Règles d'accès externe
Google Cloud VMware Engine utilise des règles de pare-feu pour contrôler l'accès aux adresses IP externes. Pour tous les autres contrôles d'accès, gérez les paramètres de pare-feu dans le centre de données NSX-T. Pour en savoir plus, consultez la section Pare-feu en mode gestionnaire.
Avant de commencer
- Dans la règle de réseau qui s'applique à votre cloud privé, activez le service d'accès Internet et le service d'adresse IP externe.
- Allouez une adresse IP externe.
Créer une règle d'accès externe
Pour créer une règle d'accès externe à l'aide de la console Google Cloud, de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:
Console
Pour créer une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit:
Dans la console Google Cloud, accédez à la page Règles d'accès externe.
Cliquez sur Créer.
Saisissez les détails de la nouvelle règle de pare-feu. Pour en savoir plus, consultez les propriétés de la règle de pare-feu.
Cliquez sur Créer pour ajouter la nouvelle règle de pare-feu à la liste des règles de pare-feu de votre projet.
gcloud
Créez une règle d'accès externe à l'aide de Google Cloud CLI en saisissant la commande gcloud vmware network-policies create
:
gcloud vmware network-policies external-access-rules create RULE_NAME \ --location=REGION \ --network-policy=NETWORK_POLICY_NAME \ --priority=1000 \ --ip-protocol=TCP \ --destination-ranges=0.0.0.0/0 \ --source-ports=22,10000-11000 \ --destination-ports=22 \ --action=ACTION
Remplacez les éléments suivants :
RULE_NAME
: nom de cette règleREGION
: région de la requête.NETWORK_POLICY_NAME
: stratégie réseau pour cette requêteACTION
: action à effectuer, par exempleACCESS
ouDENY
.
API
Pour créer une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête POST
:
POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME" '{ "priority": 1000, "action": "ACTION", "ip_protocol": "tcp", "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}], "destination_ports": ["22"], "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}], "source_ports": ["22", "10000-11000"] }'
Remplacez les éléments suivants :
PROJECT_ID
: projet de cette requêteREGION
: région de la requête.NETWORK_POLICY_NAME
: stratégie réseau pour cette requêteRULE_NAME
: nom de cette règleACTION
: action à effectuer, par exempleACCESS
ouDENY
.
Répertorier les règles d'accès externe
Pour lister les règles d'accès externes à l'aide de la console Google Cloud, de la Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:
Console
Pour afficher les règles d'accès externes à l'aide de la console Google Cloud, procédez comme suit:
Dans la console Google Cloud, accédez à la page Règles d'accès externe.
La page Récapitulatif contient un tableau dans lequel toutes les règles d'accès externes sont listées. Toutes les modifications apportées aux attributs sont décrites sur cette page récapitulative.
gcloud
Pour lister les règles d'accès externe à l'aide de Google Cloud CLI, exécutez la commande gcloud vmware network-policies external-access-rules list
:
gcloud vmware network-policies external-access-rules list \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Remplacez les éléments suivants :
NETWORK_POLICY_NAME
: stratégie réseau pour cette requêteREGION
: région de la requête.
API
Pour lister les règles d'accès externes à l'aide de l'API VMware Engine, envoyez une requête GET
:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID>/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"
Remplacez les éléments suivants :
PROJECT_ID
: ID de ce projetREGION
: région de la requête.NETWORK_POLICY_NAME
: stratégie réseau pour cette requête
Modifier les règles d'accès externe
Pour modifier les règles d'accès externe à l'aide de la console Google Cloud, de la Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:
Console
Pour modifier une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit:
Dans la console Google Cloud, accédez à la page Règles d'accès externe.
Cliquez sur l'icône Plus
à la fin d'une ligne, puis sélectionnez Modifier.
gcloud
Pour modifier une règle d'accès externe à l'aide de Google Cloud CLI, utilisez la commande gcloud vmware network-policies update
:
gcloud vmware network-policies external-access-rules update RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION \ --action=ACTION \ --ip-protocol UDP \ --priority 999
Remplacez les éléments suivants :
RULE_NAME
: nom de cette règleNETWORK_POLICY_NAME
: stratégie réseau pour cette requêteREGION
: région de la requête.
