Création d'une ACL réseau dans la console

Pour configurer un ACL dans la console IBM Cloud, procédez comme suit :

1. Allez sur la console IBM Cloud et connectez-vous à votre compte.

2. Sélectionnez l' navigation, puis cliquez sur l'icône Infrastructure > Réseau > Listes de contrôle d'accès.

3. Cliquez sur Créer +.

4. Sélectionnez l'icône Editer l'emplacement et entrez des valeurs pour les zones suivantes:

   • Géographie-Sélectionnez un continent pour votre liste de contrôle d'accès.
   • Région-Sélectionnez une région pour votre liste de contrôle d'accès.

5. Saisissez les valeurs des champs suivants sous la rubrique "Détails" :

   • Public gateway name-Entrez un nom unique pour votre liste de contrôle d'accès.
   • Groupe de ressources-Sélectionnez un groupe de ressources pour votre liste de contrôle d'accès. Vous pouvez utiliser le groupe par défaut pour cette liste de contrôle d'accès ou effectuer une sélection dans la liste de groupes de ressources (si définie). Pour plus d'informations, voir Meilleures pratiques pour l'organisation des ressources dans un groupe de ressources.

   Une fois le provisionnement terminé, vous ne pouvez pas modifier le groupe de ressources.

   • Tags-Permet d'ajouter des balises utilisateur. Les étiquettes utilisateur sont visibles à l'échelle du compte. Pour plus d'informations, voir Utilisation d'étiquettes.
   • Balises de gestion des accès-Ajoutez des balises de gestion des accès pour faciliter l'organisation des relations de contrôle d'accès. Pour plus d'informations, voir Contrôle de l'accès aux ressources à l'aide d'étiquettes.
   • VPC - Sélectionnez un cloud privé virtuel (VPC). Vous pouvez utiliser le VPC par défaut pour cette passerelle publique ou le sélectionner dans la liste (si elle est définie). Pour plus d'informations, voir Initiation au cloud privé virtuel.

6. Sous Règles, cliquez sur Créer + pour configurer les règles d'entrée et de sortie qui définissent le trafic autorisé à entrer ou à sortir du sous-réseau. Pour chaque règle, spécifiez les informations suivantes :

   • Indiquez si le trafic spécifié doit être autorisé ou interdit.
   • Sélectionnez le protocole auquel la règle s'applique.
   • Pour la source et la destination de la règle, spécifiez la plage d'adresses IP et les ports pour lesquels la règle s'applique. Par exemple, si vous souhaitez que le trafic entrant soit autorisé sur la plage d'adresses IP 192.168.0.0/24 dans votre sous-réseau, spécifiez Tout comme source et 192.168.0.0/24 comme destination. Toutefois, si vous souhaitez autoriser le trafic entrant uniquement à partir de l'adresse 169.168.0.0/24 sur l'ensemble de votre sous-réseau, spécifiez 169.168.0.0/24 comme source et Tout comme destination pour la règle.
   • Spécifiez la priorité de la règle. Les règles sont évaluées dans l'ordre croissant des valeurs de priorité et une valeur faible prend le pas sur une valeur élevée. Par exemple, si une règle avec la priorité 2 autorise le trafic HTTP et qu'une règle avec la priorité 5 refuse tout trafic, le trafic HTTP est toujours autorisé.
   • Cliquez sur Créer.
   • Sélectionnez un sous-réseau à associer à cette liste de contrôle d'accès. Cliquez sur Attacher pour attacher des sous-réseaux supplémentaires.

   Si le sous-réseau possède une connexion ACL existante, la liste de contrôle d'accès est remplacée par la liste de contrôle d'accès créée.

7. Affichez votre coût total estimé dans le menu Récapitulatif en bas à droite de la page.

Création d'une liste de contrôle d'accès au réseau à partir de l'interface de ligne de commande

Avant de commencer, configurez votre environnement d'interface de ligne de commande.

Pour créer une liste de contrôle d'accès au réseau à partir de l'interface de gestion, exécutez la commande suivante :

ibmcloud is network-acl-create ACL_NAME VPC \
[--rules (RULES_JSON|@RULES_JSON_FILE) | --source-acl-id SOURCE_ACL_ID] \
[--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME] \
[--output JSON] [-q, --quiet]

Où :

• ACL_NAME est le nom de l'ACL réseau.
• VPC est l'ID du VPC.
• --rules sont les règles de l'ACL en JSON ou en fichier JSON.
• --source-acl-id est l'ID de l'ACL réseau à partir duquel copier les règles.
• --resource-group-id est l'ID du groupe de ressources. Cette option est mutuellement exclusive avec --resource-group-name.
• --resource-group-name est le nom du groupe de ressources. Cette option est mutuellement exclusive avec --resource-group-id.
• --output spécifie une sortie au format JSON.
• -q, --quiet supprime la sortie verbale.

Exemple :

• ibmcloud is network-acl-create my-acl 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479
• ibmcloud is network-acl-create my-acl 72251a2e-d6c5-42b4-97b0-b5f8e8d1f479 --source-acl-id 72b27b5c-f4b0-48bb-b954-5becc7c1dcb3

Création d'une liste de contrôle d'accès au réseau avec l'API

Pour créer une liste de contrôle d'accès au réseau à l'aide de l'API, procédez comme suit :

1. Configurez votre environnement d'API.

2. Stockez la valeur VpcId dans une variable destinée à être utilisée dans la commande d'API :

   export VpcId=<your_vpc_id>
   

3. Créez une liste de contrôle d'accès de réseau :

   curl -X POST -sH "Authorization:${iam_token}" \
   "$vpc_api_endpoint/v1/network_acls?version=$api_version&generation=2" \
   -d '{"name": "testacl", "vpc":{"id": "'$VpcId'"},"resource_group": {"id": "'$ResourceGroupId'"}}' | jq