Regole di accesso esterno

Google Cloud VMware Engine utilizza le regole firewall per controllare l'accesso agli indirizzi IP esterni. Per tutti gli altri controlli dell'accesso, gestisci le impostazioni del firewall in NSX-T Data Center. Per maggiori dettagli, consulta Firewall in modalità gestore.

Prima di iniziare

  • Nel criterio di rete che si applica al cloud privato, abilita il servizio di accesso a internet e il servizio di indirizzo IP esterno.
  • Alloca un IP esterno.

Crea una regola di accesso esterno

Per creare una regola di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine:

Console

Per creare una regola di accesso esterno utilizzando la console Google Cloud:

  1. Accedi alla console Google Cloud.
  2. Nella barra di navigazione principale, fai clic su Regole di accesso esterno.
  3. Fai clic su Crea.
  4. Inserisci i dettagli della nuova regola firewall; per ulteriori informazioni, esamina le proprietà della regola firewall.
  5. Fai clic su Crea per aggiungere la nuova regola firewall all'elenco delle regole firewall nel tuo progetto.

gcloud

Crea una regola di accesso esterno utilizzando Google Cloud CLI inserendo il comando gcloud vmware network-policies create:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Sostituisci quanto segue:

  • RULE_NAME: il nome di questa regola
  • REGION: la regione per questa richiesta
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • ACTION: l'azione da eseguire, ad esempio ACCESS o DENY.

API

Per creare una regola di accesso esterno utilizzando l'API VMware Engine, effettua una richiesta POST:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • REGION: la regione per questa richiesta
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • RULE_NAME: il nome di questa regola
  • ACTION: l'azione da eseguire, ad esempio ACCESS o DENY.

Elenca regole di accesso esterno

Per elencare le regole di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine:

Console

Per elencare le regole di accesso esterno utilizzando la console Google Cloud:

  1. Accedi alla console Google Cloud.
  2. Nella barra di navigazione principale, fai clic su Regole di accesso esterno.
  3. La pagina Riepilogo contiene una tabella in cui sono elencate tutte le regole di accesso esterno. Le eventuali modifiche agli attributi sono descritte in questa pagina di riepilogo.

gcloud

Per elencare le regole di accesso esterno utilizzando Google Cloud CLI, utilizza il comando gcloud vmware network-policies external-access-rules list:

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Sostituisci quanto segue:

  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • REGION: la regione per questa richiesta.

API

Per elencare le regole di accesso esterno utilizzando l'API VMware Engine, effettua una richiesta GET:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto
  • REGION: la regione per questa richiesta
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta

Modifica regole di accesso esterno

Per modificare le regole di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine:

Console

Per modificare una regola di accesso esterno utilizzando la console Google Cloud:

  1. Accedi alla console Google Cloud.
  2. Nella barra di navigazione principale, fai clic su Regole di accesso esterno.
  3. Fai clic sull'icona Altro alla fine di una riga e seleziona Modifica.

gcloud

Per modificare una regola di accesso esterno utilizzando Google Cloud CLI, utilizza il comando gcloud vmware network-policies update:

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Sostituisci quanto segue:

  • RULE_NAME: il nome di questa regola
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • REGION: la regione per questa richiesta

API

Per modificare una regola di accesso esterno utilizzando l'API VMware Engine, effettua una richiesta PATCH:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto
  • REGION: la regione per questa richiesta
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • RULE_NAME: il nome di questa regola
  • ACTION: l'azione da eseguire, ad esempio ACCESS o DENY.

Elimina regole di accesso esterno

Per eliminare una regola di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine:

Console

Per eliminare una regola di accesso esterno utilizzando la console Google Cloud:

  1. Accedi alla console Google Cloud.
  2. Nella barra di navigazione principale, fai clic su Regole di accesso esterno.
  3. Fai clic sull'icona Elimina alla fine di una riga e seleziona Elimina.

gcloud

Per eliminare una regola di accesso esterno utilizzando Google Cloud CLI, utilizza il comando gcloud vmware network-policies external-access-rules delete:

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Sostituisci quanto segue:

  • RULE_NAME: il nome di questa regola
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • REGION: la regione per questa richiesta

API

Per eliminare una regola di accesso esterno utilizzando l'API VMware Engine, effettua una richiesta DELETE:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto
  • REGION: la regione per questa richiesta
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • RULE_NAME: il nome di questa regola

Proprietà delle regole firewall

Le regole firewall hanno le seguenti proprietà:

Nome regola
Un nome che identifica in modo univoco la regola firewall e il suo scopo.
Criterio di rete
Il criterio di rete a cui associare la regola firewall. La regola firewall si applica al traffico da o verso reti VMware Engine che utilizzano questo criterio di rete.
Descrizione
Una descrizione di questo criterio della rete.
Priorità
Un numero compreso tra 100 e 4096, dove 100 rappresenta la priorità più alta. Le regole vengono elaborate dalla priorità più alta a quella più bassa. Quando il traffico rileva una corrispondenza di regole, l'elaborazione delle regole si interrompe. Le regole con priorità più bassa che hanno gli stessi attributi delle regole con priorità più elevate non vengono elaborate. La priorità non deve essere necessariamente univoca.
Azione in caso di corrispondenza
Indica se la regola firewall consente o nega il traffico in base a una corrispondenza delle regole riuscita.
Protocollo
Il protocollo internet coperto dalla regola firewall.
IP di origine
Indirizzi IP delle sorgenti di traffico a cui abbinare la regola firewall. I valori possono essere indirizzi IP o blocchi di routing tra domini senza classi (CIDR) (ad esempio 10.0.0.0/24).
Porta di origine
Porta della sorgente di traffico a cui abbinare la regola firewall. I valori possono essere singole porte o un intervallo di porte, ad esempio 443 o 8000-8080.
IP di destinazione
Indirizzi IP di destinazione del traffico a cui abbinare la regola firewall. I valori possono essere indirizzi IP o tutti gli indirizzi IP esterni che sono stati allocati.
Porta di destinazione
Porta di destinazione del traffico a cui abbinare la regola firewall. I valori possono essere singole porte o un intervallo di porte, ad esempio 443 o 8000-8080. Se specifichi un intervallo, puoi creare meno regole di sicurezza.

Passaggi successivi