防火牆

GCP VPC防火牆規則，應用於給定的項目和網絡，防火牆規則可以包含IPv4 IPv6 範圍但不能同時包含兩者，目前介面不支援IPv6設定需使用gcloud指令方式設置，防火牆設置大致分為三大項設定。

gcloud compute firewall-rules create test \
    --project you_project \
    --network vpc_name \
    --action allow \
    --direction ingress \
    --rules tcp:80 \            #通訊協定和埠
    --source-ranges ::/0 \      #IPv6
    --priority 999 \            #防火牆優先權
    --target-tags allow_allipv6 #tag

• 查詢list

gcloud compute firewall-rules list --filter network=vpc_name

除了三大項比較重要的設定，在防火牆設定中需要先選定該VPC網路層的目標，故名就是每當建立起防火牆他會針對該 VPC網段 去限制 流入 或是 流出 ，這邊也可以設定防火牆的流入流出 紀錄 (但相對會增加了Cloud Logging 成本)，那今天就討論防火牆三大設定的主軸。

1. 防火牆優先權(包含Allow Deny)
   • 由先全權限為數字越小權限越大
   • 優先順序範圍：0 至 65535
2. 防火牆目標
   • 網路中所有執行個體
     • 選此目標表示套用該VPC網段所有機器，也包含了GKE叢集(需小心設定)
   • 指定目標標記
     • 使用目標標記是給建立防火牆上，上了一個tag名稱當有需要遵從此規則VM在該機器"網路標記"輸入tag名稱(需要注意tag名稱唯一性避免涵蓋了不必要的規則)
       
   • 指定服務帳戶
     • 服務帳戶綁定，規則很類似目標標記，差異在服務帳戶範圍分為專案內外(服務內可以使用自己建立或預設GCP的service account，然後也可使用專案外項項目，因為service account支援跨專案權限)
       
3. IP 通訊協定和埠
   • IP範圍支援(CIDR)
     • 可輸入all
     • 逗號分隔的目的地端口列表，例如 0-65535, 80, 443。
   • tcp，udp，其他通訊協定(ex. icmp)