Ajout et suppression de filtres de préfixe
Le filtrage des préfixes permet de définir une liste ordonnée de filtres d'itinéraires préfixes pour une connexion de passerelle de transit.
Avant de commencer
Avant de créer un filtre de préfixe, veillez à prendre en compte les considérations suivantes :
- Seuls les utilisateurs du compte qui contient le réseau peuvent filtrer les préfixes de ce réseau.
- Vous ne pouvez pas filtrer les préfixes entrants d'un autre compte.
- Les filtres de préfixe de la liste sont traités de manière séquentielle. Vous pouvez modifier l'ordre à tout moment.
- Consultez les limites de service de préfixe pour les passerelles Transit Gateway.
- Pour les connexions sur plusieurs comptes, seul le propriétaire du compte de la connexion concernée peut modifier les filtres de préfixe. Les autres comptes peuvent voir la connexion, mais ne peuvent pas modifier les filtres.
- Les configurations de tunnel GRE ne sont pas implémentées en tant que connexions. Au lieu de cela, leurs routes sont apprises directement sur les sessions BGP qui sont établies sur le tunnel. Par conséquent, le filtrage des préfixes n'est pas activé pour ces connexions.
- Si vous sélectionnez l'option Demander une connexion à un réseau dans un autre compte, vous ne pouvez pas définir de filtres de préfixe car vous n'êtes pas le propriétaire du réseau de la connexion. Définir le filtre de préfixe sur le compte qui possède la connexion.
- Les masques de sous-réseau des filtres de préfixe sont spécifiques. Par exemple, une règle définie comme
10.10.20.0/24
ne correspond pas au sous-réseau10.10.20.0/28
ou à tout autre préfixe de sous-réseau.
Travailler avec des filtres de préfixes dans l'interface utilisateur
Vous pouvez ajouter des filtres de préfixe lorsque vous ajoutez une nouvelle connexion. Vous pouvez également ajouter un filtre à une connexion existante ou en supprimer.
Ajout de filtres de préfixe à une nouvelle connexion
Pour ajouter un filtre de préfixe à une nouvelle connexion dans l'interface utilisateur, procédez comme suit :
-
Depuis votre navigateur, ouvrez la console IBM Cloud et connectez-vous à votre compte.
-
Sélectionnez l'icône
navigation en haut à gauche, puis cliquez sur Infrastructure > Réseau > Transit Gateway.
-
Sur la page Transit Gateway, cliquez sur le nom de la passerelle dans laquelle vous souhaitez ajouter des filtres de préfixe.
-
Dans la page des détails de la passerelle, cliquez sur Ajouter une connexion.
-
Entrez les informations suivantes :
Prenez connaissance des considérations relatives à la configuration requise de la rubrique Planification pour Transit Gateway.
-
Choisissez une connexion réseau. Vous pouvez sélectionner les types de connexion suivants :
-
Les réseaux d'infrastructure classique vous permettent de vous connecter aux ressources classiques d'IBM Cloud. Une seule connexion d'infrastructure classique est autorisée par compte.
-
Les réseaux VPC peuvent contenir des ressources de calcul pour vous permettre de vous connecter aux ressources VPC de votre compte ou, avec approbation, aux ressources VPC d'un autre compte.
-
Direct Link crée une connexion réseau à destination et en provenance de Direct Link 2.0 gateways, de sorte qu'il existe une connexion sécurisée avec les réseaux sur site et les autres ressources connectées à la passerelle de transit.
Si vous sélectionnez Direct Link vous devez également vous connecter à la console Direct Link (qui utilise le même compte IBM Cloud ) et spécifier Transit Gateway comme type de connexion réseau pour votre lien direct. Vous pouvez spécifier le type de connexion lorsque vous créez un lien direct ou une fois que votre lien direct a été mis à disposition. Pour obtenir des instructions, voir Mise à jour du type de connexion réseau.
-
Power Virtual Server crée une connexion réseau vers et depuis une instance Power Virtual Server afin que le réseau et les ressources Power Virtual Server puissent se connecter aux réseaux et autres ressources connectés à la passerelle Transit Gateway.
