IBM Cloud Docs
Network Security Groups

Network Security Groups

IBM Power Virtual Server in IBM datenzentrum

Eine Netzwerksicherheitsgruppe (NSG) wird verwendet, um Sicherheitsregeln zu definieren, die bestimmten Netzwerkverkehr zulassen oder ablehnen, der mit Ressourcen zusammenhängt, die in einem IBM® Power® Virtual Server-Arbeitsbereich bereitgestellt werden. Sie können NSGs in der Power Virtual Server-Umgebung erstellen, um den Netzwerkverkehr zwischen Ressourcen in Power Virtual Server-Arbeitsbereichen zu überprüfen und zu filtern.

Die vorhandenen Workspaces können NSG-Unterstützung erst dann bieten, wenn das Rechenzentrum, in dem die Workspaces bereitgestellt werden, mit dem neuen Zählungscode aktiviert wurde. Der Zählcode muss auf dem Cloud Resource Name (CRN) basieren. Weitere Informationen über den Zeitplan für die Einführung finden Sie in den Versionshinweisen.

Sicherheitsregeln in NSG definieren, welcher eingehende oder eintretende Netzwerkverkehr Mitglieder erreichen darf oder nicht. Mitglieder sind eine oder mehrere Netzwerkschnittstellen (NIC) auf Subnetz- und VM-Ebene. Der gesamte ausgehende oder ausgehende Datenverkehr wird automatisch zugelassen.

Die Verwendung von NSGs in Ihrer Power Virtual Server-Umgebung bietet folgende Vorteile:

  • Verbessert die Sicherheit und die Verkehrskontrolle, um den unbefugten Zugriff auf VMs und Netzwerkressourcen einzuschränken
  • Unterstützt die Erstellung spezifischer Sicherheitsregeln basierend auf Quelle, Ziel, Port und Protokollen (TCP, UDP, ICMP und Any)
  • Keine zusätzlichen Kosten für die Nutzung von NSG; in Power Virtual Server-Arbeitsbereichen enthalten
  • Hat keine negativen Auswirkungen auf den Gesamtnetzwerkdurchsatz oder die Netzwerklatenz für NSG-Mitglieder

NSG-Komponenten

Sehen Sie sich die folgenden Themen an, um die Komponenten zu verstehen, die Teil der NSG-Implementierung sind:

Netzwerk-Adressgruppen

Eine Netzwerkadressgruppe (NAG) ist eine Sammlung von einem oder mehreren externen Netzwerkadressbereichen, wie z. B. Classless Inter-Domain Routing (CIDRs), die nicht direkt mit den bereitgestellten Netzwerkressourcen in Ihrem Power Virtual Server-Arbeitsbereich verknüpft sind. NAGs werden verwendet, um externe Netzwerkadressbereiche zu kategorisieren, wie z. B. solche, die über Transit Gateway oder nativ von PER zugänglich sind, wie z. B. IBM Cloud Private-Endpunkte.

NAGs werden in NSG-Regeln als Referenzpunkte verwendet, um die NSG-Implementierung zu vereinfachen, indem mehrere externe IP-Adressen, Subnetze oder virtuelle Netzwerksegmente unter einer einzigen Entität (NAG) zusammengefasst werden. Anstatt mehrere IP-Adressen oder Subnetze in einer NSG-Sicherheitsregel aufzulisten, können Sie auf eine NAG verweisen, um dieselbe Regel auf alle Adressen in dieser Gruppe anzuwenden.

Die Verwendung von NAGs bietet folgende Vorteile:

  • Vereinfacht die Verwaltung von NSG-Regeln für externe Netzwerkadressen
  • Reduziert die Komplexität, wenn Sie Sicherheitsrichtlinien auf mehrere Adressen anwenden
  • Verbessert die Skalierbarkeit, da Sie einem NAG neue IP-Adressen, Subnetze oder virtuelle Netzwerksegmente hinzufügen können, ohne die NSG-Regeln zu ändern

Member

Mitglieder sind eine oder mehrere Netzwerkschnittstellen, die in Ihrem Power Virtual Server-Arbeitsbereich bereitgestellt werden. Eine Netzwerkschnittstelle kann entweder anhand ihrer Ethernet-MAC-Adresse oder ihrer IPv4-Adresse identifiziert werden. Ein und dieselbe Netzwerkschnittstelle darf nicht als Mitglied zu zwei verschiedenen NSGs hinzugefügt werden, wobei eine die MAC-Adresse und die andere die IPv4-Adresse verwendet. Dies kann zu unerwartetem Verhalten führen.

NSGs sind eine Sammlung von Mitgliedern und Sicherheitsregeln. Weitere Informationen finden Sie in den Regeln.

Ein NSG-Mitglied kann nur einer einzigen NSG angehören. Eine bereitgestellte Netzwerkressource kann nicht gleichzeitig mehreren NSGs angehören.

