Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece exemplos de como criar e atualizar ACLS (Listas de Controle de Acesso).
Visão geral do fluxo de criação de ACL
A criação de uma ACL (Lista de Controle de Acesso) associada a uma NNI (Interconexão rede a rede) envolve estas etapas:
Crie um recurso do Network Fabric e adicione um recurso filho NNI a ele.
Crie recursos de ACL de entrada e saída usando o
az networkfabric acl createcomando. Você pode fornecer configurações de correspondência e a ação padrão para a ACL. Você também pode fornecer configurações de correspondência dinâmica embutidas ou em um arquivo armazenado no contêiner de blob da conta de armazenamento do Azure.Atualize o recurso NNI com as IDs de ACL de entrada e saída usando o
az networkfabric nni updatecomando. Você precisa fornecer IDs de recurso de ACL válidas nos parâmetros e--egress-acl-idnos--ingress-acl-idparâmetros.Provisione o recurso do Network Fabric usando o
az networkfabric fabric provisioncomando. Isso gera a configuração base e a configuração de correspondência dinâmica para as ACLs e as envia para os dispositivos.
Visão geral do fluxo de atualização de ACL
Crie recursos de ACL de entrada e saída usando
az networkfabric acl createconforme descrito na seção anterior.Atualize a ACL de entrada ou saída usando o
az networkfabric acl updatecomando.Verifique se o estado de configuração da ACL é
accepted.Verifique se o estado de configuração da malha é
accepted.Execute a Confirmação do Fabric para atualizar a ACL.
Comandos de exemplo
Lista controle de acesso em uma interconexão rede a rede
Este exemplo mostra como criar uma NNI com duas ACLs : uma para entrada e outra para saída.
As ACLs devem ser aplicadas antes de provisionar o Network Fabric. Essa limitação é temporária e será removida na versão futura. As ACLs de entrada e saída são criadas antes do recurso NNI e referenciadas quando a NNI é criada, o que também dispara a criação das ACLs. Essa configuração deve ser feita antes de provisionar a malha de rede.
Criar ACL de entrada: comando de exemplo
az networkfabric acl create \
--resource-group "example-rg"
--location "eastus2euap" \
--resource-name "example-Ipv4ingressACL" \
--configuration-type "Inline" \
--default-action "Permit" \
--dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
--match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"
Criar ACL de saída: comando de exemplo
az networkfabric acl create \
--resource-group "example-rg" \
--location "eastus2euap" \
--resource-name "example-Ipv4egressACL" \
--configuration-type "File" \
--acls-url "https://ACL-Storage-URL" \
--default-action "Permit" \
--dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"
Lista de controle de acesso em uma rede externa de domínio de isolamento
Use o az networkfabric acl create comando para criar ACLs de entrada e saída para a rede externa. No exemplo, especificamos o grupo de recursos, o nome, o local, a ID da malha de rede, a ID da rede externa e outros parâmetros. Você também pode especificar as condições e as ações de correspondência para as regras de ACL usando os parâmetros e --action os --match parâmetros.
Esse comando cria uma ACL de entrada nomeada acl-ingress que permite o tráfego ICMP de qualquer fonte para a rede externa:
az networkfabric acl create \
--resource-group myResourceGroup \
--name acl-ingress \
--location eastus \
--network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
--external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
--match "ip protocol icmp" \
--action allow
Use o az networkfabric externalnetwork update comando para atualizar a rede externa com o grupo de recursos, o nome e a ID da malha de rede. Você também precisa especificar as IDs de ACL de entrada e saída usando os parâmetros e --egress-acl-id a --ingress-acl-id entrada. Por exemplo, o comando a seguir atualiza a rede externa nomeada ext-net para fazer referência à ACL de entrada chamada acl-ingress:
az networkfabric externalnetwork update \
--resource-group myResourceGroup \
--name ext-net \
--network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
--ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress
Mais exemplos de cenários e comandos
Para criar uma ACL de saída para um NNI que nega todo o tráfego, exceto HTTP e HTTPS, você pode usar este comando:
az networkfabric acl create \
--name acl-egress \
--resource-group myResourceGroup \
--nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
--match "ip protocol tcp destination port 80 or 443" \
--action allow \
--default-action deny
Para atualizar uma ACL existente para adicionar uma nova condição e ação de correspondência, você pode usar este comando:
az networkfabric acl update \
--name acl-ingress \
--resource-group myResourceGroup \
--match "ip protocol icmp" \
--action allow \
--append-match-configurations
Para listar todas as ACLs em um grupo de recursos, você pode usar este comando:
az networkfabric acl list --resource-group myResourceGroup
Para mostrar os detalhes de uma ACL específica, você pode usar este comando:
az networkfabric acl show \
--name acl-ingress \
--resource-group myResourceGroup
Para excluir uma ACL, você pode usar este comando:
az networkfabric acl delete \
--name acl-egress \
--resource-group myResourceGroup