我只需要打开几个端口(例如80和443)。我读过ASG,用规则创建了json文件。但是当我尝试通过终端创建ASG时 - 它说Server error, status code: 403, error code: 10003, message: You are not authorized to perform the requested action。当我试图找到解决方案时 - 一些消息来源说我需要在Web控制台中进行 - 但我没有这样的菜单项。问题是
答案 0 :(得分:3)
使用应用安全组(ASG),您只能管理egress流量,即您可以管理云代工基金会可以与之交谈的外部端点。
您无法管理ingress即使用ASG传入的流量。
对于ingress流量,您必须在外部路由器或HAProxy(如果您实施一个)级别管理它。这将在PCF基金会之外。
要管理orgs,配额,用户和asgs,我建议使用cf-mgmt工具。
我有类似的需要为先前的客户端管理ASG。所以,我建立了一个管道。回购pcfdev-sec-groups是一个大厅管道,允许您通过更改vars.yml来管理基础上的asgs。
控制传入流量的另一个选择是实施Route Service。这是过滤请求的程序化解决方案,需要更多工作。这是一个example。