基于上下文的限制示例
有了基于上下文的限制,账户所有者和管理员就可以根据访问请求的上下文来定义和执行对IBM Cloud®资源的访问限制。 对Cloud Databases资源的访问可通过基于上下文的限制以及身份和访问管理策略进行控制。 有关更多信息,请参阅 使用基于上下文的限制保护Cloud Databases资源。
使用Cloud Databases限制部署的流量允许列表
在此示例场景中,您使用基于上下文的限制来限制 in-che
区域内IBM Cloud® Databases for MySQL群集的流量,只允许 Cloud Databases Allowlist page 的子网集连接到您的部署。
在以下步骤中,首先创建一个包含子网的网络区域或允许列表。 然后,为部署创建基于上下文的限制规则。 创建规则时,要将其与包含单个 IP 地址的网络区域关联起来。
先决条件
在开始本教程之前,请确保您已创建或安装了以下资源和工具。
- IBM Cloud账户。 更多信息,请参阅 创建账户。
- Cloud Databases CLI plug-in- 与 Cloud Databases API 交互的 CLI 界面。 有关更多信息,请参阅 IBM Cloud CLI 入门。
- Cloud Databases部署。 有关更多信息,请参阅 预置。
- 查看“什么是基于上下文的限制”文档,了解网络区域和规则的概念。
- 查看“使用基于上下文的限制保护Cloud Databases资源”文档,了解如何为您的Cloud Databases资源利用 CBR。
在 CLI 中创建网络区域
从IBM Cloud目录提供服务 and choose your IP addresses from the Cloud Databases Allowlist page.
-
运行以下示例命令创建一个包含允许 IP 地址范围的网络。
ibmcloud cbr zone-create --addresses=169.38.95.127/27,169.38.121.159/28,169.38.132.127/25,169.38.136.255/26,169.38.73.151/29,169.38.105.79/29,10.162.8.127/26,10.163.20.127/25,10.162.115.103/29,10.162.132.79/29 --name=tutorial_zone
-
验证网络区域是否已创建。
ibmcloud cbr zones
在 CLI 中创建 CBR 规则
-
创建网络区域(允许列表)后,创建基于上下文的限制规则,并添加上一步创建的网络区域。 下面的示例创建了一条使用
data-plane
API 类型的规则。 将ZONE-ID
替换为在 步骤 1 中创建的tutorial_zone
网络区域的 ID。ibmcloud cbr rule-create --enforcement-mode enabled --context-attributes networkZoneId=<ZONE-ID> --resource-group-id <RESOURCE_GROUP_ID> --service-name databases-for-mysql --service-instance <SERVICE-INSTANCE> --api-types crn:v1:bluemix:public:context-based-restrictions::::api-type:data-plane --description <DESCRIPTION>
了解命令选项。
--context-attributes (string)
- 要添加到规则中的上下文。 一次只能输入一个
networkZoneId
字段。 可以重复此选项来添加多个网络区域。 如果需要用endpointType
指定networkZoneId
,请使用此选项。 --zone-id (string)
- 在未指定端点的情况下向上下文添加上下文属性
networkZoneId
的速记。 --resource-attributes (string)
- 为规则添加资源。
--resource-group-id (string)
- 创建IBM Cloud资源属性
resourceGroupId
的速记。 用于将规则限制为单个资源组。 --region (string)
- 创建IBM Cloud资源属性
region
的速记。 用于将规则限制在单个区域内。 --service-name (string)
- 创建IBM Cloud资源属性
serviceName
的速记。 --service-instance (string)
- 服务实例的 GUID,该服务实例是上下文的作用域。 如果上下文适用于多个服务实例,则可以省略此选项。 该选项与
--file
选项是排他的。
-
验证已创建规则。
ibmcloud cbr rules
测试基于上下文的限制
要测试基于上下文的限制设置,请尝试从网络区域中允许列出的 IP 地址以外的 IP 地址连接到部署。 通过这种设置,只有网络区域内的 IP 地址才能连接到您的部署。