Oracle Cloud Infrastructure-Dokumentation

Sicherheitsliste erstellen

Auf Compute Cloud@Customer können Sie eine Sicherheitsliste für ein VCN erstellen.

Bevor Sie eine Sicherheitsliste erstellen, zeigen Sie die Sicherheitsregeln an, die bereits in der Standardsicherheitsliste definiert sind, sowie alle anderen Sicherheitslisten für dieses VCN. Siehe Sicherheitslisten anzeigen.

Eine Sicherheitsliste muss mindestens eine Regel enthalten. Eine Sicherheitsliste muss nicht sowohl Ingress- als auch Egress-Regeln enthalten.

Geben Sie keine vertraulichen Informationen in Namen und Tags ein.

    1. Wählen Sie im Navigationsmenü der Compute Cloud@Customer-Konsole die Option Networking, und wählen Sie Virtuelle Cloud-Netzwerke aus.

    2. Wählen Sie oben auf der Seite das Compartment aus, das das VCN enthält, in dem Sie ein Subnetz erstellen möchten.

    3. Wählen Sie den Namen des VCN aus, für das Sie eine Sicherheitsliste erstellen möchten.

      Die VCN-Detailseite wird angezeigt.

    4. Wählen Sie unter Ressourcen die Option Sicherheitslisten aus.

    5. Wählen Sie Sicherheitsliste erstellen aus.

    6. Geben Sie im Dialogfeld "Sicherheitsliste erstellen" die folgenden Informationen ein:

      • Name: Geben Sie einen beschreibenden Namen für die Sicherheitsliste ein. Der Name muss nicht eindeutig sein. Geben Sie dabei keine vertraulichen Informationen ein. (Der Name kann später in der Konsole nicht mehr geändert werden, kann aber mit der CLI geändert werden.)

      • Erstellen in Compartment: Wählen Sie das Compartment aus, in dem Sie die Sicherheitsliste erstellen möchten.

    7. Fügen Sie mindestens eine Regel hinzu.

      Um eine oder mehrere Ingress-Regeln hinzuzufügen, wählen Sie +New-Regel im Feld Regeln für Ingress zulassen aus. Geben Sie folgende Informationen ein:

      • Zustandslos: Wenn die neue Regel zustandslos sein soll, aktivieren Sie dieses Kontrollkästchen. Standardmäßig sind Sicherheitslistenregeln zustandsbehaftet und gelten sowohl für eine Anforderung als auch für ihre koordinierte Antwort.

      • CIDR: Der CIDR-Block für den Ingress- oder Egress-Traffic.

      • IP-Protokoll: Die Regel kann für alle IP-Protokolle oder Auswahlmöglichkeiten wie ICMP, TCP oder UDP gelten. Wählen Sie das Protokoll aus der Dropdown-Liste aus.

        • Portbereich: Bei einigen Protokollen, wie TCP oder UDP, können Sie einen Quellportbereich und einen Zielportbereich angeben.

        • Parametertyp und -code: Für ICMP können Sie einen Parametertyp und den entsprechenden Parametercode auswählen.

      • Beschreibung: Eine optionale Beschreibung der Regel.

    8. Tagging: (Optional) Fügen Sie dieser Ressource mindestens ein Tag hinzu. Tags können auch später angewendet werden. Weitere Informationen zum Tagging von Ressourcen finden Sie unter Ressourcentags.

    9. Wählen Sie Sicherheitsliste erstellen aus.

      Die Detailseite der neuen Sicherheitsliste wird angezeigt. Sie können diese Sicherheitsliste angeben, wenn Sie ein Subnetz erstellen oder aktualisieren.

  • Verwenden Sie den Befehl oci network security-list create und die erforderlichen Parameter, um eine neue Sicherheitsliste für das angegebene VCN zu erstellen.

    oci network security-list create --compartment-id <compartment_OCID> --vcn-id <vcn_OCID> --ingress-security-rules <ingress_rules> --egress-security-rules <egress_rules> [OPTIONS]

    Eine vollständige Liste der CLI-Befehle, Kennzeichen und Optionen finden Sie in der Befehlszeilenreferenz.

