Share via

Esempi di creazione e configurazione dell'elenco Controllo di accesso

  • Articolo

Questo articolo fornisce esempi di come creare e aggiornare elenchi Controllo di accesso (ACLS).

Panoramica del flusso di creazione ACL

La creazione di un elenco di Controllo di accesso (ACL) associato a un'interconnessione da rete a rete (NNI) prevede questi passaggi:

  • Creare una risorsa di Network Fabric e aggiungervi una risorsa figlio NNI.

  • Creare risorse ACL in ingresso e in uscita usando il az networkfabric acl create comando . È possibile fornire configurazioni di corrispondenza e l'azione predefinita per l'ACL. È anche possibile fornire configurazioni di corrispondenza dinamica inline o in un file archiviato nel contenitore BLOB dell'account di archiviazione di Azure.

  • Aggiornare la risorsa NNI con gli ID ACL in ingresso e in uscita usando il az networkfabric nni update comando . È necessario specificare gli ID risorsa ACL validi nei --ingress-acl-id parametri e --egress-acl-id .

  • Effettuare il provisioning della risorsa di Network Fabric usando il az networkfabric fabric provision comando . In questo modo viene generata la configurazione di base e la configurazione dinamica della corrispondenza per gli elenchi di controllo di accesso e le invia ai dispositivi.

Panoramica del flusso di aggiornamento ACL

  • Creare risorse ACL in ingresso e in uscita usando az networkfabric acl create come descritto nella sezione precedente.

  • Aggiornare l'ACL in ingresso o in uscita usando il az networkfabric acl update comando .

  • Verificare che lo stato di configurazione dell'elenco di controllo di accesso sia accepted.

  • Verificare che lo stato di configurazione dell'infrastruttura sia accepted.

  • Eseguire il commit dell'infrastruttura per aggiornare l'elenco di controllo di accesso.

Comandi di esempio

Controllo di accesso elenco in un'interconnessione da rete a rete

Questo esempio illustra come creare un NNI con due ACL, uno per l'ingresso e uno per l'uscita.

Gli elenchi di controllo di accesso devono essere applicati prima del provisioning dell'infrastruttura di rete. Questa limitazione è temporanea e verrà rimossa in una versione futura. Gli ACL in ingresso e in uscita vengono creati prima della risorsa NNI e viene fatto riferimento al momento della creazione dell'NNI, che attiva anche la creazione degli elenchi di controllo di accesso. Questa configurazione deve essere eseguita prima del provisioning dell'infrastruttura di rete.

Creare un elenco di controllo di accesso in ingresso: comando di esempio

az networkfabric acl create \
    --resource-group "example-rg"
    --location "eastus2euap" \
    --resource-name "example-Ipv4ingressACL" \
    --configuration-type "Inline" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
    --match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"

Creare un ACL in uscita: comando di esempio

az networkfabric acl create \
    --resource-group "example-rg" \
    --location "eastus2euap" \
    --resource-name "example-Ipv4egressACL" \
    --configuration-type "File" \
    --acls-url "https://ACL-Storage-URL" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"

Controllo di accesso Elenco in una rete esterna del dominio di isolamento

Usare il az networkfabric acl create comando per creare elenchi di controllo di accesso in ingresso e in uscita per la rete esterna. Nell'esempio viene specificato il gruppo di risorse, il nome, il percorso, l'ID dell'infrastruttura di rete, l'ID di rete esterna e altri parametri. È anche possibile specificare le condizioni di corrispondenza e le azioni per le regole ACL usando i --match parametri e --action .

Questo comando crea un elenco di controllo di accesso in ingresso denominato acl-ingress che consente il traffico ICMP da qualsiasi origine alla rete esterna:

az networkfabric acl create \
    --resource-group myResourceGroup \
    --name acl-ingress \
    --location eastus \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
    --match "ip protocol icmp" \
    --action allow

Usare il az networkfabric externalnetwork update comando per aggiornare la rete esterna con il gruppo di risorse, il nome e l'ID infrastruttura di rete. È anche necessario specificare gli ID ACL in ingresso e in uscita usando i --ingress-acl-id parametri e --egress-acl-id . Ad esempio, il comando seguente aggiorna la rete esterna denominata ext-net per fare riferimento all'ACL in ingresso denominato acl-ingress:

az networkfabric externalnetwork update \
    --resource-group myResourceGroup \
    --name ext-net \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress

Altri scenari e comandi di esempio

Per creare un ACL in uscita per un NNI che nega tutto il traffico ad eccezione di HTTP e HTTPS, è possibile usare questo comando:

az networkfabric acl create \
    --name acl-egress \
    --resource-group myResourceGroup \
    --nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
    --match "ip protocol tcp destination port 80 or 443" \
    --action allow \
    --default-action deny

Per aggiornare un elenco di controllo di accesso esistente per aggiungere una nuova condizione di corrispondenza e un'azione, è possibile usare questo comando:

az networkfabric acl update \
    --name acl-ingress \
    --resource-group myResourceGroup \
    --match "ip protocol icmp" \
    --action allow \
    --append-match-configurations

Per elencare tutti gli elenchi di controllo di accesso in un gruppo di risorse, è possibile usare questo comando:

az networkfabric acl list --resource-group myResourceGroup

Per visualizzare i dettagli di un ACL specifico, è possibile usare questo comando:

az networkfabric acl show \
    --name acl-ingress \
    --resource-group myResourceGroup

Per eliminare un elenco di controllo di accesso, è possibile usare questo comando:

az networkfabric acl delete \
    --name acl-egress \
    --resource-group myResourceGroup