Regras de acesso externo

O Google Cloud VMware Engine usa regras de firewall para controlar o acesso a endereços IP externos. Para todos os outros controlos de acesso, faça a gestão das definições da firewall no NSX Data Center. Para ver detalhes, consulte o artigo Regra de firewall no modo de gestor.

Antes de começar

  • Na política de rede que se aplica à sua nuvem privada, ative o serviço de acesso à Internet e o serviço de endereço IP externo.
  • Atribua um IP externo.

Crie uma regra de acesso externo

Para criar uma regra de acesso externo através da Google Cloud consola, da Google Cloud CLI ou da API VMware Engine, faça o seguinte:

Consola

Para criar uma regra de acesso externo através da Google Cloud consola, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Regras de acesso externo.

Aceda às regras de acesso externo

  1. Clique em Criar.
  2. Introduza os detalhes da nova regra de firewall; reveja as propriedades da regra de firewall para mais informações.
  3. Clique em Criar para adicionar a nova regra de firewall à lista de regras de firewall no seu projeto.

gcloud

Crie uma regra de acesso externo através da CLI do Google Cloud introduzindo o comando gcloud vmware network-policies create:

gcloud vmware network-policies external-access-rules create RULE_NAME \
--location=REGION \
--network-policy=NETWORK_POLICY_NAME \
--priority=1000 \
--ip-protocol=TCP \
--destination-ranges=0.0.0.0/0 \
--source-ports=22,10000-11000 \
--destination-ports=22 \
--action=ACTION

Substitua o seguinte:

  • RULE_NAME: o nome desta regra
  • REGION: a região para este pedido
  • NETWORK_POLICY_NAME: a política de rede para este pedido
  • ACTION: a ação a realizar, como ACCESS ou DENY.

API

Para criar uma regra de acesso externo através da API VMware Engine, faça um pedido POST:

POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME-network-policy/externalAccessRules?external_access_rule_id=RULE_NAME"

'{
  "priority": 1000,
  "action": "ACTION",
  "ip_protocol":  "tcp",
  "destination_ip_ranges": [{"ip_address_range": "0.0.0.0/0"}],
  "destination_ports": ["22"],
  "source_ip_ranges": [{"ip_address_range": "34.148.30.114/32"}],
  "source_ports": ["22", "10000-11000"]
}'

Substitua o seguinte:

  • PROJECT_ID: o projeto para este pedido
  • REGION: a região para este pedido
  • NETWORK_POLICY_NAME: a política de rede para este pedido
  • RULE_NAME: o nome desta regra
  • ACTION: a ação a realizar, como ACCESS ou DENY.

Indique regras de acesso externo

Para listar as regras de acesso externo através da Google Cloud consola, da Google Cloud CLI ou da API VMware Engine, faça o seguinte:

Consola

Para listar as regras de acesso externo através da Google Cloud consola, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Regras de acesso externo.

Aceda às regras de acesso externo

  1. A página Resumo contém uma tabela com todas as regras de acesso externo indicadas. Todas as alterações aos atributos são descritas nesta página de resumo.

gcloud

Para listar as regras de acesso externo através da CLI do Google Cloud, use o comando gcloud vmware network-policies external-access-rules list:

gcloud vmware network-policies external-access-rules list \
--network-policy=NETWORK_POLICY_NAME \
--location=REGION

Substitua o seguinte:

  • NETWORK_POLICY_NAME: a política de rede para este pedido
  • REGION: a região deste pedido.

API

Para listar regras de acesso externo através da API VMware Engine, faça um pedido:GET

  GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules"

Substitua o seguinte:

  • PROJECT_ID: o ID deste projeto
  • REGION: a região para este pedido
  • NETWORK_POLICY_NAME: a política de rede para este pedido

Edite regras de acesso externo

Para editar regras de acesso externo através da Google Cloud consola, da Google Cloud CLI ou da API VMware Engine, faça o seguinte:

Consola

Para editar uma regra de acesso externo através da Google Cloud consola, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Regras de acesso externo.

