Примеры создания и настройки списка контроль доступа
В этой статье приведены примеры создания и обновления списков контроль доступа (ACLS).
Общие сведения о потоке создания ACL
Создание списка контроль доступа (ACL), связанного с сетевым взаимодействием (NNI), включает следующие действия.
Создайте ресурс Network Fabric и добавьте в него дочерний ресурс NNI.
Создайте ресурсы ACL для входящего трафика и исходящего трафика с помощью
az networkfabric acl create
команды. Можно указать конфигурации соответствия и действие по умолчанию для ACL. Вы также можете предоставить встроенные конфигурации динамического сопоставления или файл, хранящийся в контейнере BLOB-объектов учетной записи хранения Azure.Обновите ресурс NNI с помощью идентификаторов ACL для входящего трафика и исходящего трафика с помощью
az networkfabric nni update
команды. Необходимо указать допустимые идентификаторы ресурсов ACL в--ingress-acl-id
параметрах и--egress-acl-id
параметрах.Подготовьте ресурс Network Fabric с помощью
az networkfabric fabric provision
команды. Это создает базовую конфигурацию и динамическую конфигурацию сопоставления для списков управления доступом и отправляет их на устройства.
Обзор потока обновления ACL
Создайте ресурсы ACL для входящего трафика и исходящего трафика, как
az networkfabric acl create
описано в предыдущем разделе.Обновите ACL для входящего трафика или исходящего трафика с помощью
az networkfabric acl update
команды.Проверьте состояние конфигурации списка ACL
accepted
.Проверьте состояние конфигурации структуры
accepted
.Выполните фиксацию Fabric, чтобы обновить ACL.
Примеры команд
список контроль доступа в сетевом интерконнекте
В этом примере показано, как создать NNI с двумя списками управления доступом — один для входящего трафика и один для исходящего трафика.
Перед подготовкой Network Fabric необходимо применить списки управления доступом. Это ограничение является временным и будет удалено в будущем выпуске. Ingress и исходящие списки управления доступом создаются перед ресурсом NNI и ссылаются при создании NNI, что также активирует создание списков управления доступом. Перед подготовкой сетевой структуры необходимо выполнить эту конфигурацию.
Создание ACL для входящего трафика: пример команды
az networkfabric acl create \
--resource-group "example-rg"
--location "eastus2euap" \
--resource-name "example-Ipv4ingressACL" \
--configuration-type "Inline" \
--default-action "Permit" \
--dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
--match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"
Создание ACL исходящего трафика: пример команды
az networkfabric acl create \
--resource-group "example-rg" \
--location "eastus2euap" \
--resource-name "example-Ipv4egressACL" \
--configuration-type "File" \
--acls-url "https://ACL-Storage-URL" \
--default-action "Permit" \
--dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"
список контроль доступа в внешней сети домена изоляции
az networkfabric acl create
Используйте команду для создания входящих и исходящих списков управления доступом для внешней сети. В примере мы указываем группу ресурсов, имя, расположение, идентификатор сетевой структуры, идентификатор внешней сети и другие параметры. Можно также указать условия соответствия и действия для правил ACL с помощью --match
и --action
параметров.
Эта команда создает a ingress ACL с именем acl-ingress
, который разрешает трафик ICMP из любого источника во внешнюю сеть:
az networkfabric acl create \
--resource-group myResourceGroup \
--name acl-ingress \
--location eastus \
--network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
--external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
--match "ip protocol icmp" \
--action allow
az networkfabric externalnetwork update
Используйте команду для обновления внешней сети с идентификатором группы ресурсов, имени и сетевой структуры. Кроме того, необходимо указать идентификаторы ACL для входящего трафика и исходящего трафика с помощью --ingress-acl-id
параметров и --egress-acl-id
параметров. Например, следующая команда обновляет внешнюю сеть, именуемую ext-net
для ссылки на aingress ACL с именем acl-ingress
:
az networkfabric externalnetwork update \
--resource-group myResourceGroup \
--name ext-net \
--network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
--ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress
Дополнительные примеры сценариев и команд
Чтобы создать ACL исходящего трафика для NNI, который запрещает весь трафик, кроме HTTP и HTTPS, можно использовать следующую команду:
az networkfabric acl create \
--name acl-egress \
--resource-group myResourceGroup \
--nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
--match "ip protocol tcp destination port 80 or 443" \
--action allow \
--default-action deny
Чтобы обновить существующий список ACL для добавления нового условия соответствия и действия, можно использовать следующую команду:
az networkfabric acl update \
--name acl-ingress \
--resource-group myResourceGroup \
--match "ip protocol icmp" \
--action allow \
--append-match-configurations
Чтобы вывести список всех списков управления доступом в группе ресурсов, можно использовать следующую команду:
az networkfabric acl list --resource-group myResourceGroup
Чтобы отобразить сведения о конкретном ACL, можно использовать следующую команду:
az networkfabric acl show \
--name acl-ingress \
--resource-group myResourceGroup
Чтобы удалить ACL, можно использовать следующую команду:
az networkfabric acl delete \
--name acl-egress \
--resource-group myResourceGroup