Rules

Regeln oder Sicherheitsregeln definieren den eingehenden Netzwerkverkehr, der Mitglieder einer NSG erreichen darf oder nicht. Standardmäßig wird der gesamte eingehende Netzwerkverkehr abgelehnt und erreicht kein Mitglied einer NSG, es sei denn, es wurden ausdrücklich Sicherheitsregeln definiert. Weitere Informationen zum Definieren von Regeln für eingehenden Datenverkehr finden Sie unter Erstellen einer neuen Regel in einer NSG.

Der gesamte ausgehende Datenverkehr wird automatisch zugelassen.

Regeln für den Netzwerkverkehr und Vorrang in NSG

Sehen Sie sich die folgenden Themen an, um zu verstehen, wie Netzwerkverkehr und Sicherheitsregeln verarbeitet und priorisiert werden, wenn NSG in einem Power Virtual Server-Arbeitsbereich implementiert wird:

Reihenfolge der Regelauswertung

Die Reihenfolge, in der eine Regel eingehenden Netzwerkverkehr als zulässig oder unzulässig identifiziert, hängt von den folgenden Schlüsselfaktoren ab:

  • Ablehnungsregeln werden immer zuerst ausgewertet und haben höchste Priorität. Wenn eine Ablehnungsregel auf den Datenverkehr zutrifft, wird der Datenverkehr sofort blockiert und die Auswertung wird beendet, unabhängig von vorhandenen Zulassungsregeln.

  • Die Systemprozesse lassen Regeln erst zu, nachdem sie die Verarbeitung von Ablehnungsregeln abgeschlossen haben. Wenn keine Ablehnungsregeln übereinstimmen, fährt das System mit der Auswertung der Zulassungsregeln fort.

  • Wenn sich mehrere "Allow"-Regeln überschneiden, wird die erste übereinstimmende Regel in der Liste beachtet und angewendet. Überschneidungen von Regeln führen nicht zu Konflikten. Beispiel:

    • Regel A: TCP All zulassen.

    • Regel B: TCP Port 22 zulassen.

      Ergebnis: Je nachdem, welche Regel zuerst zutrifft, kann entweder die eine oder die andere Regel angewendet werden.

  • Datenverkehr, der keiner der Zulassungsregeln entspricht, wird standardmäßig abgelehnt, wobei die implizite Ablehnungsregel befolgt wird.

NAG-Vorrang bei der Verkehrszuordnung

Lesen Sie die folgenden Informationen, um zu verstehen, wie eingehender Netzwerkverkehr mit NAGs abgeglichen wird:

  • Eingehender Netzwerkverkehr wird mit dem spezifischsten CIDR in allen benutzerdefinierten NAGs abgeglichen. Wenn die Regeln "Zulassen" oder "Verweigern" für eine NAG ausgewertet werden, wird die Quell-IP-Adresse mit dem spezifischsten CIDR in einer benutzerdefinierten NAG und nicht mit der Standard-NAG (0.0.0.0/0) abgeglichen.

  • Wenn eine Quell-IP in eine spezifischere NAG fällt, muss sie über eine explizite NSG-Regel verfügen, die Netzwerkverkehr von dieser NAG zulässt.

  • Wenn in einem benutzerdefinierten NAG ein spezifischeres CIDR vorhanden ist, wird eingehender Datenverkehr nicht zugelassen, wenn auf das Standard-NAG (0.0.0.0/0) zurückgegriffen wird.

Nehmen wir zum Beispiel ein Remote-System und ein benutzerdefiniertes NAG mit der folgenden Konfiguration:

  • Remote-System mit der IP-Adresse 10.55.55.2.
  • Bestehende benutzerdefinierte NAG mit der CIDR 10.55.55.0/24.

Um Datenverkehr von 10.55.55.2 zuzulassen, muss eine NSG-Regel explizit Datenverkehr von der benutzerdefinierten NAG (10.55.55.0/24) zulassen. Dieser Datenverkehr stimmt nicht mit der Standard-NAG (0.0.0.0/0) überein.

Weitere Informationen zur Arbeit mit NAGs finden Sie unter "Erstellen und Verwalten von NAGs in einem Arbeitsbereich ".

Einrichten von Netzwerksicherheitsgruppen in einem Arbeitsbereich

Wenn Sie einen Arbeitsbereich in Ihrer Power Virtual Server-Umgebung bereitstellen, werden automatisch eine Standard-NSG und ein Standard-NAG erstellt, um eine bidirektionale Kommunikation zwischen den vorhandenen Netzwerkschnittstellen in diesem Arbeitsbereich zu ermöglichen.

Sehen Sie sich die folgenden Themen an, um die verschiedenen Aspekte der Einrichtung, Konfiguration und Verwaltung von NSGs zu verstehen:

Aktivieren oder Deaktivieren von NSG in einem Arbeitsbereich

Sie können die NSG-Funktion in PER- und erweiterten CRN-fähigen Arbeitsbereichen aktivieren oder deaktivieren. Sie können NSG jedoch nicht für vorherige, manuelle, VPN- oder Cloud Connection-Arbeitsbereiche aktivieren.

