Oracle Cloud Infrastructure-Dokumentation

Netzwerksicherheitsgruppen

Auf Compute Cloud@Customer stellt eine Netzwerksicherheitsgruppe (NSG) eine virtuelle Firewall für Cloud-Ressourcen in einem einzelnen VCN bereit, die alle denselben Sicherheitsstatus aufweisen. Beispiel: Eine Gruppe von Compute-Instanzen, die alle dieselben Aufgaben ausführen und damit alle dieselben Ports verwenden müssen.

Regeln in einer NSG werden für VNICs durchgesetzt, ihre NSG-Mitgliedschaft wird jedoch über ihre übergeordneten Ressourcen festgelegt. Nicht alle Cloud-Services unterstützen NSGs. Derzeit unterstützen die folgenden Typen von übergeordneten Ressourcen die Verwendung von NSGs:

  • Compute-Instanzen: Wenn Sie eine Instanz erstellen, können Sie eine oder mehrere NSGs für die primäre VNIC der Instanz angeben. Wenn Sie eine sekundäre VNIC zu einer Instanz hinzufügen, können Sie eine oder mehrere NSGs für diese VNIC angeben. Sie können auch die NSG-Mitgliedschaft vorhandener VNICs ändern.

  • Load Balancer: Wenn Sie einen Load Balancer erstellen, können Sie eine oder mehrere NSGs für den Load Balancer angeben (nicht das Backend-Set). Sie können auch einen vorhandenen Load Balancer aktualisieren, um eine oder mehrere NSGs zu verwenden.

  • Mountziele: Wenn Sie ein Mount-Ziel für ein Dateisystem erstellen, können Sie eine oder mehrere NSGs angeben. Sie können auch ein vorhandenes Mount-Ziel aktualisieren, um eine oder mehrere NSGs zu verwenden.

Bei Ressourcentypen, die NSGs noch nicht unterstützen, verwenden Sie weiterhin Sicherheitslisten, um den Traffic zu und von diesen übergeordneten Ressourcen zu steuern.

Hinweis

Sie können kein Internetgateway mit einer NSG verknüpfen.

Eine NSG enthält zwei Elementtypen:

  • VNICs: Eine oder mehrere VNICs, z.B. die VNICs, die an das Set von Compute-Instanzen angeschlossen sind, die alle denselben Sicherheitsstatus haben. Alle VNICs müssen sich in dem VCN befinden, zu dem die NSG gehört. Eine VNIC kann maximal in fünf NSGs vorhanden sein.

  • Sicherheitsregeln: Regeln, die definieren, welche Typen von Traffic in die und aus den VNICs in der Gruppe zulässig sind. Beispiel: SSH-Traffic über TCP-Port 22 aus einer bestimmten Quelle ingress.

Der allgemeine Prozess für die Arbeit mit NSGs ist wie folgt:

  1. Erstellen Sie eine NSG.

    Wenn Sie eine NSG erstellen, ist diese anfänglich leer, ohne Sicherheitsregeln oder VNICs. Nachdem die NSG erstellt wurde, können Sie Sicherheitsregeln hinzufügen oder entfernen, um die Typen von Ingress- und Egress-Traffic zuzulassen, die von den VNICs in der Gruppe benötigt werden.

  2. Fügen Sie der NSG Sicherheitsregeln hinzu.

  3. Fügen Sie übergeordnete Ressourcen oder insbesondere VNICs zur NSG hinzu.

    Wenn Sie eine NSG-VNIC-Mitgliedschaft verwalten, geschieht dies im Rahmen der Arbeit mit der übergeordneten Ressource, nicht mit der NSG selbst. Dies ist möglich, wenn Sie die übergeordnete Ressource erstellen, oder Sie können die übergeordnete Ressource aktualisieren und sie zu einer oder mehreren NSGs hinzufügen.

    Wenn Sie eine Compute-Instanz erstellen und zu einer NSG hinzufügen, wird die primäre VNIC der NSG hinzugefügt. Sie können sekundäre VNICs separat erstellen und sie optional zu NSGs hinzufügen.

Es gibt einige Unterschiede im REST-API-Modell für NSGs zu Sicherheitslisten:

  • Bei Sicherheitslisten gibt es ein IngressSecurityRule-Objekt und ein separates EgressSecurityRule-Objekt. Bei Netzwerksicherheitsgruppen gibt es nur ein SecurityRule-Objekt, und das direction-Attribut des Objekts bestimmt, ob die Regel für den Ingress- oder Egress-Traffic bestimmt ist.

  • Bei Sicherheitslisten sind die Regeln Teil des SecurityList-Objekts, und Sie arbeiten mit den Regeln, indem Sie die Sicherheitslistenvorgänge aufrufen. Beispiel: UpdateSecurityList. Bei NSGs sind die Regeln nicht Bestandteil des NetworkSecurityGroup-Objekts. Stattdessen verwenden Sie separate Vorgänge, um mit den Regeln für eine bestimmte NSG zu arbeiten. Beispiel: UpdateNetworkSecurityGroupSecurityRules.

  • Das Modell zum Aktualisieren vorhandener Sicherheitsregeln ist bei Sicherheitslisten anders als bei NSGs. Bei NSGs hat jede Regel in einer bestimmten Gruppe eine eindeutige ID. Wenn Sie UpdateNetworkSecurityGroupSecurityRules aufrufen, geben Sie die IDs der bestimmten Regeln an, die Sie aktualisieren möchten. Bei Sicherheitslisten haben die Regeln keine eindeutige ID. Wenn Sie UpdateSecurityList aufrufen, müssen Sie die gesamte Liste der Regeln einschließlich der Regeln, die nicht im Aufruf aktualisiert werden, übergeben.

  • Beim Aufrufen der Vorgänge zum Hinzufügen, Entfernen oder Aktualisieren von Sicherheitsregeln sind maximal 25 Regeln zulässig.

Weitere Informationen finden Sie unter Controlling Traffic with Network Security Groups.