Алиас правила: Правила игры Элиас, или Скажи иначе (Alias)

Предпочитать абсолютные пути разрешению .корни при разрешении.

webpack.config.js

  module.exports = {
  
  решать: {
    PreferAbsolute: правда,
  },
};  

resolve.symlinks

boolean = true

Следует ли разрешать символические ссылки в их символические ссылки.

Если этот параметр включен, ресурсы с символическими ссылками разрешаются в их реальный путь , а не в их местоположение с символическими ссылками. Обратите внимание, что это может привести к сбою разрешения модуля при использовании инструментов, создающих символические ссылки на пакеты (например, npm link ).

webpack.config.js

  module.exports = {
  
  решать: {
    символические ссылки: правда,
  },
};  

resolve.cachePredicate

function(module) => boolean

Функция, которая решает, следует ли кэшировать запрос или нет. В функцию передается объект со свойствами path и request . Он должен возвращать логическое значение.

модуль webpack.config.js

 .экспорт = {
  
  решать: {
    cachePredicate: (модуль) => {
      
      вернуть истину;
    },
  },
};  

resolve.restrictions

[string, RegExp]

Список ограничений разрешения для ограничения путей, по которым может быть разрешен запрос.

webpack.config.js

  module.exports = {
  
  решать: {
    ограничения: [/\.(sass|scss|css)$/],
  },
};  

resolve.roots

[строка]

Список каталогов, в которых разрешаются запросы серверных URL-адресов (начиная с ‘/’), по умолчанию используется контекст параметр конфигурации.В системах, отличных от Windows, эти запросы сначала обрабатываются как абсолютный путь.

webpack.config.js

  const fixments = path.resolve(__dirname, 'fixtures');
модуль.экспорт = {
  
  решать: {
    корни: [__dirname, приспособления],
  },
};  

resolve.importsFields

[string]

Поля из package.json , которые используются для предоставления внутренних запросов пакета (запросы, начинающиеся с # , считаются внутренними).

webpack.config.js

  module.exports = {
  
  решать: {
    importsFields: ['браузер', 'модуль', 'основной'],
  },
};  

resolve.byDependency

Настройте параметры разрешения по типу запроса модуля.

• Тип: [тип: строка]: ResolveOptions
• Пример:

    module.exports = {
    
    решать: {
      по зависимости: {
        
        есм: {
          mainFields: ['браузер', 'модуль'],
        },
        обычные: {
          aliasFields: ['браузер'],
        },
        URL: {
          предпочтительный относительный: правда,
        },
      },
    },
  };  

resolveLoader

объект {modules [string] = ['node_modules'], extensions [string] = ['.js', '.json'], mainFields [string] = ['loader', 'main']}

Этот набор параметров идентичен свойству разрешить , указанному выше, но используется только для разрешения загрузчика веб-пакета. пакеты.

webpack.config.js

  module.exports = {
  
  разрешить загрузчик: {
    модули: ['node_modules'],
    расширения: ['.js', '.json'],
    mainFields: ['загрузчик', 'основной'],
  },
};  

tip

Обратите внимание, что вы можете использовать псевдоним здесь и другие функции, знакомые по разрешению.Например, { txt: 'raw-loader' } подставит txt!templates/demo.txt для использования raw-loader .

Общие правила — Базель 4.2.0

псевдоним

 псевдоним (имя, фактический, совместимый_с, устаревший, функции, ограниченный_то, теги, только тест, видимость) 

Правило псевдонима создает другое имя, на которое может ссылаться правило.

Псевдоним работает только для «обычных» целей.В частности, package_group и test_suite не может быть псевдонимом.

Правило псевдонима имеет собственное объявление видимости. Во всем остальном ведет себя как правило, на которое он ссылается, с некоторыми незначительными исключениями:

• Тесты не запускаются, если их псевдоним указан в командной строке. Чтобы определить псевдоним который запускает упомянутый тест, используйте test_suite правило с единственной целью в его тестах атрибут.
• При определении групп среды псевдонимы правил среды не используются. поддерживается. Они не поддерживаются в командной строке --target_environment . вариант же.

Примеры

файловая группа(
    имя = "данные",
    источник = ["data.txt"],
)

псевдоним(
    имя = "другое",
    факт = ":данные",
)
 

Аргументы

config_setting

 config_setting (имя, ограничения_значения, определения_значений, устаревание, дистрибутивы, функции, значения флагов, лицензии, теги, только тесты, значения, видимость) 

Соответствует ожидаемому состоянию конфигурации (выраженному в виде флагов Bazel или ограничений платформы) для целью запуска настраиваемых атрибутов.См. выберите для как использовать это правило и Настраиваемые атрибуты для обзора общей функции.

Примеры

Следующее соответствует любому вызову Bazel, который указывает --compilation_mode=opt или -c opt (либо явно в командной строке, либо неявно из .bazelrc файлы):

  config_setting(
      имя = "простой",
      значения = {"compilation_mode": "opt"}
  )
   

Следующее соответствует любому вызову Bazel, который строит для ARM и применяет пользовательский определить FOO=bar (например, bazel build --cpu=arm --define FOO=bar ... ):

  config_setting(
      имя = "два_условия",
      значения = {
          "процессор": "рука",
          "define": "FOO=бар"
      }
  )
   

Следующее соответствует любому вызову Bazel, который создается для платформы с архитектурой x86_64. архитектура и glibc версии 2.25, предполагая существование limited_value с меткой //пример:glibc_2_25 . Обратите внимание, что платформа по-прежнему соответствует, если она определяет дополнительные значения ограничения помимо этих двух.

  config_setting(
      имя = "64bit_glibc_2_25",
      ограничения_значения = [
          "@платформы//процессор:x86_64",
          "//пример:glibc_2_25",
      ]
  )
   

Примечания

• См. select, что происходит, когда несколько config_setting с соответствуют текущему состоянию конфигурации.
• Для флагов, поддерживающих сокращенные формы (например, --compilation_mode vs. -c ), значений определений должны использовать полную форму. Они автоматически сопоставлять вызовы, используя любую форму.
• Если флаг принимает несколько значений (например, --copt=-Da --copt=-Db или список Флаг Starlark), значений = { "flag": "a" } соответствует, если "a" равно представить в любом месте в реальном списке.

  values ​​= { "myflag": "a,b" } работает так же: это соответствует --myflag=a --myflag=b , --myflag=a --myflag=b --myflag=c , --myflag=a,b и --myflag=c,b,a . Точная семантика варьируется между флаги. Например, --copt не поддерживает несколько значений в одном и том же instance : --copt=a,b производит ["a,b"] , а --copt=a --copt=b дает ["a", "b"] (так что значений = { "copt": "a,b" } соответствует первому, но не второму).Но --ios_multi_cpus (для правил Apple) делает : -ios_multi_cpus=a,b и ios_multi_cpus=a --ios_multi_cpus=b оба производят ["a", "b"] . Проверьте определения флагов и проверьте свои условия тщательно проверить точные ожидания.