Um festzustellen, ob Ihr Power Virtual Server-Arbeitsbereich die Voraussetzungen für die Unterstützung von NSGs erfüllt, führen Sie den folgenden IBM Cloud-CLI-Befehl aus:

ibmcloud resource service-instance <WORKSPACE_CRN> -o json

Überprüfen Sie, ob die Eigenschaft resourceCRNs vorhanden ist und ihr Wert auf true gesetzt ist:

"extensions": {
            "resourceCRNs": true
        },

Um die NSG-Funktion in einem vorhandenen Arbeitsbereich zu aktivieren oder zu deaktivieren, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.
  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.
  3. Wählen Sie den Arbeitsbereich aus, in dem Sie die NSG-Funktion aktivieren oder deaktivieren möchten. Der Detailbereich des Arbeitsbereichs wird angezeigt.
  4. Stellen Sie die Funktion "Netzwerksicherheitsgruppen" auf "Aktiviert" oder "Deaktiviert ".

Wenn die NSG-Funktion in einem Arbeitsbereich aktiviert ist, wird automatisch eine Standard-NSG erstellt, die Mitglieder aller vorhandenen NIC-Anhänge im Arbeitsbereich mit zwei Regeln enthält. Die erste Regel erlaubt jegliche bidirektionale Kommunikation (Protocol=ALL) von anderen Mitgliedern in der "Standard"-NSG. Die zweite Regel erlaubt die gesamte bidirektionale Kommunikation (Protocol=ALL) mit dem "Standard"-NAG (0.0.0.0/0 Netzwerk-CIDR außerhalb des Arbeitsbereichs).

Die Standardregeln können gelöscht werden, um eine vollständige Isolierung zwischen Mitgliedern in derselben NSG sowie von externen Adressen zu erreichen. Wenn die Standardregeln gelöscht werden, wird der gesamte eingehende Datenverkehr standardmäßig abgelehnt. Um diese Regeln zu löschen, führen Sie die Schritte aus, die im Abschnitt "Regeln aus einer vorhandenen NSG löschen " aufgeführt sind.

Erstellen und Verwalten von NSGs in einem Arbeitsbereich

Sie können eine NSG in Ihrem Arbeitsbereich entweder mit der Standardkonfiguration erstellen, ohne Regeln oder Mitglieder hinzuzufügen, oder Sie können eine NSG mit definierten Eingangsregeln und Mitgliedern erstellen, die während der Erstellung der NSG hinzugefügt werden.

Erstellen einer NSG mit der Standardkonfiguration

Wenn Sie eine NSG in Ihrem Arbeitsbereich erstellen, müssen Sie nicht zwingend Sicherheitsregeln definieren oder Mitglieder zur NSG hinzufügen. Nachdem eine NSG mit Standardeinstellungen erstellt wurde, können Sie jedoch später Regeln und Mitglieder hinzufügen.

Standardmäßig wird der gesamte eingehende Netzwerkverkehr abgelehnt und erreicht kein Mitglied der Netzwerksicherheitsgruppe. Um eine NSG mit Standardkonfiguration zu erstellen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie einen Arbeitsbereich aus, in dem Sie die NSG erstellen möchten.

  4. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ". Die Seite "Netzwerksicherheitsgruppen" wird mit einer Liste der vorhandenen NSGs auf der Registerkarte "Netzwerksicherheitsgruppen" angezeigt.

  5. Klicken Sie auf Netzwerksicherheitsgruppe erstellen. Der Bereich "Netzwerk-Sicherheitsgruppe erstellen" wird angezeigt.

  6. Geben Sie im Abschnitt "Details" einen Namen für die Netzwerksicherheitsgruppe ein und klicken Sie auf "Weiter ". Um Regeln für die Sicherheit eingehender Verbindungen festzulegen und Mitglieder später zur NSG hinzuzufügen, klicken Sie auf "Weiter" > "Fertigstellen" > "Erstellen ".

Erstellen einer NSG mit Eingangsregeln und Mitgliedern

Um eingehenden Datenverkehr zuzulassen oder zu verweigern, müssen eingehende Regeln explizit definiert werden. Um eine NSG mit Eingangsregeln und Mitgliedern zu erstellen und zu definieren, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie einen Arbeitsbereich aus, in dem Sie die NSG erstellen möchten.

  4. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ". Die Seite "Netzwerksicherheitsgruppen" wird mit einer Liste der vorhandenen NSGs auf der Registerkarte "Netzwerksicherheitsgruppen" angezeigt.

  5. Klicken Sie auf Netzwerksicherheitsgruppe erstellen. Der Bereich "Netzwerk-Sicherheitsgruppe erstellen" wird angezeigt.

