Netzrichtlinien

Azure
AWS

Azure

Standardmäßig können Sie eine Verbindung zur NPSaaS-Datenbank herstellen oder eine Verbindung von der Datenbank zu einer beliebigen Einheit mit einer beliebigen IP-Adresse oder einem beliebigen Hostnamen herstellen. Mit der Funktion für Netzrichtlinien in der Webkonsole können Sie die Gruppe der IP-Adressen und Hostnamen steuern, zu denen Ihre NPSaaS-Datenbank eine Verbindung herstellen oder von denen aus sie eine Verbindung herstellen kann. Die Funktion für Netzrichtlinien wird nur unter Azure unterstützt.

Wenn Sie das Ziel einschränken möchten, das Ihre NPSaaS erreichen kann oder von dem aus sie erreicht werden kann, lesen Sie den Abschnitt Verbindungen nur von einer bestimmten Gruppe von Quellen mit den angegebenen IP-Adressen und Hostnamen zulassen.
Wenn Sie die Quellen beschränken möchten, die Ihre NPSaaS-Instanz erreichen können oder von denen aus die Instanz erreicht werden kann, lesen Sie den Abschnitt Verbindungen nur von lokalen Instanzen zulassen und Backups erstellen, Daten mithilfe von Cloud Object Store laden oder entladen.

Einschränkungen

Netzwerkrichtlinien unterstützen nur ' IPv4.
Netzrichtlinien können maximal 1000 Netzrichtlinien unterstützen.
Netzrichtlinien beschränken den Datenverkehr nur auf die NPSaaS-Datenbank. Sie gelten nicht für andere Komponenten wie die Webkonsole.

Formfaktoren

Netzrichtlinien werden definiert durch:

Mithilfe dieser Formfaktoren können Sie eine Netzrichtlinie als allow- oder block-Richtlinie erstellen.

Richtlinien blockieren und zulassen

Blockierungsrichtlinie

Gibt einen Richtlinientyp an, der Folgendes verhindert:

Verbindung zur NPSaaS-Datenbank über eine beliebige Einheit oder einen beliebigen Service herstellen.
Verbindung von der NPSaaS-Datenbank zu einer beliebigen Einheit oder einem beliebigen Service mit dem angegebenen Hostnamen oder einer IP-Adresse in dem durch CIDR angegebenen Bereich.

Richtlinie zulassen

Gibt eine Richtlinie an, die Ihnen Folgendes ermöglicht:

Verbindung zur NPSaaS-Datenbank über eine beliebige Einheit oder einen beliebigen Service herstellen.
Verbindung von der NPSaaS-Datenbank zu einer beliebigen Einheit oder einem beliebigen Service mit dem angegebenen Hostnamen oder einer IP-Adresse in dem durch CIDR angegebenen Bereich.

Sie können die Kombination von Zulassungs- und Blockierungsrichtlinien (deny) verwenden, um Verbindungen zur und von der NPSaaS-Datenbank auf die bereitgestellte Gruppe von IP-Adressen und Hostnamen zu beschränken.

Netzrichtlinien definieren

Netzrichtlinien mit Classless Inter-Domain Routing (CIDR) definieren

Mit NPSaaS können Sie einen Bereich von IP-Adressen mithilfe von Classless Inter-Domain Routing (CIDR) in Netzrichtlinien angeben.

Eine CIDR-Notation ist eine kompakte Darstellung einer IP-Adresse und der zugehörigen Netzmaske.

<ip_address>/<prefix_length>

Beispiel: 76.168.0.0/24 stellt IP-Adressen im Bereich von 76.168.0.0 und 76.168.0.62 dar.

0.0.0.0/0 ist ein Sonderfall einer CIDR-Notation, der zulässig ist. Verwenden Sie sie aus folgenden Gründen mit Vorsicht:

Wenn Sie 0.0.0.0/0 als Blockierungsrichtlinie verwenden, ist der gesamte Datenverkehr zu und von Ihrer NPSaaS-Datenbank eingeschränkt.
Wenn Sie 0.0.0.0/0 als Zulassungsrichtlinie verwenden, ist der gesamte Datenverkehr zu und von Ihrer NPSaaS-Datenbank zulässig.

Sie können CIDR-Bereiche verwenden, um öffentliche und private IP-Adressen darzustellen. Geräte oder Services, die sich in einem privaten oder Unternehmensnetz befinden, das private IP-Adressen verwendet, verfügen über Gateways. Diese Gateways verfügen normalerweise über Netzschnittstellen mit öffentlichen IP-Adressen, die eine Netzadressumsetzung (Network Address Translation, NAT) durchführen. Dadurch können Entitäten im privaten Netz eine Verbindung zu externen Services herstellen.

