Oracle Cloud Infrastructure - Dokumentation

NSG erstellen

Erstellen Sie eine Netzwerksicherheitsgruppe (NSG) in einem virtuellen Cloud-Netzwerk (VCN).

Jedes VCN enthält eine Standardsicherheitsliste, die Standardsicherheitsregeln enthält, um die grundlegende Konnektivität zu ermöglichen. Ein VCN hat jedoch keine Standard-NSG.

Wenn Sie eine NSG erstellen, ist diese anfänglich leer, ohne Sicherheitsregeln oder VNICs. Wenn Sie die Konsole verwenden, können Sie bei der Erstellung Sicherheitsregeln zur NSG hinzufügen. Machen Sie sich mit den Elementen von Sicherheitsregeln vertraut.

Optional können Sie der NSG bei der Erstellung einen benutzerfreundlichen Namen zuweisen. Der Name muss nicht eindeutig sein und kann später geändert werden. Oracle weist der NSG automatisch eine eindeutige ID mit der Bezeichnung Oracle Cloud-ID (OCID)  zu. Weitere Informationen finden Sie unter Ressourcen-IDs.

Zum Zwecke der Zugriffskontrolle müssen Sie das Compartment  angeben, in dem die NSG gespeichert werden soll. Wenn Sie nicht sicher sind, welches Compartment zu verwenden ist, wenden Sie sich an einen Administrator in Ihrer Organisation. Weitere Informationen finden Sie unter Zugriffskontrolle.

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking, Virtuelle Cloud-Netzwerke.
    2. Klicken Sie auf den Namen des gewünschten VCN.
    3. Klicken Sie unter Ressourcen auf Netzwerksicherheitsgruppen.
    4. Klicken Sie auf Netzwerksicherheitsgruppe erstellen.
    5. Geben Sie auf der Seite Basisinformationen die folgenden Informationen ein:
      • Name: Ein beschreibender Name für die NSG. Der Name muss nicht eindeutig sein und kann später geändert werden. Geben Sie keine vertraulichen Informationen ein.
      • Erstellen in Compartment: Das Compartment, in dem Sie die NSG erstellen möchten, wenn es sich von dem Compartment unterscheidet, mit dem Sie derzeit arbeiten.
      • Erweiterte Optionen anzeigen: Sie können Ihre Ressourcen mit Tags entsprechend Ihren Geschäftsanforderungen organisieren. Sie können Tags beim Erstellen einer Ressource anwenden oder die Ressource später mit Tags aktualisieren. Allgemeine Informationen zum Anwenden von Tags finden Sie unter Ressourcentags.
    6. Klicken Sie auf Weiter.
      Wenn Sie die NSG ohne Regeln erstellen möchten, klicken Sie einfach auf Erstellen. Gehen Sie andernfalls zum nächsten Schritt.
    7. Geben Sie für die erste Sicherheitsregel die folgenden Informationen ein (Beispiele für Regeln finden Sie unter Netzwerkszenarios):
      • Zustandsbehaftet oder zustandslos: Wenn eine Regel zustandsbehaftet ist, wird das Verbindungstracking für Traffic verwendet, der mit der Regel übereinstimmt. Bei einer Regel ohne Status wird kein Verbindungstracking verwendet. Standardmäßig sind Regeln für zustandsbehafteten Traffic vorgesehen, es sei denn, Sie geben etwas anderes an. Siehe Regeln für zustandsbehafteten und zustandslosen Traffic im Vergleich.
      • Richtung (Ingress oder Egress): "Ingress" ist eingehender Traffic zur VNIC, und "Egress" ist ausgehender Traffic von der VNIC.

      • Quelltyp und Quelle (nur für Ingress-Regeln): Im Folgenden werden die zulässigen Quelltypen und die Quellwerte aufgeführt, die Sie für sie angeben können:

        • CIDR: Der CIDR-Block, aus dem der Traffic stammt. Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Das Präfix ist erforderlich (Beispiel: Geben Sie die /32 an, wenn Sie eine einzelne IP-Adresse angeben).
        • Service: Nur für Pakete, die von einem Oracle-Service über ein Servicegateway eingehen. Der Quellservice ist das gewünschte Service-CIDR-Label.
        • Netzwerksicherheitsgruppe: Eine NSG, die sich in demselben VCN wie die NSG dieser Regel befindet.

      • Zieltyp und Ziel (nur für Egress-Regeln): Im Folgenden werden die zulässigen Zieltypen und die Zielwerte aufgeführt, die Sie für sie angeben können:

        • CIDR: Der CIDR-Block, an den der Traffic geleitet wird. Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Das Präfix ist erforderlich (Beispiel: Geben Sie die /32 an, wenn Sie eine einzelne IP-Adresse angeben).
        • Service: Nur für Pakete, die über ein Servicegateway an einen Oracle-Service gesendet werden. Der Zielservice ist das gewünschte Service-CIDR-Label.
        • Netzwerksicherheitsgruppe: Eine NSG, die sich in demselben VCN wie die NSG dieser Regel befindet.
      • IP-Protokoll: Entweder ein einzelnes IPv4-Protokoll (Beispiel: TCP oder ICMP) oder "Alle" zur Deckung aller Protokolle.
      • Quellportbereich: Der Port, von dem der Traffic stammt. Bei TCP oder UDP können Sie alle Quellports, optional eine einzelne Quellportnummer oder einen Bereich angeben.
      • Zielportbereich: Der Port, an den der Traffic geleitet wird. Bei TCP oder UDP können Sie alle Zielports, optional eine einzelne Zielportnummer oder einen Bereich angeben.
      • ICMP-Typ und -Code: Bei ICMP können Sie alle Typen und Codes oder optional einen einzelnen ICMP-Typ mit einem optionalen Code angeben. Wenn der Typ mehrere Codes hat, erstellen Sie eine separate Regel für jeden Code, den Sie zulassen möchten.
      • Beschreibung: Geben Sie eine optionale Beschreibung der Regel ein.
    8. Um eine weitere Sicherheitsregel hinzuzufügen, klicken Sie auf + Weitere Regel, und geben Sie die Informationen der Regel ein. Wiederholen Sie diesen Vorgang für jede Regel, die Sie hinzufügen möchten.
    9. Wenn Sie fertig sind, klicken Sie auf Erstellen.

    Die NSG wird erstellt und dann auf der Seite Network Security Group im von Ihnen gewählten Compartment angezeigt. Sie können diese NSG jetzt beim Erstellen oder Verwalten von Instanzen oder anderen Typen von übergeordneten Ressourcen angeben.

    Wenn Sie alle Sicherheitsregeln in einer NSG anzeigen, können Sie die Liste nach Ingress oder Egress filtern.

  • Verwenden Sie den Befehl network NSG create und die erforderlichen Parameter, um eine NSG in einem VCN zu erstellen:

    oci network nsg create --compartment-id nsg-compartment-ocid --vcn-id vcn-ocid ... [OPTIONS]

    Eine vollständige Liste der Flags und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Führen Sie den Vorgang CreateNetworkSecurityGroup aus, um eine NSG zu erstellen.