Oracle Cloud Infrastructure-Dokumentation

Sicherheitslisten erstellen

Auf Compute Cloud@Customer können Sie eine Sicherheitsliste für ein VCN erstellen.

Zeigen Sie vor dem Erstellen einer Sicherheitsliste die Sicherheitsregeln an, die bereits in der Standardsicherheitsliste und jeder anderen Sicherheitsliste für dieses VCN definiert sind. Siehe Sicherheitslisten anzeigen.

Eine Sicherheitsliste muss mindestens eine Regel enthalten. Eine Sicherheitsliste muss nicht sowohl Ingress- als auch Egress-Regeln enthalten.

Geben Sie keine vertraulichen Informationen in Namen und Tags ein.

    1. Wählen Sie im Navigationsmenü der Compute Cloud@Customer-Konsole die Option Networking, und wählen Sie Virtuelle Cloud-Netzwerke aus.

    2. Wählen Sie oben auf der Seite das Compartment aus, das das VCN enthält, in dem Sie ein Subnetz erstellen möchten.

    3. Wählen Sie den Namen des VCN aus, für das Sie eine Sicherheitsliste erstellen möchten.

      Die Seite mit den VCN-Details wird angezeigt.

    4. Wählen Sie unter Ressourcen die Option Sicherheitslisten aus.

    5. Wählen Sie Sicherheitsliste erstellen aus.

    6. Geben Sie im Dialogfeld "Sicherheitsliste erstellen" die folgenden Informationen ein:

      • Name: Geben Sie einen aussagekräftigen Namen für die Sicherheitsliste an. Der Name muss nicht eindeutig sein. Geben Sie dabei keine vertraulichen Informationen ein. (Der Name kann später in der Konsole nicht geändert werden, aber mit der CLI geändert werden.)

      • Erstellen in Compartment: Wählen Sie das Compartment, in dem Sie die Sicherheitsliste erstellen möchten.

    7. Fügen Sie mindestens eine Regel hinzu.

      Um eine oder mehrere Ingress-Regeln hinzuzufügen, wählen Sie +New-Regel im Feld Regeln für Ingress zulassen aus. Geben Sie folgende Informationen ein:

      • Zustandslos: Wenn die neue Regel zustandslos sein soll, aktivieren Sie dieses Kontrollkästchen. Standardmäßig sind Sicherheitslistenregeln zustandsbehaftet und gelten sowohl für eine Anforderung als auch für die koordinierte Antwort.

      • CIDR: Der CIDR-Block für den Ingress- oder Egress-Traffic.

      • IP-Protokoll: Die Regel kann für alle IP-Protokolle oder Optionen wie ICMP, TCP oder UDP gelten. Wählen Sie das Protokoll aus der Dropdown-Liste aus.

        • Portbereich: Für einige Protokolle, wie TCP oder UDP, können Sie einen Quellportbereich und einen Zielportbereich angeben.

        • Parametertyp und -code: Für ICMP können Sie einen Parametertyp und einen entsprechenden Parametercode auswählen.

      • Beschreibung: Eine optionale Beschreibung der Regel.

    8. Tagging: (Optional) Fügen Sie dieser Ressource ein oder mehrere Tags hinzu. Tags können auch später angewendet werden. Weitere Informationen zum Tagging von Ressourcen finden Sie unter Tags bei der Ressourcenerstellung hinzufügen (IAM in OCI).

    9. Wählen Sie Sicherheitsliste erstellen aus.

      Die Detailseite der neuen Sicherheitsliste wird angezeigt. Sie können diese Sicherheitsliste beim Erstellen oder Aktualisieren eines Subnetzes angeben.

  • Verwenden Sie den Befehl oci network security-list create und die erforderlichen Parameter, um eine neue Sicherheitsliste für das angegebene VCN zu erstellen.

    oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]

    Eine vollständige Liste der CLI-Befehle, Flags und Optionen finden Sie in der Befehlszeilenreferenz.

    Verfahren

    1. Sammeln Sie die Informationen, die Sie zum Ausführen des Befehls benötigen:

      • Die OCID des Compartments, in dem Sie diese Sicherheitsliste erstellen möchten (oci iam compartment list)

      • Die OCID des VCN für diese Sicherheitsliste (oci network vcn list --compartment-id compartment_OCID)

    2. Erstellen Sie Argumente für die Optionen --ingress-security-rules und --egress-security-rules.

      Sicherheitsregeln haben das JSON-Format. Um zu sehen, wie eine Regel formatiert wird, verwenden Sie den folgenden Befehl:

      oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json

      Verwenden Sie denselben Befehl mit egress-security-rules.

      Ingress- und Egress-Sicherheitsregeln sind identisch, mit der Ausnahme, dass Ingress-Regeln die Eigenschaften source und sourceType aufweisen, während Egress-Regeln die Eigenschaften destination und destinationType aufweisen.

      Der Wert der Eigenschaft protocol ist all oder eine der folgenden Zahlen: 1 für ICMP, 6 für TCP oder 17 für UDP.

      Sie können auch die Standardsicherheitsliste oder eine andere Sicherheitsliste list oder get verwenden und die Werte der Eigenschaften egress-security-rules und ingress-security-rules kopieren.

      Legen Sie die Informationen für Regeln für diese neue Sicherheitsliste an den entsprechenden Stellen im Format fest, oder ersetzen Sie die Informationen in den kopierten Regeln.

      Der Wert beider Regeloptionen ist entweder eine Zeichenfolge zwischen einfachen Anführungszeichen oder eine Datei, die als file://path_to_file.json angegeben ist.

      Egress- und Ingress-Regeln müssen in einer Liste enthalten sein. Wenn die Liste der Egress-Regeln oder die Liste der Ingress-Regeln nur ein Element enthält, muss diese einzelne Regel genauso wie mehrere Regeln in eckige Klammern eingeschlossen sein. Ein Beispiel mit nur einer Ingress-Regel finden Sie im Befehl im nächsten Schritt.

      Sowohl Egress-Regeln als auch Ingress-Regeln müssen angegeben werden. Ein Beispiel ohne Egress-Regeln finden Sie im Befehl im nächsten Schritt.

    3. Führen Sie den Befehl "create" für die Sicherheitsliste aus.

      Syntax:

      Beispiel:

      $ oci network security-list create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \
--egress-security-rules [] \
--ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
"tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
"sourcePortRange": {"max": 1521, "min": 1521}}}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "Limited Port Range",
    "egress-security-rules": [],
    "freeform-tags": {},
    "id": "ocid1.securitylist.unique_ID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "PROVISIONING",
    "time-created": "unique_ID",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "unique_ID"
}

  • Mit dem Vorgang CreateSecurityList können Sie eine neue Sicherheitsliste für das angegebene VCN erstellen.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-APIs und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).