Sie müssen einen CIDR-Bereich verwenden, der nur die öffentlichen IP-Adressen von Gateways darstellt, wenn Sie allow- und block-Richtlinien festlegen.

Geben Sie keinen CIDR-Bereich an, der den Bereich für private IP-Adressen als Blockrichtlinien darstellt. Sie können die Funktionsweise der Datenbank beeinträchtigen.

Netzrichtlinien mit DNS-Hostnamen definieren

Mit NPSaaS können Sie DNS-Hostnamen in Netzrichtlinien angeben.

DNS-Hostnamen sind Namen, die Einheiten oder Services zugeordnet sind, die als ihre Netzidentität dienen, und die für die Verbindung mit ihnen verwendet werden. Ein Beispiel für einen DNS-Hostnamen ist cloud.ibm.com.

Wenn Sie einen DNS-Hostnamen in Richtlinien verwenden, löst der lokale DNS-Name den Hostnamen in eine einzelne statische IP-Adresse in der NPSaaS-Instanz auf, damit die Richtlinie effektiv funktioniert.

Wenn der Hostname in mehrere IP-Adressen aufgelöst wird oder wenn sich die zugewiesenen IP-Adressen ändern können (z. B. die Lastausgleichsfunktion), stellen Sie sicher, dass Sie den CIDR-Bereich dieser IP-Adressen in der Richtlinie und nicht den DNS-Hostnamen angeben.

DNS-Auflösung (Domänennamensserver)

Wenn Sie den DNS-Hostnamen in einer Richtlinie verwenden, versucht die Datenbank, die Domäne unter Verwendung des lokalen Namensservers auf dem Knoten aufzulösen. Wenn Sie Domänennamen verwenden, die normalerweise nicht von den lokalen Namensservern zwischengespeichert werden, z. B. einen Service, der nicht für den Cloudinfrastrukturprovider nativ ist oder vom Cloudinfrastrukturprovider bereitgestellt wird, können die lokalen Namensserver nicht in diesen Service aufgelöst werden.

In solchen Szenarios können Sie einen der folgenden Schritte ausführen:

Fügen Sie die IP-Adresse des DNS-Servers in der Zulassungsregel hinzu, damit die Datenbank den Hostnamen in seine IP-Adresse auflösen kann.
Geben Sie den vollständigen CIDR-Bereich an, der von der Einheit oder dem Service verwendet wird.

Reihenfolge der Auswertung von Netzrichtlinien

Die allow-Richtlinien werden zuerst ausgewertet. Anschließend werden die Richtlinien deny.

Während der Auswertung wird jede Richtlinie in der Reihenfolge ausgewertet, in der sie definiert sind (von der ersten bis zur letzten).

Die erste Regel, die der eingehenden oder abgehenden Verbindung entspricht, wird angewendet und nachfolgende Regeln werden für diese Verbindung ignoriert.

Beispiele für das Erstellen von Richtlinien finden Sie in Beispiele für Netzrichtlinien.

Netzrichtlinien erstellen und auflisten

Sie können Netzrichtlinien erstellen, wenn Sie zur Gruppe ADMINISTRATORS gehören.

Um bestehende Netzwerkrichtlinien in der NPSaaS Webkonsole zu erstellen und anzuzeigen, wählen Sie Verwaltung > Einstellungen > Netzwerkrichtlinien. Weitere Informationen zum Erstellen von Netzrichtlinien mit der Webkonsole finden Sie unter Netzrichtlinien mit der Webkonsole.

Beispiele

Es folgen Beispiele für die Anwendung von Netzrichtlinien.

Verbindungen nur von einer definierten Gruppe von Quellen mit den angegebenen IP-Adressen und Hostnamen zulassen

Führen Sie die folgenden Schritte aus, wenn Sie Verbindungen zur NPSaaS-Datenbank nur von Einheiten mit IP-Adressen in dem Bereich zulassen wollen, der durch CIDR-1, CIDR-2 und die Hostnamen H1 und H2 dargestellt wird, und wenn Sie Verbindungen aus anderen Quellen zurückweisen möchten.

Erstellen Sie die Richtlinien in der Reihenfolge von Rule 1 bis Rule 5.
```
Rule 1: CIDR-1    (allow)
Rule 2: CIDR-2    (allow)
Rule 3: H1        (allow)
Rule 4: H2        (allow)
Rule 5: 0.0.0.0/0 (deny)
```
Diese Regeln stellen sicher, dass Verbindungen mit Rule 1-4 abgeglichen werden, um festzustellen, ob sie zugelassen werden können. Wenn sie nicht zulässig sind, weist Rule 5 sie zurück.

