ネットワーク レイヤーのアクセス コントロール リストを提供する最も簡単で拡張可能な方法は、IP グループを参照するネットワーク セキュリティ ポリシーを使用することです。IP グループは、複数の仮想サービスで使用できますグループに追加された IP アドレスは、IP グループのアドレス リストをブロックするネットワーク セキュリティ ポリシーがあるすべての仮想サービスでブロックされます。
IP ACL の作成
次の手順を使用して環境を設定します。
NSX Advanced Load Balancer ユーザー インターフェイスで、 の順に移動し、新しい IP グループを作成します。
仮想サービスを作成または編集します。
の順に移動し、新しいネットワーク セキュリティ ルールを追加します。一致を IP アドレスに設定し、ドロップダウン メニューから新しい IP グループを選択します。
DataScript を使用した IP アクセス コントロール リストの作成に関する詳細については、「仮想サービスへのアクセスからの IP アドレスのブロック」を参照してください。
IP グループの UUID の取得
ACL リストを更新するには、まず IP グループの UUID を取得します。オブジェクトの名前に対して API 呼び出しを行えます。UUID は一意であるため、API 呼び出しではオブジェクト名よりも優先されます。次の例では、コントローラのクラスタ IP アドレスは 10.1.1.1であり、IP グループの名前は blocklist です。
https://10.1.1.1/api/ipaddrgroup?name=blacklist
サンプル クエリから次の JSON 結果が返されます。
{
"count": 1,
"results": [
{
"url": "https://10.1.1.1/api/ipaddrgroup/ipaddrgroup-dc43bd65-7227-4585-8213-34c84c9b1c3b",
"uuid": "ipaddrgroup-dc43bd65-7227-4585-8213-34c84c9b1c3b",
"name": "Blacklist"
"tenant_ref": "https://10.1.1.1/api/tenant/admin",
"prefixes": [
{
"ip_addr": {
"type": "V4",
"addr": "10.128.0.0"
},
"mask": 16
},
]
}
]
}
&fields=uuid を追加すると、クエリをフィルタリングしてより具体的な結果を得ることができます。
この例では、IP ネットワーク 10.128.0.0/16 が IP グループに既に存在します。
API を使用した IP グループの変更
IP ネットワーク 10.0.0.0/16 と IP アドレス範囲 192.168.0.1-192.168.1.250 を IP グループに追加するには、次のペイロードを使用して IP グループ URL (https://10.1.1.1/api/ipaddrgroup/ipaddrgroup-dc43bd65-7227-4585-8213-34c84c9b1c3b) に対する PUT 要求を行います。
{
"url": "https://10.1.1.1/api/ipaddrgroup/ipaddrgroup-dc43bd65-7227-4585-8213-34c84c9b1c3b",
"uuid": "ipaddrgroup-dc43bd65-7227-4585-8213-34c84c9b1c3b",
"name": "Blacklist",
"tenant_ref": "https://10.1.1.1/api/tenant/admin",
"ranges": [
{
"begin": {
"type": "V4",
"addr": "192.168.1.1"
},
"end": {
"type": "V4",
"addr": "192.168.1.250"
}
}
],
"prefixes": [
{
"ip_addr": {
"type": "V4",
"addr": "10.128.0.0"
},
"mask": 16
},
{
"ip_addr": {
"type": "V4",
"addr": "10.0.0.0"
},
"mask": 16
}
]
}
以前に構成した IP アドレスを含む、必要なすべての構成を PUT 要求に含める必要があります。
