Sie fragen sich, wie Sie den Netzwerkfluss auf der Google Cloud Platform (GCP) zulassen oder verweigern können?

Jedes Projekt, das Sie in GCP erstellen, enthält die Standardregeln für die Firewall.

gcp-default-firewall

Lassen Sie uns untersuchen, was sie sind.

  • default-allow-icmp - Erlauben Sie von jeder Quelle die gesamte Netzwerk-IP. Das ICMP-Protokoll wird hauptsächlich zum Pingen des Ziels verwendet.
  • default-allow-intern - Ermöglichen Sie die Konnektivität zwischen Instanzen an einem beliebigen Port.
  • default-allow-rdp - Erlauben Sie der RDP-Sitzung, von jeder Quelle aus eine Verbindung zu Windows-Servern herzustellen.
  • default-allow-ssh - Aktivieren Sie die SSH-Sitzung, um von einer beliebigen Quelle aus eine Verbindung zu UNIX-Servern herzustellen.

Wie Sie sehen können, ermöglichen die Standardregeln die grundlegende Konnektivität, um Ping beim Server zu aktivieren und sich beim Server anzumelden.

Benötigen Sie mehr als das?

Ich bin mir sicher, dass du es tust. Hier müssen Sie wissen, wie Sie je nach Bedarf konfigurieren können.

Die GCP-Firewall besteht aus softwaredefinierten Regeln. Sie müssen nicht lernen oder sich bei herkömmlichen Firewall-Hardwaregeräten anmelden.

Google Cloud Firewallregeln sind zustandsbehaftet. Die gesamte Konfiguration erfolgt entweder über die GCP Console oder Befehle. Ich werde jedoch erklären, wie man mit einer Konsole vorgeht.

Firewall-Regeln finden Sie im VPC-Netzwerk im Abschnitt Netzwerk im Menü auf der linken Seite.

gcp-firewall-regeln

Wenn Sie auf Firewall-Regel erstellen klicken, werden Sie nach den Konnektivitätsdetails gefragt. Lassen Sie uns verstehen, welche Möglichkeiten wir haben und was das bedeutet.

Name - Name der Firewall (nur in Kleinbuchstaben und kein Platz erlaubt)

Beschreibung - optional, aber gut, um etwas Sinnvolles einzugeben, damit Sie sich in Zukunft daran erinnern

Netzwerk - Wenn Sie keine VPC erstellt haben, sehen Sie nur die Standardeinstellung und lassen sie unverändert. Wenn Sie jedoch über mehrere VPCs verfügen, wählen Sie das Netzwerk aus, in dem Sie die Firewall-Regeln anwenden möchten.

Priorität - Regelpriorität für das Netzwerk. Der niedrigste Wert hat die höchste Priorität und beginnt bei 1000. In den meisten Fällen möchten Sie alle kritischen Dienste (HTTP, HTTPS usw.) mit der Priorität 1000 behalten.

Verkehrsrichtung - Wählen Sie den Flusstyp zwischen Eingang (eingehend) und Ausgang (ausgehend).

Aktion beim Spiel - Wählen Sie, ob Sie zulassen oder ablehnen möchten

Targets - das Ziel, auf das Sie die Regeln anwenden möchten. Sie haben die Möglichkeit, die Regeln auf alle Instanzen im Netzwerk anzuwenden und nur bestimmte Tags oder Dienstkonten zuzulassen.

Quellfilter - eine Quelle, die validiert wird, um entweder zuzulassen oder zu verweigern. Sie können nach IP-Bereichen, Subnetzen, Quell-Tags und Dienstkonten filtern.

Quell-IP-Bereiche - Wenn der IP-Bereich im Quellfilter als Standard ausgewählt ist, geben Sie den zulässigen IP-Bereich an.

Zweiter Quellfilter - Validierungen mehrerer Quellen sind möglich.

Beispiel: Sie können den ersten Quellfilter als Quell-Tags und den zweiten Filter als Dienstkonto verwenden. Welches Match auch immer erlaubt / verweigert wird.

Protokoll und Ports - Sie können entweder alle Ports auswählen oder einzelne angeben (TCP / UDP). Sie können mehrere eindeutige Ports in einer einzigen Regel haben.

gcp-create-firewall-regel

Lassen Sie uns Echtzeitszenarien untersuchen…

Du hast SSH-Port geändert aus Sicherheitsgründen von 22 auf etwas anderes (sagen wir 5000). Seitdem können Sie nicht mehr in eine VM gelangen.

Warum?

Nun, Sie können es leicht erraten, da Port 5000 in der Firewall nicht zulässig ist. Um dies zuzulassen, müssen Sie eine Firewall-Regel wie folgt erstellen.

  • Geben Sie einen Regelnamen an
  • Auswählen Eintritt in Verkehrsrichtung
  • Wählen Sie auf erlauben für die Aktion des Spiels
  • Auswählen alle Instanzen in einem Netzwerk im Ziel (vorausgesetzt, Sie möchten eine Verbindung zu einer beliebigen VM mit Port 5000 herstellen)
  • Auswählen IP-Bereiche im Quellfilter (vorausgesetzt, Sie möchten eine Verbindung von JEDEN Quellen herstellen)
  • Bieten Quell-IP-Bereiche als 0.0.0.0/0
  • Auswählen spezifizierte Protokolle und Ports und geben Sie tcp: 5000 ein
  • Klicken Sie auf Erstellen

gcp-benutzerdefinierte-firewall-regel

Versuchen Sie, Ihre VM mit Port 5000 zu verbinden, und es sollte in Ordnung sein.

Einige der best Practices zum Verwalten von Firewall-Regeln.

  • Nur das zulassen, was benötigt wird (Bedarfsbasis)
  • Geben Sie nach Möglichkeit einzelne Quell-IPs oder -Bereiche anstelle von 0.0.0.0/0 (ANY) an.
  • Ordnen Sie den Tags VM-Instanzen zu und verwenden Sie diese im Ziel anstelle aller Instanzen
  • Kombinieren Sie mehrere Ports in einer einzigen Regel, um Quelle und Ziel abzugleichen
  • Überprüfen Sie die Firewall-Regeln regelmäßig

Die grafische Oberfläche von GCP ist einfach zu verstehen und zu verwalten.

Ich hoffe, dies gibt Ihnen eine Vorstellung von der Verwaltung von Firewalls. Wenn Sie GCP lernen möchten, würde ich vorschlagen, dies zu überprüfen Kurs.