Documentazione dell'infrastruttura Oracle Cloud

Creazione di un gruppo NSG

Creare un gruppo di sicurezza di rete (NSG) in una rete cloud virtuale (VCN, Virtual Cloud Network).

Ogni VCN viene fornita con una lista di sicurezza predefinita contenente regole di sicurezza predefinite per abilitare la connettività di base. Tuttavia, una VCN non dispone di un gruppo NSG predefinito.

Quando crei un gruppo NSG, inizialmente è vuoto, senza regole di sicurezza o VNIC. Se si utilizza la console, è possibile aggiungere regole di sicurezza al gruppo NSG durante la creazione. Acquisire familiarità con le parti delle regole di sicurezza.

Facoltativamente, è possibile assegnare un nome descrittivo al gruppo NSG durante la creazione. Il nome non deve essere univoco e può essere modificato in un secondo momento. Oracle assegna automaticamente al gruppo NSG un identificativo univoco denominato OCID (Oracle Cloud ID) . Per ulteriori informazioni, vedere Identificativi delle risorse.

Ai fini del controllo dell'accesso, è necessario specificare il compartimento in cui si desidera che il gruppo NSG risieda. In caso di dubbi su quale compartimento utilizzare, consultare un amministratore dell'organizzazione. Per ulteriori informazioni, vedere Controllo dell'accesso.

    1. Nella pagina elenco Reti cloud virtuali, selezionare la VCN con cui si desidera lavorare. Se hai bisogno di aiuto per trovare la pagina della lista o la VCN, consulta la sezione relativa all'elenco delle reti VCN.
    2. Nella pagina dei dettagli eseguire una delle azioni riportate di seguito a seconda dell'opzione visualizzata.
      • Nella scheda Sicurezza andare alla sezione Gruppi di sicurezza di rete.
      • In Resources selezionare Network Security Groups.
    3. Selezionare Crea gruppo di sicurezza di rete.
    4. Immettere un nome descrittivo per il gruppo NSG. Non deve essere unico. Evitare di fornire informazioni riservate.
    5. Verificare il compartimento in cui si desidera creare il gruppo NSG. Selezionare un altro compartimento, se necessario.
    6. (Facoltativo) Aggiungere una o più tag nella sezione Tag. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare i tag in un secondo momento.
    7. (Facoltativo) Per creare il gruppo NSG senza ancora regole, selezionare Crea.
    8. In the Rule section, enter the following information for a first security rule (for examples of rules, see Networking Scenarios):
      • Selezionare un valore per Senza conservazione dello stato o con conservazione dello stato. Se una regola è con conservazione dello stato, il monitoraggio della connessione viene utilizzato per il traffico che corrisponde alla regola. Se una regola è senza conservazione dello stato, non viene utilizzato alcun tracciamento della connessione. Per impostazione predefinita, le regole sono con conservazione dello stato a meno che non si specifichi diversamente. Vedere Stateful Rispetto alle regole senza conservazione dello stato.
      • Selezionare un direzione (ingresso o uscita): l'ingresso è traffico in entrata verso la VNIC e l'uscita è traffico in uscita dalla VNIC.

      • Selezionare un tipo di origine e un'origine (solo per le regole di entrata): di seguito sono riportati i tipi di origine consentiti e i valori di origine che è possibile specificare.

        • CIDR: il blocco CIDR da cui proviene il traffico. Utilizzare 0.0.0.0/0 per indicare tutti gli indirizzi IP. Il prefisso è obbligatorio (ad esempio, includi /32 se stai specificando un singolo indirizzo IP). Per ulteriori informazioni sulla notazione CIDR, vedere RFC1817 e RFC1519.
        • Servizio: solo per i pacchetti provenienti da un servizio Oracle tramite un gateway di servizi. Il servizio di origine è l'etichetta CIDR del servizio a cui si è interessati.
        • Gruppo di sicurezza di rete: un gruppo NSG nella stessa VCN del gruppo NSG di questa regola.

      • Selezionare un tipo di destinazione e una destinazione (solo per le regole di uscita): di seguito sono riportati i tipi di destinazione consentiti e i valori di destinazione che è possibile specificare:

        • CIDR: il blocco CIDR a cui va il traffico. Utilizzare 0.0.0.0/0 per indicare tutti gli indirizzi IP. Il prefisso è obbligatorio (ad esempio, includi /32 se stai specificando un singolo indirizzo IP). Per ulteriori informazioni sulla notazione CIDR, vedere RFC1817 e RFC1519.
        • Servizio: solo per i pacchetti che vanno a un servizio Oracle tramite un gateway di servizi. Il servizio di destinazione è l'etichetta CIDR del servizio a cui sei interessato.
        • Gruppo di sicurezza di rete: un gruppo NSG nella stessa VCN del gruppo NSG di questa regola.
      • Selezionare un protocollo IP singolo IPv4 protocol (ad esempio, TCP o ICMP) o "all" per coprire tutti i protocolli.
      • Selezionare un valore per Intervallo porte di origine: la porta da cui ha origine il traffico. Per TCP o UDP, è possibile specificare tutte le porte di origine oppure, facoltativamente, specificare un singolo numero di porta di origine o un intervallo.
      • Selezionare un Intervallo porte di destinazione: la porta a cui va il traffico. Per TCP o UDP, è possibile specificare tutte le porte di destinazione oppure, facoltativamente, specificare un singolo numero di porta di destinazione o un intervallo.
      • Selezionare un tipo e codice ICMP: per ICMP, è possibile specificare tutti i tipi e i codici oppure, facoltativamente, specificare un singolo tipo ICMP con un codice facoltativo. Se il tipo contiene più codici, creare una regola separata per ogni codice che si desidera consentire.
      • Immettere una Descrizione: immettere una descrizione facoltativa della regola.
    9. Per aggiungere un'altra regola di sicurezza, selezionare + Altra regola e immettere le informazioni della regola. Ripetere l'operazione per ogni regola da aggiungere.
    10. Al termine, selezionare Crea.

    Il gruppo NSG viene creato e quindi visualizzato nella lista Gruppo di sicurezza di rete nel compartimento scelto. È ora possibile specificare questo gruppo NSG durante la creazione o la gestione di istanze o altri tipi di risorse padre.

    Quando si visualizzano tutte le regole di sicurezza in un gruppo NSG, è possibile filtrare la lista in base all'ingresso o all'uscita.

  • Utilizzare il comando network NSG create e i parametri richiesti per creare un gruppo NSG in una VCN.

    oci network nsg create --compartment-id nsg-compartment-ocid --vcn-id vcn-ocid ... [OPTIONS]

    Per un elenco completo dei flag e delle opzioni variabili per i comandi CLI, consultare il manuale CLI Command Reference.

  • Eseguire l'operazione CreateNetworkSecurityGroup per creare un gruppo NSG.