外部存取規則

Google Cloud VMware Engine 會使用防火牆規則控管外部 IP 位址的存取權。如要使用其他存取權控管功能,請在 NSX Data Center 中管理防火牆設定。詳情請參閱「管理員模式下的防火牆規則」。

事前準備

  • 在適用於私有雲的網路政策中,啟用網際網路存取服務和外部 IP 位址服務。
  • 分配外部 IP

建立外部存取規則

如要使用 Google Cloud 控制台、Google Cloud CLI 或 VMware Engine API 建立外部存取規則,請按照下列步驟操作:

主控台

如要使用 Google Cloud 控制台建立外部存取規則,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「外部存取規則」頁面。

前往外部存取規則

  1. 點選「建立」
  2. 輸入新防火牆規則的詳細資料;如需更多資訊,請參閱防火牆規則的屬性
  3. 按一下「建立」,將新的防火牆規則新增至專案的防火牆規則清單。

gcloud

使用 Google Cloud CLI 輸入 gcloud vmware network-policies create 指令,建立外部存取規則:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

更改下列內容:

  • RULE_NAME:這項規則的名稱
  • REGION:這項要求中的地區
  • NETWORK_POLICY_NAME:這項要求的網路政策
  • ACTION:要採取的動作,例如 ACCESSDENY

API

如要使用 VMware Engine API 建立外部存取規則,請發出 POST 要求:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

更改下列內容:

  • PROJECT_ID:這項要求所屬的專案
  • REGION:這項要求中的地區
  • NETWORK_POLICY_NAME:這項要求的網路政策
  • RULE_NAME:這項規則的名稱
  • ACTION:要採取的動作,例如 ACCESSDENY

列出外部存取規則

如要使用 Google Cloud 控制台、Google Cloud CLI 或 VMware Engine API 列出外部存取規則,請按照下列步驟操作:

主控台

如要使用 Google Cloud 控制台列出外部存取規則,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「外部存取規則」頁面。

前往外部存取規則

  1. 「摘要」頁面會顯示表格,列出所有外部存取規則。如要瞭解屬性的變更,請參閱這個摘要頁面。

gcloud

如要使用 Google Cloud CLI 列出外部存取規則,請使用 gcloud vmware network-policies external-access-rules list 指令

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

更改下列內容:

  • NETWORK_POLICY_NAME:這項要求的網路政策
  • REGION:這項要求中的地區。

API

如要使用 VMware Engine API 列出外部存取規則,請提出 GET 要求:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

更改下列內容:

  • PROJECT_ID:這個專案的 ID
  • REGION:這項要求中的地區
  • NETWORK_POLICY_NAME:這項要求的網路政策

編輯外部存取規則

如要使用 Google Cloud 控制台、Google Cloud CLI 或 VMware Engine API 編輯外部存取規則,請按照下列步驟操作:

主控台

如要使用 Google Cloud 控制台編輯外部存取規則,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「外部存取規則」頁面。

前往外部存取規則

  1. 按一下資料列尾端的「更多」 圖示,然後選取「編輯」

gcloud

如要使用 Google Cloud CLI 編輯外部存取規則,請使用 gcloud vmware network-policies update 指令

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

更改下列內容:

  • RULE_NAME:這項規則的名稱
  • NETWORK_POLICY_NAME:這項要求的網路政策
  • REGION:這項要求中的地區

API

如要使用 VMware Engine API 編輯外部存取規則,請發出 PATCH 要求:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

更改下列內容:

  • PROJECT_ID:這個專案的 ID
  • REGION:這項要求中的地區
  • NETWORK_POLICY_NAME:這項要求的網路政策
  • RULE_NAME:這項規則的名稱
  • ACTION:要採取的動作,例如 ACCESSDENY

刪除外部存取規則

如要使用 Google Cloud 控制台、Google Cloud CLI 或 VMware Engine API 刪除外部存取規則,請按照下列步驟操作:

主控台

如要使用 Google Cloud 控制台刪除外部存取規則,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「外部存取規則」頁面。

前往外部存取規則

  1. 按一下「刪除」

    圖示,然後選取「刪除」

gcloud

如要使用 Google Cloud CLI 刪除外部存取規則,請使用 gcloud vmware network-policies external-access-rules delete 指令

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

更改下列內容:

  • RULE_NAME:這項規則的名稱
  • NETWORK_POLICY_NAME:這項要求的網路政策
  • REGION:這項要求中的地區

API

如要使用 VMware Engine API 刪除外部存取規則,請發出 DELETE 要求:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

更改下列內容:

  • PROJECT_ID:這個專案的 ID
  • REGION:這項要求中的地區
  • NETWORK_POLICY_NAME:這項要求的網路政策
  • RULE_NAME:這項規則的名稱

防火牆規則屬性

防火牆規則具有下列屬性:

規則名稱
可明確識別防火牆規則及其用途的名稱。
網路政策
要將防火牆規則與其建立關聯的網路政策。防火牆規則會套用至使用這項網路政策的 VMware Engine 網路的往來流量。
說明
這項網路政策的說明。
優先順序
介於 100 至 4096 之間的數字,其中 100 為最高優先順序。 系統會依優先順序由高到低處理規則。當流量符合規則時,系統會停止處理規則。如果優先順序較低的規則與優先順序較高的規則具有相同屬性,系統就不會處理。優先順序不必是唯一值。
相符時執行的動作
防火牆規則是否允許或拒絕流量,取決於規則是否相符。
通訊協定
防火牆規則涵蓋的網際網路通訊協定。
來源 IP
防火牆規則要比對的流量來源 IP 位址。值可以是 IP 位址或無類別跨網域路由 (CIDR) 區塊 (例如 10.0.0.0/24)。
來源通訊埠
防火牆規則要比對的流量來源通訊埠。值可以是個別通訊埠或通訊埠範圍,例如 443 或 8000-8080。
目的地 IP
防火牆規則要比對的流量目的地 IP 位址。值可以是 IP 位址,也可以是已分配的所有外部 IP 位址。
目的地通訊埠
防火牆規則要比對的流量目的地通訊埠。值可以是個別通訊埠或通訊埠範圍,例如 443 或 8000-8080。如果您指定的是範圍,必須建立的安全性規則會較少。

後續步驟