管理打开的端口和ASG的关键

时间:2017-08-01 08:28:58

标签: security cloudfoundry pivotal-cloud-foundry pivotaltracker pivotal-web-services

我只需要打开几个端口(例如80和443)。我读过ASG,用规则创建了json文件。但是当我尝试通过终端创建ASG时 - 它说Server error, status code: 403, error code: 10003, message: You are not authorized to perform the requested action。当我试图找到解决方案时 - 一些消息来源说我需要在Web控制台中进行 - 但我没有这样的菜单项。问题是

  1. 我如何管理ASG?
  2. ASG是否允许完全控制传入和传出流量?

1 个答案:

答案 0 :(得分:3)

使用应用安全组(ASG),您只能管理egress流量,即您可以管理云代工基金会可以与之交谈的外部端点。

您无法管理ingress即使用ASG传入的流量。

对于ingress流量,您必须在外部路由器或HAProxy(如果您实施一个)级别管理它。这将在PCF基金会之外。

要管理orgs,配额,用户和asgs,我建议使用cf-mgmt工具。

我有类似的需要为先前的客户端管理ASG。所以,我建立了一个管道。回购pcfdev-sec-groups是一个大厅管道,允许您通过更改vars.yml来管理基础上的asgs。

控制传入流量的另一个选择是实施Route Service。这是过滤请求的程序化解决方案,需要更多工作。这是一个example