NNI ve katman 3 yalıtım etki alanı dış ağları için Erişim Denetim Listesi (ACL) yönetimi oluşturma
Erişim Denetim Listeleri (ACL'ler), bir ağ içindeki gelen ve giden paket akışını düzenleyen bir dizi kuraldır. Azure'ın Nexus Network Fabric hizmeti, ağdan ağa bağlantılar ve katman 3 yalıtım etki alanı dış ağları için ACL'leri yapılandırmak için API tabanlı bir mekanizma sunar. Bu kılavuzda ACL oluşturma adımları özetlenmiştir.
Erişim Denetim Listeleri (ACL' ler) Oluşturma
ACL oluşturmak ve özelliklerini tanımlamak için komutunu kullanabilirsiniz az networkfabric acl create
. Aşağıdaki adımlar şunlardır:
Önkoşullar
Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.
CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.
Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.
İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.
Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.
- Aboneliği ayarla (gerekirse):
Birden çok aboneliğiniz varsa ve bir aboneliği varsayılan olarak ayarlamanız gerekiyorsa, bunu şu şekilde yapabilirsiniz:
az account set --subscription <subscription-id>
- ACL oluşturma:
az networkfabric acl create --resource-group "<resource-group>" --location "<location>" --resource-name "<acl-name>" --annotation "<annotation>" --configuration-type "<configuration-type>" --default-action "<default-action>" --match-configurations "[{matchConfigurationName:<match-config-name>,sequenceNumber:<sequence-number>,ipAddressType:<IPv4/IPv6>,matchConditions:[{ipCondition:{type:<SourceIP/DestinationIP>,prefixType:<Prefix/Exact>,ipPrefixValues:['<ip-prefix1>', '<ip-prefix2>', ...]}}],actions:[{type:<Action>}]}]"
Parametre | Açıklama |
---|---|
Kaynak Grubu | Ağ dokunuzun kaynak grubunu belirtin. |
Konum | ACL'nin oluşturulduğu konumu tanımlayın. |
Kaynak Adı | ACL için bir ad belirtin. |
Annotation | İsteğe bağlı olarak, ACL için bir açıklama veya ek açıklama ekleyin. |
Yapılandırma Türü | Yapılandırmanın satır içi mi yoksa dosya kullanarak mı olduğunu belirtin. |
Varsayılan Eylem | Eşleşme bulunamazsa gerçekleştirilecek varsayılan eylemi tanımlayın. |
Yapılandırmaları Eşleştir | Trafik eşleştirme için koşulları ve eylemleri tanımlayın. |
Eylemler | Eşleşme koşullarına göre gerçekleştirilecek eylemi belirtin. |
Parametreler kullanım kılavuzu
Aşağıdaki tabloda, ACL'ler oluşturulurken parametrelerin kullanımıyla ilgili yönergeler sağlanmaktadır:
Parametre | Açıklama | Örnek veya Aralık |
---|---|---|
defaultAction | Gerçekleştirilecek varsayılan eylemi tanımlar | "defaultAction": "İzin Ver" |
resource-group | Ağ dokusu kaynak grubu | nfresourcegroup |
kaynak-adı | ACL adı | example-ingressACL |
vlanGroups | VLAN gruplarının listesi | |
vlans | Eşleşmesi gereken VLAN'ların listesi | |
eşleştirme yapılandırmaları | Eşleştirme yapılandırmasının adı | example_acl |
matchConditions | Eşleşmesi gereken koşullar | |
ttlValues | TTL [Yaşam Süresi] | 0-255 |
dscpMarking | Eşleşmesi gereken DSCP İşaretleri | 0-63 |
fargments | IP parçası paketlerini belirtme | Aralık: 1-8191 Örnek: [1, 5, 1250-1300, 8000-8191] |
portCondition | Eşleşmesi gereken bağlantı noktası koşulu | |
portType | Eşleşmesi gereken bağlantı noktası türü | Örnek: SourcePort |
ports | Eşleşmesi gereken bağlantı noktası numarası | Aralık: 0-65535 Örnek: [1, 10, 500, 1025-1050, 64000-65535] |
protocolTypes | Eşleşmesi gereken protokoller | [tcp, udp, aralık[1-2, 1, 2]] |
vlanMatchCondition | Eşleşmesi gereken VLAN eşleştirme koşulu | |
layer4Protocol | Katman 4 Protokolü | TCP veya UDP olmalıdır |
ipCondition | Eşleşmesi gereken IP koşulu | |
eylemler | Eşleşme koşuluna göre gerçekleştirilecek eylem | Örnek: izin ver |
yapılandırma türü | Yapılandırma türü (satır içi veya dosya) | Örnek: satır içi |
Not
- Satır içi bağlantı noktaları ve satır içi VLAN'lar azcli kullanılarak statik olarak tanımlanır.