Wenn ein Benutzer versucht, eine Verbindung zur NPSaaS-Datenbank mit den Hostnamen H1 und H2 herzustellen, versucht die Datenbank zunächst, den Hostnamen in seine IP-Adresse aufzulösen, um die Verbindung herzustellen. Da der DNS-Eintrag in der Datenbank möglicherweise nicht lokal zwischengespeichert wird, versucht die Datenbank, den Hostnamen mithilfe eines öffentlichen DNS-Servers aufzulösen. Die DNS-Suche schlägt fehl, da Regel 5 vorhanden ist. Daher schlägt der Verbindungsversuch fehl.
Fügen Sie den Hostnamen des öffentlichen autoritativen DNS-Servers oder CIDR (DNS-1) zu den Regeln für die erfolgreiche DNS-Suche hinzu.
```
Rule 1: CIDR-1    (allow)
Rule 2: CIDR-2    (allow)
Rule 3: H1        (allow)
Rule 4: H2        (allow)
Rule 5: DNS-1     (allow)
Rule 6: 0.0.0.0/0 (deny)
```
Die neue Regel wird als Regel allow (Regel 5) hinzugefügt.

Verbindungen nur von lokalen Systemen zulassen und Backups erstellen, Daten mithilfe von Cloud Object Store laden oder entladen

Wenn Sie möchten, dass Anwendungen oder Benutzer nur aus ihrem lokalen Netz eine Verbindung zu ihrer NPSaaS-Datenbank herstellen, führen Sie die folgenden Schritte aus:

Verwenden Sie ein öffentliches NAT-Gateway.

Das lokale Netz ist ein privates Unternehmensnetz, das einen privaten IP-Adressraum verwendet. Wenn die Anwendungen und Benutzer eine Verbindung zu Services außerhalb des lokalen Netzes herstellen möchten, müssen sie ein öffentliches NAT-Gateway verwenden.

Das öffentliche NAT-Gateway hat Schnittstellen mit öffentlichen IP-Adressen in einem Bereich, der durch CIDR-1 dargestellt wird, und ersetzt die Quellen-IP-Adresse der Instanzen im Unternehmensnetz durch eine der öffentlichen IP-Adressen des NAT-Gateway.

Daher sehen externe Anwendungen den gesamten Datenverkehr, der von einer der öffentlichen Schnittstellen des NAT-Gateways stammt, das durch CIDR-1 dargestellt wird.
Fügen Sie CIDR-1 als allow-Regel hinzu (Regel 1).
```
Rule 1: CIDR-1    (allow)
```
Fügen Sie eine Regel deny all (Regel 2) hinzu, um Verbindungen zu beschränken, die nur aus dem lokalen Netz stammen.
```
Rule 1: CIDR-1    (allow)
Rule 2: 0.0.0.0/0 (deny)
```
Stellen Sie Verbindungen von der Datenbank zu den entsprechenden Cloud Object Store-Endpunkten her (z. B. AWS S3 und Azure Blob Storage).

Sie müssen Endpunkte zur Liste "Erlaubt" hinzufügen, wenn Ihre Datenbankadministratoren Daten im Cloud Object Store sichern sollen und Entwickler externe Tabellen in Anwendungen zum Laden und Entladen von Daten verwenden sollen.

AWS-Endpunkt S3 zu Netzzulassungsrichtlinien hinzufügen

Wenn Sie beispielsweise ein Bucket in der us-east-1-Region haben und es zum Sichern und Laden und Entladen externer Tabellen verwenden möchten, führen Sie die folgenden Schritte aus:

Geben Sie den CIDR-Bereich an, der den vollständigen IP-Adressbereich darstellt, der dem Endpunkt S3 zugeordnet ist.

So rufen Sie die CIDR-Bereiche ab, die von den S3-Endpunkten in einer bestimmten AWS-Region verwendet werden:

Befolgen Sie die Anweisungen unter Wie finde ich die von Amazon S3 verwendeten IP-Adressbereiche?

curl https://ip-ranges.amazonaws.com/ip-ranges.json |\
    jq -r '.prefixes[] |
           select(.region=="us-east-1") |
           select(.service=="S3") |
           .ip_prefix'

18.34.0.0/19
54.231.0.0/16
52.216.0.0/15
18.34.232.0/21
3.5.0.0/19
44.192.134.240/28
44.192.140.64/28

Fügen Sie die CIDR-Bereiche zu den Zulassungslisten hinzu.

Rule 1: CIDR-1             (allow)
Rule 2: 18.34.0.0/19       (allow)
Rule 3: 54.231.0.0/16      (allow)
Rule 4: 52.216.0.0/15      (allow)
Rule 5: 18.34.232.0/21     (allow)
Rule 6: 3.5.0.0/19         (allow)
Rule 7: 44.192.134.240/28  (allow)
Rule 8: 44.192.140.64/28   (allow)
Rule 2: 0.0.0.0/0          (deny)

Die AWS S3 haben keine einzige IP-Adresse, die ihnen zugeordnet ist. Das Hinzufügen des Hostnamens des S3-Endpunkts zur Zulassungsliste kann zu inkonsistenten Ergebnissen führen.

