Trabajar con conectividad saliente en Code Engine
La función de conexiones salientes de IBM Cloud® Code Engine permite definir puntos finales accesibles para sus proyectos de Code Engine mediante el uso de rangos de direcciones IP de destino permitidos para conexiones salientes en notación CIDR. Los destinos permitidos garantizan que el tráfico saliente se restrinja a las direcciones que usted defina como seguras. Por lo tanto, evita el acceso no deseado a Internet y mejora el cumplimiento y la seguridad.
Las reglas de conexión saliente no afectan a la comunicación interna del clúster: especificar conexiones salientes no impide que las aplicaciones de su proyecto de Code Engine o se comuniquen entre sí.
Su caso de uso puede determinar sus especificaciones de conexión saliente. Los casos de uso típicos son los siguientes:
-
Code Engine Especificar que no hay reglas (es decir, que no se permiten direcciones IP), si se supone que las aplicaciones de un proyecto no deben llegar a ningún punto final externo.
-
Especificar un único rango de direcciones IP de destino permitido (
0.0.0.0/0
) para permitir todos los puntos finales posibles. De forma predeterminada, hay una regla, llamada allow-all, establecida con un rango de IP de 0.0.0.0/0. -
Especificar una regla con un rango de direcciones IP de destino permitido que permita que la carga de trabajo dentro de su proyecto de Code Engine encia llegue solo a su rango especificado de puntos finales (por ejemplo, a su centro de datos local).
Puede crear conexiones salientes utilizando la consola o la CLI.
Gestión de rangos de direcciones IP de destino permitidos mediante la consola
Añadir un rango de direcciones IP de destino permitido para la conectividad saliente
Puede crear rangos de direcciones IP de destino permitidas para limitar los lugares a los que su carga de trabajo puede conectarse a través de una red externa.
- Vaya a la página Conectividad:
- Seleccione su proyecto en la página Proyectos de la consola de administración de proyectos(Code Engine ).
- Haga clic en Configuración del proyecto > Conectividad para ver una lista de los rangos de direcciones IP de destino permitidos existentes.
- Haga clic en Añadir para crear un rango de direcciones IP de destino permitido.
- Especifique un nombre.
- Proporcione un rango de direcciones IP en notación CIDR.
- Confirme su configuración.
Actualización de un rango de direcciones IP de destino permitido para la conectividad saliente
Puede cambiar los rangos de direcciones IP de destino permitidos para impedir que su carga de trabajo se conecte a puntos finales no deseados (por ejemplo, para conectarse a Internet pública).
- Vaya a la página Conectividad:
- Seleccione su proyecto en la página Proyectos de la consola de administración de proyectos(Code Engine ).
- Haga clic en Configuración del proyecto > Conectividad para ver una lista de los rangos de direcciones IP de destino permitidos existentes.
- Haga clic en la fila con el rango de direcciones IP de destino permitido que desea editar.
- Proporcione el rango de direcciones IP actualizado y guarde los cambios.
Cuando actualice las reglas de conectividad saliente, tenga en cuenta lo siguiente:
-
Los rangos de direcciones IP de destino permitidos no entran en conflicto; son aditivos. Cuando se definen varios rangos, los destinos permitidos crean una unión de todos los rangos especificados, de modo que el orden de adición de rangos no afecta a los destinos permitidos resultantes. Si añade un segundo rango que ya está cubierto por un rango existente, el sistema rechaza la creación por ser redundante.
-
Al especificar el rango de direcciones IP
0.0.0.0/0
se eliminan todas las reglas existentes y se abre la conectividad completa. -
Después de restringir las reglas de conectividad saliente, puede que su carga de trabajo tarde un tiempo en adoptar las reglas. Por ejemplo, si el cliente de HTTP que se utiliza en su código establece una conexión antes de que actualice la regla de conectividad saliente, puede abrir una conexión con ese punto final. Para asegurarse de que sus reglas de conectividad saliente se aplican inmediatamente, restablezca todas las conexiones. Puede restablecerlo redistribuyendo sus cargas de trabajo o gestionando dichas situaciones en su código.
-
Después de restringir las conexiones salientes de su proyecto de Code Engine, puede ver efectos secundarios no deseados, como la imposibilidad de ejecutar compilaciones porque no se pueden realizar solicitudes externas.
Eliminación de un rango de direcciones IP de destino permitido para la conectividad saliente
Puede eliminar rangos de direcciones IP de destino permitidos definidos anteriormente, si ya no desea que se definan para la conectividad saliente.
Al eliminar los rangos de direcciones IP de destino permitidos, se bloquea el tráfico saliente para las aplicaciones, funciones y trabajos de Code Engine dentro de un proyecto.
- Vaya a la página Conectividad:
- Seleccione su proyecto en la página Proyectos de la consola de administración de proyectos(Code Engine ).
- Haga clic en Configuración del proyecto > Conectividad para ver una lista de los rangos de direcciones IP de destino permitidos existentes.
- Vaya a la fila con el rango de direcciones IP de destino permitido que desea eliminar y haga clic en el icono de eliminar (papelera).
