Creación de una ACL de red
Puede configurar una ACL para limitar el tráfico de entrada y de salida a la subred. De forma predeterminada, se permite todo el tráfico.
Solo se puede adjuntar una ACL a cada subred. Sin embargo, cada ACL se puede conectar a varias subredes.
Antes de empezar, asegúrese de que ha creado una VPC y una subred.
Creación de una ACL de red en la consola
Para configurar una ACL en la consola IBM Cloud, siga estos pasos:
-
Vaya a la consola IBM Cloud e inicie sesión con su cuenta.
-
Seleccione el
Menú de navegación y, a continuación, haga clic en Infraestructura > Red > Listas de control de acceso.
-
Pulse Crear +.
-
Seleccione el icono Editar ubicación
y especifique valores para los campos siguientes:
- Geografía: Seleccione un continente para la lista de control de accesos.
- Región: Seleccione una región para la lista de control de accesos.
-
Introduzca valores para los siguientes campos en detalles:
- Nombre de pasarela pública-Escriba un nombre exclusivo para la lista de control de accesos.
- Grupo de recursos-Seleccione un grupo de recursos para la lista de control de accesos. Puede utilizar el grupo predeterminado para esta lista de control de accesos, o seleccionar en la lista de grupos de recursos (si está definido). Para obtener más información, consulte Prácticas recomendadas para organizar los recursos en un grupo de recursos.
Una vez completado el aprovisionamiento, no podrá modificar el grupo de recursos.
- Etiquetas-Añadir etiquetas de usuario. Las etiquetas de usuario son visibles en toda la cuenta. Para obtener más información, consulte Cómo trabajar con etiquetas.
- Etiquetas de gestión de acceso: añada etiquetas de gestión de acceso para ayudar a organizar las relaciones de control de acceso. Para obtener más información, consulte Control del acceso a los recursos mediante etiquetas.
- VPC: seleccione una VPC. Puede utilizar la VPC predeterminada para esta puerta de enlace pública o seleccionarla de la lista (si está definida). Para obtener más información, consulte Iniciación a Virtual Private Cloud.
-
En Reglas, haga clic en Crear + para configurar las reglas de entrada y salida que definen qué tráfico está permitido dentro o fuera de la subred. Para cada regla, especifique la información siguiente:
- Seleccione si desea permitir o denegar el tráfico especificado.
- Seleccione el protocolo al que se aplica la regla.
- Para el origen y el destino de la regla, especifique el rango de IP y los puertos para los que se aplica la regla. Por ejemplo, si desea que todo el tráfico de entrada esté permitido en el rango de IP
192.168.0.0/24
en la subred, especifique Cualquiera como origen y192.168.0.0/24
como destino. Sin embargo, si desea permitir el tráfico de entrada solo desde169.168.0.0/24
a toda la subred, especifique169.168.0.0/24
como origen y Cualquiera como destino de la regla. - Especifique la prioridad de la regla. Las reglas con números más bajos se evalúan en primer lugar y prevalecen sobre las reglas con números más altos. Por ejemplo, si una regla con prioridad
2
permite el tráfico HTTP y una regla con prioridad5
deniega todo el tráfico, el tráfico HTTP sigue estando permitido. - Pulse Crear.
- Seleccione una subred para adjuntar a esta ACL. Haga clic en Adjuntar para adjuntar subredes adicionales.
Si la subred tiene una conexión de ACL existente, la ACL se sustituye por la ACL que se está creando.
-
Vea el coste total estimado en el menú Resumen en la parte inferior derecha de la página.
Creación de una ACL de red desde la CLI
Antes de empezar, configure el entorno de CLI.
Para crear una ACL de red desde la CLI, ejecute el siguiente comando:
ibmcloud is network-acl-create ACL_NAME VPC \
[--rules (RULES_JSON|@RULES_JSON_FILE) | --source-acl-id SOURCE_ACL_ID] \
[--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME] \
[--output JSON] [-q, --quiet]
Donde:
ACL_NAME
es el nombre de la ACL de red.VPC
es el ID de la VPC.--rules
son las reglas para la ACL en JSON o archivo JSON.--source-acl-id
es el ID de la ACL de red de la que copiar reglas.--resource-group-id
es el ID del grupo de recursos. Esta opción es mutuamente excluyente con--resource-group-name
.--resource-group-name
es el nombre del grupo de recursos. Esta opción es mutuamente excluyente con--resource-group-id
.--output
especifica la salida en formato JSON.-q, --quiet
suprime la salida verbosa.
Por ejemplo:
ibmcloud is network-acl-create my-acl 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479
ibmcloud is network-acl-create my-acl 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479 --source-acl-id 72b27b5c-f4b0-48bb-b954-5becc7c1dcb3
Creación de una ACL de red con la API
Para crear una ACL de red con la API, siga estos pasos:
-
Configure el entorno de la API.
-
Almacene el valor
VpcId
en una variable que se va a utilizar en el mandato de la API:export VpcId=<your_vpc_id>
-
Cree una ACL de red:
curl -X POST -sH "Authorization:${iam_token}" \ "$vpc_api_endpoint/v1/network_acls?version=$api_version&generation=2" \ -d '{"name": "testacl", "vpc":{"id": "'$VpcId'"},"resource_group": {"id": "'$ResourceGroupId'"}}' | jq
Ejemplo: Configuración de reglas
Por ejemplo, puede configurar las siguientes reglas de entrada:
- Permitir tráfico HTTP desde Internet.
- Permitir todo el tráfico de entrada desde la subred
10.10.20.0/24
. - Denegar el resto del tráfico de entrada.
Prioridad | Permitir/Denegar | Protocolo | Origen | Destino |
---|---|---|---|---|
1 | Permitir | TCP | Cualquier IP, puertos 80 - 80 | Cualquier IP, cualquier puerto |
2 | Permitir | Todos | 10.10.20.0/24 cualquier puerto |
Cualquier IP, cualquier puerto |
3 | Denegar | Todos | Cualquier IP, cualquier puerto | Cualquier IP, cualquier puerto |
A continuación, configure las siguientes reglas de salida:
- Permitir tráfico HTTP a Internet.
- Permitir todo el tráfico de salida a la subred
10.10.20.0/24
. - Denegar el resto del tráfico de salida.
Prioridad | Permitir/Denegar | Protocolo | Origen | Destino |
---|---|---|---|---|
1 | Permitir | TCP | Cualquier IP, cualquier puerto | Cualquier IP, puertos 80 - 80 |
2 | Permitir | Todos | Cualquier IP, cualquier puerto | 10.10.20.0/24 cualquier puerto |
3 | Denegar | Todos | Cualquier IP, cualquier puerto | Cualquier IP, cualquier puerto |