IBM Cloud Docs
基于上下文的限制示例

基于上下文的限制示例

有了基于上下文的限制,账户所有者和管理员就可以根据访问请求的上下文来定义和执行对IBM Cloud®资源的访问限制。 对Cloud Databases资源的访问可通过基于上下文的限制以及身份和访问管理策略进行控制。 有关更多信息,请参阅 使用基于上下文的限制保护Cloud Databases资源

使用Cloud Databases限制部署的流量允许列表

在此示例场景中,您使用基于上下文的限制来限制 in-che 区域内IBM Cloud® Databases for MySQL群集的流量,只允许 Cloud Databases Allowlist page 的子网集连接到您的部署。

在以下步骤中,首先创建一个包含子网的网络区域或允许列表。 然后,为部署创建基于上下文的限制规则。 创建规则时,要将其与包含单个 IP 地址的网络区域关联起来。

先决条件

在开始本教程之前,请确保您已创建或安装了以下资源和工具。

在 CLI 中创建网络区域

从IBM Cloud目录提供服务 and choose your IP addresses from the Cloud Databases Allowlist page.

  1. 运行以下示例命令创建一个包含允许 IP 地址范围的网络。

    ibmcloud cbr zone-create --addresses=169.38.95.127/27,169.38.121.159/28,169.38.132.127/25,169.38.136.255/26,169.38.73.151/29,169.38.105.79/29,10.162.8.127/26,10.163.20.127/25,10.162.115.103/29,10.162.132.79/29 --name=tutorial_zone
    
  2. 验证网络区域是否已创建。

    ibmcloud cbr zones
    

在 CLI 中创建 CBR 规则

  1. 创建网络区域(允许列表)后,创建基于上下文的限制规则,并添加上一步创建的网络区域。 下面的示例创建了一条使用 data-plane API 类型的规则。 将 ZONE-ID 替换为在 步骤 1 中创建的 tutorial_zone 网络区域的 ID。

    ibmcloud cbr rule-create --enforcement-mode enabled --context-attributes networkZoneId=<ZONE-ID> --resource-group-id <RESOURCE_GROUP_ID> --service-name databases-for-mysql --service-instance <SERVICE-INSTANCE> --api-types crn:v1:bluemix:public:context-based-restrictions::::api-type:data-plane --description <DESCRIPTION>
    

    了解命令选项。

    --context-attributes (string)
    要添加到规则中的上下文。 一次只能输入一个 networkZoneId 字段。 可以重复此选项来添加多个网络区域。 如果需要用 endpointType 指定 networkZoneId,请使用此选项。
    --zone-id (string)
    在未指定端点的情况下向上下文添加上下文属性 networkZoneId 的速记。
    --resource-attributes (string)
    为规则添加资源。
    --resource-group-id (string)
    创建IBM Cloud资源属性 resourceGroupId 的速记。 用于将规则限制为单个资源组。
    --region (string)
    创建IBM Cloud资源属性 region 的速记。 用于将规则限制在单个区域内。
    --service-name (string)
    创建IBM Cloud资源属性 serviceName 的速记。
    --service-instance (string)
    服务实例的 GUID,该服务实例是上下文的作用域。 如果上下文适用于多个服务实例,则可以省略此选项。 该选项与 --file 选项是排他的。
  2. 验证已创建规则。

    ibmcloud cbr rules
    

测试基于上下文的限制

要测试基于上下文的限制设置,请尝试从网络区域中允许列出的 IP 地址以外的 IP 地址连接到部署。 通过这种设置,只有网络区域内的 IP 地址才能连接到您的部署。