  6. Geben Sie im Abschnitt "Details" einen Namen für die Netzwerksicherheitsgruppe ein und klicken Sie auf "Weiter ".

  7. Klicken Sie im Abschnitt Eingehende Regeln (optional) auf Regel erstellen. Der Bereich "Regel erstellen" wird angezeigt.

  8. Wählen Sie eine der folgenden Aktionen aus:

    • Zulassen: Verwenden Sie diese Option, um Netzwerkverkehr von der angegebenen Remote-Verbindung zuzulassen.
    • Verweigern: Verwenden Sie diese Option, um Ausnahmen für den Datenverkehr zu erstellen, indem Sie die Zulassungsregeln außer Kraft setzen.

  9. Wählen Sie je nach Art des Datenverkehrs, den Sie kontrollieren möchten, eines der folgenden Protokolle aus:

    • Transmission Control Protocol (TCP ): Ideal für zuverlässigen, verbindungsorientierten Datenverkehr wie Web ( HTTP / HTTPS ), SSH, RDP, FTP und Datenbanken. Dieses Protokoll garantiert, dass alle gesendeten Pakete das Ziel erreichen und in der richtigen Reihenfolge ankommen.

    • User Datagram Protocol (UDP ): Ideal für Echtzeitkommunikation, schnellen und verbindungslosen Datenverkehr wie DNS, VoIP,-Netzwerküberwachung, Videostreaming und Gaming. Dieses Protokoll garantiert keine Zustellung, Reihenfolge oder Fehlerkorrektur.

    • Internet Control Message Protocol (ICMP ): Ideal für Netzwerkdiagnosen wie ping und traceroute. Im Gegensatz zu TCP oder UDP unterstützt ICMP keine Datenübertragung zwischen Anwendungen.

    • Beliebig: Ideal zum Erstellen von Regeln, die für jedes Protokoll über einen bestimmten Port oder eine Reihe von Ports gelten. Diese Option bietet jedoch keine Kontrolle über spezifische protokollbasierte Sicherheit.

  10. Führen Sie je nach dem Protokoll, das Sie im vorherigen Schritt aus der Liste ausgewählt haben, die folgenden Schritte aus:

  • TCP

    1. Remote: Wählen Sie eine Netzwerksicherheitsgruppe oder Netzwerkadressengruppe aus, um Datenverkehr für die Regel zuzulassen oder zu verweigern. Wenn die gewünschte Netzwerkadressgruppe nicht verfügbar ist, klicken Sie auf "Netzwerkadressgruppe erstellen ", um eine zu erstellen.

    2. Quellportbereich: Geben Sie den Portbereich an, aus dem der eingehende Datenverkehr stammt. Die gültige E-Mail-Adresse lautet 1–65535.

    3. Bereich der Zielports: Geben Sie den Bereich der Ports an, über die eingehender Datenverkehr empfangen wird. Die gültige E-Mail-Adresse lautet 1–65535.

    4. Erlaubt/Verweigert-Flags: Sie können die Option "Erweitert" verwenden, um ein oder mehrere TCP-Flags aus der Liste auszuwählen. Unterstützte Flaggen sind:

      • ack
      • fin
      • rst
      • syn

  • UDP

    1. Remote: Wählen Sie eine Netzwerksicherheitsgruppe oder Netzwerkadressengruppe aus, um Datenverkehr für die Regel zuzulassen oder zu verweigern. Wenn die gewünschte Netzwerkadressgruppe nicht angezeigt wird, klicken Sie auf "Netzwerkadressgruppe erstellen ", um eine zu erstellen.

    2. Quell-Port-Bereich: Geben Sie den Bereich der Ports an, von denen der eingehende Verkehr ausgeht. Die gültige E-Mail-Adresse lautet 1–65535.

    3. Bereich der Zielports: Geben Sie den Bereich der Ports an, über die eingehender Datenverkehr empfangen wird. Die gültige E-Mail-Adresse lautet 1–65535.

  • ICMP

    1. Remote: Wählen Sie eine Netzwerksicherheitsgruppe oder Netzwerkadressengruppe aus, um Datenverkehr für die Regel zuzulassen oder zu verweigern. Wenn die gewünschte Netzwerkadressgruppe nicht verfügbar ist, klicken Sie auf "Netzwerkadressgruppe erstellen ", um eine zu erstellen.

    2. ICMP-Nachrichtentyp: Wählen Sie den gewünschten Nachrichtentyp aus der Liste aus. Unterstützte Typen sind:

      • all
      • echo
      • echo-reply
      • source-quench
      • time-exceeded
      • destination-unreach

  • Beliebig

    1. Remote: Wählen Sie eine Netzwerksicherheitsgruppe oder Netzwerkadressengruppe aus, um Datenverkehr für die Regel zuzulassen oder zu verweigern. Wenn die gewünschte Netzwerkadressgruppe nicht verfügbar ist, klicken Sie auf "Netzwerkadressgruppe erstellen ", um eine zu erstellen.