API
Pour modifier une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête PATCH
:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority" '{ "action": "ACTION", "ip_protocol": "udp", "priority": 999 }'
Remplacez les éléments suivants :
PROJECT_ID
: ID de ce projetREGION
: région de la requête.NETWORK_POLICY_NAME
: stratégie réseau pour cette requêteRULE_NAME
: nom de cette règleACTION
: action à effectuer, par exempleACCESS
ouDENY
.
Supprimer des règles d'accès externe
Pour supprimer une règle d'accès externe à l'aide de la console Google Cloud, de la Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:
Console
Pour supprimer une règle d'accès externe à l'aide de la console Google Cloud, procédez comme suit:
Dans la console Google Cloud, accédez à la page Règles d'accès externe.
Cliquez sur l'icône Supprimer
à la fin d'une ligne, puis sélectionnez Supprimer.
gcloud
Pour supprimer une règle d'accès externe à l'aide de Google Cloud CLI, utilisez la commande gcloud vmware network-policies external-access-rules delete
:
gcloud vmware network-policies external-access-rules delete RULE_NAME \ --network-policy=NETWORK_POLICY_NAME \ --location=REGION
Remplacez les éléments suivants :
RULE_NAME
: nom de cette règleNETWORK_POLICY_NAME
: stratégie réseau pour cette requêteREGION
: région de la requête.
API
Pour supprimer une règle d'accès externe à l'aide de l'API VMware Engine, envoyez une requête DELETE
:
DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"
Remplacez les éléments suivants :
PROJECT_ID
: ID de ce projetREGION
: région de la requête.NETWORK_POLICY_NAME
: stratégie réseau pour cette requêteRULE_NAME
: nom de cette règle
Propriétés d'une règle de pare-feu
Les règles de pare-feu présentent les propriétés suivantes:
- Nom de la règle
- Nom identifiant de manière unique la règle de pare-feu et son objectif.
- Règle de réseau
- Stratégie réseau à laquelle associer la règle de pare-feu. La règle de pare-feu s'applique au trafic acheminé vers ou depuis les réseaux VMware Engine qui utilisent cette règle de réseau.
- Description
- Description de cette règle de réseau.
- Priorité
- Nombre compris entre 100 et 4 096, 100 représentant la priorité la plus élevée. Les règles sont traitées de la priorité la plus élevée à la plus faible. En cas de correspondance du trafic avec une règle, le traitement des règles s'arrête. Les règles de priorités inférieures ayant les mêmes attributs que les règles de priorités supérieures ne sont pas traitées. La priorité n'a pas besoin d'être unique.
- Action en cas de correspondance
- Indique si la règle de pare-feu autorise ou refuse le trafic en fonction d'une correspondance de règle réussie.
- Protocole
- Protocole Internet couvert par la règle de pare-feu.
- Adresses IP sources
- Adresses IP sources du trafic auxquelles la règle de pare-feu doit correspondre. Les valeurs peuvent être des adresses IP ou des blocs CIDR (Classless Inter-Domain Routing) (10.0.0.0/24, par exemple).
- Port source
- Port source du trafic auquel la règle de pare-feu doit correspondre. Les valeurs peuvent être des ports individuels ou une plage de ports, par exemple 443 ou 8000-8080.
- Adresses IP de destination
- Adresses IP de destination du trafic auxquelles la règle de pare-feu doit correspondre. Les valeurs peuvent être des adresses IP ou toutes les adresses IP externes qui ont été attribuées.
- Port de destination
- Port de destination du trafic auquel la règle de pare-feu doit correspondre. Les valeurs peuvent être des ports individuels ou une plage de ports, par exemple, 443 ou 8000-8080. Spécifier une plage vous permet de créer moins de règles de sécurité.