• Если вам нужно определить условия, которые не моделируются встроенными флагами Bazel, используйте Флаги, определенные Starlark. Вы также можете использовать --define , но это слабее. поддержку и не рекомендуется.Видеть здесь для дальнейшего обсуждения.
• Избегайте повторения идентичных определений config_setting в разных пакетах. Вместо этого ссылайтесь на общий параметр config_setting , определенный в каноническом пакете.
• значений , определить_значения и ограничения_значения может использоваться в любой комбинации в том же config_setting , но по крайней мере один должен быть установлен для любого заданного config_setting .

Аргументы

            config_setting(
                имя = "а_и_б",
                значения = {
                    "определить": "а=1",
                    "определить": "b=2",
                })
           

            config_setting(
                имя = "а_и_б",
                определить_значения = {
                    «а»: «1»,
                    "Би 2",
                })
           

файловая группа

 файловая группа (имя, srcs, данные, совместимый_с, устаревание, дистрибутивы, функции, лицензии, выходная_группа, limited_to, теги, только тест, видимость) 

Используйте файловую группу , чтобы дать удобное имя набору целей.Затем на них можно ссылаться из других правил.

Рекомендуется использовать файловую группу вместо прямых ссылок на каталоги. Последнее неверно, поскольку система сборки не имеет полной информации обо всех файлах. ниже каталога, поэтому он может не перестраиваться при изменении этих файлов. В сочетании с glob, файловая группа может гарантировать, что все файлы явно известен системе сборки.

Примеры

Чтобы создать файловую группу , состоящую из двух исходных файлов, выполните

файловая группа(
    имя = "моя группа",
    источник = [
        "файл.текст",
        "некоторые/подкаталог/другой_файл.txt",
    ],
)
 

Или используйте glob , чтобы пресмыкаться в каталоге testdata:

файловая группа(
    имя = "экспортированные_тестовые данные",
    источник = глобус([
        "тестовые данные/*.dat",
        "тестовые данные/журналы/**/*.лог",
    ]),
)
 

Чтобы использовать эти определения, сошлитесь на файловую группу с меткой из любого правила:

cc_library(
    имя = "моя_библиотека",
    srcs = ["foo.cc"],
    данные = [
        "//my_package:exported_testdata",
        "//мой_пакет:моя группа",
    ],
)
 

Аргументы

гензапрос

 genquery(имя, зависимости, данные, совместимость с, устаревание, дистрибутивы, exec_совместимость_с, exec_properties, выражение, функции, лицензии, опции, limited_to, область действия, строгие, теги, target_compatible_with, testonly, видимость) 

genquery() запускает запрос, указанный в Язык запросов Bazel и выводит результат в файл.

Чтобы сохранить согласованность сборки, запросу разрешено только посещение переходное закрытие целей, указанных в области атрибут.Запросы, нарушающие это правило, завершатся ошибкой во время выполнения, если strict не указано или истинно (если strict ложно, цели вне области действия будут просто пропущены с предупреждением). самый простой способ убедиться, что этого не происходит, это упомянуть те же ярлыки в области, как в выражении запроса.

Единственная разница между запросами, разрешенными здесь и по команде строка заключается в том, что запросы, содержащие подстановочные целевые спецификации (например,грамм. //pkg:* или //pkg:all ) здесь не разрешены. Этому есть две причины: во-первых, потому что genquery имеет чтобы указать область, чтобы предотвратить цели за пределами транзитивного закрытия запрос, чтобы повлиять на его вывод; и, во-вторых, потому что BUILD файлов не поддерживают зависимости с подстановочными знаками (например, deps=["//a/..."] не допускается).

Вывод genquery упорядочивается с использованием --order_output=full в чтобы обеспечить детерминированный вывод.

Имя выходного файла является именем правила.

Примеры

В этом примере записывается список меток в транзитивном закрытии указанная цель в файл.

гензапрос(
    имя = "киви-депс",
    выражение = "deps(//kiwi:kiwi_lib)",
    область видимости = ["//киви:kiwi_lib"],
)
 

Аргументы

генруль

 genrule(имя, srcs, выходы, cmd, cmd_bash, cmd_bat, cmd_ps, совместимый_с, устаревание, дистрибутивы, exec_совместимый_с, exec_properties, exec_tools, исполняемый файл, функции, лицензии, локальный, сообщение, выходные_лицензии, output_to_bindir, limited_to, теги, target_compatible_with, testonly , цепочки инструментов, инструменты, видимость) 

Правило genrule создает один или несколько файлов с помощью определяемой пользователем команды Bash.

Genrules — это общие правила сборки, которые можно использовать, если для задачи нет конкретного правила. Если для например, вы хотите минимизировать файлы JavaScript, тогда вы можете использовать для этого genrule. Если же вы необходимо скомпилировать файлы C++, придерживайтесь существующих правил cc_* , потому что все тяжелые подъем уже был сделан для вас.

Не используйте правило для запуска тестов. Существуют специальные разрешения на тесты и тестовые результаты, включая политики кэширования и переменные среды.Тесты обычно нужно запускать после завершения сборки и на целевой архитектуре, тогда как genrules выполняются во время сборка и архитектура хоста (они могут быть разными). Если вам нужна универсальная правило тестирования, используйте sh_test .

Вопросы кросс-компиляции

Дополнительную информацию о кросс-компиляция.

Хотя genrules запускаются во время сборки, их выходные данные часто используются после сборки, для развертывания или тестирование.Рассмотрим пример компиляции кода C для микроконтроллера: компилятор принимает C исходные файлы и генерирует код, который работает на микроконтроллере. Сгенерированный код очевидно не может работать на процессоре, который использовался для его сборки, но компилятор C (если скомпилирован из исходного кода) сам должен.

