Network Security Group에 CLI에서 규칙 추가

17436 단어 oraclecloudoci-clioci
다음 기사에서 OCI CLI를 사용하여 Network Security Group (이하 NSG)을 만들었습니다.
이번에는 작성한 NSG에 대해 CLI로 규칙을 추가하겠습니다.

OCI의 Network Security Group을 CLI로 생성

전제 조건



이전 기사의 내용이 완료되면 문제 없습니다.
일단 이 기사 단독으로 본 경우는 이하가 준비되어 있으면 문제 없습니다.
  • OCI CLI 사용 가능
  • 만든 NSG가 있습니다

  • 이미 만든 NSG를 확인하십시오.



    작성한 NSG를 확인하십시오.

    OCI 콘솔 화면에서
    햄버거 메뉴 > 네트워킹 > 가상 클라우드 네트워크 > 가상 클라우드 네트워크 세부정보 > 네트워크 보안 그룹
    진행하면 NSG를 확인할 수 있습니다.

    이제 NSG의 OCID를 복사합니다. 나중에 사용하기 위하여.



    NSG에 규칙 추가



    먼저 NSG에 규칙을 추가하기위한 json 형식을 얻습니다.
    참조는 다음과 같습니다.

    다음 명령으로 json 형식을 가져옵니다.
    oci network nsg rules add --generate-full-command-json-input > add_rule.json
    

    생성된 파일은 다음과 같습니다.

    add_rule.json
    {
      "nsgId": "string",
      "securityRules": [
        {
          "description": "string",
          "destination": "string",
          "destinationType": "string",
          "direction": "string",
          "icmpOptions": {
            "code": 0,
            "type": 0
          },
          "isStateless": true,
          "protocol": "string",
          "source": "string",
          "sourceType": "string",
          "tcpOptions": {
            "destinationPortRange": {
              "max": 0,
              "min": 0
            },
            "sourcePortRange": {
              "max": 0,
              "min": 0
            }
          },
          "udpOptions": {
            "destinationPortRange": {
              "max": 0,
              "min": 0
            },
            "sourcePortRange": {
              "max": 0,
              "min": 0
            }
          }
        },
        {
          "description": "string",
          "destination": "string",
          "destinationType": "string",
          "direction": "string",
          "icmpOptions": {
            "code": 0,
            "type": 0
          },
          "isStateless": true,
          "protocol": "string",
          "source": "string",
          "sourceType": "string",
          "tcpOptions": {
            "destinationPortRange": {
              "max": 0,
              "min": 0
            },
            "sourcePortRange": {
              "max": 0,
              "min": 0
            }
          },
          "udpOptions": {
            "destinationPortRange": {
              "max": 0,
              "min": 0
            },
            "sourcePortRange": {
              "max": 0,
              "min": 0
            }
          }
        }
      ]
    }
    

    이번에는 최소한 필요한 항목으로 잉글스(INGRESS) 규칙을 2개, 에그레스(EGRESS)를 1개 작성합니다.
    규칙은 다음의 3개로, 이용하는 json는 이하와 같이 됩니다. (IP는 적용 가능)
    OCID는 꼬리를 마스킹하고 있으므로 적절하게 수정하십시오.
  • 인그레스: 153.200.200.200/32에서 22번 포트에 ssh를 허용
  • Ingress: 0.0.0.0/0에서 80번 포트로의 HTTP 허용
  • 에그레스: 153.200.200.201/32 의 80번 포트에의 HTTP 통신을 허가

  • add_rule.json
    {
      "nsgId": "ocid1.networksecuritygroup.oc1.ap-tokyo-1.XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "securityRules": [
        {
          "description": "ssh",
          "direction": "INGRESS",
          "isStateless": false,
          "protocol": "6",
          "source": "153.200.200.200/32",
          "tcpOptions": {
            "destinationPortRange": {
              "max": 22,
              "min": 22
            }
          }
        },
        {
          "description": "HTTP",
          "direction": "INGRESS",
          "isStateless": false,
          "protocol": "6",
          "source": "0.0.0.0/0",
          "tcpOptions": {
            "destinationPortRange": {
              "max": 80,
              "min": 80
            }
          }
        },
        {
          "description": "ex",
          "destination": "153.200.200.201/32",
          "direction": "EGRESS",
          "isStateless": false,
          "protocol": "6",
          "tcpOptions": {
            "destinationPortRange": {
              "max": 80,
              "min": 80
            }
          }
        }
      ]
    }
    

    json을 파일을 기반으로 추가하는 명령은 다음과 같습니다.
    이번에는 파일 지정을 상대 경로로 실시하고 있다.
    추가 참조는 아래.
    oci network nsg rules add --from-json file://./add_rule.json
    

    추가된 규칙은 이런 느낌입니다.



    요약



    CLI를 사용하여 NSG 규칙을 부여하면
    대량으로 규칙이 있거나 비슷한 NSG를 만드는 경우 콘솔에서 만드는 것보다 쉽게 ​​할 수 있네요.

    좋은 웹페이지 즐겨찾기