  1. Klicken Sie auf Regel erstellen.

  2. Klicken Sie auf "Weiter ", um Mitglieder zur NSG hinzuzufügen.

  3. Klicken Sie im Abschnitt "Mitglieder (optional)" auf "Mitglied hinzufügen ". Vorhandene virtuelle Serverinstanzen, die Teil des Arbeitsbereichs sind, werden aufgelistet. Wenn keine virtuellen Server aufgeführt sind, können Sie einen erstellen, indem Sie die unter "Erstellen eines IBM Power Virtual Server" beschriebenen Schritte ausführen.

Durch das Hinzufügen von Mitgliedern zu einer Netzwerksicherheitsgruppe können Sie den eingehenden Netzwerkverkehr zu diesen Mitgliedern kontrollieren. Ein Mitglied kann jeweils nur einer Netzwerksicherheitsgruppe angehören.

  1. Wählen Sie die virtuelle Serverinstanz aus und klicken Sie auf Weiter. Eine Liste der Netzwerkschnittstellen, die zur virtuellen Serverinstanz gehören, wird angezeigt.

  2. Wählen Sie eine oder mehrere Netzwerkschnittstellen aus der Liste aus und klicken Sie auf "Mitglied hinzufügen ".

  3. Klicken Sie auf Beenden.

  4. Klicken Sie auf Erstellen. Die von Ihnen erstellte NSG finden Sie auf der Registerkarte "Netzwerksicherheitsgruppen ".

Nachdem die NSGs erstellt wurden, können Sie sie verwalten, indem Sie die folgenden Aktionen ausführen:

Umbenennung einer NSG

Um einen NSG umzubenennen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie den Arbeitsbereich aus, der die umzubenennende NSG enthält.

  4. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ". Die Seite "Netzwerksicherheitsgruppen" wird mit einer Liste der vorhandenen NSGs auf der Registerkarte "Netzwerksicherheitsgruppen" angezeigt.

  5. Klicken Sie auf das Überlaufmenü (Symbol mit 3 vertikalen Punkten) auf dem NSG-Eintrag, den Sie umbenennen möchten, und wählen Sie "Bearbeiten ". Der Detailbereich der Netzwerksicherheitsgruppe "Bearbeiten" wird angezeigt.

  6. Geben Sie einen neuen Namen für die NSG ein und klicken Sie auf Speichern.

Löschen einer NSG

Sie können nur die von Ihnen erstellten NSGs löschen, nicht aber die Standard-NSG, die erstellt wird, wenn die NSG-Funktion auf einem Arbeitsbereich Power Virtual Server aktiviert ist.

Um einen NSG zu löschen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie den Arbeitsbereich aus, der die zu löschende NSG enthält.

  4. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ". Die Seite "Netzwerksicherheitsgruppen" wird mit einer Liste der vorhandenen NSGs auf der Registerkarte "Netzwerksicherheitsgruppen" angezeigt.

  5. Klicken Sie auf das Überlaufmenü (Symbol mit 3 vertikalen Punkten) auf dem NSG-Eintrag, den Sie löschen möchten, und wählen Sie "Löschen" aus. Das Bestätigungsfenster der Lösch-Netzwerk-Sicherheitsgruppe wird angezeigt.

  6. Klicken Sie auf "Löschen ", um den Löschauftrag zu starten. Diese Aktion kann nicht rückgängig gemacht werden.

Wenn Sie einen Power Virtual Server-Arbeitsbereich löschen, werden auch alle NSGs in diesem Arbeitsbereich gelöscht.

Sie müssen alle NSGs und NAGs löschen, bevor Sie die NSG-Funktion über die CLI-, API- oder Terraform-Schnittstellen deaktivieren.

Erstellen und Verwalten von NAGs in einem Arbeitsbereich

NAGs sind Teil der Eingangsregeln, die den eingehenden Datenverkehr von Netzwerkadressen außerhalb Ihres Power Virtual Server-Arbeitsbereichs an Mitglieder einer NSG definieren. Da NAGs verwendet werden, um Netzwerkverkehr zu identifizieren, der außerhalb des Arbeitsbereichs Power Virtual Server liegt, können Sie NAGs in Ihrem Arbeitsbereich erstellen und CIDR-Mitglieder hinzufügen. Sie können bis zu 10 NAGs in einem einzigen Arbeitsbereich erstellen.

Um eine NAG zu erstellen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie den Arbeitsbereich, in dem Sie die NAG erstellen wollen.

  4. Klicken Sie im linken Navigationsbereich unter "Netzwerk" auf "Netzwerksicherheitsgruppen ". Der Bereich "Netzwerksicherheitsgruppen" wird angezeigt.

  5. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ". Die Seite "Netzwerksicherheitsgruppen" wird angezeigt.

