Sintassi dei criteri

Gli attributi di sicurezza identificano la VCN e gli endpoint all'interno della VCN.

Un attributo di sicurezza è costituito da uno spazio di nomi degli attributi di sicurezza e da una chiave degli attributi di sicurezza separata da un punto e da un valore separato da due punti:

Gli spazi di nomi degli attributi di sicurezza e le chiavi e i valori degli attributi di sicurezza sono vincolati da limiti specifici. È importante sottolineare che gli spazi di nomi degli attributi di sicurezza e le chiavi degli attributi di sicurezza non devono contenere uno spazio o un carattere punto. Tuttavia, i valori possono contenere spazi, punti e virgolette singole. Se si fa riferimento a un attributo di sicurezza il cui valore contiene più caratteri del numero consentito, l'intera clausola dell'attributo di sicurezza viene racchiusa tra virgolette singole. Qualsiasi singolo carattere di virgoletta nel valore deve essere preceduto da un'altra virgoletta. Ad esempio:

app:fin-network

oracle-zpr.app:fe-nodes

my-corp.biz:hr

'my-corp.biz:dev and test db'

Per ulteriori informazioni sugli attributi di sicurezza e sulle autorizzazioni necessarie per utilizzarli, vedere Attributi di sicurezza.

Le istruzioni dei criteri ZPR utilizzano la sintassi e le regole riportate di seguito quando l'origine e la destinazione risiedono nella stessa VCN.

in <location> <command> <source endpoint> <verb> <destination endpoint>

• <location> è obbligatorio e deve avere il formato in <security attribute> VCN. È necessario specificare <security attribute> e può essere un solo attributo di sicurezza.
• <command> deve essere allow.
• <source endpoint> deve essere security attribute, ip address, all-endpoints o osn-services-ip-addresses.
• <verb> deve essere to connect to.
• <destination endpoint> deve essere security attribute, ip address, all-endpoints o osn-services-ip-addresses.

Ad esempio, l'istruzione dei criteri seguente esprime l'intento di consentire il traffico tra gli endpoint all'interno della stessa VCN:

in app:fin-network VCN allow app:web endpoints to connect to app:store endpoints

La VCN viene identificata dal relativo attributo di sicurezza ed è soggetta al criterio che vi fa riferimento. L'istruzione allow si applica a ogni VCN con tale attributo di sicurezza. Le clausole endpoint identificano l'origine o la destinazione del traffico con l'attributo di sicurezza specificato all'interno di una VCN:

La parola chiave all-endpoints indica qualsiasi endpoint all'interno o all'esterno della VCN, indipendentemente dal fatto che abbia o meno attributi di sicurezza. L'endpoint di origine e l'endpoint di destinazione non possono essere entrambi all-endpoint. Uno deve essere identificato (elenco di attributi endpoint).

Il traffico tra gli endpoint può essere ulteriormente limitato in un criterio filtrando il file ip-address e uno o più degli attributi di filtro di rete consentiti: protocol, protocol.icmp.type, protocol.icmp.code e connection-state.

ip-address o osn-services-ip-addresses può essere una destinazione o un'origine. Tuttavia, non è possibile utilizzare ip-address e osn-services-ip-addresses sia sugli endpoint di origine che su quelli di destinazione; ip-address e osn-services-ip-addresses devono essere l'origine o la destinazione. Ad esempio:

in applications.apps:app1 VCN allow '10.0.0.0/16' to connect to apps:app1 endpoints

Le istruzioni dei criteri ZPR utilizzano la sintassi e le regole seguenti quando le reti VCN di origine e di destinazione risiedono nella stessa area e tenancy ed entrambe le reti VCN utilizzano gli attributi di sicurezza:

<command> <source endpoints> in <source location> to <verb> <destination endpoints> in <destination location>

• <command> deve essere allow.
• <source endpoint> deve essere security attribute.
  Nota
  
  Per fare riferimento a un endpoint per indirizzo IP o intervallo CIDR, utilizzare la sintassi dei criteri per una singola VCN.
• <source location> è obbligatorio e deve avere il formato in <security attribute> VCN.. È necessario specificare <security attribute> e può essere un solo attributo di sicurezza.
• <verb> deve essere to connect to.
• <destination endpoint> deve essere security attribute.
• <destination location> è obbligatorio e deve avere il formato in <security attribute> VCN.. È necessario specificare <security attribute> e può essere un solo attributo di sicurezza.

Ad esempio, l'istruzione dei criteri seguente esprime l'intento di consentire il traffico da o verso gli endpoint in due reti VCN all'interno della stessa area:

allow applications.app:webserver endpoints in applications.vcn:A VCN to connect to database.database:MySQL endpoints in database.vcn:B VCN

Le reti VCN sono identificate dai relativi attributi di sicurezza e sono soggette ai criteri che vi fanno riferimento. L'istruzione allow si applica a ogni VCN con tali attributi di sicurezza. Le clausole endpoint identificano l'origine o la destinazione del traffico con l'attributo di sicurezza specificato all'interno di una VCN:

Il traffico da e verso gli endpoint può essere ulteriormente limitato nei criteri filtrando con uno o più attributi di filtro di rete consentiti: protocol, protocol.icmp.type, protocol.icmp.code e connection-state.

Per consentire il traffico verso o da un'origine o una destinazione senza un attributo di sicurezza definito (ad esempio un'altra VCN, un'area diversa, una rete in locale o Internet), specificare l'indirizzo IP o il blocco CIDR in un criterio ZPR utilizzando la sintassi del singolo criterio VCN.

Ad esempio, l'istruzione dei criteri riportata di seguito esprime l'intento di consentire il traffico da o verso gli endpoint all'indirizzo IP specificato, indipendentemente dalla posizione in cui si trova la risorsa o dall'applicazione degli attributi di sicurezza.

in front-end:network VCN allow loadbalancer:web to connect to '0.0.0.0/0'