Система сборки использует конфигурацию хоста для описания компьютеров, на которых выполняется сборка. и целевая конфигурация для описания машины (машин), на которой выполняется сборка. должен бежать.Он предоставляет параметры для настройки каждого из них и разделяет соответствующие файлы в отдельные каталоги во избежание конфликтов.

Для genrules система сборки обеспечивает правильное построение зависимостей: srcs строятся (при необходимости) для конфигурации target , Инструменты созданы для конфигурации хоста , и результат считается быть для конфигурации target . Он также обеспечивает Переменные «Создать», которые команды genrule могут передавать соответствующим инструментам.

Это преднамеренно, что genrule не определяет атрибут deps : другие встроенные правила используют метаинформация, зависящая от языка, передаваемая между правилами, чтобы автоматически определить, как обрабатывать зависимые правила, но этот уровень автоматизации невозможен для genrules. Жанрулы работают чисто на уровне файла и файла запуска.

Особые случаи

Компиляция хост-хост : в некоторых случаях система сборки должна запускать такие правила, чтобы вывод также может выполняться во время сборки.Если, например, genrule создает какой-то собственный компилятор который впоследствии используется другим жанром, первый должен производить свою продукцию для конфигурации хоста, потому что именно там компилятор будет работать в другом genrule. В этом случае, система сборки делает все правильно автоматически: она создает srcs и аутов первого правила для конфигурации хоста вместо цели конфигурация. Подробнее см. в руководстве пользователя. Информация.

JDK & C++ Tooling : для использования инструмента из набора компиляторов JDK или C++ система сборки предоставляет набор переменных для использования.См. переменную «Сделать» для подробности.

Genrule Окружающая среда

Команда genrule выполняется оболочкой Bash, настроенной на сбой при выполнении команды. или сбой конвейера, используя set -e -o pipefail .

Инструмент сборки выполняет команду Bash в очищенной среде процесса, которая определяет только основные переменные, такие как PATH , PWD , TMPDIR и некоторые другие. Чтобы гарантировать воспроизводимость сборок, большинство переменных, определенных в пользовательской оболочке environment не передаются команде genrule.Однако Базель (но не Bazel) передает значение пользовательской переменной окружения PATH . Любое изменение значения PATH приведет к тому, что Bazel повторно выполнит команду. на следующей сборке.

Команда genrule не должна обращаться к сети, кроме как для подключения процессов, которые дочерние элементы самой команды, хотя в настоящее время это не применяется.

Система сборки автоматически удаляет все существующие выходные файлы, но создает все необходимые родительские файлы. каталоги, прежде чем он запустит genrule.Он также удаляет любые выходные файлы в случае сбоя.

Общая консультация

• Убедитесь, что инструменты, управляемые родовым правилом, являются детерминированными и герметичными. Они не должны писать временные метки на их выходе, и они должны использовать стабильный порядок для наборов и карт, а также записывать только относительные пути к файлам на выходе, без абсолютных путей. Несоблюдение этого правила будет привести к неожиданному поведению при сборке (Bazel не перестраивает genrule, как вы думали) и снижают производительность кэша.
• Активно используйте $(местоположение) для выходов, инструментов и источников. Из-за разделение выходных файлов для разных конфигураций, правила не могут полагаться на жестко запрограммированные и/или абсолютные пути.
• Напишите общий макрос Starlark на случай, если одинаковые или очень похожие жанры используются в несколько мест. Если правило сложное, рассмотрите возможность реализации его в сценарии или в виде Правило Старларка. Это улучшает читабельность, а также тестируемость.
• Убедитесь, что код выхода правильно указывает на успех или неудачу genrule.
• Не записывать информационные сообщения в stdout или stderr. Хотя это полезно для отладки, это может легко становятся шумом; Успешный genrule должен быть тихим. С другой стороны, неудачный genrule должны выдавать хорошие сообщения об ошибках.
• $$ оценивается как $ , буквальный знак доллара, поэтому для вызова команда оболочки, содержащая знаки доллара, такие как ls $(dirname $x) , ее необходимо экранировать таким образом: ls $$(dirname $$x) .
• Избегайте создания символических ссылок и каталогов. Bazel не копирует каталог/символическую ссылку структура, созданная genrules, и ее проверка зависимостей каталогов ненадежны.
• При ссылке на genrule в других правилах вы можете использовать либо метку genrule, либо метки отдельных выходных файлов. Иногда один подход более удобочитаем, иногда другое: обращение к выходным данным по имени в правиле потребления srcs позволит избежать непреднамеренный выбор других результатов genrule, но может быть утомительным, если genrule производит много выходов.

Примеры

В этом примере создается foo.h . Исходников нет, так как команда не принимает любой ввод. «Двоичный файл», запускаемый командой, представляет собой сценарий perl в том же пакете, что и genrule.

правило (
    имя = "фу",
    источник = [],
    выходы = ["foo.h"],
    cmd = "./$(местоположение create_foo.pl) > \"[email protected]\"",
    инструменты = ["create_foo.pl"],
)
 

В следующем примере показано, как использовать файловую группу . и выходы другого genrule .Обратите внимание, что при использовании $(SRCS) вместо явных директив $(location) также будут работать; этот пример использует последний для ради демонстрации.

правило (
    имя = "concat_all_files",
    источник = [
        "//some:files", # файловая группа с несколькими файлами в ней ==> $(location  s  )
        "//other:gen", # общее правило с одним выводом ==> $(location)
    ],
    выходы = ["конкатенированный.txt"],
    cmd = "cat $(местоположение //некоторые:файлы) $(местоположение//другое:ген) > [email protected]",
)
 

Аргументы

тестирование

 test_suite (имя, совместимо с, устаревание, дистрибутивы, функции, лицензии, limited_to, теги, testonly, тесты, видимость) 

test_suite определяет набор тестов, которые считаются «полезными» для людей.Этот позволяет проектам определять наборы тестов, например, «тесты, которые необходимо запустить перед регистрацией», «наши стресс-тесты проекта» или «все небольшие тесты».

Примеры

Набор тестов для запуска всех небольших тестов в текущем пакете.