  6. Wählen Sie die Registerkarte "Netzwerkadressgruppen" aus. Es wird eine Liste der vorhandenen NAGs angezeigt.

  7. Klicken Sie auf "Netzwerkadressgruppe erstellen ". Der Bereich "Netzwerkadressgruppe erstellen" wird angezeigt.

  8. Geben Sie einen Namen und optionale Benutzerkennungen für das NAG ein. In diesem Schritt können Sie optional Mitglieder hinzufügen, indem Sie externe IP-Adressen über CIDR hinzufügen. Beachten Sie, dass derselbe CIDR nicht in mehr als einem NAG verwendet werden kann. Befolgen Sie diese Richtlinien, um Mitglieder mithilfe von CIDR hinzuzufügen:

    • Sie müssen eine CIDR-Notation verwenden, die in den Dokumenten RFC 1518 und RFC 1519 definiert ist.
    • Das gültige CIDR-Format ist <IPv4 address>/<number>. Zum Beispiel steht 192.168.1.0/24 für den IP-Bereich von 192.168.1.0 — 192.168.1.255 und 10.0.0.0/16 für den IP-Bereich von 10.0.0.0—10.0.255.255.
    • Klicken Sie auf "Weitere hinzufügen ", um weitere Mitglieder hinzuzufügen.

    Sie können nicht mehr als drei Mitglieder hinzufügen, wenn Sie ein NAG erstellen. Nach der Erstellung des NAG können weitere Mitglieder hinzugefügt werden.

    Neben benutzerdefinierten NAGs steht zur Vereinfachung ein Standard-NAG zur Verfügung, das aus dem 0.0.0.0/0 CIDR besteht.

    IBM Cloud IaaS CIDR 161.26.0.0/16 kann verwendet werden, um private Endpunkte wie DNS, Linux®-Software-Repositorys und NTP zu identifizieren.
    CIDR 166.8.0.0/14 kann verwendet werden, um private Endpunkte wie IBM Cloud PaaS zu identifizieren, z. B. IBM Cloud Databases.

  9. Klicken Sie auf Gruppe erstellen.

Nachdem die NAGs erstellt wurden, können Sie sie verwalten, indem Sie die folgenden Aktionen ausführen:

Umbenennung eines NAG

Um eine NAG umzubenennen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie den Arbeitsbereich aus, der das umzubenennende NAG enthält.

  4. Klicken Sie im linken Navigationsbereich unter "Netzwerk" auf "Netzwerksicherheitsgruppen ".

  5. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ".

  6. Wählen Sie die Registerkarte "Netzwerkadressgruppen" aus. Es wird eine Liste der vorhandenen NAGs angezeigt.

  7. Klicken Sie auf das Überlaufmenü (Symbol mit 3 vertikalen Punkten) ganz rechts neben dem NAG-Eintrag, den Sie umbenennen möchten, und wählen Sie "Bearbeiten" aus. Der Bereich "Netzwerkadressgruppe bearbeiten" wird angezeigt.

  8. Geben Sie einen neuen Namen für die NAG ein und klicken Sie auf Speichern.

Löschen eines NAG

Um eine NAG zu löschen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie den Arbeitsbereich aus, der das zu löschende NAG enthält.

  4. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ".

  5. Wählen Sie die Registerkarte "Netzwerkadressgruppen" aus. Es wird eine Liste der vorhandenen NAGs angezeigt.

  6. Klicken Sie auf das Überlaufmenü (Symbol mit 3 vertikalen Punkten) neben dem NAG-Eintrag, den Sie löschen möchten, und wählen Sie "Löschen" aus. Das Bestätigungsfenster für die Netzwerkadressengruppe "Löschen" wird angezeigt.

  7. Klicken Sie auf "Löschen ", um den Löschauftrag zu starten. Diese Aktion kann nicht rückgängig gemacht werden.

Erstellen und Verwalten von Regeln für eingehende Nachrichten in einer NSG

Sie können eingehende Sicherheitsregeln in einer NSG verwalten, indem Sie die folgenden Vorgänge ausführen:

Erstellen einer Regel in einer NSG

Regeln können an zwei Punkten auf NSGs erstellt werden. Erstens, wenn Sie eine NSG erstellen, und zweitens zu einem späteren Zeitpunkt, indem Sie die Detailseite der Netzwerksicherheitsgruppe einer vorhandenen NSG erneut aufrufen. Um Regeln für NSGs zu erstellen, wenn Sie die NSG erstellen, führen Sie die Schritte im Abschnitt "Erstellen einer NSG mit Eingangsregeln und Mitgliedern " aus.

NSGs sind staatenlos und da der gesamte ausgehende Datenverkehr automatisch zugelassen wird, müssen Regeln für alle zurückgesendeten Pakete definiert werden, die von anderen NSGs oder NAGs an NSG-Mitglieder gesendet werden.

Um Regeln für eine vorhandene NSG zu erstellen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie den Arbeitsbereich aus, der die NSG enthält, in der Sie Regeln erstellen möchten.

  4. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ". Die Seite "Netzwerksicherheitsgruppen" wird mit einer Liste der vorhandenen NSGs auf der Registerkarte "Netzwerksicherheitsgruppen" angezeigt.

