Oracle Cloud Infrastructure-Dokumentation

Netzwerksicherheitsgruppen

Eine Netzwerksicherheitsgruppe (NSG) stellt auf Compute Cloud@Customer eine virtuelle Firewall für ein Set von Cloud-Ressourcen innerhalb eines einzelnen VCN bereit, die alle denselben Sicherheitsstatus aufweisen. Beispiel: Eine Gruppe von Compute-Instanzen, die alle dieselben Aufgaben ausführen und damit alle dieselben Ports verwenden müssen.

Regeln in einer NSG werden für VNICs durchgesetzt, ihre NSG-Mitgliedschaft wird jedoch über ihre übergeordneten Ressourcen bestimmt. Nicht alle Cloud-Services unterstützen NSGs. Derzeit unterstützen die folgenden Typen von übergeordneten Ressourcen die Verwendung von NSGs:

  • Compute-Instanzen: Wenn Sie eine Instanz erstellen, können Sie eine oder mehrere NSGs für die primäre VNIC der Instanz angeben. Wenn Sie eine sekundäre VNIC zu einer Instanz hinzufügen, können Sie eine oder mehrere NSGs für diese VNIC angeben. Sie können auch die NSG-Mitgliedschaft vorhandener VNICs ändern.

  • Load Balancer: Wenn Sie einen Load Balancer erstellen, können Sie eine oder mehrere NSGs für den Load Balancer angeben (nicht das Backend-Set). Sie können auch einen vorhandenen Load Balancer aktualisieren, um eine oder mehrere NSGs zu verwenden.

  • Mountziele: Wenn Sie ein Mountziel für ein Dateisystem erstellen, können Sie eine oder mehrere NSGs angeben. Sie können auch ein vorhandenes Mountziel aktualisieren, um eine oder mehrere NSGs zu verwenden.

Bei Ressourcentypen, die NSGs noch nicht unterstützen, verwenden Sie weiterhin Sicherheitslisten, um den Traffic zu und von diesen übergeordneten Ressourcen zu steuern.

Hinweis

Sie können kein Internetgateway mit einer NSG verknüpfen.

Eine NSG enthält zwei Elementtypen:

  • VNICs: Eine oder mehrere VNICs (zum Beispiel die VNICs, die an die Compute-Instanzen angehängt sind, die alle denselben Sicherheitsstatus haben). Alle VNICs müssen sich im VCN befinden, zu dem die NSG gehört. Eine VNIC kann maximal in fünf NSGs vorhanden sein.

  • Sicherheitsregeln: Regeln, mit denen die Traffictypen definiert werden, die in die und aus den VNICs in der Gruppe zulässig sind. Beispiel: Ingress-Traffic über TCP-Port 22 (SSH) aus einer bestimmten Quelle.

Der allgemeine Prozess für die Arbeit mit NSGs lautet wie folgt:

  1. Erstellen Sie eine NSG.

    Wenn Sie eine NSG erstellen, ist diese anfänglich leer, ohne Sicherheitsregeln oder VNICs. Nachdem die NSG erstellt wurde, können Sie Sicherheitsregeln hinzufügen oder entfernen, um die Arten von Ingress- und Egress-Traffic zuzulassen, die von den VNICs in der Gruppe benötigt werden.

  2. Fügen Sie der NSG Sicherheitsregeln hinzu.

  3. Fügen Sie der NSG übergeordnete Ressourcen (oder speziell VNICs) hinzu.

    Wenn Sie eine NSG-VNIC-Mitgliedschaft verwalten, geschieht dies im Rahmen der Arbeit mit der übergeordneten Ressource und nicht mit der NSG. Dies ist möglich, wenn Sie die übergeordnete Ressource erstellen, oder Sie können die übergeordnete Ressource aktualisieren und sie zu einer oder mehreren NSGs hinzufügen.

    Wenn Sie eine Compute-Instanz erstellen und zu einer NSG hinzufügen, wird die primäre VNIC der Instanz zur NSG hinzugefügt. Sie können sekundäre VNICs separat erstellen und sie optional zu NSGs hinzufügen.

Es gibt einige Unterschiede im REST-API-Modell für NSGs im Vergleich zu Sicherheitslisten:

  • Bei Sicherheitslisten gibt es ein IngressSecurityRule-Objekt und ein separates EgressSecurityRule-Objekt. Bei Netzwerksicherheitsgruppen gibt es nur ein SecurityRule-Objekt, und das direction-Attribut des Objekts bestimmt, ob die Regel für den Ingress- oder Egress-Traffic bestimmt ist.

  • Bei Sicherheitslisten sind die Regeln Teil des SecurityList-Objekts, und Sie arbeiten mit den Regeln, indem sie die Sicherheitslistenvorgänge aufrufen. Beispiel: UpdateSecurityList. Bei NSGs ist die Regel nicht Bestandteil des NetworkSecurityGroup-Objekts. Stattdessen verwenden Sie separate Vorgänge, um mit den Regeln für eine bestimmten NSG zu arbeiten. Beispiel: UpdateNetworkSecurityGroupSecurityRules.

  • Das Modell zum Aktualisieren vorhandener Sicherheitsregeln ist in Sicherheitslisten anders wie bei NSGs. Bei NSGs hat jede Regel in einer bestimmten Gruppe eine eindeutige ID. Wenn Sie UpdateNetworkSecurityGroupSecurityRules aufrufen, geben Sie die IDs der bestimmten Regeln an, die Sie aktualisieren möchten. Im Vergleich zu Sicherheitslisten haben die Regeln keine eindeutige ID. Wenn Sie UpdateSecurityList aufrufen, müssen Sie die gesamte Liste der Regeln übergeben, einschließlich Regeln, die im Aufruf nicht aktualisiert werden.

  • Beim Aufrufen der Vorgänge zum Hinzufügen, Entfernen oder Aktualisieren von Sicherheitsregeln sind maximal 25 Regeln zulässig.

Weitere Informationen finden Sie unter Controlling Traffic with Network Security Groups.