Поделиться через


Примеры создания и настройки списка контроль доступа

В этой статье приведены примеры создания и обновления списков контроль доступа (ACLS).

Общие сведения о потоке создания ACL

Создание списка контроль доступа (ACL), связанного с сетевым взаимодействием (NNI), включает следующие действия.

  • Создайте ресурс Network Fabric и добавьте в него дочерний ресурс NNI.

  • Создайте ресурсы ACL для входящего трафика и исходящего трафика с помощью az networkfabric acl create команды. Можно указать конфигурации соответствия и действие по умолчанию для ACL. Вы также можете предоставить встроенные конфигурации динамического сопоставления или файл, хранящийся в контейнере BLOB-объектов учетной записи хранения Azure.

  • Обновите ресурс NNI с помощью идентификаторов ACL для входящего трафика и исходящего трафика с помощью az networkfabric nni update команды. Необходимо указать допустимые идентификаторы ресурсов ACL в --ingress-acl-id параметрах и --egress-acl-id параметрах.

  • Подготовьте ресурс Network Fabric с помощью az networkfabric fabric provision команды. Это создает базовую конфигурацию и динамическую конфигурацию сопоставления для списков управления доступом и отправляет их на устройства.

Обзор потока обновления ACL

  • Создайте ресурсы ACL для входящего трафика и исходящего трафика, как az networkfabric acl create описано в предыдущем разделе.

  • Обновите ACL для входящего трафика или исходящего трафика с помощью az networkfabric acl update команды.

  • Проверьте состояние конфигурации списка ACL accepted.

  • Проверьте состояние конфигурации структуры accepted.

  • Выполните фиксацию Fabric, чтобы обновить ACL.

Примеры команд

список контроль доступа в сетевом интерконнекте

В этом примере показано, как создать NNI с двумя списками управления доступом — один для входящего трафика и один для исходящего трафика.

Перед подготовкой Network Fabric необходимо применить списки управления доступом. Это ограничение является временным и будет удалено в будущем выпуске. Ingress и исходящие списки управления доступом создаются перед ресурсом NNI и ссылаются при создании NNI, что также активирует создание списков управления доступом. Перед подготовкой сетевой структуры необходимо выполнить эту конфигурацию.

Создание ACL для входящего трафика: пример команды

az networkfabric acl create \
    --resource-group "example-rg"
    --location "eastus2euap" \
    --resource-name "example-Ipv4ingressACL" \
    --configuration-type "Inline" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
    --match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"

Создание ACL исходящего трафика: пример команды

az networkfabric acl create \
    --resource-group "example-rg" \
    --location "eastus2euap" \
    --resource-name "example-Ipv4egressACL" \
    --configuration-type "File" \
    --acls-url "https://ACL-Storage-URL" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"

список контроль доступа в внешней сети домена изоляции

az networkfabric acl create Используйте команду для создания входящих и исходящих списков управления доступом для внешней сети. В примере мы указываем группу ресурсов, имя, расположение, идентификатор сетевой структуры, идентификатор внешней сети и другие параметры. Можно также указать условия соответствия и действия для правил ACL с помощью --match и --action параметров.

Эта команда создает a ingress ACL с именем acl-ingress , который разрешает трафик ICMP из любого источника во внешнюю сеть:

az networkfabric acl create \
    --resource-group myResourceGroup \
    --name acl-ingress \
    --location eastus \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
    --match "ip protocol icmp" \
    --action allow

az networkfabric externalnetwork update Используйте команду для обновления внешней сети с идентификатором группы ресурсов, имени и сетевой структуры. Кроме того, необходимо указать идентификаторы ACL для входящего трафика и исходящего трафика с помощью --ingress-acl-id параметров и --egress-acl-id параметров. Например, следующая команда обновляет внешнюю сеть, именуемую ext-net для ссылки на aingress ACL с именем acl-ingress:

az networkfabric externalnetwork update \
    --resource-group myResourceGroup \
    --name ext-net \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress

Дополнительные примеры сценариев и команд

Чтобы создать ACL исходящего трафика для NNI, который запрещает весь трафик, кроме HTTP и HTTPS, можно использовать следующую команду:

az networkfabric acl create \
    --name acl-egress \
    --resource-group myResourceGroup \
    --nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
    --match "ip protocol tcp destination port 80 or 443" \
    --action allow \
    --default-action deny

Чтобы обновить существующий список ACL для добавления нового условия соответствия и действия, можно использовать следующую команду:

az networkfabric acl update \
    --name acl-ingress \
    --resource-group myResourceGroup \
    --match "ip protocol icmp" \
    --action allow \
    --append-match-configurations

Чтобы вывести список всех списков управления доступом в группе ресурсов, можно использовать следующую команду:

az networkfabric acl list --resource-group myResourceGroup

Чтобы отобразить сведения о конкретном ACL, можно использовать следующую команду:

az networkfabric acl show \
    --name acl-ingress \
    --resource-group myResourceGroup

Чтобы удалить ACL, можно использовать следующую команду:

az networkfabric acl delete \
    --name acl-egress \
    --resource-group myResourceGroup