Oracle Cloud Infrastructure - Dokumentation

NSG erstellen

Erstellen Sie eine Netzwerksicherheitsgruppe (NSG) in einem virtuellen Cloud-Netzwerk (VCN).

Jedes VCN enthält eine Standardsicherheitsliste, die Standardsicherheitsregeln enthält, um die grundlegende Konnektivität zu ermöglichen. Ein VCN hat jedoch keine Standard-NSG.

Wenn Sie eine NSG erstellen, ist diese anfänglich leer, ohne Sicherheitsregeln oder VNICs. Wenn Sie die Konsole verwenden, können Sie bei der Erstellung Sicherheitsregeln zur NSG hinzufügen. Lernen Sie die Bestandteile von Sicherheitsregeln kennen.

Optional können Sie der NSG bei der Erstellung einen benutzerfreundlichen Namen zuweisen. Der Name muss nicht eindeutig sein und kann später geändert werden. Oracle weist der NSG automatisch eine eindeutige ID mit der Bezeichnung Oracle Cloud-ID (OCID)  zu. Weitere Informationen finden Sie unter Ressourcen-IDs.

Zum Zwecke der Zugriffskontrolle müssen Sie das Compartment  angeben, in dem die NSG gespeichert werden soll. Falls Sie nicht sicher sind, welches Compartment verwendet werden muss, fragen Sie einen Administrator in Ihrer Organisation. Weitere Informationen finden Sie unter Zugriffskontrolle.

    1. Wählen Sie auf der Listenseite Virtuelle Cloud-Netzwerke das VCN aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite oder des VCN benötigen, finden Sie weitere Informationen unter VCNs auflisten.
    2. Führen Sie auf der Detailseite je nach der angezeigten Option eine der folgenden Aktionen aus:
      • Gehen Sie auf der Registerkarte Sicherheit zum Abschnitt Netzwerksicherheitsgruppen.
      • Wählen Sie unter Ressourcen Netzwerksicherheitsgruppen aus.
    3. Wählen Sie Netzwerksicherheitsgruppe erstellen aus.
    4. Geben Sie einen Anzeigenamen für die NSG ein. Er muss nicht eindeutig sein. Geben Sie dabei keine vertraulichen Informationen ein.
    5. Prüfen Sie das Compartment, in dem Sie die NSG erstellen möchten. Wählen Sie bei Bedarf ein anderes Compartment aus.
    6. (Optional) Fügen Sie im Abschnitt Tags ein oder mehrere Tags hinzu. Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügt, sind Sie auch berechtigt: Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, benötigen Sie Die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
    7. (Optional) Um die NSG ohne Regeln zu erstellen, wählen Sie Erstellen aus, und Sie sind fertig.
    8. Geben Sie im Abschnitt Regel die folgenden Informationen für eine erste Sicherheitsregel ein (Beispiele für Regeln finden Sie unter Netzwerkszenarios):
      • Wählen Sie Zustandslos oder zustandsbehaftet aus. Wenn eine Regel zustandsbehaftet ist, wird das Verbindungstracking für Traffic verwendet, der mit der Regel übereinstimmt. Wenn eine Regel zustandslos ist, wird kein Verbindungstracking verwendet. Standardmäßig sind Regeln für zustandsbehafteten Traffic vorgesehen, es sei denn, Sie geben etwas anderes an. Siehe Zustandsbehaftete Regeln im Vergleich zu zustandslosen Regeln.
      • Richtung (Ingress oder Egress): "Ingress" ist eingehender Traffic zur VNIC, und "Egress" ist ausgehender Traffic von der VNIC.

      • Wählen Sie einen Quelltyp und eine Quelle (nur für Ingress-Regeln): Im Folgenden werden die zulässigen Quelltypen und die Quellwerte aufgeführt, die Sie für sie angeben können:

        • CIDR: Der CIDR-Block, aus dem der Traffic stammt. Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Das Präfix ist erforderlich (Beispiel: Geben Sie die /32 an, wenn Sie eine einzelne IP-Adresse angeben). Weitere Informationen zur CIDR-Notation finden Sie unter RFC1817 und RFC1519.
        • Service: Nur für Pakete, die von einem Oracle-Service über ein Servicegateway eingehen. Der Quellservice ist das gewünschte Service-CIDR-Label.
        • Netzwerksicherheitsgruppe: Eine NSG in demselben VCN wie das NSG dieser Regel.

      • Wählen Sie einen Zieltyp und ein Ziel (nur für Egress-Regeln): Im Folgenden werden die zulässigen Zieltypen und Zielwerte aufgeführt, die Sie für sie angeben können:

        • CIDR: Der CIDR-Block, an den der Traffic geleitet wird. Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Das Präfix ist erforderlich (Beispiel: Geben Sie die /32 an, wenn Sie eine einzelne IP-Adresse angeben). Weitere Informationen zur CIDR-Notation finden Sie unter RFC1817 und RFC1519.
        • Service: Nur für Pakete, die über ein Servicegateway an einen Oracle-Service gesendet werden. Der Zielservice ist das gewünschte Service-CIDR-Label.
        • Netzwerksicherheitsgruppe: Eine NSG in demselben VCN wie das NSG dieser Regel.
      • IP-Protokoll: Entweder ein einzelnes IPv4-Protokoll (Beispiel: TCP oder ICMP) oder "Alle" zur Abdeckung aller Protokolle.
      • Wählen Sie einen Quellportbereich aus: Der Port, von dem der Traffic stammt. Bei TCP oder UDP können Sie alle Quellports, optional eine einzelne Quellportnummer oder einen Bereich angeben.
      • Wählen Sie einen Zielportbereich: Der Port, an den der Traffic weitergeleitet wird. Bei TCP oder UDP können Sie alle Zielports, optional eine einzelne Zielportnummer oder einen Bereich angeben.
      • Wählen Sie einen ICMP-Typ und -code: Bei ICMP können Sie alle Typen und Codes oder optional einen einzelnen ICMP-Typ mit einem optionalen Code angeben. Wenn der Typ über verschiedene Codes verfügt, müssen Sie eine separate Regel für jeden Code erstellen, den Sie zulassen möchten.
      • Beschreibung eingeben: Geben Sie eine optionale Beschreibung der Regel ein.
    9. Um eine weitere Sicherheitsregel hinzuzufügen, wählen Sie + Weitere Regel aus, und geben Sie die Informationen der Regel an. Wiederholen Sie den Schritt für jede Regel, die Sie hinzufügen möchten.
    10. Wählen Sie anschließend Erstellen aus.

    Die NSG wird erstellt und dann in der Liste Netzwerksicherheitsgruppe im von Ihnen gewählten Compartment angezeigt. Sie können diese NSG jetzt beim Erstellen oder Verwalten von Instanzen oder anderen Typen von übergeordneten Ressourcen angeben.

    Wenn Sie alle Sicherheitsregeln in einer NSG anzeigen, können Sie die Liste nach Ingress oder Egress filtern.

  • Verwenden Sie den Befehl network NSG create und die erforderlichen Parameter, um eine NSG in einem VCN zu erstellen:

    oci network nsg create --compartment-id nsg-compartment-ocid --vcn-id vcn-ocid ... [OPTIONS]

    Eine vollständige Liste der Flags und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateNetworkSecurityGroup aus, um eine NSG zu erstellen.