Erişim Denetim Listesi Oluşturma ve Yapılandırma Örnekleri
Bu makalede Erişim Denetim Listeleri (ACLS) oluşturma ve güncelleştirme örnekleri verilmektedir.
ACL oluşturma akışına genel bakış
Ağdan Ağa Bağlantı (NNI) ile ilişkilendirilmiş bir Erişim Denetim Listesi (ACL) oluşturmak şu adımları içerir:
Bir Network Fabric kaynağı oluşturun ve buna bir NNI alt kaynağı ekleyin.
komutunu kullanarak
az networkfabric acl create
giriş ve çıkış ACL kaynakları oluşturun. Eşleştirme yapılandırmalarını ve ACL için varsayılan eylemi sağlayabilirsiniz. Dinamik eşleştirme yapılandırmalarını satır içinde veya Azure depolama hesabı blob kapsayıcınızda depolanan bir dosyada da sağlayabilirsiniz.komutunu kullanarak NNI kaynağını giriş ve çıkış ACL kimlikleriyle güncelleştirin
az networkfabric nni update
. ve--egress-acl-id
parametrelerinde--ingress-acl-id
geçerli ACL kaynak kimlikleri sağlamanız gerekir.komutunu kullanarak Network Fabric kaynağını sağlayın
az networkfabric fabric provision
. Bu, ACL'ler için temel yapılandırmayı ve dinamik eşleşme yapılandırmasını oluşturur ve bunları cihazlara gönderir.
ACL güncelleştirme akışına genel bakış
Önceki bölümde açıklandığı gibi kullanarak
az networkfabric acl create
giriş ve çıkış ACL kaynakları oluşturun.komutunu kullanarak giriş veya çıkış ACL'sini güncelleştirin
az networkfabric acl update
.ACL'nin yapılandırma durumunun olduğunu
accepted
doğrulayın.Doku yapılandırma durumunun olduğunu
accepted
doğrulayın.ACL'yi güncelleştirmek için Doku İşleme'yi yürütür.
Örnek komutlar
Ağdan Ağa Bağlantıda Erişim Denetimi listesi
Bu örnekte, biri giriş, diğeri çıkış için olmak üzere iki ACL ile NNI'nin nasıl oluşturulacağı gösterilmektedir.
Ağ Dokusu sağlanmadan önce ACL'lerin uygulanması gerekir. Bu sınırlama geçicidir ve gelecek sürümde kaldırılacaktır. Giriş ve çıkış ACL'leri NNI kaynağından önce oluşturulur ve NNI oluşturulduğunda başvurulur ve bu da ACL'lerin oluşturulmasını tetikler. Ağ dokusu sağlanmadan önce bu yapılandırma yapılmalıdır.
Giriş ACL'sini oluşturma: örnek komut
az networkfabric acl create \
--resource-group "example-rg"
--location "eastus2euap" \
--resource-name "example-Ipv4ingressACL" \
--configuration-type "Inline" \
--default-action "Permit" \
--dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
--match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"
Çıkış ACL'si oluştur: örnek komut
az networkfabric acl create \
--resource-group "example-rg" \
--location "eastus2euap" \
--resource-name "example-Ipv4egressACL" \
--configuration-type "File" \
--acls-url "https://ACL-Storage-URL" \
--default-action "Permit" \
--dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"
Yalıtım etki alanı dış ağında Erişim Denetimi Listesi
Komutunu kullanarak az networkfabric acl create
dış ağ için giriş ve çıkış ACL'leri oluşturun. Örnekte kaynak grubunu, adı, konumu, ağ dokusu kimliğini, dış ağ kimliğini ve diğer parametreleri belirteceğiz. ve --action
parametrelerini kullanarak --match
ACL kuralları için eşleştirme koşullarını ve eylemlerini de belirtebilirsiniz.
Bu komut, herhangi bir kaynaktan dış ağa ICMP trafiğine izin veren adlı acl-ingress
bir giriş ACL'sini oluşturur:
az networkfabric acl create \
--resource-group myResourceGroup \
--name acl-ingress \
--location eastus \
--network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
--external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
--match "ip protocol icmp" \
--action allow
az networkfabric externalnetwork update
Dış ağı kaynak grubu, ad ve ağ dokusu kimliğiyle güncelleştirmek için komutunu kullanın. Ve parametrelerini kullanarak --ingress-acl-id
--egress-acl-id
giriş ve çıkış ACL kimliklerini de belirtmeniz gerekir. Örneğin, aşağıdaki komut adlı dış ağı, adlı ext-net
giriş ACL'sine başvuracak şekilde acl-ingress
güncelleştirir:
az networkfabric externalnetwork update \
--resource-group myResourceGroup \
--name ext-net \
--network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
--ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress
Diğer örnek senaryolar ve komutlar
HTTP ve HTTPS dışındaki tüm trafiği reddeden bir NNI için çıkış ACL'sini oluşturmak için şu komutu kullanabilirsiniz:
az networkfabric acl create \
--name acl-egress \
--resource-group myResourceGroup \
--nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
--match "ip protocol tcp destination port 80 or 443" \
--action allow \
--default-action deny
Mevcut bir ACL'yi yeni bir eşleşme koşulu ve eylemi eklemek üzere güncelleştirmek için şu komutu kullanabilirsiniz:
az networkfabric acl update \
--name acl-ingress \
--resource-group myResourceGroup \
--match "ip protocol icmp" \
--action allow \
--append-match-configurations
Bir kaynak grubundaki tüm ACL'leri listelemek için şu komutu kullanabilirsiniz:
az networkfabric acl list --resource-group myResourceGroup
Belirli bir ACL'nin ayrıntılarını göstermek için şu komutu kullanabilirsiniz:
az networkfabric acl show \
--name acl-ingress \
--resource-group myResourceGroup
ACL'yi silmek için şu komutu kullanabilirsiniz:
az networkfabric acl delete \
--name acl-egress \
--resource-group myResourceGroup