外部存取規則

Google Cloud VMware Engine 會使用防火牆規則控管外部 IP 位址的存取權。如要管理所有其他存取權控管,請在 NSX-T Data Center 中管理防火牆設定。詳情請參閱「管理員模式中的防火牆規則」。

事前準備

  • 在適用於私有雲的網路政策中,啟用網際網路存取服務和外部 IP 位址服務。
  • 分配外部 IP

建立外部存取規則

如要使用控制台、Google Cloud CLI 或 VMware Engine API 建立外部存取規則,請執行下列操作: Google Cloud

主控台

如要使用 Google Cloud 主控台建立外部存取規則,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「外部存取規則」頁面。

前往「外部存取規則」

  1. 按一下 [建立]。
  2. 輸入新防火牆規則的詳細資料。如需更多資訊,請參閱防火牆規則的屬性
  3. 按一下「Create」,將新的防火牆規則加入專案中的防火牆規則清單。

gcloud

使用 Google Cloud CLI 建立外部存取規則,方法是輸入 gcloud vmware network-policies create 指令

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

更改下列內容:

  • RULE_NAME:這個規則的名稱
  • REGION:這項要求的地區
  • NETWORK_POLICY_NAME:此要求的網路政策
  • ACTION:要採取的動作,例如 ACCESSDENY

API

如要使用 VMware Engine API 建立外部存取規則,請提出 POST 要求:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

更改下列內容:

  • PROJECT_ID:這項要求的專案
  • REGION:這項要求的地區
  • NETWORK_POLICY_NAME:此要求的網路政策
  • RULE_NAME:這個規則的名稱
  • ACTION:要採取的動作,例如 ACCESSDENY

列出外部存取規則

如要使用 Google Cloud 控制台、Google Cloud CLI 或 VMware Engine API 列出外部存取規則,請按照下列步驟操作:

主控台

如要使用 Google Cloud 主控台列出外部存取規則,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「外部存取規則」頁面。

前往「外部存取規則」

  1. 「摘要」頁面會顯示表格,列出所有外部存取規則。這個摘要頁面會說明屬性有任何變更。

gcloud

如要使用 Google Cloud CLI 列出外部存取規則,請使用 gcloud vmware network-policies external-access-rules list 指令

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

更改下列內容:

  • NETWORK_POLICY_NAME:此要求的網路政策
  • REGION:這項要求的地區。

API

如要使用 VMware Engine API 列出外部存取規則,請提出 GET 要求:

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

更改下列內容:

  • PROJECT_ID:這個專案的 ID
  • REGION:這項要求的地區
  • NETWORK_POLICY_NAME:此要求的網路政策

編輯外部存取規則

如要使用 Google Cloud 控制台、Google Cloud CLI 或 VMware Engine API 編輯外部存取規則,請按照下列步驟操作:

主控台

如要使用 Google Cloud 控制台編輯外部存取規則,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「外部存取規則」頁面。

前往「外部存取規則」

  1. 按一下資料列末端的「更多」圖示 ,然後選取「編輯」

gcloud

如要使用 Google Cloud CLI 編輯外部存取規則,請使用 gcloud vmware network-policies update 指令

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

更改下列內容:

  • RULE_NAME:這個規則的名稱
  • NETWORK_POLICY_NAME:此要求的網路政策
  • REGION:這項要求的地區

API

如要使用 VMware Engine API 編輯外部存取規則,請提出 PATCH 要求:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

更改下列內容:

  • PROJECT_ID:這個專案的 ID
  • REGION:這項要求的地區
  • NETWORK_POLICY_NAME:此要求的網路政策
  • RULE_NAME:這個規則的名稱
  • ACTION:要採取的動作,例如 ACCESSDENY

刪除外部存取規則

如要使用 Google Cloud 控制台、Google Cloud CLI 或 VMware Engine API 刪除外部存取規則,請按照下列步驟操作:

主控台

如要使用 Google Cloud 控制台刪除外部存取規則,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「外部存取規則」頁面。

前往「外部存取規則」

  1. 按一下「刪除」

    圖示,然後選取「刪除」

gcloud

如要使用 Google Cloud CLI 刪除外部存取規則,請使用 gcloud vmware network-policies external-access-rules delete 指令

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

更改下列內容:

  • RULE_NAME:這個規則的名稱
  • NETWORK_POLICY_NAME:此要求的網路政策
  • REGION:這項要求的地區

API

如要使用 VMware Engine API 刪除外部存取規則,請提出 DELETE 要求:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

更改下列內容:

  • PROJECT_ID:這個專案的 ID
  • REGION:這項要求的地區
  • NETWORK_POLICY_NAME:此要求的網路政策
  • RULE_NAME:這個規則的名稱

防火牆規則的屬性

防火牆規則具有下列屬性:

規則名稱
用於唯一識別防火牆規則及其用途的名稱。
網路政策
要與防火牆規則建立關聯的網路政策。防火牆規則會套用至使用這項網路政策的 VMware Engine 網路的往來流量。
說明
這項網路政策的說明。
優先順序
介於 100 到 4096 之間的數字,其中 100 為最高優先順序。系統會依優先順序從最高到最低處理規則。當流量遇到相符的規則時,規則處理作業就會停止。優先順序較低的規則與優先順序較高的規則具有相同的屬性,因此不會進行處理。優先順序不必是唯一值。
相符時執行的動作
防火牆規則是否會根據成功比對的規則允許或拒絕流量。
通訊協定
防火牆規則涵蓋的網路通訊協定。
來源 IP
防火牆規則要比對的流量來源 IP 位址。值可以是 IP 位址或無類別跨網域路由 (CIDR) 區塊 (例如 10.0.0.0/24)。
來源通訊埠
防火牆規則要比對的流量來源通訊埠。值可以是個別通訊埠或通訊埠範圍,例如 443 或 8000-8080。
目的地 IP
防火牆規則要比對的流量目的地 IP 位址。值可以是 IP 位址,或是已分配的所有外部 IP 位址。
目的地通訊埠
防火牆規則要比對的流量目的地通訊埠。值可以是個別通訊埠或通訊埠範圍,例如 443 或 8000-8080。如果您指定的是範圍,則必須建立的安全性規則會較少。

後續步驟