тестирование(
    имя = "маленькие_тесты",
    теги = ["маленький"],
)
 

Набор тестов, выполняющий указанный набор тестов:

тестирование(
    имя = "дым_тесты",
    тесты = [
        "системный_юниттест",
        "public_api_unittest",
    ],
)
 

Набор тестов для запуска всех тестов в текущем пакете, которые не являются ненадежными.

тестирование(
    имя = "не_flaky_test",
    теги = ["-flaky"],
)
 

Аргументы

Обзор диапазонов псевдонимов IP  | | Облако Google

диапазона псевдонимов IP-адресов Google Cloud позволяют назначать диапазоны внутренних IP-адресов. адреса в качестве псевдонимов сетевых интерфейсов виртуальной машины (ВМ).Это полезно, если у вас есть несколько служб, работающих на виртуальной машине, и вы хотите назначить каждую обслуживать другой IP-адрес. Диапазоны псевдонимов IP-адресов также работают с Блоки GKE.

Обзор

Если у вас есть только одна служба, работающая на виртуальной машине, вы можете сослаться на нее, используя основной IP-адрес интерфейса. Если у вас запущено несколько служб виртуальной машине, вы можете назначить каждой из них отдельный внутренний IP-адрес. Ты сможешь сделать это с Псевдонимы диапазонов IP-адресов.

Первичный и вторичный диапазоны CIDR подсети

Все подсети имеют первичный диапазон CIDR , который является диапазон внутренних IP-адресов, определяющих подсеть.Каждая виртуальная машина Экземпляр получает свой основной внутренний IP-адрес из этого диапазона. Вы также можете выделить псевдонимы диапазонов IP-адресов из этого основного диапазона, или вы можете добавить дополнительный диапазона в подсеть и выделить псевдонимы диапазонов IP-адресов из вторичного диапазона. Использование псевдонимов диапазонов IP-адресов не требует дополнительных диапазонов подсети . Эти вторичные диапазоны подсетей просто обеспечивают организационный инструмент.

Диапазоны псевдонимов IP-адресов, определенные в сетевом интерфейсе виртуальной машины

С помощью псевдонимов IP можно настроить несколько внутренних IP-адресов, представляющих контейнеры или приложения, размещенные на виртуальной машине, без необходимости определять отдельный сетевой интерфейс.Вы можете назначать диапазоны IP-адресов псевдонимов виртуальных машин из первичные или вторичные диапазоны.

Настройка псевдонимов диапазонов IP-адресов описывает команды для настройки подсети с дополнительными диапазонами и для назначения псевдонимов IP-адресов виртуальным машинам.

На следующей диаграмме представлена ​​базовая иллюстрация первичного и вторичного Диапазоны CIDR и диапазоны IP-адресов псевдонимов виртуальных машин на основном интерфейсе виртуальных машин:

• Основной диапазон CIDR 10.1.0.0/16 настроен как часть подсети.
• Дополнительный диапазон CIDR 10.2.0.0/20 настроен как часть подсети.
• Основной IP-адрес ВМ 10.1.0.2 выделен из основного диапазона CIDR, 10.1.0.0/16 , в то время как псевдоним диапазона IP-адресов 10.2.1.0/24 выделен в ВМ из вторичного диапазона CIDR, 10.2.0.0/20 .
• Адреса в диапазоне IP-псевдонимов используются в качестве IP-адресов контейнеры, размещенные на виртуальной машине.

Основные преимущества псевдонимов диапазонов IP-адресов

При настройке псевдонимов диапазонов IP-адресов Google Cloud автоматически устанавливает сеть Virtual Private Cloud (VPC) маршруты для основных и псевдонимов диапазонов IP-адресов для подсети основной сети интерфейс. Ваш контейнерный оркестратор не необходимо указать сетевое подключение VPC для этих маршрутов. Это упрощает маршрутизация трафика и управление вашими контейнерами. Вам нужно выполнить в гостях конфигурации, как описано в Псевдоним IP диапазонов ключевых свойств.

Когда IP-адреса контейнеров выделяются Google Cloud, процессы проверки в Google Cloud убедитесь, что IP-адреса контейнеров не конфликтуют с IP-адресами виртуальных машин.

При настройке псевдонимов IP-адресов выполняются проверки защиты от спуфинга. против трафика, гарантируя, что трафик, выходящий из виртуальных машин, использует IP-адреса виртуальных машин и pod IP-адреса в качестве исходных адресов. Проверки защиты от спуфинга подтверждают, что виртуальные машины не отправлять трафик с произвольными исходными IP-адресами. Использование статических маршрутов для контейнерная сеть будет менее безопасным подходом по сравнению с IP псевдонимы, потому что это потребует отключения проверок на спуфинг на виртуальные машины хоста-контейнера (проверки защиты от спуфинга отключены, когда перенаправление IP-адресов включено).

диапазона псевдонимов IP маршрутизируются в виртуальной сети Google Cloud без необходимости дополнительные маршруты. Вам не нужно добавлять маршрут для каждого псевдонима IP, и вы не нужно учитывать квоты маршрутов.

Псевдоним IP-адреса могут быть объявлены Облачный маршрутизатор в локальной среде сеть, подключенная через VPN или Interconnect.

Существуют преимущества выделения псевдонимов диапазонов IP-адресов из вторичного Диапазон CIDR. Путем выделения из диапазона, отличного от диапазона, используемого для первичные IP-адреса, вы можете отделить инфраструктуру (ВМ) от служб (контейнеры).При настройке отдельных адресных пространств для инфраструктуры и сервисы, вы можете настроить элементы управления брандмауэром для псевдонимов IP-адресов виртуальных машин. отдельно от элементов управления брандмауэром для основных IP-адресов виртуальной машины. Для Например, вы можете разрешить определенный трафик для модулей контейнеров и запретить аналогичный трафик. трафик для основного IP-адреса виртуальной машины.

Контейнерная архитектура в Google Cloud

Рассмотрим сценарий, в котором вы хотите настроить контейнерные службы на вершина Google Cloud. Вам необходимо создать виртуальные машины, на которых будут размещаться службы, и, плюс контейнеры.

