Vous vous demandez comment autoriser ou refuser le flux réseau sur Google Cloud Platform (GCP?

Chaque projet que vous créez dans GCP est livré avec les règles de pare-feu par défaut.

gcp-default-firewall

Explorons ce qu'ils sont.

  • par défaut-autoriser-icmp - autoriser de n'importe quelle source à toute l'IP du réseau. Le protocole ICMP est principalement utilisé pour envoyer une requête ping à la cible.
  • par défaut-autoriser-interne - permettre la connectivité entre les instances sur n'importe quel port.
  • par défaut-autoriser-rdp - autoriser la session RDP à se connecter aux serveurs Windows à partir de n'importe quelle source.
  • par défaut-autoriser-ssh - activer la session SSH pour se connecter aux serveurs UNIX à partir de n'importe quelle source.

Comme vous pouvez le voir, les règles par défaut autorisent la connectivité de base pour activer le ping et se connecter au serveur.

Avez-vous besoin de plus que cela?

Je suis sûr que vous le faites. C'est là que vous devez savoir comment configurer en fonction des besoins.

Le pare-feu GCP est des règles définies par logiciel; vous n'avez pas besoin d'apprendre ou de vous connecter à des périphériques matériels de pare-feu conventionnels.

Google Cloud les règles de pare-feu sont avec état. Toute la configuration est effectuée via la console GCP ou des commandes. Cependant, je vais vous expliquer comment faire à l'aide d'une console.

Les règles de pare-feu sont disponibles sous le réseau VPC dans la section mise en réseau du menu de gauche.

règles-pare-feu-gcp

Lorsque vous cliquez sur créer une règle de pare-feu, il vous demandera les détails de la connectivité. Comprenons quelles sont toutes les options dont nous disposons et ce que cela signifie.

Nom - Nom du pare-feu (uniquement en minuscules et aucun espace n'est autorisé)

Description - facultatif mais bon pour entrer quelque chose de significatif, donc vous vous en souvenez à l'avenir

Réseau - Si vous n'avez créé aucun VPC, vous ne verrez que la valeur par défaut et vous le laisserez tel quel. Toutefois, si vous disposez de plusieurs VPC, sélectionnez le réseau sur lequel vous souhaitez appliquer les règles de pare-feu.

Priorité - priorité de règle appliquée au réseau. Le plus bas a la priorité la plus élevée et commence à 1000. Dans la plupart des cas, vous souhaitez conserver tous les services critiques (HTTP, HTTPS, etc.) avec la priorité 1000.

Sens de la circulation - sélectionnez le type de flux entre entrée (entrant) et sortant (sortant).

Action sur match - choisissez si vous souhaitez autoriser ou refuser

Cibles - la cible à laquelle vous souhaitez appliquer les règles. Vous avez la possibilité d'appliquer les règles à toutes les instances du réseau, autoriser uniquement des balises ou un compte de service spécifiques.

Filtre source - une source qui sera validée pour autoriser ou refuser. Vous pouvez filtrer par plages d'adresses IP, sous-réseaux, balises source et comptes de service.

Plages d'adresses IP source - si la plage IP sélectionnée dans le filtre source est celle par défaut, indiquez la plage IP qui sera autorisée.

Deuxième filtre source - plusieurs validations de sources sont possibles.

Ex: vous pouvez avoir le premier filtre source comme balise source et le second filtre comme compte de service. Quel que soit le match, il sera autorisé / refusé.

Protocole et ports - vous pouvez sélectionner tous les ports ou en spécifier des individuels (TCP / UDP). Vous pouvez avoir plusieurs ports uniques dans une seule règle.

gcp-create-firewall-rule

Explorons des scénarios en temps réel…

Vous avez port SSH modifié de 22 à quelque chose d'autre (disons 5000) pour des raisons de sécurité. Depuis, vous ne pouvez plus accéder à une VM.

Pourquoi ?

Eh bien, vous pouvez facilement deviner car le port 5000 n'est pas autorisé dans le pare-feu. Pour autoriser, vous devez créer une règle de pare-feu comme ci-dessous.

  • Fournissez un nom de règle
  • Choisissez entrée dans le sens de la circulation
  • Choisissez d' permettre pour l'action du match
  • Sélectionnez toutes les instances d'un réseau dans la cible (en supposant que vous souhaitiez vous connecter à n'importe quelle machine virtuelle avec le port 5000)
  • Sélectionnez Plages IP dans le filtre source (en supposant que vous souhaitiez vous connecter à partir de TOUTES les sources)
  • Fournir plages d'adresses IP source comme 0.0.0.0/0
  • Sélectionnez protocoles et ports spécifiés et entrez tcp: 5000
  • Cliquez sur créer

règle de pare-feu personnalisée gcp

Essayez de connecter votre machine virtuelle avec le port 5000, et cela devrait être correct.

Une partie de la les meilleures pratiques pour gérer les règles de pare-feu.

  • Autoriser uniquement ce qui est requis (en fonction des besoins)
  • Dans la mesure du possible, spécifiez une adresse IP source individuelle ou des plages au lieu de 0.0.0.0/0 (ANY)
  • Associez les instances de VM aux balises et utilisez-les dans la cible au lieu de toutes les instances
  • Combinez plusieurs ports dans une seule règle pour faire correspondre la source et la destination
  • Examiner périodiquement les règles du pare-feu

L'interface graphique de GCP est facile à comprendre et à gérer.

J'espère que cela vous donne une idée de la gestion des pare-feu. Si vous souhaitez apprendre GCP, je vous suggère de vérifier ceci cours.