Wenn Sie einen anderen AWS-Service verwenden oder eine Verbindung von einem anderen AWS-Service herstellen möchten, fügen Sie der Regel allow den CIDR-Bereich hinzu, der diesen entsprechenden Serviceendpunkten zugeordnet ist.

Gehen Sie wie folgt vor, um den CIDR-Bereich für verschiedene AWS-Services abzurufen:
- Befolgen Sie die Anweisungen hier.
- Fügen Sie sie nach Bedarf als Zulassungsregel hinzu.

Hinzufügen von Azure-BLOB-Speicherendpunkten zu Netzzulassungsrichtlinien.

Wenn Sie beispielsweise über Speicherkonten in der East US 2-Region mit Azure Blob Storage verfügen und sie zum Sichern, Laden und Entladen externer Tabellen verwenden möchten, führen Sie die folgenden Schritte aus:

Geben Sie den CIDR-Bereich an, der den vollständigen IP-Adressbereich darstellt, der dem Azure Blob Storage-Endpunkt zugeordnet ist.

So rufen Sie die CIDR-Bereiche ab, die von den Speicherendpunkten in einer bestimmten Azure-Region verwendet werden:

Befolgen Sie die Anweisungen der Azure " {: external}.

> $serviceTags = Get-AzNetworkServiceTag -Location eastus2
> $serviceTags.Values | Where-Object { $_.Name -like "Storage*" -and $_.Properties.Region -eq "eastus2" }

Name             : Storage.EastUS2
System Service   : AzureStorage
Region           : eastus2
Address Prefixes : {13.68.120.64/28, 13.77.112.16/28, 13.77.112.32/28, 13.77.112.112/28…}
Change Number    : 6

Name             : Storage.EastUS2Stage
System Service   : AzureStorage
Region           : eastus2
Address Prefixes : 137.116.2.64/27
Change Number    : 1

Fügen Sie die CIDR-Bereiche Ihren Zulassungslisten hinzu.

Rule 1: CIDR-1             (allow)
Rule 2: 13.68.120.64/28    (allow)
Rule 3: 13.77.112.16/28    (allow)
Rule 4: 13.77.112.32/28    (allow)
Rule 5: 13.77.112.112/28   (allow)
Rule 6: 137.116.2.64/27    (allow)
Rule 2: 0.0.0.0/0          (deny)

Wenn Sie einen anderen Azure-Service verwenden oder eine Verbindung von einem anderen Azure-Service herstellen möchten, fügen Sie zur Zulassungsregel den CIDR-Bereich hinzu, der diesen Serviceendpunkten zugeordnet ist. So rufen Sie den CIDR-Bereich für verschiedene Azure-Services ab:
- Folgen Sie den Anweisungen ab hier ' {: external}.
- Fügen Sie die CIDR-Bereiche nach Bedarf als Zulassungsregel hinzu.
Die Azure Blob Storage haben keine einzige IP-Adresse, die ihnen zugeordnet ist. Das Hinzufügen des Endpunkthostnamens zur Zulassungsliste kann zu inkonsistenten Ergebnissen führen.

AWS

Standardmäßig ist die NPSaaS-Datenbank von jedem Gerät mit jeder IP-Adresse zugänglich. Die neue AWS Netzwerkrichtlinien-Funktion für Ingress-Verbindungen ermöglicht es Ihnen jedoch, die IP-Adressen festzulegen und zu kontrollieren, die eine Verbindung zur NPSaaS-Datenbank herstellen dürfen, ähnlich wie die Funktion, die Azure-Netzwerkrichtlinien bieten.

Vorgehensweise zur Aktivierung

Um diese Funktion zu nutzen, müssen Sie ein Support-Ticket bei IBM erstellen und eine Liste von IPv4-Adressen oder -Bereichen im CIDR-Format bereitstellen, die in die Whitelist aufgenommen werden sollen.

Nach der Implementierung dieser Funktion wird jede IP-Adresse, die nicht in der Whitelist enthalten ist, für den Zugriff auf die NPSaaS-Datenbank gesperrt.

Einschränkungen

Unterstützt nur IPv4 Adressen oder Bereiche im CIDR-Format.
Es unterstützt nicht das Zulassen oder Blockieren von Egress-Verbindungen.
Beschränken Sie den Datenverkehr ausschließlich auf die NPSaaS-Datenbank und wenden Sie sie nicht auf andere Komponenten wie die Webkonsole an.