- PortGroupNames ve VlanGroupNames dinamik olarak tanımlanır.
- Satır içi VLAN'lar ve VLANGroupName'ler için de benzer şekilde satır içi bağlantı noktalarını portGroupNames ile birleştirmeye izin verilmez.
- IPGroupNames ve IpPrefixValues birleştirilemez.
- Çıkış ACL'leri IP seçenekleri, IP uzunluğu, parça, ether türü, DSCP işareti ve TTL değerleri gibi belirli seçenekleri desteklemez.
- Giriş ACL'leri şu seçenekleri desteklemez: etherType.
- Bağlantı noktası girişleri veya
range-of-ports
olabilirport-number
. - Parça girişleri veya
range-of-ports
olabilirport-number
.
ACL oluşturma için örnek yük
az networkfabric acl create --resource-group "example-rg" --location "eastus2euap" --resource-name "example-Ipv4ingressACL" --annotation "annotation" --configuration-type "Inline" --default-action "Deny" --match-configurations "[{matchConfigurationName:example-match,sequenceNumber:1110,ipAddressType:IPv4,matchConditions:[{ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.18.0.124/30','10.18.0.128/30','10.18.30.16/30','10.18.30.20/30']}},{ipCondition:{type:DestinationIP,prefixType:Prefix,ipPrefixValues:['10.18.0.124/30','10.18.0.128/30','10.18.30.16/30','10.18.30.20/30']}}],actions:[{type:Count}]}]"
Örnek çıkış
{
"administrativeState": "Disabled",
"annotation": "annotation",
"configurationState": "Succeeded",
"configurationType": "Inline",
"defaultAction": "Deny",
"id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/Fab3LabNF-4-0/providers/Microsoft.ManagedNetworkFabric/accessControlLists/L3domain091123-Ipv4egressACL",
"location": "eastus2euap",
"matchConfigurations": [
{
"actions": [
{
"type": "Count"
}
],
"ipAddressType": "IPv4",
"matchConditions": [
{
"ipCondition": {
"ipPrefixValues": [
"10.18.0.124/30",
"10.18.0.128/30",
"10.18.30.16/30",
"10.18.30.20/30"
],
"prefixType": "Prefix",
"type": "SourceIP"
}
},
{
"ipCondition": {
"ipPrefixValues": [
"10.18.0.124/30",
"10.18.0.128/30",
"10.18.30.16/30",
"10.18.30.20/30"
],
"prefixType": "Prefix",
"type": "DestinationIP"
}
}
],
"matchConfigurationName": "example-Ipv4ingressACL ",
"sequenceNumber": 1110
}
],
"name": "example-Ipv4ingressACL",
"provisioningState": "Succeeded",
"resourceGroup": "Fab3LabNF-4-0",
"systemData": {
"createdAt": "2023-09-11T10:20:20.2617941Z",
"createdBy": "user@email.com",
"createdByType": "User",
"lastModifiedAt": "2023-09-11T10:20:20.2617941Z",
"lastModifiedBy": "user@email.com",
"lastModifiedByType": "User"
},
"type": "microsoft.managednetworkfabric/accesscontrollists"
}
Not
ACL'yi oluşturduktan sonra, daha fazla başvuru için ACL başvuru kimliğini not edin.
Sonraki Adımlar
Azure Fabric'te NNI'ye Erişim Denetim Listeleri (ACL' ler) Uygulama
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin