Nexus Network Fabric 提供了几种用于更新 NNI 或隔离域外部网络的访问控制列表(ACL)的方法。 下面是两个选项:
选项 1:替换现有 ACL
使用 az networkfabric acl create 命令创建新的 ACL。
先决条件
在 Azure Cloud Shell 中使用 Bash 环境。 有关详细信息,请参阅 Azure Cloud Shell 入门。
如需在本地运行 CLI 参考命令,请安装 Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行 Azure CLI。 有关详细信息,请参阅如何在 Docker 容器中运行 Azure CLI。
如果使用的是本地安装,请使用 az login 命令登录到 Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅 使用 Azure CLI 向 Azure 进行身份验证。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展的详细信息,请参阅 使用和管理 Azure CLI 中的扩展。
运行az version命令,以查看已安装的版本和依赖库。 若要升级到最新版本,请运行az upgrade。
- 设置订阅(如有必要):
如果有多个订阅,并且需要将一个订阅设置为默认值,则可以执行以下作:
az account set --subscription <subscription-id>
- 创建 ACL
使用 az networkfabric acl create 命令创建具有所需参数的 ACL。 下面是一个常规模板:
az networkfabric acl create --resource-group "<resource-group>" --location "<location>" --resource-name "<acl-name>" --annotation "<annotation>" --configuration-type "<configuration-type>" --default-action "<default-action>" --match-configurations "<match-configurations>" --actions "<actions>"
-
通过将资源 ID 传递给
--ingress-acl-id和--egress-acl-id参数来更新 NNI 或外部网络。
az networkfabric nni update --resource-group "<resource-group-name>" --resource-name "<nni-name>" --fabric "<fabric-name>" --ingress-acl-id "<ingress-acl-resource-id>" --egress-acl-id "<egress-acl-resource-id>"
| 参数 | Description |
|---|---|
--resource-group |
包含网络构造实例的资源组的名称。 |
--resource-name |
要更新的网络构造 NNI(网络到网络接口)的名称。 |
--fabric |
预配 NNI 的网络结构名称。 |
--ingress-acl-id |
入站流量访问控制列表(ACL)的资源 ID(若无特定 ACL,则为 null)。 |
--egress-acl-id |
出站流量的出口访问控制列表(ACL)的资源 ID(如果没有具体的 ACL,则为 null)。 |
注释
根据要求,可以更新入口、出口或两者。
- 提交配置更改:
执行 fabric commit-configuration 以提交配置更改。
az networkfabric fabric commit-configuration --resource-group "<resource-group>" --resource-name "<fabric-name>"
| 参数 | Description |
|---|---|
--resource-group |
包含 Nexus Network Fabric 的资源组的名称。 |
--resource-name |
将配置更改提交到的 Nexus Network Fabric 的名称。 |
- 验证更改:
使用 resource list 命令验证更改。
选项 2:更新现有的 ACL 属性
使用 ACL 更新命令修改现有 ACL 的属性。
- 将一个空 ID 传递给
--ingress-acl-id和--egress-acl-id来更新 NNI 或外部网络。
az networkfabric nni update --resource-group "<resource-group-name>" --resource-name "<nni-name>" --fabric "<fabric-name>" --ingress-acl-id null --egress-acl-id null
| 参数 | Description |
|---|---|
--resource-group |
包含网络构造实例的资源组的名称。 |
--resource-name |
要更新的网络构造 NNI(网络到网络接口)的名称。 |
--fabric |
预配 NNI 的网络结构名称。 |
--ingress-acl-id |
入站流量访问控制列表(ACL)的资源 ID(若无特定 ACL,则为 null)。 |
--egress-acl-id |
出站流量的出口访问控制列表(ACL)的资源 ID(如果没有具体的 ACL,则为 null)。 |
注释
根据要求,可以更新入口、出口或两者。
- 执行
fabric commit-configuration。
az networkfabric fabric commit-configuration --resource-group "<resource-group>" --resource-name "<fabric-name>"
| 参数 | Description |
|---|---|
--resource-group |
包含 Nexus Network Fabric 的资源组的名称。 |
--resource-name |
将配置更改提交到的 Nexus Network Fabric 的名称。 |
- 使用
resource list命令验证更改。