В этом сценарии вы хотите направить трафик из контейнеров и к ним в из локальных расположений, подключенных через VPN. Однако вы не хотите, чтобы IP-адреса основных виртуальных машин были доступны через VPN. Создавать в этой конфигурации диапазон IP-адресов контейнера должен маршрутизироваться через VPN, но не основной диапазон IP-адресов виртуальной машины. Во время создания ВМ вы также хотите автоматически назначить пул IP-адресов, которые используются для контейнера.

Чтобы создать эту конфигурацию, выполните следующие действия:

• При создании подсети вы настраиваете
  • Один основной диапазон CIDR, например, 10.128.0.0/16
  • Один дополнительный диапазон CIDR, например, 172.16.0.0/16
• Используйте шаблон экземпляра для создания виртуальных машин и автоматического назначения каждой следующий:
  • Основной IP-адрес из диапазона 10.128.0.0/16
  • Диапазон псевдонимов /24 из вторичного CIDR 172.16.0.0/16 пробел, так что вы можете назначить каждому контейнеру на виртуальной машине IP-адрес из вторичного /24 Диапазон CIDR
• Создайте два правила брандмауэра.
  • Одно правило, запрещающее передачу трафика через VPN из локальной среды от достижения основного диапазона CIDR подсети.
  • Одно правило, разрешающее передачу трафика через VPN из локально для доступа к вторичному диапазону CIDR подсети.

Пример: настройка контейнеров с псевдонимами диапазонов IP-адресов

Используя псевдонимы диапазонов IP-адресов, IP-адреса контейнера могут быть выделены из вторичного диапазон CIDR и настроен как псевдоним IP-адреса в виртуальной машине, на которой размещается контейнер.

Для создания показанной выше конфигурации:

1. Создать подсеть с CIDR диапазон 10.128.0.0/16, из которого выделяются IP-адреса ВМ, и вторичный CIDR диапазон 172.16.0.0/20 для исключительного использования контейнеров, который будет настроен в качестве псевдонимов диапазонов IP-адресов в виртуальной машине, на которой они размещены:

     подсети вычислительных сетей gcloud создать подсеть-a \
       --сеть сеть-а \
       --диапазон 10.128.0.0/16 \
       --secondary-range container-range=172.16.0.0/20
     

2. Создание виртуальных машин с основным IP-адресом из диапазона 10.128.0.0/16 и псевдонимом диапазона IP-адресов 172.16.0.0/24 из вторичного диапазона CIDR 172.16.0.0/20 для контейнеров в этой виртуальной машине использовать:

     вычислительных экземпляров gcloud создают vm1 [...] \
       --network-interface подсеть = подсеть-a, псевдонимы = диапазон-контейнера: 172.16.0.0/24
   вычислительные экземпляры gcloud создают vm2 [...] \
       --network-interface подсеть=подсеть-a, псевдонимы=контейнер-диапазон:172.16.1.0/24
     

3. IP-адреса контейнеров настраиваются в Google Cloud как псевдонимы IP-адресов. В этом настройка, как основной, так и псевдоним IP-адресов будут доступны через VPN туннель. Если Cloud Router настроен, он будет автоматически объявлять дополнительный диапазон подсети 172.16.0.0/20. Для получения дополнительной информации об использовании VPN с облачным маршрутизатором, см. Создание VPN-туннеля с использованием динамической маршрутизации.

Дополнительные сведения о командах, используемых для создания этой конфигурации, см. в разделе Настройка псевдонимов IP-адресов и диапазонов.

Пример: несколько псевдонимов диапазонов IP-адресов настроены в одном экземпляре виртуальной машины

позволяют управлять распределением IP-адресов для запущенных приложений. внутри виртуальных машин, в том числе с контейнерами.

У вас может быть развертывание, в котором некоторые контейнеры можно мигрировать между виртуальными машинами. а некоторые нет. Переносимые контейнеры можно настроить с помощью /32. диапазонов, что упрощает их миграцию по отдельности. не мигрирующий контейнеры можно настроить с использованием большего диапазона, так как они останутся вместе.

В развертываниях такого типа может потребоваться более одного псевдонима IP-адреса. диапазон для каждого экземпляра ВМ, например, /27 для непереносимых контейнеров и несколько /32 для переносимых контейнеров.

Чтобы настроить этот пример, используйте следующие команды gcloud :

Вычислительные сети gcloud создают пользовательский режим vpc1 --subnet-mode
 

подсети вычислительных сетей gcloud создают подсеть1 --region us-central1 --network vpc1 --range 10.128.0.0/16 --вторичный-диапазон вторичный1=172.16.0.0/20
 

экземпляры вычислений gcloud создают vm1 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.0/27;secondaryrange1:172.16.1.0/32"
 

экземпляры вычислений gcloud создают vm2 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.32/27;secondaryrange1:172.16.1.1/32"
 

Псевдонимы IP-адресов в автоматических сетях и подсетях VPC

В сетях VPC с автоматическим режимом в каждом регионе существует подсеть.Каждая из этих автоматически созданных подсетей имеет основной диапазон CIDR, но не вторичный диапазон. Чтобы использовать псевдоним IP в сети VPC с автоматическим режимом, вы можете выделять псевдонимы диапазонов IP-адресов из автоматически созданной основной CIDR подсети диапазон или добавить дополнительный диапазон в автоматически созданную подсеть и выделить псевдонимы диапазонов IP-адресов из нового вторичный диапазон.

В качестве альтернативы вы можете создать новую подсеть со вторичными диапазонами в сети VPC автоматического режима до тех пор, пока ни один из ее диапазоны перекрываются с 10.128.0.0/9 . Затем вы можете создавать экземпляры ВМ в новой подсети и выделить псевдонимы диапазонов IP-адресов из любого диапазона в этой подсети.

См. Добавление вторичных диапазонов CIDR в существующую подсеть если вы хотите добавить вторичные диапазоны в свою подсеть.

Псевдонимы IP-адресов в сетях и подсетях пользовательского режима

В сетях с пользовательским режимом:

• Все подсети создаются вручную
• Один основной диапазон CIDR является обязательным.
• При необходимости можно создать дополнительные диапазоны CIDR.

