Reglas de acceso externo
Google Cloud VMware Engine usa reglas de firewall para controlar el acceso a las direcciones IP externas. Para todos los demás controles de acceso, administra la configuración del firewall en el centro de datos de NSX-T. Para obtener más detalles, consulta Firewall en modo de administrador.
Antes de comenzar
- En la política de red que se aplica a tu nube privada, habilita el servicio de acceso a Internet y el servicio de dirección IP externa.
- Asigna una IP externa.
Crea una regla de acceso externa
Para crear una regla de acceso externo con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:
Console
Para crear una regla de acceso externo con la consola de Google Cloud, haz lo siguiente:
En la consola de Google Cloud, ve a la página Reglas de acceso externo.
Haz clic en Crear.
Ingresa los detalles de la nueva regla de firewall. Revisa las propiedades de la regla de firewall para obtener más información.
Haz clic en Crear para agregar la nueva regla de firewall a la lista de reglas de firewall de tu proyecto.
gcloud
Para crear una regla de acceso externo con Google Cloud CLI, ingresa el
comando gcloud vmware network-policies create
:
gcloud vmware network-policies external-access-rules create RULE_NAME \ --location=REGION \ --network-policy=NETWORK_POLICY_NAME \ --priority=1000 \ --ip-protocol=TCP \ --destination-ranges=0.0.0.0/0 \ --source-ports=22,10000-11000 \ --destination-ports=22 \ --action=ACTION
Reemplaza lo siguiente:
RULE_NAME
: Es el nombre de esta regla.REGION
: la región para esta solicitud.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.ACTION
: La acción que se realizará, comoACCESS
oDENY
.
API
Para crear una regla de acceso externa con la API de VMware Engine, realiza una solicitud POST
:
POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME" '{ "priority": 1000, "action": "ACTION", "ip_protocol": "tcp", "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}], "destination_ports": ["22"], "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}], "source_ports": ["22", "10000-11000"] }'
Reemplaza lo siguiente:
PROJECT_ID
: Es el proyecto de esta solicitud.REGION
: la región para esta solicitud.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.RULE_NAME
: Es el nombre de esta regla.ACTION
: La acción que se realizará, comoACCESS
oDENY
.
Cómo enumerar las reglas de acceso externo
Para mostrar una lista de las reglas de acceso externo con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:
Console
Para mostrar una lista de las reglas de acceso externo con la consola de Google Cloud, haz lo siguiente:
En la consola de Google Cloud, ve a la página Reglas de acceso externo.
La página Resumen contiene una tabla con todas las reglas de acceso externo. En esta página de resumen, se describen los cambios en los atributos.
gcloud
Para mostrar una lista de las reglas de acceso externo con Google Cloud CLI, usa el comando gcloud vmware network-policies external-access-rules list
:
gcloud vmware network-policies external-access-rules list \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Reemplaza lo siguiente:
NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.REGION
: Es la región para esta solicitud.
API
Para obtener una lista de las reglas de acceso externo con la API de VMware Engine, realiza una solicitud GET
:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"
Reemplaza lo siguiente:
PROJECT_ID
: El ID de este proyectoREGION
: la región para esta solicitud.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.
Edita las reglas de acceso externo
Para editar reglas de acceso externo con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:
Console
Para editar una regla de acceso externo con la consola de Google Cloud, haz lo siguiente:
En la consola de Google Cloud, ve a la página Reglas de acceso externo.
Haz clic en el ícono Más
al final de una fila y selecciona Editar.
gcloud
Para editar una regla de acceso externo con Google Cloud CLI, usa el comando gcloud vmware network-policies update
:
gcloud vmware network-policies external-access-rules update RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION \ --action=ACTION \ --ip-protocol UDP \ --priority 999
Reemplaza lo siguiente:
RULE_NAME
: Es el nombre de esta regla.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.REGION
: la región para esta solicitud.
API
Para editar una regla de acceso externo con la API de VMware Engine, realiza una solicitud PATCH
:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority" '{ "action": "ACTION", "ip_protocol": "udp", "priority": 999 }'
Reemplaza lo siguiente:
PROJECT_ID
: El ID de este proyectoREGION
: la región para esta solicitud.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.RULE_NAME
: Es el nombre de esta regla.ACTION
: La acción que se realizará, comoACCESS
oDENY
.
Borra reglas de acceso externo
Para borrar una regla de acceso externo con la consola de Google Cloud, Google Cloud CLI o la API de VMware Engine, haz lo siguiente:
Console
Para borrar una regla de acceso externo con la consola de Google Cloud, haz lo siguiente:
En la consola de Google Cloud, ve a la página Reglas de acceso externo.
Haz clic en el ícono Borrar
al final de una fila y selecciona Borrar.
gcloud
Para borrar una regla de acceso externo con Google Cloud CLI, usa el comando gcloud vmware network-policies external-access-rules delete
:
gcloud vmware network-policies external-access-rules delete RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Reemplaza lo siguiente:
RULE_NAME
: Es el nombre de esta regla.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.REGION
: la región para esta solicitud.
API
Para borrar una regla de acceso externo con la API de VMware Engine, realiza una solicitud DELETE
:
DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"
Reemplaza lo siguiente:
PROJECT_ID
: El ID de este proyectoREGION
: la región para esta solicitud.NETWORK_POLICY_NAME
: Es la política de red para esta solicitud.RULE_NAME
: Es el nombre de esta regla.
Propiedades de las reglas de firewall
Las reglas de firewall tienen las siguientes propiedades:
- Nombre de la regla
- Un nombre que identifique de forma única la regla de firewall y su propósito.
- Política de red
- La política de red con la que se asociará la regla de firewall. La regla de firewall se aplica al tráfico hacia o desde las redes de VMware Engine que usan esta política de red.
- Descripción
- Una descripción de esta política de red.
- Prioridad
- Un número entre 100 y 4,096, con 100 como la prioridad más alta. Las reglas se procesan de mayor a menor prioridad. Cuando el tráfico se encuentra con una coincidencia de regla, el procesamiento de reglas se detiene. No se procesan las reglas con prioridades más bajas que tengan los mismos atributos que las reglas con prioridades más altas. No es necesario que la prioridad sea única.
- Acción en caso de coincidencia
- Determina si la regla de firewall permite o rechaza el tráfico según una coincidencia correcta de la regla.
- Protocolo
- Es el protocolo de Internet que cubre la regla de firewall.
- IP de origen
- Direcciones IP de la fuente de tráfico con las que debe coincidir la regla de firewall. Los valores pueden ser direcciones IP o bloques de enrutamiento entre dominios sin clases (CIDR) (10.0.0.0/24, por ejemplo).
- Puerto de origen
- Puerto de la fuente de tráfico con el que debe coincidir la regla de firewall. Los valores pueden ser puertos individuales o un rango de puertos, como 443 o 8000-8080.
- IP de destino
- Direcciones IP de destino de tráfico con las que debe coincidir la regla de firewall. Los valores pueden ser direcciones IP o todas las direcciones IP externas que se asignaron.
- Puerto de destino
- Puerto de destino de tráfico con el que debe coincidir la regla de firewall. Los valores pueden ser puertos individuales o un rango de puertos, como 443 o 8000-8080. Especificar un rango te permite crear menos reglas de seguridad.