Règles d'accès externe
Google Cloud VMware Engine utilise des règles de pare-feu pour contrôler l'accès aux adresses IP externes. Pour tous les autres contrôles d'accès, gérez les paramètres de pare-feu dans NSX-T Data Center. Pour en savoir plus, consultez la section Pare-feu en mode Gestionnaire.
Avant de commencer
- Dans la règle de réseau qui s'applique à votre cloud privé, activez le service d'accès à Internet et le service d'adresse IP externe.
- Allouez une adresse IP externe.
Créer une règle d'accès externe
Pour créer une règle d'accès externe à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:
Console
Pour créer une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit:
- Accédez à la console Google Cloud.
- Dans le menu de navigation principal, cliquez sur Règles d'accès externe.
- Cliquez sur Créer.
- Saisissez les détails de la nouvelle règle de pare-feu. Consultez les propriétés de la règle de pare-feu pour en savoir plus.
- Cliquez sur Créer pour ajouter la nouvelle règle de pare-feu à la liste des règles de pare-feu de votre projet.
gcloud
Créez une règle d'accès externe à l'aide de Google Cloud CLI en saisissant la commande gcloud vmware network-policies create
:
gcloud vmware network-policies external-access-rules create RULE_NAME \ --location=REGION \ --network-policy=NETWORK_POLICY_NAME \ --priority=1000 \ --ip-protocol=TCP \ --destination-ranges=0.0.0.0/0 \ --source-ports=22,10000-11000 \ --destination-ports=22 \ --action=ACTION
Remplacez les éléments suivants :
RULE_NAME
: nom de cette règleREGION
: région pour cette requêteNETWORK_POLICY_NAME
: règle de réseau pour cette requêteACTION
: action à effectuer, par exempleACCESS
ouDENY
.
API
Pour créer une règle d'accès externe à l'aide de l'API VMware Engine, exécutez une requête POST
:
POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME" '{ "priority": 1000, "action": "ACTION", "ip_protocol": "tcp", "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}], "destination_ports": ["22"], "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}], "source_ports": ["22", "10000-11000"] }'
Remplacez les éléments suivants :
PROJECT_ID
: projet pour cette requêteREGION
: région pour cette requêteNETWORK_POLICY_NAME
: règle de réseau pour cette requêteRULE_NAME
: nom de cette règleACTION
: action à effectuer, par exempleACCESS
ouDENY
.
Lister les règles d'accès externe
Pour répertorier les règles d'accès externes à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:
Console
Pour répertorier les règles d'accès externe à l'aide de la console Google Cloud, procédez comme suit:
- Accédez à la console Google Cloud.
- Dans le menu de navigation principal, cliquez sur Règles d'accès externe.
- La page Résumé contient une table listant toutes les règles d'accès externe. Toute modification apportée aux attributs est décrite sur cette page récapitulative.
gcloud
Pour répertorier les règles d'accès externe à l'aide de Google Cloud CLI, exécutez la commande gcloud vmware network-policies external-access-rules list
:
gcloud vmware network-policies external-access-rules list \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Remplacez les éléments suivants :
NETWORK_POLICY_NAME
: règle de réseau pour cette requêteREGION
: région de la requête.
API
Pour répertorier les règles d'accès externe à l'aide de l'API VMware Engine, exécutez une requête GET
:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"
Remplacez les éléments suivants :
PROJECT_ID
: ID de ce projetREGION
: région pour cette requêteNETWORK_POLICY_NAME
: règle de réseau pour cette requête
Modifier les règles d'accès externe
Pour modifier des règles d'accès externe à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:
Console
Pour modifier une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit:
- Accédez à la console Google Cloud.
- Dans le menu de navigation principal, cliquez sur Règles d'accès externe.
