iT邦幫忙

2021 iThome 鐵人賽

DAY 16
0
DevOps

GCP的雲端世界系列 第 16

GCP VPC防火牆

防火牆

GCP VPC防火牆規則,應用於給定的項目和網絡,防火牆規則可以包含IPv4 IPv6 範圍但不能同時包含兩者,目前介面不支援IPv6設定需使用gcloud指令方式設置,防火牆設置大致分為三大項設定。

gcloud compute firewall-rules create test \
    --project you_project \
    --network vpc_name \
    --action allow \
    --direction ingress \
    --rules tcp:80 \            #通訊協定和埠
    --source-ranges ::/0 \      #IPv6
    --priority 999 \            #防火牆優先權
    --target-tags allow_allipv6 #tag
  • 查詢list
gcloud compute firewall-rules list --filter network=vpc_name

除了三大項比較重要的設定,在防火牆設定中需要先選定該VPC網路層的目標,故名就是每當建立起防火牆他會針對該 VPC網段 去限制 流入 或是 流出 ,這邊也可以設定防火牆的流入流出 紀錄 (但相對會增加了Cloud Logging 成本),那今天就討論防火牆三大設定的主軸。

  1. 防火牆優先權(包含Allow Deny)
    • 由先全權限為數字越小權限越大
    • 優先順序範圍:0 至 65535
  2. 防火牆目標
    • 網路中所有執行個體
      • 選此目標表示套用該VPC網段所有機器,也包含了GKE叢集(需小心設定)
    • 指定目標標記
      • 使用目標標記是給建立防火牆上,上了一個tag名稱當有需要遵從此規則VM在該機器"網路標記"輸入tag名稱(需要注意tag名稱唯一性避免涵蓋了不必要的規則)
        https://ithelp.ithome.com.tw/upload/images/20210908/20129516I7pHARIfE6.png
    • 指定服務帳戶
      • 服務帳戶綁定,規則很類似目標標記,差異在服務帳戶範圍分為專案內外(服務內可以使用自己建立或預設GCP的service account,然後也可使用專案外項項目,因為service account支援跨專案權限)
        https://ithelp.ithome.com.tw/upload/images/20210908/20129516SIq94MfN7Y.png
  3. IP 通訊協定和埠
    • IP範圍支援(CIDR)
      • 可輸入all
      • 逗號分隔的目的地端口列表,例如 0-65535, 80, 443。
    • tcp,udp,其他通訊協定(ex. icmp)

上一篇
GCP SCP
下一篇
GCP NAT
系列文
GCP的雲端世界30

尚未有邦友留言

立即登入留言