Przykłady tworzenia i konfiguracji listy kontroli dostępu

  • Artykuł

W tym artykule przedstawiono przykłady tworzenia i aktualizowania list kontroli dostępu (ACLS).

Omówienie przepływu tworzenia listy ACL

Utworzenie listy kontroli dostępu skojarzonej z połączeniem międzyoperacjonańskim (NNI) sieci obejmuje następujące kroki:

  • Utwórz zasób sieci szkieletowej sieci szkieletowej i dodaj do niego zasób podrzędny NNI.

  • Utwórz zasoby listy ACL ruchu przychodzącego i wychodzącego az networkfabric acl create przy użyciu polecenia . Możesz podać konfiguracje dopasowania i domyślną akcję listy ACL. Konfiguracje dopasowania dynamicznego można również udostępnić w tekście lub w pliku przechowywanym w kontenerze obiektów blob konta usługi Azure Storage.

  • Zaktualizuj zasób NNI przy użyciu identyfikatorów list ACL ruchu przychodzącego i wychodzącego az networkfabric nni update przy użyciu polecenia . Należy podać prawidłowe identyfikatory zasobów listy ACL w parametrach --ingress-acl-id i --egress-acl-id .

  • Aprowizuj zasób sieci szkieletowej przy użyciu az networkfabric fabric provision polecenia . Spowoduje to wygenerowanie podstawowej konfiguracji i dynamicznej konfiguracji dopasowania dla list ACL i wysłanie ich do urządzeń.

Omówienie przepływu aktualizacji listy ACL

  • Utwórz zasoby listy ACL ruchu przychodzącego i wychodzącego przy użyciu polecenia az networkfabric acl create zgodnie z opisem w poprzedniej sekcji.

  • Zaktualizuj listę ACL ruchu przychodzącego lub wychodzącego az networkfabric acl update przy użyciu polecenia .

  • Sprawdź, czy stan konfiguracji listy ACL to accepted.

  • Sprawdź, czy stan konfiguracji sieci szkieletowej to accepted.

  • Wykonaj zatwierdzenie sieci szkieletowej, aby zaktualizować listę ACL.

Przykładowe polecenia

Lista kontroli dostępu w połączeniu między sieciami

W tym przykładzie pokazano, jak utworzyć sieci NNI z dwoma listami ACL — jeden dla ruchu przychodzącego i jeden dla ruchu wychodzącego.

Przed aprowizowaniem sieci szkieletowej sieci szkieletowej należy zastosować listy ACL. To ograniczenie jest tymczasowe i zostanie usunięte w przyszłej wersji. Listy ACL ruchu przychodzącego i wychodzącego są tworzone przed zasobem NNI i przywoływały się podczas tworzenia sieci NNI, co powoduje również utworzenie list ACL. Tę konfigurację należy wykonać przed aprowizowaniem sieci szkieletowej sieci szkieletowej.

Tworzenie listy ACL ruchu przychodzącego: przykładowe polecenie

az networkfabric acl create \
    --resource-group "example-rg"
    --location "eastus2euap" \
    --resource-name "example-Ipv4ingressACL" \
    --configuration-type "Inline" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
    --match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"

Tworzenie listy ACL ruchu wychodzącego: przykładowe polecenie

az networkfabric acl create \
    --resource-group "example-rg" \
    --location "eastus2euap" \
    --resource-name "example-Ipv4egressACL" \
    --configuration-type "File" \
    --acls-url "https://ACL-Storage-URL" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"

Lista kontroli dostępu w sieci zewnętrznej domeny izolacji

az networkfabric acl create Użyj polecenia , aby utworzyć listy ACL ruchu przychodzącego i wychodzącego dla sieci zewnętrznej. W tym przykładzie określamy grupę zasobów, nazwę, lokalizację, identyfikator sieci szkieletowej sieci sieciowej, identyfikator sieci zewnętrznej i inne parametry. Można również określić warunki dopasowania i akcje dla reguł listy ACL przy użyciu parametrów --match i --action .

To polecenie tworzy listę ACL ruchu przychodzącego o nazwie acl-ingress , która zezwala na ruch ICMP z dowolnego źródła do sieci zewnętrznej:

az networkfabric acl create \
    --resource-group myResourceGroup \
    --name acl-ingress \
    --location eastus \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
    --match "ip protocol icmp" \
    --action allow

az networkfabric externalnetwork update Użyj polecenia , aby zaktualizować sieć zewnętrzną za pomocą grupy zasobów, nazwy i identyfikatora sieci szkieletowej sieci szkieletowej. Należy również określić identyfikatory listy ACL ruchu przychodzącego i wychodzącego przy użyciu --ingress-acl-id parametrów i --egress-acl-id . Na przykład następujące polecenie aktualizuje sieć zewnętrzną o nazwie , ext-net aby odwoływać się do listy ACL ruchu przychodzącego o nazwie acl-ingress:

az networkfabric externalnetwork update \
    --resource-group myResourceGroup \
    --name ext-net \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress

Więcej przykładowych scenariuszy i poleceń

Aby utworzyć listę ACL ruchu wychodzącego dla sieci NNI, która blokuje cały ruch z wyjątkiem protokołu HTTP i HTTPS, możesz użyć tego polecenia:

az networkfabric acl create \
    --name acl-egress \
    --resource-group myResourceGroup \
    --nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
    --match "ip protocol tcp destination port 80 or 443" \
    --action allow \
    --default-action deny

Aby zaktualizować istniejącą listę ACL w celu dodania nowego warunku dopasowania i akcji, możesz użyć tego polecenia:

az networkfabric acl update \
    --name acl-ingress \
    --resource-group myResourceGroup \
    --match "ip protocol icmp" \
    --action allow \
    --append-match-configurations

Aby wyświetlić listę wszystkich list ACL w grupie zasobów, możesz użyć następującego polecenia:

az networkfabric acl list --resource-group myResourceGroup

Aby wyświetlić szczegóły określonej listy ACL, możesz użyć tego polecenia:

az networkfabric acl show \
    --name acl-ingress \
    --resource-group myResourceGroup

Aby usunąć listę ACL, możesz użyć tego polecenia:

az networkfabric acl delete \
    --name acl-egress \
    --resource-group myResourceGroup