我只需要打开几个端口(例如 80 和 443)。我已经阅读了有关 ASG 的信息,创建了带有规则的 json 文件。但是当我尝试通过终端创建 ASG 时 - 它说Server error, status code: 403, error code: 10003, message: You are not authorized to perform the requested action。当我试图找到一个解决方案时——一些消息来源说我需要在 Web 控制台中执行它——但我没有这样的菜单项。问题是
使用应用程序安全组 (ASG),您只能管理egress流量,即您可以管理云代工厂基金会可以与之通信的外部端点。
您无法ingress使用 ASG 管理传入流量。
对于ingress流量,您必须在外部路由器或 HAProxy(如果您实现了一个)级别对其进行管理。这将在 PCF 基金会之外。
要管理组织、配额、用户和 asgs,我建议使用cf-mgmt工具。
我也有类似的需要为以前的客户管理 ASG。所以,我建立了一个管道。repo pcfdev-sec-groups是一个 concourse 管道,允许您通过更改vars.yml.
控制传入流量的另一个选项是实施Route Service。这是过滤请求的编程解决方案,需要更多的工作。这是一个例子。