Aceda às regras de acesso externo

  1. Clique no ícone Mais no final de uma linha e selecione Editar.

gcloud

Para editar uma regra de acesso externo através da CLI do Google Cloud, use o comando gcloud vmware network-policies update:

gcloud vmware network-policies external-access-rules update RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION \
  --action=ACTION \
  --ip-protocol UDP \
  --priority 999

Substitua o seguinte:

  • RULE_NAME: o nome desta regra
  • NETWORK_POLICY_NAME: a política de rede para este pedido
  • REGION: a região para este pedido

API

Para editar uma regra de acesso externo através da API VMware Engine, faça um pedido PATCH:

  PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME?update_mask=action,ip_protocol,priority"

  '{
    "action": "ACTION",
    "ip_protocol": "udp",
    "priority": 999
  }'

Substitua o seguinte:

  • PROJECT_ID: o ID deste projeto
  • REGION: a região para este pedido
  • NETWORK_POLICY_NAME: a política de rede para este pedido
  • RULE_NAME: o nome desta regra
  • ACTION: a ação a realizar, como ACCESS ou DENY.

Elimine regras de acesso externo

Para eliminar uma regra de acesso externo através da Google Cloud consola, da Google Cloud CLI ou da API VMware Engine, faça o seguinte:

Consola

Para eliminar uma regra de acesso externo através da Google Cloud consola, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Regras de acesso externo.

Aceda às regras de acesso externo

  1. Clique em Eliminar

    no final de uma linha e selecione Eliminar.

gcloud

Para eliminar uma regra de acesso externo através da CLI gcloud, use o comando gcloud vmware network-policies external-access-rules delete:

gcloud vmware network-policies external-access-rules delete RULE_NAME \
  --network-policy=NETWORK_POLICY_NAME \
  --location=REGION

Substitua o seguinte:

  • RULE_NAME: o nome desta regra
  • NETWORK_POLICY_NAME: a política de rede para este pedido
  • REGION: a região para este pedido

API

Para eliminar uma regra de acesso externo através da API VMware Engine, faça um pedido DELETE:

  DELETE "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME/externalAccessRules/RULE_NAME"

Substitua o seguinte:

  • PROJECT_ID: o ID deste projeto
  • REGION: a região para este pedido
  • NETWORK_POLICY_NAME: a política de rede para este pedido
  • RULE_NAME: o nome desta regra

Propriedades das regras de firewall

As regras de firewall têm as seguintes propriedades:

Nome da regra
Um nome que identifica de forma exclusiva a regra de firewall e a respetiva finalidade.
Política de rede
A política de rede à qual associar a regra de firewall. A regra de firewall aplica-se ao tráfego para ou a partir de redes do VMware Engine que usam esta política de rede.
Descrição
Uma descrição desta política de rede.
Prioridade
Um número entre 100 e 4096, sendo 100 a prioridade mais elevada. As regras são processadas da prioridade mais elevada para a mais baixa. Quando o tráfego encontra uma correspondência de regra, o processamento de regras é interrompido. As regras com prioridades mais baixas que tenham os mesmos atributos que as regras com prioridades mais elevadas não são processadas. A prioridade não tem de ser única.
Ação em correspondência
Se a regra de firewall permite ou nega o tráfego com base numa correspondência de regras bem-sucedida.
Protocolo
O protocolo de Internet abrangido pela regra de firewall.
IPs de origem
Endereços IP de origem do tráfego com os quais a regra de firewall deve corresponder. Os valores podem ser endereços IP ou blocos de Classless Inter-Domain Routing (CIDR) (por exemplo, 10.0.0.0/24).
Porta de origem
Porta de origem do tráfego para a qual a regra de firewall deve corresponder. Os valores podem ser portas individuais ou um intervalo de portas, como 443 ou 8000-8080.
IPs de destino
Endereços IP de destino do tráfego para os quais a regra de firewall deve corresponder. Os valores podem ser endereços IP ou todos os endereços IP externos que foram atribuídos.
Porta de destino
Porta de destino do tráfego para a qual a regra de firewall deve corresponder. Os valores podem ser portas individuais ou um intervalo de portas, como 443 ou 8000-8080. A especificação de um intervalo permite-lhe criar menos regras de segurança.

O que se segue?