédez à la page Règles d'accès externe.

Accéder à "Règles d'accès externe"
Cliquez sur l'icône Supprimer à la fin d'une ligne, puis sélectionnez Supprimer.

gcloud

Pour supprimer une règle d'accès externe à l'aide de Google Cloud CLI, utilisez la commande gcloud vmware network-policies external-access-rules delete:

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Remplacez les éléments suivants :

RULE_NAME: nom de cette règle.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
REGION : région de la requête.

API

Pour supprimer une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête DELETE :

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Remplacez les éléments suivants :

PROJECT_ID: ID de ce projet.
REGION : région de la requête.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
RULE_NAME : nom de cette règle

Propriétés d'une règle de pare-feu

Les règles de pare-feu ont les propriétés suivantes:

Nom de la règle: Nom identifiant de manière unique la règle de pare-feu et son objectif.
Règle de réseau: Stratégie réseau à laquelle associer la règle de pare-feu. La règle de pare-feu s'applique au trafic vers ou depuis les réseaux VMware Engine qui utilisent règle de réseau.
Description: Description de cette règle de réseau.
Priorité: Nombre compris entre 100 et 4 096, 100 étant la priorité la plus élevée. Les règles sont traitées de la priorité la plus haute à la plus basse. En cas de correspondance du trafic avec une règle, le traitement des règles s'arrête. Les règles de priorités inférieures ayant les mêmes attributs que les règles de priorités supérieures ne sont pas traitées. La priorité n'a pas besoin d'être unique.
Action en cas de correspondance: Indique si la règle de pare-feu autorise ou refuse le trafic en fonction d'une règle réussie. correspond.
Protocole: Protocole Internet couvert par la règle de pare-feu.
Adresses IP sources: Adresses IP sources du trafic auxquelles la règle de pare-feu doit correspondre. Les valeurs peuvent être des adresses IP ou des blocs CIDR (Classless Inter-Domain Routing) (10.0.0.0/24, par exemple).
Port source: Port source du trafic auquel la règle de pare-feu doit correspondre. Les valeurs peuvent être des ports individuels ou une plage de ports, par exemple 443 ou 8000-8080.
Adresses IP de destination: Adresses IP de destination du trafic auxquelles la règle de pare-feu doit correspondre. Les valeurs peuvent être des adresses IP ou toutes les adresses IP externes qui ont été allouées.
Port de destination: Port de destination du trafic auquel la règle de pare-feu doit correspondre. Les valeurs peuvent être des ports individuels ou une plage de ports, par exemple, 443 ou 8000-8080. Spécifier un permet de créer moins de règles de sécurité.

Étape suivante

Gérez l'activité et les ressources de votre cloud privé.