Regole di accesso esterno

Google Cloud VMware Engine utilizza le regole firewall per controllare l'accesso agli indirizzi IP esterni. Per tutti gli altri controlli di accesso, gestisci le impostazioni del firewall in NSX-T Data Center. Per maggiori dettagli, consulta Firewall in modalità di gestione.

Prima di iniziare

  • Nel criterio di rete che si applica al tuo cloud privato, abilita il servizio di accesso a internet e il servizio di indirizzo IP esterno.
  • Alloca un IP esterno.

Crea una regola di accesso esterno

Per creare una regola di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine, segui questi passaggi:

Console

Per creare una regola di accesso esterno utilizzando la console Google Cloud:

  1. Nella console Google Cloud, vai alla pagina Regole di accesso esterno.

    Vai a Regole di accesso esterno

  2. Fai clic su Crea.

  3. Inserisci i dettagli della nuova regola firewall. Per ulteriori informazioni, consulta le proprietà della regola firewall.

  4. Fai clic su Crea per aggiungere la nuova regola firewall all'elenco delle regole di firewall nel progetto.

gcloud

Crea una regola di accesso esterno utilizzando Google Cloud CLI inserendo il comando gcloud vmware network-policies create:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Sostituisci quanto segue:

  • RULE_NAME: il nome di questa regola
  • REGION: la regione per questa richiesta
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • ACTION: l'azione da intraprendere, ad esempio ACCESS o DENY.

API

Per creare una regola di accesso esterno utilizzando l'API VMware Engine, invia una richiesta POST:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per questa richiesta
  • REGION: la regione per questa richiesta
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • RULE_NAME: il nome di questa regola
  • ACTION: l'azione da intraprendere, ad esempio ACCESS o DENY.

Elenca le regole di accesso esterno

Per elencare le regole di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine, segui questi passaggi:

Console

Per elencare le regole di accesso esterno utilizzando la console Google Cloud:

  1. Nella console Google Cloud, vai alla pagina Regole di accesso esterno.

    Vai a Regole di accesso esterno

  2. La pagina Riepilogo contiene una tabella con tutte le regole di accesso esterno elencate. Eventuali modifiche agli attributi sono descritte in questa pagina di riepilogo.

gcloud

Per elencare le regole di accesso esterno utilizzando Google Cloud CLI, utilizza il comando gcloud vmware network-policies external-access-rules list:

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Sostituisci quanto segue:

  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • REGION: la regione per questa richiesta.

API

Per elencare le regole di accesso esterno utilizzando l'API VMware Engine, effettua una richiesta GET:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID di questo progetto
  • REGION: la regione per questa richiesta
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta

Modificare le regole di accesso esterno

Per modificare le regole di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine, segui questi passaggi:

Console

Per modificare una regola di accesso esterno utilizzando la console Google Cloud:

  1. Nella console Google Cloud, vai alla pagina Regole di accesso esterno.

    Vai a Regole di accesso esterno

  2. Fai clic sull'icona Altro alla fine di una riga e seleziona Modifica.

gcloud

Per modificare una regola di accesso esterno utilizzando Google Cloud CLI, utilizza il comando gcloud vmware network-policies update:

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Sostituisci quanto segue:

  • RULE_NAME: il nome di questa regola
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • REGION: la regione per questa richiesta

API

Per modificare una regola di accesso esterno utilizzando l'API VMware Engine, effettua una richiesta PATCH:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Sostituisci quanto segue:

  • PROJECT_ID: l'ID di questo progetto
  • REGION: la regione per questa richiesta
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • RULE_NAME: il nome di questa regola
  • ACTION: l'azione da intraprendere, ad esempio ACCESS o DENY.

Eliminare le regole di accesso esterno

Per eliminare una regola di accesso esterno utilizzando la console Google Cloud, Google Cloud CLI o l'API VMware Engine, segui questi passaggi:

Console

Per eliminare una regola di accesso esterno utilizzando la console Google Cloud, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Regole di accesso esterno.

    Vai a Regole di accesso esterno

  2. Fai clic sull'icona Elimina alla fine di una riga e seleziona Elimina.

gcloud

Per eliminare una regola di accesso esterno utilizzando Google Cloud CLI, utilizza il comando gcloud vmware network-policies external-access-rules delete:

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Sostituisci quanto segue:

  • RULE_NAME: il nome di questa regola
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • REGION: la regione per questa richiesta

API

Per eliminare una regola di accesso esterno utilizzando l'API VMware Engine, effettua una richiesta DELETE:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID di questo progetto
  • REGION: la regione per questa richiesta
  • NETWORK_POLICY_NAME: il criterio di rete per questa richiesta
  • RULE_NAME: il nome di questa regola

Proprietà delle regole firewall

Le regole firewall hanno le seguenti proprietà:

Nome regola
Un nome che identifica in modo univoco la regola firewall e la relativa finalità.
Criterio di rete
Il criterio di rete a cui associare la regola firewall. La regola firewall si applica al traffico da o verso le reti VMware Engine che utilizzano questo criterio di rete.
Descrizione
Una descrizione di questo criterio di rete.
Priorità
Un numero compreso tra 100 e 4096, dove 100 è la priorità più alta. Le regole vengono elaborate dalla priorità più alta a quella più bassa. Quando il traffico trova una corrispondenza con una regola, l'elaborazione delle regole viene interrotta. Le regole con priorità inferiori che hanno gli stessi attributi delle regole con priorità più elevate non vengono elaborate. La priorità non deve essere univoca.
Azione in caso di corrispondenza
Indica se la regola firewall consente o nega il traffico in base a una corrispondenza della regola riuscita.
Protocollo
Il protocollo internet coperto dalla regola firewall.
IP di origine
Indirizzi IP delle sorgenti di traffico a cui abbinare la regola firewall. I valori possono essere indirizzi IP o blocchi CIDR (Classless Inter-Domain Routing; ad esempio 10.0.0.0/24).
Porta di origine
Porta della sorgente di traffico a cui abbinare la regola firewall. I valori possono essere singole porte o un intervallo di porte, ad esempio 443 o 8000-8080.
IP di destinazione
Indirizzi IP di destinazione del traffico a cui abbinare la regola firewall. I valori possono essere indirizzi IP o tutti gli indirizzi IP esterni che sono stati allocati.
Porta di destinazione
Porta di destinazione del traffico a cui abbinare la regola firewall. I valori possono essere singole porte o un intervallo di porte, ad esempio 443 o 8000-8080. Se specifichi un intervallo, puoi creare meno regole di sicurezza.

Passaggi successivi