Si vous sélectionnez Power Virtual Server, un espace de travail Power Systems Virtual Server doit être créé dans un centre de données compatible PER. Pour obtenir la liste des centres de données activés par PER, voir Initiation au routeur Power Edge.
-
-
Pour la portée de la connexion, sélectionnez l'une des options suivantes :
- Ajouter une nouvelle connexion dans ce compte -Entrez un nom de connexion facultatif.
- Demande de connexion à un réseau dans un autre compte -Entrez l'ID IBM Cloud du compte qui gère le réseau auquel vous souhaitez vous connecter, ainsi qu'un nom de connexion. Toutes les ressources connectées à cette passerelle de transit sont accessibles depuis l'autre réseau.
-
Complétez toutes les autres informations requises pour votre connexion.
-
-
Vous pouvez éventuellement créer des filtres de préfixe pour autoriser ou refuser des routes spécifiques sur des connexions spécifiques.
Pour commencer, développez la flèche en haut à droite de la section Filtrage des préfixes. Ensuite, fournissez les informations suivantes :
-
Ajustez le Filtre par défaut selon vos besoins. Vos options sont les suivantes :
- Autoriser les préfixes (valeur par défaut) accepte tous les préfixes après le traitement des entrées de la liste de filtres de préfixe.
- Refuser les préfixes refuse tous les préfixes après le traitement des entrées de la liste de filtres de préfixe.
Quel que soit le paramètre par défaut, vous pouvez toujours autoriser ou refuser le trafic réseau en créant des filtres de préfixe.
-
Pour créer un filtre de préfixe, sélectionnez Créer un filtre de préfixe, puis fournissez les informations suivantes :
- Sélectionnez un type d'action : Autoriser ou Refuser.
- Entrez le préfixe réseau avec son masque de sous-réseau (par exemple,
10.0.0.0/16
). - Si vous le souhaitez, vous pouvez indiquer si le réseau doit être supérieur ou égal au masque de sous-réseau que vous avez choisi.
- Cliquez sur Sauvegarder pour ajouter le filtre de préfixe.
Les connexions sont refusées ou autorisées en fonction de l'ordre des filtres dans la liste. Modifiez la liste des filtres de préfixe pour ajuster l'ordre dans lequel les préfixes sont traités.
-
-
Dans la page Ajouter une connexion, cliquez sur Ajouter pour finaliser la connexion à l'aide des filtres de préfixe.
Ajout de filtres de préfixe à une connexion existante
Pour ajouter le filtrage des préfixes à une connexion existante dans l'interface utilisateur, procédez comme suit :
-
Sur la page Transit Gateway, cliquez sur le nom de la passerelle dans laquelle vous souhaitez ajouter des filtres de préfixe.
-
L'icône de filtrage des préfixes
indique si une connexion possède déjà des filtres de préfixe. Cliquez sur Afficher en regard de Filtres de préfixe pour afficher la liste des filtres de préfixe.
Pour modifier un filtre de préfixe existant, cliquez sur le menu Actions
et sélectionnez Filtrage des préfixes.
-
Si la connexion ne dispose pas de filtres de préfixe existants, cliquez sur le menu Actions
et sélectionnez Filtrage des préfixes.
-
Ajustez le filtre par défaut selon vos besoins. Vos options sont les suivantes :
- Autoriser les préfixes (valeur par défaut) indique que tous les préfixes de cette connexion sont accessibles à toutes les autres connexions de cette passerelle Transit Gateway. Dans ce cas, "tous" signifie jusqu'au quota et aux limites qui ont été établis.
- Refuser les préfixes (valeur par défaut) indique qu'aucun préfixe de cette connexion n'est accessible à une autre connexion de cette passerelle Transit Gateway.
-
Cliquez sur Créer un filtre de préfixe, puis configurez le filtre avec les options suivantes :
- Sélectionnez une action.
- Entrez le préfixe réseau avec le masque de sous-réseau.
- En option, saisissez des valeurs si le réseau doit être supérieur ou égal à un masque de sous-réseau souhaité.
- Ajustez l'ordre des filtres dans la table de routage si nécessaire, puis cliquez sur Enregistrer.