Псевдоним диапазонов IP-адресов ключевые свойства

Следующие свойства применяются к псевдонимам диапазонов IP-адресов, настроенных в виртуальных машинах:

• С точки зрения ОС ВМ основной IP-адрес и адрес по умолчанию шлюз обычно назначаются с использованием DHCP. Псевдонимы IP-адресов могут быть настраивается в ОС виртуальной машины, обычно это Linux или Windows, вручную или с помощью скриптов.
• Основной IP-адрес и псевдоним IP-диапазона интерфейса должны быть выделены из диапазонов CIDR, настроенных как часть одной подсети.Обратите внимание на следующие требования:
  • Основной IP-адрес должен быть выделен из основного CIDR спектр.
  • Диапазон IP-псевдонимов может быть выделен либо из основного диапазон CIDR или из вторичного диапазона CIDR той же подсети.
  • Для сетевого интерфейса виртуальной машины IP-псевдоним должен быть из той же подсети. ресурс, предоставляющий IP-адрес для основного сетевого интерфейса. Вы не можете выбрать основной или дополнительный диапазон CIDR из другой подсети. ресурс.
  • Основной IP-адрес может быть настроен пользователем со статическим частный IP-адрес или система, автоматически выделяемая с эфемерным статический IP-адрес.
  • Диапазоны псевдонимов IP являются необязательными и не добавляются автоматически. Диапазон IP-псевдонимов можно настроить во время создания экземпляра или модификация.
  • Диапазон IP-псевдонимов можно настроить как явный диапазон CIDR. (например, 10.128.1.0/24 ), один IP-адрес (например, 10.128.7.29 ) или как сетевую маску (/24 ). Псевдоним диапазона IP может быть полностью указанный или автоматически выделяемый путем указания сетевой маски.
  • Потому что все подсети в сети VPC используется один шлюз по умолчанию, все псевдонимы IP адреса внутри интерфейса используют тот же шлюз по умолчанию, что и основной IP-адрес.

DNS с псевдонимом IP-адреса

Google Cloud автоматически настраивает внутренний DNS для основного IP-адреса основного интерфейс каждого экземпляра виртуальной машины. Это связывает имя хоста экземпляра с первичный IP-адрес основного интерфейса. Однако поиск DNS по этому имени хоста работает только в сети, содержащей основной интерфейс.

Google Cloud не связывает автоматически никакие другие IP-адреса с именем хоста. Google Cloud не связывает псевдонимы IP-адресов с основным интерфейсом. с именем хоста и не связывает никаких IP-адресов вторичных интерфейсы с именем хоста.

Вы можете вручную настроить DNS для связывания других IP-адресов.

Брандмауэры

Весь входящий и исходящий трафик, включая трафик для диапазонов псевдонимов IP, оценивается правилом брандмауэра VPC для соответствующего целевого тега или целевая учетная запись службы.Для получения подробной информации о целях и IP-псевдонимах см. см. Цели и IP-адреса.

Диапазоны псевдонимов IP-адресов не включаются при указать источники для входа правило брандмауэра с использованием исходных тегов или учетных записей исходных служб.

Статические маршруты

В статическом маршруте IP-адрес следующего перехода должен быть основным IP-адресом экземпляр виртуальной машины. Псевдоним IP-адреса не поддерживается в качестве IP-адреса следующего перехода.

Сетевой пиринг VPC

Сетевой пиринг VPC позволяет установить одноранговое соединение между двумя сетями VPC, чтобы виртуальные машины в двух сетях могут обмениваться данными через внутренние частные IP-адреса.

И первичный, и вторичный диапазоны IP-адресов подсети доступны для экземпляров ВМ. в пиринговой сети.

Проверки перекрытия подсетей в одноранговых сетях гарантируют, что первичный и вторичный диапазоны не пересекаются ни с какими одноранговыми диапазонами.

Что дальше

Написание улучшенных правил брандмауэра в OPNsense с использованием псевдонимов

Когда вы впервые научились писать правила брандмауэра в OPNsense, вы, возможно, просто использовали предопределенные псевдонимы для сетевых интерфейсов/портов и IP-адресов, таких как «сеть LAN», «сеть LAN». интерфейс», «HTTP», «HTTPS» и т. д.Возможно, вы даже не осознавали, что используете псевдонимы, поскольку они не отображаются в списке на странице «Псевдонимы». Использование предопределенных псевдонимов не только удобно, но и помогает упростить понимание ваших правил (представьте, что у вас есть большое количество правил и вы видите только IP/сетевые адреса) .

По мере того, как вы начинаете расширять и разделять свою сеть, вы можете обнаружить, что соблюдение ваших правил становится более сложным, особенно если вы используете IP-адреса в своих правилах для всех устройств со статическими адресами.Вы даже можете забыть о назначении некоторых правил, если не введете для них хороших описаний. Мало того, бывают случаи, когда вы можете получить несколько почти идентичных правил, потому что вы не можете ввести более одного IP/сетевого адреса/порта и т. д. в одно правило.

Есть лучший способ – псевдонимы правил брандмауэра! Псевдоним позволяет вам сгруппировать один или несколько IP-адресов, сетевых адресов, портов и имен хостов и использовать их в правилах. Затем вы можете написать правила, которые легче читать, понимать и поддерживать.Псевдонимы могут помочь уменьшить общее количество правил, которые вам нужно написать, поскольку вы можете использовать один псевдоним, содержащий несколько элементов. Я лично объединил несколько правил в одно правило, как только начал лучше использовать псевдонимы.

Один приятный момент с псевдонимами: когда вы просматриваете правила брандмауэра для каждого интерфейса, вы увидите всплывающую подсказку при наведении курсора на псевдоним. Во всплывающей подсказке будет показано содержимое псевдонима вместе с введенным вами описанием. Это очень удобно, потому что вам не нужно переходить на страницу «Псевдонимы», если вы не можете вспомнить, что находится в конкретном псевдониме.

Создание псевдонима

Чтобы продемонстрировать, как создать псевдоним, я буду использовать псевдоним хоста в качестве примера. Перейдите на страницу «Брандмауэр > Псевдонимы». Вы заметите, что по умолчанию в списке есть 4 предопределенных псевдонима. Нажмите на кнопку «+», выделенную на скриншоте ниже.

