IBM Cloud Docs
Creación de una ACL de red

Creación de una ACL de red

Puede configurar una ACL para limitar el tráfico de entrada y de salida a la subred. De forma predeterminada, se permite todo el tráfico.

Solo se puede adjuntar una ACL a cada subred. Sin embargo, cada ACL se puede conectar a varias subredes.

Antes de empezar, asegúrese de que ha creado una VPC y una subred.

Creación de una ACL de red en la consola

Para configurar una ACL en la consola IBM Cloud, siga estos pasos:

  1. Vaya a la consola IBM Cloud e inicie sesión con su cuenta.

  2. Seleccione el icono de menú Menú de navegación y, a continuación, haga clic en Infraestructura > Red > Listas de control de acceso.

  3. Pulse Crear +.

  4. Seleccione el icono Editar ubicación Icono Editar ubicación y especifique valores para los campos siguientes:

    • Geografía: Seleccione un continente para la lista de control de accesos.
    • Región: Seleccione una región para la lista de control de accesos.
  5. Introduzca valores para los siguientes campos en detalles:

    • Nombre de pasarela pública-Escriba un nombre exclusivo para la lista de control de accesos.
    • Grupo de recursos-Seleccione un grupo de recursos para la lista de control de accesos. Puede utilizar el grupo predeterminado para esta lista de control de accesos, o seleccionar en la lista de grupos de recursos (si está definido). Para obtener más información, consulte Prácticas recomendadas para organizar los recursos en un grupo de recursos.

    Una vez completado el aprovisionamiento, no podrá modificar el grupo de recursos.

    • Etiquetas-Añadir etiquetas de usuario. Las etiquetas de usuario son visibles en toda la cuenta. Para obtener más información, consulte Cómo trabajar con etiquetas.
    • Etiquetas de gestión de acceso: añada etiquetas de gestión de acceso para ayudar a organizar las relaciones de control de acceso. Para obtener más información, consulte Control del acceso a los recursos mediante etiquetas.
    • VPC: seleccione una VPC. Puede utilizar la VPC predeterminada para esta puerta de enlace pública o seleccionarla de la lista (si está definida). Para obtener más información, consulte Iniciación a Virtual Private Cloud.
  6. En Reglas, haga clic en Crear + para configurar las reglas de entrada y salida que definen qué tráfico está permitido dentro o fuera de la subred. Para cada regla, especifique la información siguiente:

    • Seleccione si desea permitir o denegar el tráfico especificado.
    • Seleccione el protocolo al que se aplica la regla.
    • Para el origen y el destino de la regla, especifique el rango de IP y los puertos para los que se aplica la regla. Por ejemplo, si desea que todo el tráfico de entrada esté permitido en el rango de IP 192.168.0.0/24 en la subred, especifique Cualquiera como origen y 192.168.0.0/24 como destino. Sin embargo, si desea permitir el tráfico de entrada solo desde 169.168.0.0/24 a toda la subred, especifique 169.168.0.0/24 como origen y Cualquiera como destino de la regla.
    • Especifique la prioridad de la regla. Las reglas con números más bajos se evalúan en primer lugar y prevalecen sobre las reglas con números más altos. Por ejemplo, si una regla con prioridad 2 permite el tráfico HTTP y una regla con prioridad 5 deniega todo el tráfico, el tráfico HTTP sigue estando permitido.
    • Pulse Crear.
    • Seleccione una subred para adjuntar a esta ACL. Haga clic en Adjuntar para adjuntar subredes adicionales.

    Si la subred tiene una conexión de ACL existente, la ACL se sustituye por la ACL que se está creando.

  7. Vea el coste total estimado en el menú Resumen en la parte inferior derecha de la página.

Creación de una ACL de red desde la CLI

Antes de empezar, configure el entorno de CLI.

Para crear una ACL de red desde la CLI, ejecute el siguiente comando:

ibmcloud is network-acl-create ACL_NAME VPC \
[--rules (RULES_JSON|@RULES_JSON_FILE) | --source-acl-id SOURCE_ACL_ID] \
[--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME] \
[--output JSON] [-q, --quiet]

Donde:

  • ACL_NAME es el nombre de la ACL de red.
  • VPC es el ID de la VPC.
  • --rules son las reglas para la ACL en JSON o archivo JSON.
  • --source-acl-id es el ID de la ACL de red de la que copiar reglas.
  • --resource-group-id es el ID del grupo de recursos. Esta opción es mutuamente excluyente con --resource-group-name.
  • --resource-group-name es el nombre del grupo de recursos. Esta opción es mutuamente excluyente con --resource-group-id.
  • --output especifica la salida en formato JSON.
  • -q, --quiet suprime la salida verbosa.

Por ejemplo:

  • ibmcloud is network-acl-create my-acl 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479
  • ibmcloud is network-acl-create my-acl 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479 --source-acl-id 72b27b5c-f4b0-48bb-b954-5becc7c1dcb3

Creación de una ACL de red con la API

Para crear una ACL de red con la API, siga estos pasos:

  1. Configure el entorno de la API.

  2. Almacene el valor VpcId en una variable que se va a utilizar en el mandato de la API:

    export VpcId=<your_vpc_id>
    
  3. Cree una ACL de red:

    curl -X POST -sH "Authorization:${iam_token}" \
    "$vpc_api_endpoint/v1/network_acls?version=$api_version&generation=2" \
    -d '{"name": "testacl", "vpc":{"id": "'$VpcId'"},"resource_group": {"id": "'$ResourceGroupId'"}}' | jq
    

Ejemplo: Configuración de reglas

Por ejemplo, puede configurar las siguientes reglas de entrada:

  • Permitir tráfico HTTP desde Internet.
  • Permitir todo el tráfico de entrada desde la subred 10.10.20.0/24.
  • Denegar el resto del tráfico de entrada.
Información para configurar reglas de entrada.
Prioridad Permitir/Denegar Protocolo Origen Destino
1 Permitir TCP Cualquier IP, puertos 80 - 80 Cualquier IP, cualquier puerto
2 Permitir Todos 10.10.20.0/24 cualquier puerto Cualquier IP, cualquier puerto
3 Denegar Todos Cualquier IP, cualquier puerto Cualquier IP, cualquier puerto

A continuación, configure las siguientes reglas de salida:

  • Permitir tráfico HTTP a Internet.
  • Permitir todo el tráfico de salida a la subred 10.10.20.0/24.
  • Denegar el resto del tráfico de salida.
Información para configurar reglas de salida.
Prioridad Permitir/Denegar Protocolo Origen Destino
1 Permitir TCP Cualquier IP, cualquier puerto Cualquier IP, puertos 80 - 80
2 Permitir Todos Cualquier IP, cualquier puerto 10.10.20.0/24 cualquier puerto
3 Denegar Todos Cualquier IP, cualquier puerto Cualquier IP, cualquier puerto