Contoh Pembuatan dan Konfigurasi Daftar Kontrol Akses
Artikel ini memberikan contoh cara membuat dan memperbarui Daftar Kontrol Akses (ACLS).
Gambaran umum alur pembuatan ACL
Membuat Daftar Kontrol Akses (ACL) yang terkait dengan Interkoneksi Jaringan ke Jaringan (NNI) melibatkan langkah-langkah berikut:
Buat sumber daya Network Fabric dan tambahkan sumber daya anak NNI ke dalamnya.
Buat sumber daya ACL masuk dan keluar menggunakan
az networkfabric acl create
perintah . Anda dapat menyediakan konfigurasi pencocokan dan tindakan default untuk ACL. Anda juga dapat menyediakan konfigurasi kecocokan dinamis baik sebaris, atau dalam file yang disimpan di kontainer blob akun penyimpanan Azure Anda.Perbarui sumber daya NNI dengan ID ACL masuk dan keluar menggunakan
az networkfabric nni update
perintah . Anda perlu menyediakan ID sumber daya ACL yang valid dalam--ingress-acl-id
parameter dan--egress-acl-id
.Provisikan sumber daya Network Fabric menggunakan
az networkfabric fabric provision
perintah . Ini menghasilkan konfigurasi dasar dan konfigurasi kecocokan dinamis untuk ACL dan mengirimkannya ke perangkat.
Gambaran umum alur pembaruan ACL
Buat sumber daya ACL masuk dan keluar menggunakan
az networkfabric acl create
seperti yang dijelaskan di bagian sebelumnya.Perbarui ACL masuk atau keluar menggunakan
az networkfabric acl update
perintah .Verifikasi status konfigurasi ACL adalah
accepted
.Verifikasi status konfigurasi fabric adalah
accepted
.Execute Fabric Commit untuk memperbarui ACL.
Contoh perintah
Daftar Kontrol Akses pada Interkoneksi Jaringan-ke-Jaringan
Contoh ini menunjukkan kepada Anda cara membuat NNI dengan dua ACL - satu untuk ingress dan satu untuk egress.
ACL harus diterapkan sebelum menyediakan Network Fabric. Batasan ini bersifat sementara dan akan dihapus dalam rilis mendatang. ACL ingress dan egress dibuat sebelum sumber daya NNI dan direferensikan ketika NNI dibuat, yang juga memicu pembuatan ACL. Konfigurasi ini harus dilakukan sebelum menyediakan fabric jaringan.
Buat ACL ingress: contoh perintah
az networkfabric acl create \
--resource-group "example-rg"
--location "eastus2euap" \
--resource-name "example-Ipv4ingressACL" \
--configuration-type "Inline" \
--default-action "Permit" \
--dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
--match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"
Buat ACL keluar: contoh perintah
az networkfabric acl create \
--resource-group "example-rg" \
--location "eastus2euap" \
--resource-name "example-Ipv4egressACL" \
--configuration-type "File" \
--acls-url "https://ACL-Storage-URL" \
--default-action "Permit" \
--dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"
Daftar Kontrol Akses pada jaringan eksternal domain isolasi
az networkfabric acl create
Gunakan perintah untuk membuat ACL masuk dan keluar untuk jaringan eksternal. Dalam contoh, kami menentukan grup sumber daya, nama, lokasi, ID fabric jaringan, ID jaringan eksternal, dan parameter lainnya. Anda juga dapat menentukan kondisi dan tindakan kecocokan untuk aturan ACL menggunakan --match
parameter dan --action
.
Perintah ini membuat ACL ingress bernama acl-ingress
yang memungkinkan lalu lintas ICMP dari sumber apa pun ke jaringan eksternal:
az networkfabric acl create \
--resource-group myResourceGroup \
--name acl-ingress \
--location eastus \
--network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
--external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
--match "ip protocol icmp" \
--action allow
az networkfabric externalnetwork update
Gunakan perintah untuk memperbarui jaringan eksternal dengan grup sumber daya, nama, dan ID fabric jaringan. Anda juga perlu menentukan ID ACL masuk dan keluar menggunakan --ingress-acl-id
parameter dan --egress-acl-id
. Misalnya, perintah berikut memperbarui jaringan eksternal bernama ext-net
untuk mereferensikan ingress ACL bernama acl-ingress
:
az networkfabric externalnetwork update \
--resource-group myResourceGroup \
--name ext-net \
--network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
--ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress
Contoh skenario dan perintah lainnya
Untuk membuat ACL keluar untuk NNI yang menolak semua lalu lintas kecuali UNTUK HTTP dan HTTPS, Anda dapat menggunakan perintah ini:
az networkfabric acl create \
--name acl-egress \
--resource-group myResourceGroup \
--nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
--match "ip protocol tcp destination port 80 or 443" \
--action allow \
--default-action deny
Untuk memperbarui ACL yang sudah ada untuk menambahkan kondisi dan tindakan kecocokan baru, Anda dapat menggunakan perintah ini:
az networkfabric acl update \
--name acl-ingress \
--resource-group myResourceGroup \
--match "ip protocol icmp" \
--action allow \
--append-match-configurations
Untuk mencantumkan semua ACL dalam grup sumber daya, Anda dapat menggunakan perintah ini:
az networkfabric acl list --resource-group myResourceGroup
Untuk menampilkan detail ACL tertentu, Anda dapat menggunakan perintah ini:
az networkfabric acl show \
--name acl-ingress \
--resource-group myResourceGroup
Untuk menghapus ACL, Anda dapat menggunakan perintah ini:
az networkfabric acl delete \
--name acl-egress \
--resource-group myResourceGroup