Suppression de filtres de préfixe
Pour supprimer un filtre de préfixe pour une connexion existante dans l'interface utilisateur, procédez comme suit :
-
Dans la page des détails de la passerelle Transit Gateway, identifiez la connexion dans laquelle vous souhaitez supprimer des filtres de préfixe.
L'icône de filtrage des préfixes
indique si une connexion possède déjà des filtres de préfixe.
-
Cliquez sur le menu Actions de la connexion
et sélectionnez Filtrage des préfixes.
-
Cliquez sur le menu Actions
en regard du filtre de préfixe que vous souhaitez supprimer. Cliquez ensuite sur Supprimer.
-
Cliquez sur Supprimer le filtre de préfixe pour confirmer la suppression.
Travailler avec des filtres de préfixes à partir de l'interface de gestion
Vous pouvez ajouter des filtres de préfixe lorsque vous ajoutez une nouvelle connexion à l'aide de la CLI. Vous pouvez également les supprimer.
Ajouter des filtres de préfixe à partir de l'interface de gestion
Pour ajouter des filtres de préfixe à partir de l'interface de ligne de commande, procédez comme suit :
ibmcloud tg prefix-filter-create GATEWAY_ID CONNECTION_ID --prefix PREFIX --action ACTION [--le LE] [--ge GE] [--before BEFORE] [--output json]
Où :
-
GATEWAY_ID : ID de la passerelle à laquelle le filtre de préfixe est appliqué.
-
CONNECTION_ID : ID de la connexion à laquelle le filtre de préfixe est appliqué.
-
--prefix : préfixe réseau auquel le filtre sera appliqué.
-
--action : action à effectuer sur le préfixe spécifié (
permit
|deny
). -
--le : (Facultatif) le filtre de préfixe est appliqué à un masque de sous-réseau inférieur ou égal à cette valeur.
-
--ge : (Facultatif) le filtre de préfixe est appliqué à un masque de sous-réseau supérieur ou égal à cette valeur.
-
--before : (Facultatif) identificateur du filtre de préfixe avant lequel ce filtre doit être appliqué. S'il est vide, ce filtre est appliqué en dernier.
-
- -sortie: Facultatif : Indiquez si vous souhaitez que la sortie s'affiche au format JSON.
Exemple : Création d'un filtre de préfixe
Voici un exemple de création d'un filtre de préfixe à partir de l'interface de ligne de commande:
ibmcloud tg pfc 9f559c43-63f4-4da5-b312-b525a8dce185 6c1bdc19-4adb-4760-8cdc-ef3b74b626f7 --prefix 10.0.250.0/24 --action permit --le 32 --ge 28
FilterID b4dbe0a6-c52d-4128-cc32-6f53d86bc82b
Prefix 10.0.250.0/24
Action permit
Ge 28
Le 32
Before
Created 2022-02-28T12:35:09.226-06:00
Updated 2022-02-28T12:35:09.226-06:00
Suppression des filtres de préfixes à partir de la CLI
Pour supprimer les filtres de préfixe à partir de la CLI, procédez comme suit :
ibmcloud tg prefix-filter-delete GATEWAY_ID CONNECTION_ID FILTER_ID [-f, --force]
Où :
-
GATEWAY_ID : ID de la passerelle dans laquelle le filtre de préfixe sera supprimé.
-
CONNECTION_ID : ID de la connexion dans laquelle le filtre de préfixe sera supprimé.
-
FILTER_ID : ID du filtre de préfixe qui est supprimé.
-
--force, -f : forcer l'opération de suppression sans confirmation.
Exemple : Suppression d'un filtre de préfixe
Voici un exemple de suppression d'un filtre de préfixe à partir de la CLI.
ibmcloud tg pfd 9f559c43-63f4-4da5-b312-b525a8dce185 6c1bdc19-4adb-4760-8cdc-ef3b74b626f7 b4dbe0a6-c52d-4128-cc32-6f53d86bc82b
This deletes filter b4dbe0a6-c52d-4128-cc32-6f53d86bc82b on gateway 9f559c43-63f4-4da5-b312-b525a8dce185 connection 6c1bdc19-4adb-4760-8cdc-ef3b74b626f7 and can't be undone. Continue [y/N] ?> Y
Deleting filter b4dbe0a6-c52d-4128-cc32-6f53d86bc82b on gateway 9f559c43-63f4-4da5-b312-b525a8dce185 connection 6c1bdc19-4adb-4760-8cdc-ef3b74b626f7 under account bbstsdv1 - IBM as user Hasan.Mahmood.Khan@ibm.com...
