你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
更新 NNI 或外部网络上的 ACL
Nexus Network Fabric 提供了几种用于更新 NNI 或隔离域外部网络上应用的访问控制列表 (ACL) 的方法。 下面是两个选项:
选项 1:替换现有 ACL
使用 az networkfabric acl create 命令创建新的 ACL。
先决条件
在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息,请参阅 Azure Cloud Shell 中的 Bash 快速入门。
如需在本地运行 CLI 参考命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI。
如果使用的是本地安装,请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅使用 Azure CLI 登录。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展详细信息,请参阅使用 Azure CLI 的扩展。
运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade。
- 设置订阅(如有必要):
如果有多个订阅,并且需要将一个订阅设置为默认值,则可以执行以下操作:
az account set --subscription <subscription-id>
- 创建 ACL
使用 az networkfabric acl create 命令创建具有所需参数的 ACL。 下面是一个常规模板:
az networkfabric acl create --resource-group "<resource-group>" --location "<location>" --resource-name "<acl-name>" --annotation "<annotation>" --configuration-type "<configuration-type>" --default-action "<default-action>" --match-configurations "<match-configurations>" --actions "<actions>"
- 通过将资源 ID 传递给
--ingress-acl-id和--egress-acl-id参数来更新 NNI 或外部网络。
az networkfabric nni update --resource-group "<resource-group-name>" --resource-name "<nni-name>" --fabric "<fabric-name>" --ingress-acl-id "<ingress-acl-resource-id>" --egress-acl-id "<egress-acl-resource-id>"
| 参数 | 说明 |
|---|---|
--resource-group |
包含网络结构实例的资源组的名称。 |
--resource-name |
要更新的网络结构 NNI(网络到网络接口)的名称。 |
--fabric |
在其中预配 NNI 的结构的名称。 |
--ingress-acl-id |
入站流量的流入量访问控制列表 (ACL) 的资源 ID(对于没有特定 ACL 为 null)。 |
--egress-acl-id |
出站流量的流入量访问控制列表 (ACL) 的资源 ID(对于没有特定 ACL 为 null)。 |
注意
根据要求,可以更新流入量和/或流出量。
- 提交配置更改:
执行 fabric commit-configuration 以提交配置更改。
az networkfabric fabric commit-configuration --resource-group "<resource-group>" --resource-name "<fabric-name>"
| 参数 | 说明 |
|---|---|
--resource-group |
包含 Nexus Network Fabric 的资源组的名称。 |
--resource-name |
将向其提交配置更改的 Nexus Network Fabric 的名称。 |
- 验证更改:
使用 resource list 命令验证更改。
选项 2:更新现有的 ACL 属性
使用 ACL update 命令修改现有 ACL 的属性。
- 通过将 null ID 传递给
--ingress-acl-id和--egress-acl-id来更新 NNI 或外部网络。
az networkfabric nni update --resource-group "<resource-group-name>" --resource-name "<nni-name>" --fabric "<fabric-name>" --ingress-acl-id null --egress-acl-id null
| 参数 | 说明 |
|---|---|
--resource-group |
包含网络结构实例的资源组的名称。 |
--resource-name |
要更新的网络结构 NNI(网络到网络接口)的名称。 |
--fabric |
在其中预配 NNI 的结构的名称。 |
--ingress-acl-id |
入站流量的流入量访问控制列表 (ACL) 的资源 ID(对于没有特定 ACL 为 null)。 |
--egress-acl-id |
出站流量的流入量访问控制列表 (ACL) 的资源 ID(对于没有特定 ACL 为 null)。 |
注意
根据要求,可以更新流入量和/或流出量。
- 执行
fabric commit-configuration。
az networkfabric fabric commit-configuration --resource-group "<resource-group>" --resource-name "<fabric-name>"
| 参数 | 说明 |
|---|---|
--resource-group |
包含 Nexus Network Fabric 的资源组的名称。 |
--resource-name |
将向其提交配置更改的 Nexus Network Fabric 的名称。 |
- 使用
resource list命令验证更改。