    Prozedur

    1. Sammeln Sie die Informationen, die Sie zum Ausführen des Befehls benötigen:

      • Die OCID des Compartments, in dem Sie diese Sicherheitsliste erstellen möchten (oci iam compartment list)

      • Die OCID des VCN für diese Sicherheitsliste (oci network vcn list --compartment-id compartment_OCID)

    2. Erstellen Sie Argumente für die Optionen --ingress-security-rules und --egress-security-rules.

      Sicherheitsregeln haben das JSON-Format. Um zu sehen, wie eine Regel formatiert wird, verwenden Sie den folgenden Befehl:

      oci network security-list create --generate-param-json-input ingress-security-rules > ingress.json

      Verwenden Sie denselben Befehl mit egress-security-rules.

      Ingress- und Egress-Sicherheitsregeln sind identisch, mit der Ausnahme, dass Ingress-Regeln die Eigenschaften source und sourceType aufweisen, während Egress-Regeln die Eigenschaften destination und destinationType aufweisen.

      Der Wert der Eigenschaft protocol ist all oder eine der folgenden Zahlen: 1 für ICMP, 6 für TCP oder 17 für UDP.

      Sie können auch die Standardsicherheitsliste oder eine andere Sicherheitsliste als list oder get verwenden und die Werte der Eigenschaften egress-security-rules und ingress-security-rules kopieren.

      Legen Sie die Informationen für Regeln für diese neue Sicherheitsliste an den entsprechenden Stellen im Format fest, oder ersetzen Sie die Informationen in den kopierten Regeln.

      Der Wert beider Regeloptionen ist entweder eine Zeichenfolge zwischen einfachen Anführungszeichen oder eine Datei, die als file://path_to_file.json angegeben ist.

      Egress- und Ingress-Regeln müssen in einer Liste enthalten sein. Wenn die Liste der Egress-Regeln oder die Liste der Ingress-Regeln nur ein Element enthält, muss diese einzelne Regel in eckige Klammern eingeschlossen werden, genau wie mehrere Regeln. Ein Beispiel, das nur eine Ingress-Regel anzeigt, finden Sie im Befehl im nächsten Schritt.

      Sowohl Egress-Regeln als auch Ingress-Regeln müssen angegeben werden. Ein Beispiel ohne Egress-Regeln finden Sie im Befehl im nächsten Schritt.

    3. Führen Sie den Befehl zum Erstellen der Sicherheitsliste aus.

      Syntax:

      Beispiel:

      $ oci network security-list create --compartment-id ocid1.compartment.unique_ID \
--vcn-id ocid1.vcn.unique_ID --display-name "Limited Port Range" \
--egress-security-rules [] \
--ingress-security-rules '[{"source": "10.0.2.0/24", "protocol": "6", "isStateless": true, \
"tcpOptions": {"destinationPortRange": {"max": 1521, "min": 1521}, \
"sourcePortRange": {"max": 1521, "min": 1521}}}]'
{
  "data": {
    "compartment-id": "ocid1.compartment.unique_ID",
    "defined-tags": {},
    "display-name": "Limited Port Range",
    "egress-security-rules": [],
    "freeform-tags": {},
    "id": "ocid1.securitylist.unique_ID",
    "ingress-security-rules": [
      {
        "description": null,
        "icmp-options": null,
        "is-stateless": true,
        "protocol": "6",
        "source": "10.0.2.0/24",
        "source-type": "CIDR_BLOCK",
        "tcp-options": {
          "destination-port-range": {
            "max": 1521,
            "min": 1521
          },
          "source-port-range": {
            "max": 1521,
            "min": 1521
          }
        },
        "udp-options": null
      }
    ],
    "lifecycle-state": "PROVISIONING",
    "time-created": "unique_ID",
    "vcn-id": "ocid1.vcn.unique_ID"
  },
  "etag": "unique_ID"
}

  • Verwenden Sie den Vorgang CreateSecurityList, um eine neue Sicherheitsliste für das angegebene VCN zu erstellen.

    Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-APIs und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).