- Cliquez sur l'icône Plus à la fin d'une ligne et sélectionnez Modifier.
gcloud
Pour modifier une règle d'accès externe à l'aide de Google Cloud CLI, exécutez la commande gcloud vmware network-policies update
:
gcloud vmware network-policies external-access-rules update RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION \ --action=ACTION \ --ip-protocol UDP \ --priority 999
Remplacez les éléments suivants :
RULE_NAME
: nom de cette règleNETWORK_POLICY_NAME
: règle de réseau pour cette requêteREGION
: région pour cette requête
API
Pour modifier une règle d'accès externe à l'aide de l'API VMware Engine, exécutez une requête PATCH
:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority" '{ "action": "ACTION", "ip_protocol": "udp", "priority": 999 }'
Remplacez les éléments suivants :
PROJECT_ID
: ID de ce projetREGION
: région pour cette requêteNETWORK_POLICY_NAME
: règle de réseau pour cette requêteRULE_NAME
: nom de cette règleACTION
: action à effectuer, par exempleACCESS
ouDENY
.
Supprimer les règles d'accès externe
Pour supprimer une règle d'accès externe à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:
Console
Pour supprimer une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit:
- Accédez à la console Google Cloud.
- Dans le menu de navigation principal, cliquez sur Règles d'accès externe.
- Cliquez sur l'icône Supprimer à la fin d'une ligne et sélectionnez Supprimer.
gcloud
Pour supprimer une règle d'accès externe à l'aide de Google Cloud CLI, utilisez la commande gcloud vmware network-policies external-access-rules delete
:
gcloud vmware network-policies external-access-rules delete RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Remplacez les éléments suivants :
RULE_NAME
: nom de cette règleNETWORK_POLICY_NAME
: règle de réseau pour cette requêteREGION
: région pour cette requête
API
Pour supprimer une règle d'accès externe à l'aide de l'API VMware Engine, exécutez une requête DELETE
:
DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"
Remplacez les éléments suivants :
PROJECT_ID
: ID de ce projetREGION
: région pour cette requêteNETWORK_POLICY_NAME
: règle de réseau pour cette requêteRULE_NAME
: nom de cette règle
Propriétés d'une règle de pare-feu
Les règles de pare-feu ont les propriétés suivantes:
- Nom de la règle
- Nom identifiant de manière unique la règle de pare-feu et son objectif.
- Règle de réseau
- Stratégie de réseau à laquelle associer la règle de pare-feu. La règle de pare-feu s'applique au trafic vers ou depuis les réseaux VMware Engine qui utilisent cette règle de réseau.
- Description
- Description de ce règlement de réseau.
- Priorité
- Nombre compris entre 100 et 4 096, 100 correspondant à la priorité la plus élevée. Les règles sont traitées de la priorité la plus haute à la plus basse. Lorsque le trafic rencontre une correspondance de règle, le traitement des règles s'arrête. Les règles de priorité inférieure ayant les mêmes attributs que celles ayant des priorités plus élevées ne sont pas traitées. La priorité n'a pas besoin d'être unique.
- Action en cas de correspondance
- Indique si la règle de pare-feu autorise ou refuse le trafic en fonction d'une correspondance de règle réussie.
- Protocole
- Protocole Internet couvert par la règle de pare-feu.
- Adresses IP sources
- Adresses IP sources de trafic auxquelles la règle de pare-feu doit correspondre. Les valeurs peuvent être des adresses IP ou des blocs de routage inter-domaine sans classe (CIDR) (10.0.0.0/24, par exemple).
- Port source
- Port source du trafic auquel la règle de pare-feu doit correspondre. Les valeurs peuvent être des ports individuels ou une plage de ports, par exemple 443 ou 8000-8080.
- Adresses IP de destination
- Adresses IP de destination du trafic auxquelles la règle de pare-feu doit correspondre. Les valeurs peuvent être des adresses IP ou toutes les adresses IP externes qui ont été allouées.
- Port de destination
- Port de destination du trafic auquel la règle de pare-feu doit correspondre. Les valeurs peuvent être des ports individuels ou une plage de ports, par exemple 443 ou 8000-8080. Cela vous permet de créer moins de règles de sécurité.