存取控制清單建立和組態範例

發行項
02/24/2024

本文提供如何建立和更新存取控制清單（ACLS）的範例。

ACL 建立流程概觀

建立與網路對網路互連（NNI）相關聯的存取控制列表（ACL）牽涉到下列步驟：

建立 Network Fabric 資源，並將 NNI 子資源新增至其中。
使用 az networkfabric acl create 命令建立輸入和輸出 ACL 資源。您可以提供 ACL 的比對組態和預設動作。您也可以提供內嵌或儲存在 Azure 記憶體帳戶 Blob 容器中的檔案中的動態比對組態。
使用 az networkfabric nni update 命令以輸入和輸出 ACL 識別碼更新 NNI 資源。您必須在和 --egress-acl-id 參數中--ingress-acl-id提供有效的 ACL 資源識別碼。
使用命令布建 az networkfabric fabric provision Network Fabric 資源。這會產生 ACL 的基底組態和動態比對組態，並將其傳送至裝置。

ACL 更新流程概觀

如上一節所述，使用 az networkfabric acl create 建立輸入和輸出 ACL 資源。
使用 az networkfabric acl update 命令更新輸入或輸出 ACL。
確認 ACL 的組態狀態為 accepted。
確認網狀架構的組態狀態為 accepted。
執行網狀架構認可以更新 ACL。

範例命令

網路對網路互連上的存取控制清單

此範例示範如何建立具有兩個 ACL 的 NNI - 一個用於輸入，另一個用於輸出。

布建網路網狀架構之前，必須先套用 ACL。這項限制是暫時性的，未來版本將會移除。輸入和輸出 ACL 會在 NNI 資源之前建立，並在建立 NNI 時參考，這也會觸發 ACL 的建立。布建網路網狀架構之前，必須先完成此設定。

建立輸入 ACL：範例命令

az networkfabric acl create \
    --resource-group "example-rg"
    --location "eastus2euap" \
    --resource-name "example-Ipv4ingressACL" \
    --configuration-type "Inline" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]" \
    --match-configurations "[{matchConfigurationName:'example-match',sequenceNumber:123,ipAddressType:IPv4,matchConditions:[{etherTypes:['0x1'],fragments:['0xff00-0xffff'],ipLengths:['4094-9214'],ttlValues:[23],dscpMarkings:[32],portCondition:{flags:[established],portType:SourcePort,layer4Protocol:TCP,ports:['1-20']},protocolTypes:[TCP],vlanMatchCondition:{vlans:['20-30'],innerVlans:[30]},ipCondition:{type:SourceIP,prefixType:Prefix,ipPrefixValues:['10.20.20.20/12']}}],actions:[{type:Count,counterName:'example-counter'}]}]"

建立輸出 ACL：範例命令

az networkfabric acl create \
    --resource-group "example-rg" \
    --location "eastus2euap" \
    --resource-name "example-Ipv4egressACL" \
    --configuration-type "File" \
    --acls-url "https://ACL-Storage-URL" \
    --default-action "Permit" \
    --dynamic-match-configurations "[{ipGroups:[{name:'example-ipGroup',ipAddressType:IPv4,ipPrefixes:['10.20.3.1/20']}],vlanGroups:[{name:'example-vlanGroup',vlans:['20-30']}],portGroups:[{name:'example-portGroup',ports:['100-200']}]}]"

存取控制隔離網域外部網路上的清單

az networkfabric acl create使用命令來建立外部網路的輸入和輸出 ACL。在此範例中，我們會指定資源群組、名稱、位置、網路網狀架構標識碼、外部網路標識碼和其他參數。您也可以使用 --match 和 --action 參數來指定 ACL 規則的比對條件和動作。

此指令會建立名為 acl-ingress 的輸入 ACL，允許從任何來源到外部網路的 ICMP 流量：

az networkfabric acl create \
    --resource-group myResourceGroup \
    --name acl-ingress \
    --location eastus \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --external-network-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/externalNetworks/ext-net \
    --match "ip protocol icmp" \
    --action allow

az networkfabric externalnetwork update使用命令，以資源群組、名稱和網路網狀架構標識碼更新外部網路。您也需要使用 --ingress-acl-id 和 --egress-acl-id 參數來指定輸入和輸出 ACL 識別碼。例如，下列命令會更新名為 ext-net 的外部網路，以參考名為 acl-ingress的輸入 ACL：

az networkfabric externalnetwork update \
    --resource-group myResourceGroup \
    --name ext-net \
    --network-fabric-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/networkFabrics/myNetworkFabric \
    --ingress-acl-id /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/myResourceGroup/providers/Microsoft.NetworkFabric/acls/acl-ingress

Share via

存取控制清單建立和組態範例

ACL 建立流程概觀

ACL 更新流程概觀

範例命令

網路對網路互連上的存取控制清單

建立輸入 ACL：範例命令

建立輸出 ACL：範例命令

存取控制隔離網域外部網路上的清單

更多範例案例和命令

其他資源

Share via

存取控制 清單建立和組態範例

ACL 建立流程概觀

ACL 更新流程概觀

範例命令

網路對網路互連上的 存取控制 清單

建立輸入 ACL：範例命令

建立輸出 ACL：範例命令

存取控制 隔離網域外部網路上的清單

更多範例案例和命令

其他資源

存取控制清單建立和組態範例

網路對網路互連上的存取控制清單

存取控制隔離網域外部網路上的清單