Regras de acesso externo
O Google Cloud VMware Engine usa regras de firewall para controlar o acesso a endereços IP externos. Para todos os outros controles de acesso, gerencie as configurações de firewall no data center NSX-T. Para detalhes, consulte Firewall no modo de administrador.
Antes de começar
- Na política de rede que se aplica à nuvem privada, ative os serviços de acesso à Internet e de endereços IP externos.
- Aloque um IP externo.
Criar uma regra de acesso externo
Para criar uma regra de acesso externo usando o console do Google Cloud, a CLI do Google Cloud ou a API VMware Engine, faça o seguinte:
Console
Para criar uma regra de acesso externo usando o console do Google Cloud, faça o seguinte:
No console do Google Cloud, acesse a página Regras de acesso externo.
Clique em Criar.
Insira os detalhes da nova regra de firewall. Revise as propriedades da regra de firewall para mais informações.
Clique em Criar para adicionar a nova regra de firewall à lista de regras de firewall em seu projeto.
gcloud
Crie uma regra de acesso externo usando a CLI do Google Cloud inserindo o
comando gcloud vmware network-policies create:
gcloud vmware network-policies external-access-rules create RULE_NAME \ --location=REGION \ --network-policy=NETWORK_POLICY_NAME \ --priority=1000 \ --ip-protocol=TCP \ --destination-ranges=0.0.0.0/0 \ --source-ports=22,10000-11000 \ --destination-ports=22 \ --action=ACTION
Substitua:
RULE_NAME: o nome dessa regraREGION: a região desta solicitaçãoNETWORK_POLICY_NAME: a política de rede da solicitaçãoACTION: a ação a ser realizada, comoACCESSouDENY.
API
Para criar uma regra de acesso externo usando a API VMware Engine,
faça uma solicitação POST:
POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"
'{
"priority": 1000,
"action": "ACTION",
"ip_protocol": "tcp",
"destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
"destination_ports": ["22"],
"source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
"source_ports": ["22", "10000-11000"]
}'Substitua:
PROJECT_ID: o projeto para esta solicitaçãoREGION: a região desta solicitaçãoNETWORK_POLICY_NAME: a política de rede da solicitaçãoRULE_NAME: o nome da regraACTION: a ação a ser realizada, comoACCESSouDENY.
Listar regras de acesso externo
Para listar regras de acesso externo usando o console do Google Cloud, a CLI do Google Cloud ou a API VMware Engine, faça o seguinte:
Console
Para listar regras de acesso externo usando o console do Google Cloud, faça o seguinte:
No console do Google Cloud, acesse a página Regras de acesso externo.
A página Resumo contém uma tabela com todas as regras de acesso externo listadas. Todas as alterações de atributos são descritas nesta página de resumo.
gcloud
Para listar regras de acesso externo usando a Google Cloud CLI, use o comando gcloud vmware network-policies external-access-rules list:
gcloud vmware network-policies external-access-rules list \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Substitua:
NETWORK_POLICY_NAME: a política de rede da solicitaçãoREGION: a região desta solicitação
API
Para listar regras de acesso externo usando a API VMware Engine, faça uma solicitação GET:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"
Substitua:
PROJECT_ID: o ID deste projetoREGION: a região desta solicitaçãoNETWORK_POLICY_NAME: a política de rede da solicitação
Editar regras de acesso externo
Para editar regras de acesso externo usando o console do Google Cloud, a CLI do Google Cloud ou a API VMware Engine, faça o seguinte:
Console
Para editar uma regra de acesso externo usando o console do Google Cloud, faça o seguinte:
No console do Google Cloud, acesse a página Regras de acesso externo.
Clique no ícone Mais no final de uma linha e selecione Editar.
gcloud
Para editar uma regra de acesso externo usando a CLI do Google Cloud, use o comando gcloud vmware network-policies update:
gcloud vmware network-policies external-access-rules update RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION \ --action=ACTION \ --ip-protocol UDP \ --priority 999
Substitua:
RULE_NAME: o nome da regraNETWORK_POLICY_NAME: a política de rede da solicitaçãoREGION: a região desta solicitação
API
Para editar uma regra de acesso externo usando a API VMware Engine, faça uma solicitação PATCH:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"
'{
"action": "ACTION",
"ip_protocol": "udp",
"priority": 999
}'Substitua:
PROJECT_ID: o ID deste projetoREGION: a região desta solicitaçãoNETWORK_POLICY_NAME: a política de rede da solicitaçãoRULE_NAME: o nome da regraACTION: a ação a ser realizada, comoACCESSouDENY.
Excluir regras de acesso externo
Para excluir uma regra de acesso externo usando o console do Google Cloud, a CLI do Google Cloud ou a API VMware Engine, faça o seguinte:
Console
Para excluir uma regra de acesso externo usando o console do Google Cloud, faça o seguinte:
No console do Google Cloud, acesse a página Regras de acesso externo.
Clique no ícone Excluir no final de uma linha e selecione Excluir.
gcloud
Para excluir uma regra de acesso externo usando a CLI do Google Cloud, use o comando gcloud vmware network-policies external-access-rules delete:
gcloud vmware network-policies external-access-rules delete RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Substitua:
RULE_NAME: o nome da regraNETWORK_POLICY_NAME: a política de rede da solicitaçãoREGION: a região desta solicitação
API
Para excluir uma regra de acesso externo usando a API VMware Engine, faça uma solicitação DELETE:
DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"
Substitua:
PROJECT_ID: o ID deste projetoREGION: a região desta solicitaçãoNETWORK_POLICY_NAME: a política de rede da solicitaçãoRULE_NAME: o nome da regra
Propriedades da regra de firewall
As regras de firewall têm as seguintes propriedades:
- Nome da regra
- Um nome que identifica exclusivamente a regra de firewall e sua finalidade.
- Política de rede
- A política de rede à qual a regra de firewall será associada. A regra de firewall se aplica ao tráfego de entrada e saída de redes do VMware Engine que usam esta política de rede.
- Descrição
- Uma descrição para esta política de rede.
- Prioridade
- Um número entre 100 e 4.096, com 100 sendo a prioridade mais alta. As regras são processadas da prioridade mais alta para a mais baixa. Quando o tráfego encontra uma correspondência de regra, o processamento da regra é interrompido. As regras com prioridades mais baixas que têm os mesmos atributos que as regras com prioridades mais altas não são processadas. A prioridade não precisa ser única.
- Ação se houver correspondência
- Se a regra de firewall permite ou nega o tráfego com base em uma correspondência de regra bem-sucedida.
- Protocolo
- O protocolo de Internet coberto pela regra de firewall.
- IPs de origem
- Endereços IP de origem de tráfego para correspondência da regra de firewall. Os valores podem ser endereços IP ou blocos de roteamento entre domínios sem classe (CIDR) (10.0.0.0/24, por exemplo).
- Porta de origem
- Porta de origem de tráfego para correspondência da regra de firewall. Os valores podem ser portas individuais ou um intervalo de portas, como 443 ou 8000-8080.
- IPs de destino
- Programe endereços IP de destino para correspondência da regra de firewall. Os valores podem ser endereços IP ou todos os endereços IP externos alocados.
- Porta de destino
- Porta de destino de tráfego para correspondência da regra de firewall. Os valores podem ser portas individuais ou um intervalo de portas, como 443 ou 8000-8080. Especificar um intervalo permite criar menos regras de segurança