  5. Wählen Sie die NSG aus, in der Sie die Regel erstellen möchten. Die Details der Netzwerksicherheitsgruppe der ausgewählten NSG werden angezeigt.

  6. Klicken Sie im Abschnitt Eingehende Regeln auf Regel erstellen. Der Bereich "Regel erstellen" wird angezeigt.

  7. Führen Sie die Schritte im Abschnitt "Erstellen einer NSG mit Eingangsregeln und Mitgliedern " aus.

Klonregeln für eine vorhandene NSG

Um eine eingehende Regel mit derselben Konfiguration wie eine vorhandene eingehende Regel zu erstellen, können Sie die Regeln einer vorhandenen NSG klonen. Beachten Sie, dass nur die Regeln in einer NSG geklont werden können, nicht aber die Mitglieder. Wenn Sie eine vorhandene Regel klonen, werden alle Eigenschaften wie Aktion (Zulassen oder Ablehnen), Protokoll, Remote sowie Quell- und Zielportbereiche in die neue Regel kopiert. Der Klonprozess stellt sicher, dass alle Regeln in einer NSG übertragen werden, wenn ein Mitglied von einer NSG in eine andere verschoben wird.

Sie können auch die geklonten Eigenschaften einer Regel anpassen, um schnell und effizient eine andere Regel zu erstellen. Um eine bestehende Regel zu klonen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie den Arbeitsbereich aus, der die NSG mit den Regeln enthält, die Sie klonen möchten.

  4. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ". Die Seite "Netzwerksicherheitsgruppen" wird mit einer Liste der vorhandenen NSGs auf der Registerkarte "Netzwerksicherheitsgruppen" angezeigt.

  5. Wählen Sie die NSG aus, die die Regel enthält, die Sie klonen möchten. Die Detailseite der Netzwerksicherheitsgruppe der ausgewählten NSG wird angezeigt.

  6. Wählen Sie im Abschnitt "Eingehende Regeln" die Registerkarte (TCP, UDP, ICMP oder "Beliebig ") aus, die die zu klonende Regel enthält.

  7. Klicken Sie auf das Überlaufmenü (Symbol mit 3 vertikalen Punkten) auf dem Regeleintrag, den Sie klonen möchten, und wählen Sie "Duplizieren" aus. Der Bereich "Regel erstellen" wird angezeigt.

  8. Klicken Sie auf Regel erstellen. Die neue Regel wird mit genau derselben Konfiguration erstellt. Sie können auch eine Regel mit unterschiedlichen Konfigurationen erstellen, indem Sie die erforderlichen Änderungen vornehmen, bevor Sie auf "Regel erstellen" klicken.

Regeln aus einer vorhandenen NSG löschen

Um eine Regel aus einer vorhandenen NSG zu löschen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie den Arbeitsbereich aus, der die NSG mit der Regel enthält, die Sie löschen möchten.

  4. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ". Die Seite "Netzwerksicherheitsgruppen" wird mit einer Liste der vorhandenen NSGs auf der Registerkarte "Netzwerksicherheitsgruppen" angezeigt.

  5. Wählen Sie die NSG mit der Regel aus, die Sie löschen möchten. Die Detailseite der Netzwerksicherheitsgruppe der ausgewählten NSG wird angezeigt.

  6. Wählen Sie im Abschnitt "Eingehende Regeln" die Registerkarte (TCP, UDP, ICMP oder "Beliebig ") aus, die die zu löschende Regel enthält.

  7. Klicken Sie auf das Überlaufmenü (Symbol mit 3 vertikalen Punkten) auf dem Regeleintrag, den Sie klonen möchten, und wählen Sie "Löschen" aus. Das Bestätigungsfenster für die Regel der Löschgruppe für Netzwerksicherheit wird angezeigt.

  8. Klicken Sie auf "Löschen ", um den Löschauftrag zu starten. Diese Aktion kann nicht rückgängig gemacht werden.

Hinzufügen von Mitgliedern zu einer NSG und deren Verwaltung

Sie können Mitglieder, die mit einer NSG verbunden sind, verwalten, indem Sie die folgenden Vorgänge ausführen:

Hinzufügen von Mitgliedern zu einer Netzwerksicherheitsgruppe

Sie können Mitglieder zu einer NSG hinzufügen, um den eingehenden Netzwerkverkehr zu den zugehörigen Netzwerkschnittstellen zu kontrollieren.

Mitglieder können an zwei Punkten hinzugefügt werden. Erstens, wenn Sie eine NSG erstellen, und zweitens zu einem späteren Zeitpunkt, indem Sie die Detailseite der Netzwerksicherheitsgruppe einer vorhandenen NSG erneut aufrufen. Um einer NSG beim Erstellen Mitglieder hinzuzufügen, führen Sie die Schritte im Abschnitt "Erstellen einer NSG mit Eingangsregeln und Mitgliedern " aus.