Введите «Имя» вашего псевдонима. Выберите «Тип» из выпадающего списка. Существует несколько типов псевдонимов на выбор (подробнее см. Типы псевдонимов). «Содержание» будет зависеть от типа выбранного вами псевдонима.В приведенном ниже примере для псевдонима «Host(s)» вы можете ввести IP-адреса или имена хостов. Вы даже можете включить другой псевдоним (см. Вложение псевдонимов правил брандмауэра). Наконец, вы можете включить полезное «Описание», которое поможет вам узнать назначение или детали псевдонима, особенно если его трудно определить просто по имени псевдонима.

После того, как вы нажмете «Сохранить», вы увидите свой новый псевдоним в списке. Вы также увидите уведомление о том, что вам необходимо применить изменения, чтобы использовать псевдоним в правилах брандмауэра.Просто нажмите кнопку «Применить», когда закончите.

Типы псевдонимов

Существует ряд параметров, для которых могут быть определены псевдонимы. Я подробно расскажу о каждом из них, чтобы вы могли увидеть универсальность псевдонимов и лучше понять, где их можно использовать.

Host(s)

Тип псевдонима «Host(s)» позволяет вводить IP-адреса, локальные имена хостов или полные доменные имена (FQDN). Если вы обнаружите, что часто ссылаетесь на IP-адреса в своих правилах, вы можете сделать его псевдонимом хоста и использовать этот псевдоним в своих правилах.Поскольку правила брандмауэра допускают только IP-адреса или сетевые адреса, вы должны использовать псевдоним для использования имен хостов или полных доменных имен в ваших правилах.

Псевдонимы хостов также допускают исключения с помощью «!» символ. Это знакомо пользователям, которые пишут код, поскольку восклицательный знак часто используется для обозначения «не». Например, если у вас есть !192.168.1.10, это означает исключить (или «не») 192.168.1.10. Я обнаружил, что вы можете использовать исключения только для IP-адресов. Если вы попытаетесь сохранить псевдоним хоста с исключением имени хоста/полного доменного имени, отобразится ошибка.

Действительные примеры псевдонимов хозяизации:

• IP-адрес: 192.168.1.10 или! 192.168.1.10 (адреса IPv6 допускаются тоже)
• IP-адрес диапазона: 192.168.15 (не упоминается в документацию OPNsense, но это работает)
• Локальное имя хоста (без имени домена): myserver или !myserver
• Полное доменное имя: google.com или !google.com

Вы можете ввести несколько значений в любой комбинации IP-адреса, имена хостов и полные доменные имена, разделенные запятыми, в псевдониме, например:

• 192.168.1.10, 192.168.1.11, myserver1, google.com

Если вы введете диапазон IP-адресов, например 192.168.1.10–192.168.1.16, диапазон IP-адресов будет автоматически преобразован в формат CIDR. Вы можете увидеть его в действии, если перейдете на страницу «Брандмауэр > Диагностика > pfTables», а затем выберите псевдоним, содержащий диапазон IP-адресов. Для примера, который я упомянул, IP-адреса, перечисленные в pfTables , следующие:

• 192.168.1.10/31 (для IP-адресов 192.168.1.10 и 192.168.1.11)
• 192.168.1.12/30 (для IP-адресов 192.168.1.12-192.168.1.15)
• 192.168.1.16

Сеть(и)

Псевдоним «Сеть(и)» позволяет ввести диапазон IPDR-адресов для сетей в CI формат. Нотация CIDR — это способ определения маски подсети с использованием количества битов, которые должны быть установлены на 1. Остальные установлены на 0. В примере 192.168.1.0/24 «/24» — это нотация CIDR. часть сетевого адреса, эквивалентная маске подсети 255.255.255.0 (каждый из 4 октетов состоит из 8 бит, а для «/24» 3 8-битных октета устанавливаются равными 1).Исключения разрешены для сетевых псевдонимов, таких как псевдонимы узлов.

Допустимые примеры сетевых псевдонимов:

• 192.168.1.0/24 или !192.168.1.0/24 (также разрешены IPv6-адреса)

Вы можете ввести несколько сетей:

,16.020 818.192.192. 2.0/24

Дальнейшее объяснение CIDR, если вам интересно: если у вас есть 24 бита, которые установлены на 1, а остальные 0, маска подсети будет 255.8-1, так как вы считаете 0 одним из 256 значений).Когда к этой маске и IP-адресу применяется операция И , сетевой адрес остается позади. Если IP-адрес устройства в сети 192.168.1.10, он станет 192.168.1.0 после операции И . Это связано с тем, что 1 И 1 = 1 и 1 И 0 = 0 , поэтому биты 1 маски подсети не изменяют значение бита IP-адреса. Однако 0 бит в маске подсети изменит значение IP-адреса, поскольку 0 И 1 = 0 и 0 И 0 = 0 .Вот почему последний октет IP-адреса устанавливается равным 0 с «/24» для получения сетевого адреса. Значение «255» маски подсети, по сути, «сохраняет значение октета без изменений», в то время как все, что меньше 255, изменит значение октета, чтобы определить диапазон сетевых адресов.

Порт(ы)

Псевдоним «Порт(ы)» позволяет указать номера портов. Вы можете ввести число от 0 до 65 535. Чтобы указать диапазон непрерывных портов, используйте двоеточие между номерами портов.

Допустимые примеры псевдонимов по порту:

• порт: 80080
• Диапазон порта: 8000: 8080

Вы можете ввести несколько портов, включая диапазоны портов:

URL (IPS)

IPs)» псевдоним используется для списка IP-адресов, размещенных на веб-сайте. В документации OPNsense тип псевдонима «URL (IP)» не упоминается. При сравнении «URL-адресов (IP-адресов)» и «Таблица URL-адресов (IP-адресов)» кажется, что основное различие заключается в «Частоте обновления».Я предполагаю, что «URL (IP)» используется для статических списков IP-адресов. Это предположение, кажется, подтверждает пользователь на форуме OPNsense.

Если вам нужно обновить список, я не знаю, придется ли вам создавать его заново, обновлять псевдоним, чтобы принудительно обновить его, или очищать состояние псевдонима, чтобы получить обновление. Если вы чувствуете, что список может меняться даже редко, вы можете также использовать тип псевдонима «Таблица URL-адресов (IP-адреса)». Не помешает обновить файл, который редко изменяется, так как он улавливает любые новые изменения, и вам не нужно беспокоиться об обновлениях.

