管理关闭的端口和ASG

Question

我只需要保留几个端口（例如80和443）。我读过关于ASG的内容，创建了带有规则的json文件。但是当我尝试通过终端创建ASG时 - 它说Server error, status code: 403, error code: 10003, message: You are not authorized to perform the requested action。当我试图找到解决方案时 - 一些消息来源说我需要在Web控制台中完成 - 但我没有这样的菜单项。问题是

1. 我该如何管理ASG？
2. 做ASGs允许完全控制传入和传出的流量？

Answer 1

使用应用程序安全组（ASG），您只能管理egress流量，即您可以管理云代工厂基础可与外部终端交谈的内容。

您不能管理ingress，即与ASG的传入流量。

对于ingress流量，您将不得不在外部路由器或HAProxy（如果您实施了一个）级别进行管理。这将在PCF基金会之外。

要管理组织，配额，用户和asgs，我会推荐使用cf-mgmt工具。

我有类似的需求来管理以前的客户端的ASG。所以，我建立一条管道。回购pcfdev-sec-groups是一个大厅管道，将允许您通过更改vars.yml跨基础管理asgs。

控制传入流量的另一个选项是实现Route Service。这是过滤请求的程序化解决方案，需要更多的工作。这是一个example。