Брандмауэр GCP по умолчанию имеет подразумеваемые правила, блокирующие все входы и разрешающие все исходящие. То есть для внешнего трафика, вне VPN.
Но блокирует ли это трафик между подсетями в одной VPN по умолчанию?
Брандмауэр GCP по умолчанию имеет подразумеваемые правила, блокирующие все входы и разрешающие все исходящие. То есть для внешнего трафика, вне VPN.
Но блокирует ли это трафик между подсетями в одной VPN по умолчанию?
В основном да, по умолчанию трафик между подсетями в данной сети VPC не разрешен (за исключением сети default
, которая автоматически создается в вашем проекте).
Обратите внимание, что это фактически блокирует трафик между всеми экземплярами, а не только трафик между подсетями. Таким образом, основное внимание уделяется экземплярам, а не подсетям, но в результате по умолчанию экземпляры в разных подсетях (кроме сети default
) не смогут обмениваться данными.
Помните, что правила брандмауэра VPC применяются на уровне экземпляра, хотя его конфигурация находится на сетевом уровне.
Хотя правило применяется на уровне экземпляра, его конфигурация связана с сетью VPC.
Как вы заметили, существует только два подразумеваемых правил:
Также существуют правила по умолчанию только в default
сети.
default-allow-internal
) -- это правило разрешает трафик между экземплярами (независимо от подсети)Итак, в сети, отличной от default
, вам нужно будет создать эквивалент правила default-allow-internal
(разрешить все протоколы со всех IP-адресов в сети любому экземпляру в сети).
default
, в которой экземпляры могут обмениваться данными по умолчанию — в других сетях VPC они не могут, и вам нужно добавить правило.
- person robsiemb; 21.11.2019