OK
Filter b4dbe0a6-c52d-4128-cc32-6f53d86bc82b is deleted.
Utilisation des filtres de préfixe avec l'API
Vous pouvez ajouter des filtres de préfixe lorsque vous établissez une connexion avec l'API. Vous pouvez également les supprimer.
Ajouter des filtres de préfixe avec l'API
Pour ajouter un filtre de préfixe à une connexion avec l'API, procédez comme suit:
-
Configurez votre environnement d'API.
-
Stockez toutes les variables supplémentaires à utiliser dans les commandes de l'API.
-
Lorsque toutes les variables sont initiées, ajoutez des filtres de préfixe. Exemple :
curl -X POST --location --header "Authorization: Bearer {iam_token}" \ --header "Accept: application/json" \ --header "Content-Type: application/json" \ --data '{ "location": "us-south", "name": "Transit_Service_BWTN_SJ_DL" }' \ "{base_url}/transit_gateways?version={version}"
Pour plus d'informations, voir Ajout d'un filtre de préfixe à une connexion Transit Gateway dans la référence d'API Transit Gateway.
Suppression des filtres de préfixes avec l'API
-
Configurez votre environnement d'API.
-
Stockez toutes les variables supplémentaires à utiliser dans les commandes de l'API.
-
Lorsque toutes les variables sont initiées, ajoutez des filtres de préfixe. Exemple :
curl -X DELETE --location \ --header "Authorization: Bearer {iam_token}" \ "{base_url}/transit_gateways/{transit_gateway_id}/connections/{id}/prefix_filters/{filter_id}?version={version}"
Pour plus d'informations, voir Suppression d'un filtre de préfixe de Transit Gateway Connection dans la référence d'API Transit Gateway.
Travailler avec des filtres de préfixes en utilisant Terraform
Passez en revue les références des arguments suivants que vous pouvez spécifier pour votre ressource lorsque vous ajoutez ou supprimez un filtre de préfixe :
Argument | Détails |
---|---|
gateway Chaîne obligatoire |
Identificateur unique de la passerelle. |
connection_id Chaîne obligatoire |
Identificateur unique de la connexion de passerelle. |
action Chaîne obligatoire |
Indique s'il faut autoriser ou supprimer un préfixe correspondant. |
prefix Chaîne obligatoire |
Préfixe d'adresse IP. |
before Facultatif Chaîne |
Identificateur du filtre de préfixe devant lequel placer ce filtre. Lorsqu'un filtre fait référence à un autre filtre dans son champ before , le filtre faisant référence est appliqué avant le filtre référencé.Par exemple, si le filtre A fait référence au filtre B dans son champ before , A est appliqué avant B. |
ge Facultatif Entier |
GE du préfixe d'adresse IP. La valeur GE (supérieur ou égal à) définit la longueur minimale du préfixe sur lequel est appliquée l'action du filtre. |
le Facultatif Entier |
LE du préfixe d'adresse IP. La valeur LE (less than or equal to) définit la longueur maximale du préfixe sur lequel l'action de filtrage est appliquée. |
Exemple
Cet exemple montre comment ajouter un filtre de préfixe :
resource "ibm_tg_connection_prefix_filter" "test_tg_prefix_filter" {
gateway = ibm_tg_gateway.new_tg_gw.id
connection_id = ibm_tg_connection.test_ibm_tg_connection.connection_id
action = "permit"
prefix = "192.168.100.0/24"
le = 32
ge = 24
}
Pour supprimer un filtre de préfixe, utilisez la commande terraform destroy -target=ibm_tg_connection_prefix_filter.[prefix filter name]
.