Допустимый пример псевдонима URL:

Можно ввести несколько URL-адресов:

Таблица URL-адресов (IP-адреса)

Псевдоним «Таблица URL-адресов (IP-адреса)» используется для списка IP-адресов, например «URL (IP-адреса)». псевдоним. Я предполагаю, что большинство пользователей захотят использовать этот тип псевдонима URL больше всего, поскольку его можно периодически обновлять, что полезно для черных списков, поскольку враждебные IP-адреса могут меняться со временем. Количество дней и часов между обновлениями можно указать для псевдонимов таблицы URL.

Допустимый пример псевдонима таблицы URL:

Вы можете ввести несколько URL:

GeoIP

Псевдоним «GeoIP» используется, когда вы хотите заблокировать IP/сетевые адреса из других стран.Благодаря службам, размещенным в облаке, и туннелированию сетевых подключений через VPN, Tor или SSH, можно легко обойти блокировки GeoIP. Тем не менее, это все еще может быть полезно, поскольку все еще может быть вредоносный трафик, исходящий из враждебных сетей, размещенных в других странах, которые вы можете считать враждебными. Возможно, он может блокировать случайные атаки со стороны неискушенных злоумышленников или со скомпрометированных машин в других странах.

Чтобы настроить псевдонимы «GeoIP», вы должны зарегистрироваться в службе MaxMind GeoIP, чтобы получить диапазоны адресов GeoIP, необходимые для полной настройки псевдонима GeoIP.Подробную информацию о правильной настройке см. в документации OPNsense.

Сетевая группа

Псевдоним «Сетевая группа» полезен для группировки других типов псевдонимов, кроме псевдонимов «Порт(ы)» и «Внешний (расширенный)». Этот тип псевдонима позволяет группировать только совместимые псевдонимы. Основное преимущество использования псевдонима «Сетевая группа» заключается в том, что он предотвращает группирование несовместимых псевдонимов. Возможно, это могло бы предотвратить возникновение некоторых проблем.

Допустимый пример псевдонима сетевой группы:

• hostalias1, hostalias2, urlalias (выбирается из раскрывающегося списка)

MAC-адрес

Псевдоним «MAC-адрес» позволяет использовать MAC-адреса в псевдонимах.Документация OPNsense предупреждает, что MAC-адреса могут быть подделаны, поэтому, если вас беспокоит возможность того, что злоумышленник подменит MAC-адреса, чтобы получить доступ к любому ресурсу, разрешенному вашими правилами брандмауэра, возможно, вы не захотите использовать этот тип псевдонима.

Допустимый пример псевдонима MAC-адреса:

Можно ввести несколько MAC-адресов:

• 3f:cf:3f:1f:7f:bf, 3e:ce:3e:1e:7e:be

Внешний ( Advanced)

Тип псевдонима «External (Advanced)» используется, когда вы хотите, чтобы внешний процесс управлял значением псевдонима в брандмауэре.Это было бы полезно, если вы хотите динамически изменить значение псевдонима. Внешние псевдонимы считаются расширенной функцией, поэтому, скорее всего, вам не понадобится использовать этот тип псевдонимов, если только вы не пытаетесь сделать что-то очень сложное. У меня нет личного опыта работы с этим типом псевдонима, но я вижу, что он полезен в очень сложной среде брандмауэра, где процесс инициирует обновление псевдонима. Поскольку у OPNsense есть API-интерфейс брандмауэра, вероятно, существуют более эффективные способы обновления правил брандмауэра и управления ими из внешнего процесса.

Вложение псевдонимов правил брандмауэра

Для всех типов псевдонимов вы можете вкладывать псевдонимы внутри псевдонимов. Это может быть полезно, если вы хотите сгруппировать несколько псевдонимов вместе. Например, если у вас есть псевдоним для «server1» и «server2», вы можете создать третий псевдоним с именем «myservers», который содержит как «server1», так и «server2». Делая это, вы можете использовать псевдонимы «server1» и «server2» в их собственных конкретных правилах брандмауэра, но затем иметь более широкие правила брандмауэра, которые применяются к обоим серверам.

Удаление псевдонима брандмауэра

При попытке удалить псевдоним, вложенный в другой псевдоним и/или используемый в настоящее время правилом брандмауэра, вы получите сообщение об ошибке. Это предотвращает нарушение каких-либо правил брандмауэра.

Пример правила брандмауэра

Теперь, когда вы лучше понимаете значения, которые можно вводить для различных типов псевдонимов, пришло время использовать их в правилах брандмауэра.

Ниже выделен пример правила, в котором псевдоним хоста «MyServer» используется в качестве адресата.В целях иллюстрации вы можете предположить, что сервер находится в другой сети, например в DMZ. В примере показано создание правила LAN, разрешающего доступ с устройств в сети LAN к серверу в сети DMZ.

Минимизация количества правил брандмауэра

Ранее я упоминал, что смог минимизировать наличие нескольких практически идентичных правил брандмауэра. Чтобы проиллюстрировать это, я приведу несколько примеров правил без псевдонимов, а затем одно правило с псевдонимом, которое работает точно так же, как и правила без псевдонимов.

Перед использованием псевдонима существуют 2 правила, разрешающие HTTPS-доступ к 2 серверам в сети DMZ. Поскольку вы можете ввести в правила только один IP-адрес за раз без псевдонима, вам потребуется одно правило для каждого сервера:

. Если вы используете псевдоним, например, вызовите «MyServers», который имеет оба IP-адреса серверов. , вам нужно создать только одно правило с псевдонимом «MyServers» в качестве «Destination», чтобы разрешить HTTPS-доступ к обоим серверам в DMZ:

Как видите, псевдонимы позволяют уменьшить количество правил, которые необходимо создать. и в то же время упростить понимание правила (особенно если вы используете более описательные имена, чем в моем примере).В приведенном выше примере вы можете прочитать по всей строке: «Разрешить сети LAN доступ к моим серверам с использованием HTTPS». Я обычно включаю в свое описание предложение, которое представляет собой удобочитаемую версию правила, поэтому, когда я просматриваю/изменяю свои правила, я понимаю их цель. Большинство правил просты, но может быть полезно включить детали, которые нелегко выразить или определить, взглянув на страницу правил, поскольку недостаточно места для отображения каждого значения, которое вы установили в своих правилах.