Um Mitglieder zu einer bestehenden NSG hinzuzufügen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie den Arbeitsbereich aus, der die NSG enthält, um Mitglieder hinzuzufügen.

  4. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ". Die Seite "Netzwerksicherheitsgruppen" wird mit einer Liste der vorhandenen NSGs auf der Registerkarte "Netzwerksicherheitsgruppen" angezeigt.

  5. Wählen Sie die NSG aus, der Sie Mitglieder hinzufügen möchten. Die Detailseite der Netzwerksicherheitsgruppe der ausgewählten NSG wird angezeigt.

  6. Klicken Sie im Bereich "Mitglieder" auf "Mitglied hinzufügen ". Vorhandene virtuelle Serverinstanzen, die Teil des Arbeitsbereichs sind, werden aufgelistet. Wenn virtuelle Server nicht aufgeführt sind, können Sie einen virtuellen Server erstellen, indem Sie die unter "Erstellen eines IBM Power Virtual Server" beschriebenen Schritte ausführen.

Ein Mitglied kann jeweils nur einer Netzwerksicherheitsgruppe angehören.

  1. Wählen Sie die virtuelle Serverinstanz aus und klicken Sie auf Weiter. Vorhandene Netzwerkschnittstellen, die Teil der virtuellen Serverinstanz sind, werden angezeigt.
  2. Wählen Sie eine oder mehrere Netzwerkschnittstellen aus der Liste aus und klicken Sie auf "Mitglied hinzufügen ".
  3. Klicken Sie auf Erstellen.

Mitglieder aus einer NSG entfernen

Um Mitglieder zu entfernen, die mit einer NSG verbunden sind, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie die Benutzeroberfläche von Power Virtual Server in IBM Cloud.

  2. Klicken Sie im linken Navigationsmenü auf Arbeitsbereiche.

  3. Wählen Sie den Arbeitsbereich aus, der die NSG enthält, aus der Sie die Mitglieder entfernen möchten.

  4. Klicken Sie im Navigationsbereich auf "Netzwerk" > "Netzwerksicherheitsgruppen ". Die Seite "Netzwerksicherheitsgruppen" wird mit einer Liste der vorhandenen NSGs auf der Registerkarte "Netzwerksicherheitsgruppen" angezeigt.

  5. Wählen Sie die NSG aus, aus der Sie die Mitglieder entfernen möchten. Die Detailseite der Netzwerksicherheitsgruppe der ausgewählten NSG wird angezeigt.

  6. Klicken Sie im Mitgliederbereich auf das Löschsymbol neben dem Mitgliedseintrag, den Sie aus der NSG entfernen möchten. Das Bestätigungsfenster für die Mitgliedschaft in der Sicherheitsgruppe "Delete Network" wird angezeigt.

  7. Klicken Sie auf "Löschen ", um den Löschauftrag zu starten. Diese Aktion kann nicht rückgängig gemacht werden.

Wenn Sie eine Netzwerkschnittstelle oder ein Subnetz entfernen, das mit einer VM verbunden ist, wird die Netzwerkkarte auch von allen zugehörigen NSGs getrennt.

Quoten und Beschränkungen

NSGs haben in der Power Virtual Server-Umgebung die folgenden Einschränkungen:

  • In einem Arbeitsbereich können Sie nur 10 NSGs und 10 NAGs erstellen. Diese Quoten werden auf Rechenzentrumsebene festgelegt und können, vorbehaltlich der Standardgrenzen, über ein Support-Ticket erhöht werden.

Die Support-Tickets zur Erhöhung der Quote werden vom Kundensupport und von Power Virtual Server geprüft und liegen im Ermessen von IBM.

  • Ein Netzwerkport kann anhand der Ethernet-MAC-Adresse oder der IPv4-Adresse identifiziert werden. Ein einzelner Netzwerkport darf nicht zu zwei verschiedenen NSGs hinzugefügt werden, die zwei verschiedene Kennungen verwenden. Dies führt zu einem unbekannten Verhalten des Netzwerkverkehrs und ist keine unterstützte Konfiguration.

  • Ein Mitglied kann immer nur mit einem NSG verbunden sein.

  • Sie können einer NSG keine Mitglieder hinzufügen, wenn deren angeschlossene Netzwerkschnittstelle (NIC) eine öffentliche IP-Adresse zugewiesen ist. NSGs können nur auf private Netzwerke angewendet werden.

Sicherheitsaspekte

Wenn die NSG-Funktion in einem Power Virtual Server-Arbeitsbereich deaktiviert ist, erlaubt das System eine uneingeschränkte Kommunikation zwischen VMs und Subnetzen in diesem Arbeitsbereich. Wenn Sie die NSG-Funktion in einem Arbeitsbereich aktivieren, bleibt dieses Verhalten erhalten, aber Sie können den Netzwerkverkehr auch mit Sicherheitsregeln steuern, um bestimmte Anforderungen zu erfüllen.