Policy-Syntax

Sicherheitsattribute identifizieren das VCN und die Endpunkte innerhalb des VCN.

Ein Sicherheitsattribut besteht aus einem Sicherheitsattribut-Namespace und einem Sicherheitsattributschlüssel, der durch einen Punkt und einen durch einen Doppelpunkt getrennten Wert getrennt ist:

Sicherheitsattribut-Namespaces sowie Sicherheitsattributschlüssel und -werte werden durch bestimmte Limits eingeschränkt. Wichtig ist, dass Sicherheitsattribut-Namespaces und Sicherheitsattributschlüssel kein Leerzeichen oder Punktzeichen enthalten dürfen. Werte können jedoch Leerzeichen, Punkte und einfache Anführungszeichen enthalten. Wenn ein Sicherheitsattribut referenziert wird, dessen Wert mehr als die zulässige Anzahl von Zeichen enthält, wird die gesamte Sicherheitsattributklausel in einfache Anführungszeichen gesetzt. Ein einzelnes Anführungszeichen im Wert muss mit einem anderen einfachen Anführungszeichen versehen werden. Beispiel:

app:fin-network

oracle-zpr.app:fe-nodes

my-corp.biz:hr

'my-corp.biz:dev and test db'

Weitere Informationen zu Sicherheitsattributen und den erforderlichen Berechtigungen für deren Verwendung finden Sie unter Sicherheitsattribute.

ZPR-Policy-Anweisungen verwenden die folgende Syntax und die folgenden Regeln, wenn sich Quelle und Ziel im selben VCN befinden:

in <location> <command> <source endpoint> <verb> <destination endpoint>

• <location> ist erforderlich und muss das Format in <security attribute> VCN aufweisen. <security attribute> muss angegeben werden, und es kann nur ein einzelnes Sicherheitsattribut sein.
• <command> muss allow sein.
• <source endpoint> muss security attribute, ip address, all-endpoints oder osn-services-ip-addresses sein.
• <verb> muss to connect to sein.
• <destination endpoint> muss security attribute, ip address, all-endpoints oder osn-services-ip-addresses sein.

Beispiel: Die folgende Policy-Anweisung drückt das Intent aus, Traffic zwischen Endpunkten innerhalb desselben VCN zuzulassen:

in app:fin-network VCN allow app:web endpoints to connect to app:store endpoints

Das VCN wird durch sein Sicherheitsattribut identifiziert und unterliegt der Policy, die es referenziert. Die Allow-Anweisung gilt für jedes VCN mit diesem Sicherheitsattribut. Die Endpunktklauseln identifizieren die Quelle oder das Ziel des Traffics mit dem angegebenen Sicherheitsattribut in einem VCN:

Das Schlüsselwort all-endpoints gibt jeden Endpunkt innerhalb oder außerhalb des VCN an, unabhängig davon, ob es Sicherheitsattribute enthält. Quellendpunkt und Zielendpunkt dürfen nicht beide all-endpoint sein. Eine muss identifiziert werden (Endpunktattributliste).

Traffic zwischen Endpunkten kann in einer Policy weiter eingeschränkt werden, indem nach ip-address und mindestens einem der zulässigen Netzwerkfilterattribute gefiltert wird: protocol, protocol.icmp.type, protocol.icmp.code und connection-state.

ip-address oder osn-services-ip-addresses können ein Ziel oder eine Quelle sein. Sie können ip-address und osn-services-ip-addresses jedoch nicht sowohl auf dem Quell- als auch auf dem Zielendpunkt verwenden. ip-address und osn-services-ip-addresses müssen entweder die Quelle oder das Ziel sein. Beispiele:

in applications.apps:app1 VCN allow '10.0.0.0/16' to connect to apps:app1 endpoints

ZPR-Policy-Anweisungen verwenden die folgende Syntax und die folgenden Regeln, wenn sich Quell- und Ziel-VCNs in derselben Region und demselben Mandanten befinden und beide VCNs Sicherheitsattribute verwenden:

<command> <source endpoints> in <source location> to <verb> <destination endpoints> in <destination location>

• <command> muss allow sein.
• <source endpoint> muss security attribute sein.
  Hinweis
  
  Um einen Endpunkt nach IP-Adresse oder CIDR-Bereich zu referenzieren, verwenden Sie die Policy-Syntax für ein einzelnes VCN.
• <source location> ist erforderlich und muss das Format in <security attribute> VCN. aufweisen. <security attribute> muss angegeben werden, und es kann nur ein einzelnes Sicherheitsattribut sein.
• <verb> muss to connect to sein.
• <destination endpoint> muss security attribute sein.
• <destination location> ist erforderlich und muss das Format in <security attribute> VCN. aufweisen. <security attribute> muss angegeben werden, und es kann nur ein einzelnes Sicherheitsattribut sein.

Beispiel: Die folgende Policy-Anweisung drückt die Absicht aus, Traffic von oder zu Endpunkten in zwei VCNs in derselben Region zuzulassen:

allow applications.app:webserver endpoints in applications.vcn:A VCN to connect to database.database:MySQL endpoints in database.vcn:B VCN

Die VCNs werden durch ihre Sicherheitsattribute identifiziert und unterliegen den Policys, die sie referenzieren. Die Allow-Anweisung gilt für jedes VCN mit diesen Sicherheitsattributen. Die Endpunktklauseln identifizieren die Quelle oder das Ziel des Traffics mit dem angegebenen Sicherheitsattribut in einem VCN:

Traffic zu und von Endpunkten kann in der Policy weiter eingeschränkt werden, indem mit mindestens einem der zulässigen Netzwerkfilterattribute gefiltert wird: protocol, protocol.icmp.type, protocol.icmp.code und connection-state.

Um Traffic zu oder von einer Quelle oder einem Ziel ohne definiertes Sicherheitsattribut zuzulassen (z.B. ein anderes VCN, eine andere Region, ein On-Premise-Netzwerk oder das Internet), geben Sie die IP-Adresse oder den CIDR-Block in einer ZPR-Policy mit der einzelnen VCN-Policy-Syntax an.

Beispiel: Die folgende Policy-Anweisung drückt das Intent aus, Traffic von oder zu Endpunkten an der angegebenen IP-Adresse zuzulassen, unabhängig davon, wo sich die Ressource befindet oder ob Sicherheitsattribute darauf angewendet werden:

in front-end:network VCN allow loadbalancer:web to connect to '0.0.0.0/0'