Příklady vytvoření a konfigurace seznamu řízení přístupu

  • Článek

Tento článek obsahuje příklady vytvoření a aktualizace seznamů řízení přístupu (ACLS).

Přehled toku vytvoření seznamu ACL

Vytvoření seznamu řízení přístupu (ACL) přidruženého k propojení mezi sítěmi (NNI) zahrnuje tyto kroky:

  • Vytvořte prostředek Network Fabric a přidejte do něj podřízený prostředek NNI.

  • Pomocí příkazu vytvořte prostředky az networkfabric acl create seznamu ACL pro příchozí a výchozí přenos dat. Můžete zadat konfigurace shody a výchozí akci seznamu ACL. Můžete také poskytnout konfigurace dynamické shody buď vložené, nebo v souboru uloženém v kontejneru objektů blob účtu úložiště Azure.

  • Pomocí příkazu aktualizujte prostředek NNI pomocí příchozího a výchozího az networkfabric nni update ID seznamu ACL. V parametrech --egress-acl-id a parametrech --ingress-acl-id musíte zadat platná ID prostředků seznamu ACL.

  • Pomocí příkazu zřiďte prostředek Síťové prostředky az networkfabric fabric provision infrastruktury. Tím se vygeneruje základní konfigurace a dynamická konfigurace shody pro seznamy ACL a odešle je do zařízení.

Přehled toku aktualizace seznamu ACL

  • Vytvořte prostředky seznamu ACL pro příchozí a výchozí přenos dat, az networkfabric acl create jak je popsáno v předchozí části.

  • Pomocí příkazu aktualizujte seznam ACL příchozího nebo výchozího az networkfabric acl update přenosu dat.

  • Ověřte, že je acceptedstav konfigurace seznamu ACL .

  • Ověřte, že stav konfigurace prostředků infrastruktury je accepted.

  • Spuštěním potvrzení prostředků infrastruktury aktualizujte seznam ACL.

Příklady příkazů

Seznam řízení přístupu v propojení mezi sítěmi

V tomto příkladu se dozvíte, jak vytvořit NNI se dvěma seznamy ACL – jeden pro příchozí přenos dat a druhý pro výchozí přenos dat.

Seznamy ACL se musí použít před zřízením síťových prostředků infrastruktury. Toto omezení je dočasné a bude odebráno v budoucí verzi. Příchozí a výchozí seznamy ACL se vytvoří před prostředkem NNI a odkazují se na něho při vytvoření NNI, což také aktivuje vytvoření seznamů ACL. Tato konfigurace se musí provést před zřízením síťových prostředků infrastruktury.

Vytvoření seznamu ACL příchozího přenosu dat: ukázkový příkaz

az networkfabric acl create \
    --resource-group "example-rg"
    --location "eastus2euap" \
    --resource-name "example-Ipv4ingressACL" \
    --configuration-type "Inline" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
    --match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"

Vytvoření seznamu ACL výchozího přenosu dat: ukázkový příkaz

az networkfabric acl create \
    --resource-group "example-rg" \
    --location "eastus2euap" \
    --resource-name "example-Ipv4egressACL" \
    --configuration-type "File" \
    --acls-url "https://ACL-Storage-URL" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"

Seznam řízení přístupu v externí síti domény izolace

az networkfabric acl create Pomocí příkazu vytvořte příchozí a výchozí seznamy ACL pro externí síť. V tomto příkladu určíme skupinu prostředků, název, umístění, ID síťového prostředku, ID externí sítě a další parametry. Můžete také zadat podmínky shody a akce pro pravidla seznamu ACL pomocí --match a --action parametrů.

Tento příkaz vytvoří seznam ACL příchozího přenosu dat, acl-ingress který umožňuje provoz protokolu ICMP z libovolného zdroje do externí sítě:

az networkfabric acl create \
    --resource-group myResourceGroup \
    --name acl-ingress \
    --location eastus \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
    --match "ip protocol icmp" \
    --action allow

az networkfabric externalnetwork update Pomocí příkazu aktualizujte externí síť pomocí skupiny prostředků, názvu a ID prostředků infrastruktury sítě. Pomocí parametrů a příchozího přenosu dat je také potřeba zadat IDENTIFIKÁTORy --ingress-acl-id ACL pro příchozí a --egress-acl-id výchozí přenos dat. Například následující příkaz aktualizuje externí síť pojmenovanou ext-net tak, aby odkazoval na seznam ACL příchozího přenosu dat s názvem acl-ingress:

az networkfabric externalnetwork update \
    --resource-group myResourceGroup \
    --name ext-net \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress

Další ukázkové scénáře a příkazy

Pokud chcete vytvořit výchozí seznam ACL pro NNI, který zakazuje veškerý provoz s výjimkou HTTP a HTTPS, můžete použít tento příkaz:

az networkfabric acl create \
    --name acl-egress \
    --resource-group myResourceGroup \
    --nni-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkInterfaces/myNni \
    --match "ip protocol tcp destination port 80 or 443" \
    --action allow \
    --default-action deny

Pokud chcete aktualizovat existující seznam ACL a přidat novou podmínku shody a akci, můžete použít tento příkaz:

az networkfabric acl update \
    --name acl-ingress \
    --resource-group myResourceGroup \
    --match "ip protocol icmp" \
    --action allow \
    --append-match-configurations

Pokud chcete zobrazit seznam všech seznamů ACL ve skupině prostředků, můžete použít tento příkaz:

az networkfabric acl list --resource-group myResourceGroup

Pokud chcete zobrazit podrobnosti konkrétního seznamu ACL, můžete použít tento příkaz:

az networkfabric acl show \
    --name acl-ingress \
    --resource-group myResourceGroup

Pokud chcete seznam ACL odstranit, můžete použít tento příkaz:

az networkfabric acl delete \
    --name acl-egress \
    --resource-group myResourceGroup