- Confirme la eliminación cuando se le solicite.
Gestión de rangos de direcciones IP de destino permitidos mediante la CLI
Para trabajar con rangos de direcciones IP de destino permitidos mediante comandos CLI, inicie sesión en su cuenta IBM Cloud y seleccione la cuenta Code Engine y el grupo de recursos.
Para los comandos CLI de conectividad de Code Engine, puede especificar los valores --cidr-name
y --cidr
. Siga estas pautas de CIDR:
- No utilice un rango de IP de los rangos de IP reservados.
- No utilice valores duplicados de
--cidr-name
y--cidr
. - No utilice un nombre CIDR no admitido.
- No utilice un rango de direcciones IP no soportado. Siga la notación CIDR.
Añadir un rango de direcciones IP de destino permitido para la conectividad saliente
Puede crear rangos de direcciones IP de destino permitidas para limitar los lugares a los que su carga de trabajo puede conectarse a través de una red externa.
-
Seleccione su proyecto de e Code Engine. Por ejemplo:
ibmcloud ce project select --name myproject
-
Cree un rango de direcciones IP de destino permitido especificando las opciones
--cidr-name
y--cidr
. Proporcione un nombre y una dirección IP válidos. Consulte estos ejemplos:ibmcloud ce connectivity outbound create --cidr-name mycidr1 --cidr 192.68.5.0/24 ibmcloud ce connectivity outbound create --cidr-name mycidr2-allow-all --cidr 0.0.0.0/0 ibmcloud ce connectivity outbound create --cidr-name mycidr2-allow-all --cidr 0.0.0.0/0 --force
Mostrar los rangos de direcciones IP de destino permitidos existentes para la conectividad saliente
Para mostrar un rango de direcciones IP de destino específico permitido, especifique el nombre CIDR. Por ejemplo:
ibmcloud ce connectivity outbound get --cidr-name mycidr
Para mostrar todos los rangos de direcciones IP de destino permitidos, ejecute:
ibmcloud ce connectivity outbound list
Actualización de un rango de direcciones IP de destino permitido para la conectividad saliente
Puede cambiar los rangos de direcciones IP de destino permitidos para impedir que su carga de trabajo se conecte a puntos finales no deseados (por ejemplo, para conectarse a la Internet pública).
Actualizar un rango de direcciones IP de destino permitido especificando las opciones --cidr-name
y --cidr
. Proporcione un nombre y una dirección IP válidos. Consulte estos ejemplos:
ibmcloud ce connectivity outbound update --cidr-name mycidr1 --cidr 192.68.5.0/24
ibmcloud ce connectivity outbound update --cidr-name mycidr2-allow-all --cidr 0.0.0.0/0
Are you sure you want to update an allowed destination IP address range with '0.0.0.0/0'?, It will remove all other entries [y/N]>
ibmcloud ce connectivity outbound update --cidr-name mycidr2-allow-all --cidr 0.0.0.0/0 --force
Cuando actualice las reglas de conectividad saliente, tenga en cuenta lo siguiente:
-
Los rangos de direcciones IP de destino permitidos no entran en conflicto; son aditivos. Cuando se definen varios rangos, los destinos permitidos crean una unión de todos los rangos especificados, de modo que el orden de adición de rangos no afecta a los destinos permitidos resultantes. Si añade un segundo rango que ya está cubierto por un rango existente, el sistema rechaza la creación por ser redundante.
-
Al especificar el rango de direcciones IP
0.0.0.0/0
se eliminan todas las reglas existentes y se abre la conectividad completa. -
Incluso después de restringir las reglas de conectividad saliente, puede que su carga de trabajo tarde un tiempo en adoptar las reglas. Por ejemplo, si el cliente de HTTP que se utiliza en su código establece una conexión antes de que actualice la regla de conectividad saliente, puede abrir una conexión con ese punto final. Para asegurarse de que sus reglas de conectividad saliente se aplican inmediatamente, restablezca todas las conexiones. Puede restablecerlo redistribuyendo sus cargas de trabajo o gestionando dichas situaciones en su código.
-
Después de restringir las conexiones salientes de su proyecto de Code Engine, puede ver efectos secundarios no deseados, como la imposibilidad de ejecutar compilaciones porque no se pueden realizar solicitudes externas.
Eliminación de un rango de direcciones IP de destino permitido para la conectividad saliente
Puede eliminar rangos de direcciones IP de destino permitidos definidos anteriormente, si ya no desea que se definan para la conectividad saliente.
Al eliminar los rangos de direcciones IP de destino permitidos, se bloquea el tráfico saliente para las aplicaciones, funciones y trabajos de Code Engine dentro de un proyecto.
Para eliminar un rango de direcciones IP de destino permitido con confirmación, especifique el nombre CIDR. Por ejemplo:
ibmcloud ce connectivity outbound delete --cidr-name mycidr
Para eliminar un rango de direcciones IP de destino permitido de forma forzada (es decir, sin confirmación), ejecute:
ibmcloud ce connectivity outbound delete --cidr-name mycidr --force