Cette page a été traduite par l'API Cloud Translation.

Règles d'accès externe

Google Cloud VMware Engine utilise des règles de pare-feu pour contrôler l'accès aux adresses IP externes. Pour tous les autres contrôles d'accès, gérez les paramètres de pare-feu dans NSX Data Center. Pour en savoir plus, consultez Règle de pare-feu en mode Gestionnaire.

Avant de commencer

Dans la règle de réseau qui s'applique à votre cloud privé, activez le service d'accès à Internet et le service d'adresse IP externe.
Allouez une adresse IP externe.

Créer une règle d'accès externe

Pour créer une règle d'accès externe à l'aide de la console Google Cloud , de la Google Cloud CLI ou de l'API VMware Engine, procédez comme suit :

Console

Pour créer une règle d'accès externe à l'aide de la console Google Cloud :

Dans la console Google Cloud , accédez à la page Règles d'accès externe.

Accéder aux règles d'accès externe

Cliquez sur Créer.
Saisissez les détails de la nouvelle règle de pare-feu. Pour en savoir plus, consultez les propriétés de la règle de pare-feu.
Cliquez sur Créer pour ajouter la nouvelle règle de pare-feu à la liste des règles de pare-feu de votre projet.

gcloud

Créez une règle d'accès externe à l'aide de Google Cloud CLI en saisissant la commande gcloud vmware network-policies create :

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Remplacez les éléments suivants :

RULE_NAME : nom de cette règle
REGION : région de la requête.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
ACTION : action à effectuer, telle que ACCESS ou DENY.

API

Pour créer une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête POST :

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Remplacez les éléments suivants :

PROJECT_ID : projet pour cette requête
REGION : région de la requête.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
RULE_NAME : nom de cette règle
ACTION : action à effectuer, telle que ACCESS ou DENY.

Lister les règles d'accès externe

Pour lister les règles d'accès externe à l'aide de la console Google Cloud , de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit :

Console

Pour lister les règles d'accès externe à l'aide de la console Google Cloud :

Dans la console Google Cloud , accédez à la page Règles d'accès externe.

Accéder aux règles d'accès externe

La page Récapitulatif contient un tableau listant toutes les règles d'accès externe. Toute modification des attributs est décrite sur cette page récapitulative.

gcloud

Pour lister les règles d'accès externe à l'aide de Google Cloud CLI, utilisez la commande gcloud vmware network-policies external-access-rules list :

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Remplacez les éléments suivants :

NETWORK_POLICY_NAME : stratégie réseau pour cette requête
REGION : région de la requête.

API

Pour lister les règles d'accès externe à l'aide de l'API VMware Engine, envoyez une requête GET :

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Remplacez les éléments suivants :

PROJECT_ID : ID de ce projet
REGION : région de la requête.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête

Modifier les règles d'accès externe

Pour modifier les règles d'accès externe à l'aide de la console Google Cloud , de la Google Cloud CLI ou de l'API VMware Engine, procédez comme suit :

Console

Pour modifier une règle d'accès externe à l'aide de la console Google Cloud :

Dans la console Google Cloud , accédez à la page Règles d'accès externe.

Accéder aux règles d'accès externe

Cliquez sur l'icône Plus à la fin d'une ligne et sélectionnez Modifier.

gcloud

Pour modifier une règle d'accès externe à l'aide de Google Cloud CLI, utilisez la commande gcloud vmware network-policies update :

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Remplacez les éléments suivants :

RULE_NAME : nom de cette règle
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
REGION : région de la requête.

API

Pour modifier une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête PATCH :

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Remplacez les éléments suivants :

PROJECT_ID : ID de ce projet
REGION : région de la requête.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
RULE_NAME : nom de cette règle
ACTION : action à effectuer, telle que ACCESS ou DENY.

Supprimer des règles d'accès externe

Pour supprimer une règle d'accès externe à l'aide de la console Google Cloud , de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit :

Console

Pour supprimer une règle d'accès externe à l'aide de la console Google Cloud , procédez comme suit :

Dans la console Google Cloud , accédez à la page Règles d'accès externe.

Accéder aux règles d'accès externe

Cliquez sur Supprimer.

à la fin d'une ligne et sélectionnez Supprimer.

gcloud

Pour supprimer une règle d'accès externe à l'aide de Google Cloud CLI, utilisez la commande gcloud vmware network-policies external-access-rules delete :

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Remplacez les éléments suivants :

RULE_NAME : nom de cette règle
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
REGION : région de la requête.

API

Pour supprimer une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête DELETE :

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Remplacez les éléments suivants :

PROJECT_ID : ID de ce projet
REGION : région de la requête.
NETWORK_POLICY_NAME : stratégie réseau pour cette requête
RULE_NAME : nom de cette règle

Propriétés d'une règle de pare-feu

Les règles de pare-feu présentent les propriétés suivantes :

Nom de la règle: Nom identifiant de manière unique la règle de pare-feu et son objectif.
Règle de réseau: Stratégie réseau à laquelle associer la règle de pare-feu. La règle de pare-feu s'applique au trafic acheminé vers ou depuis les réseaux VMware Engine qui utilisent cette règle de réseau.
Description: Description de cette règle de réseau.
Priorité: Nombre compris entre 100 et 4 096, 100 représentant la priorité la plus élevée. Les règles sont traitées de la priorité la plus élevée à la plus faible. En cas de correspondance du trafic avec une règle, le traitement des règles s'arrête. Les règles de priorités inférieures ayant les mêmes attributs que les règles de priorités supérieures ne sont pas traitées. La priorité n'a pas besoin d'être unique.
Action en cas de correspondance: Indique si la règle de pare-feu autorise ou refuse le trafic en cas de correspondance.
Protocole: Protocole Internet couvert par la règle de pare-feu.
Adresses IP sources: Les valeurs peuvent être des adresses IP ou des blocs CIDR (Classless Inter-Domain Routing), par exemple 10.0.0.0/24.
Port source: Port source du trafic auquel la règle de pare-feu doit correspondre. Les valeurs peuvent être des ports individuels ou une plage de ports, par exemple 443 ou 8000-8080.
Adresses IP de destination: Adresses IP de destination du trafic auxquelles la règle de pare-feu doit correspondre. Les valeurs peuvent être des adresses IP ou toutes les adresses IP externes qui ont été attribuées.
Port de destination: Port de destination du trafic auquel la règle de pare-feu doit correspondre. Les valeurs peuvent être des ports individuels ou une plage de ports, par exemple 443 ou 8000-8080. Spécifier une plage vous permet de créer moins de règles de sécurité.

Étapes suivantes

Gérer l'activité et les ressources de votre cloud privé