Règles d'accès externe

Google Cloud VMware Engine utilise des règles de pare-feu pour contrôler l'accès aux adresses IP externes. Pour tous les autres contrôles d'accès, gérez les paramètres de pare-feu dans le centre de données NSX-T. Pour en savoir plus, consultez la section Pare-feu en mode gestionnaire.

Avant de commencer

Créer une règle d'accès externe

Pour créer une règle d'accès externe à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:

Console

Pour créer une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Règles d'accès externe.

    Accéder à "Règles d'accès externe"

  2. Cliquez sur Créer.

  3. Saisissez les détails de la nouvelle règle de pare-feu. Pour en savoir plus, consultez les propriétés de la règle de pare-feu.

  4. Cliquez sur Créer pour ajouter la nouvelle règle de pare-feu à la liste des règles de pare-feu de votre projet.

gcloud

Créez une règle d'accès externe à l'aide de Google Cloud CLI en saisissant la commande gcloud vmware network-policies create:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Remplacez les éléments suivants :

  • RULE_NAME: nom de cette règle
  • REGION : région de la requête.
  • NETWORK_POLICY_NAME: stratégie réseau pour cette requête
  • ACTION: action à effectuer, par exemple ACCESS ou DENY.

API

Pour créer une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête POST:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Remplacez les éléments suivants :

  • PROJECT_ID: projet de cette requête
  • REGION : région de la requête.
  • NETWORK_POLICY_NAME: stratégie réseau pour cette requête
  • RULE_NAME: nom de cette règle
  • ACTION: action à effectuer, par exemple ACCESS ou DENY.

Répertorier les règles d'accès externe

Pour lister les règles d'accès externes à l'aide de la console Google Cloud, de la Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:

Console

Pour afficher les règles d'accès externes à l'aide de la console Google Cloud, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Règles d'accès externe.

    Accéder à "Règles d'accès externe"

  2. La page Récapitulatif contient un tableau dans lequel toutes les règles d'accès externes sont listées. Toutes les modifications apportées aux attributs sont décrites sur cette page récapitulative.

gcloud

Pour lister les règles d'accès externe à l'aide de Google Cloud CLI, exécutez la commande gcloud vmware network-policies external-access-rules list:

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Remplacez les éléments suivants :

  • NETWORK_POLICY_NAME: stratégie réseau pour cette requête
  • REGION : région de la requête.

API

Pour lister les règles d'accès externes à l'aide de l'API VMware Engine, envoyez une requête GET:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Remplacez les éléments suivants :

  • PROJECT_ID: ID de ce projet
  • REGION : région de la requête.
  • NETWORK_POLICY_NAME: stratégie réseau pour cette requête

Modifier les règles d'accès externe

Pour modifier les règles d'accès externe à l'aide de la console Google Cloud, de la Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:

Console

Pour modifier une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Règles d'accès externe.

    Accéder à "Règles d'accès externe"

  2. Cliquez sur l'icône Plus à la fin d'une ligne, puis sélectionnez Modifier.

gcloud

Pour modifier une règle d'accès externe à l'aide de Google Cloud CLI, utilisez la commande gcloud vmware network-policies update:

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Remplacez les éléments suivants :

  • RULE_NAME: nom de cette règle
  • NETWORK_POLICY_NAME: stratégie réseau pour cette requête
  • REGION : région de la requête.

API

Pour modifier une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête PATCH:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Remplacez les éléments suivants :

  • PROJECT_ID: ID de ce projet
  • REGION : région de la requête.
  • NETWORK_POLICY_NAME: stratégie réseau pour cette requête
  • RULE_NAME: nom de cette règle
  • ACTION: action à effectuer, par exemple ACCESS ou DENY.

Supprimer des règles d'accès externe

Pour supprimer une règle d'accès externe à l'aide de la console Google Cloud, de la Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:

Console

Pour supprimer une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Règles d'accès externe.

    Accéder à "Règles d'accès externe"

  2. Cliquez sur l'icône Supprimer à la fin d'une ligne, puis sélectionnez Supprimer.

gcloud

Pour supprimer une règle d'accès externe à l'aide de Google Cloud CLI, utilisez la commande gcloud vmware network-policies external-access-rules delete:

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Remplacez les éléments suivants :

  • RULE_NAME: nom de cette règle
  • NETWORK_POLICY_NAME: stratégie réseau pour cette requête
  • REGION : région de la requête.

API

Pour supprimer une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête DELETE:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Remplacez les éléments suivants :

  • PROJECT_ID: ID de ce projet
  • REGION : région de la requête.
  • NETWORK_POLICY_NAME: stratégie réseau pour cette requête
  • RULE_NAME: nom de cette règle

Propriétés d'une règle de pare-feu

Les règles de pare-feu présentent les propriétés suivantes:

Nom de la règle
Nom identifiant de manière unique la règle de pare-feu et son objectif.
Règle de réseau
Stratégie réseau à laquelle associer la règle de pare-feu. La règle de pare-feu s'applique au trafic acheminé vers ou depuis les réseaux VMware Engine qui utilisent cette règle de réseau.
Description
Description de cette règle de réseau.
Priorité
Nombre compris entre 100 et 4 096, 100 représentant la priorité la plus élevée. Les règles sont traitées de la priorité la plus élevée à la plus faible. En cas de correspondance du trafic avec une règle, le traitement des règles s'arrête. Les règles de priorités inférieures ayant les mêmes attributs que les règles de priorités supérieures ne sont pas traitées. La priorité n'a pas besoin d'être unique.
Action en cas de correspondance
Indique si la règle de pare-feu autorise ou refuse le trafic en fonction d'une correspondance de règle réussie.
Protocole
Protocole Internet couvert par la règle de pare-feu.
Adresses IP sources
Adresses IP sources du trafic auxquelles la règle de pare-feu doit correspondre. Les valeurs peuvent être des adresses IP ou des blocs CIDR (Classless Inter-Domain Routing) (10.0.0.0/24, par exemple).
Port source
Port source du trafic auquel la règle de pare-feu doit correspondre. Les valeurs peuvent être des ports individuels ou une plage de ports, par exemple 443 ou 8000-8080.
Adresses IP de destination
Adresses IP de destination du trafic auxquelles la règle de pare-feu doit correspondre. Les valeurs peuvent être des adresses IP ou toutes les adresses IP externes qui ont été attribuées.
Port de destination
Port de destination du trafic auquel la règle de pare-feu doit correspondre. Les valeurs peuvent être des ports individuels ou une plage de ports, par exemple, 443 ou 8000-8080. Spécifier une plage vous permet de créer moins de règles de sécurité.

Étape suivante