Блокирует ли Google Cloud Firewall трафик между подсетями по умолчанию?

Брандмауэр GCP по умолчанию имеет подразумеваемые правила, блокирующие все входы и разрешающие все исходящие. То есть для внешнего трафика, вне VPN.

Но блокирует ли это трафик между подсетями в одной VPN по умолчанию?


google-cloud-platform firewall vpn google-cloud-networking subnet
person Joshua Fox    schedule 20.11.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

В основном да, по умолчанию трафик между подсетями в данной сети VPC не разрешен (за исключением сети default, которая автоматически создается в вашем проекте).

Обратите внимание, что это фактически блокирует трафик между всеми экземплярами, а не только трафик между подсетями. Таким образом, основное внимание уделяется экземплярам, ​​а не подсетям, но в результате по умолчанию экземпляры в разных подсетях (кроме сети default) не смогут обмениваться данными.

Помните, что правила брандмауэра VPC применяются на уровне экземпляра, хотя его конфигурация находится на сетевом уровне.

Хотя правило применяется на уровне экземпляра, его конфигурация связана с сетью VPC.

Как вы заметили, существует только два подразумеваемых правил:

  • разрешить весь выход (на любой другой адрес, включая внутренний)
  • запретить любой вход (с любого другого адреса, включая внутренний)

Также существуют правила по умолчанию только в default сети.

  • разрешить внутренний трафик (default-allow-internal) -- это правило разрешает трафик между экземплярами (независимо от подсети)
  • разрешить вход по ssh из любого источника
  • разрешить вход rdp из любого источника
  • разрешить вход icmp из любого источника

Итак, в сети, отличной от default, вам нужно будет создать эквивалент правила default-allow-internal (разрешить все протоколы со всех IP-адресов в сети любому экземпляру в сети).

person robsiemb    schedule 20.11.2019
comment
Спасибо. Итак, если я оставлю стандартную настройку, разрешает ли default-allow-internal трафик между подсетями или только между экземплярами в одной подсети? Судя по вашему ответу, последнее. - person Joshua Fox; 21.11.2019
comment
Он должен разрешать трафик между всеми экземплярами в сети VPC независимо от подсети. - person robsiemb; 21.11.2019
comment
ХОРОШО. Итак, один ключевой момент (который помогает мне здесь и который вы, возможно, захотите добавить к ответу) заключается в том, что все экземпляры по умолчанию могут взаимодействовать даже между подсетями). - person Joshua Fox; 21.11.2019
comment
Добавлено ранее, когда я ответил, независимо от подсети :) С удовольствием просмотрю правку, если что-то прояснит ее. И это верно только для сети default, в которой экземпляры могут обмениваться данными по умолчанию — в других сетях VPC они не могут, и вам нужно добавить правило. - person robsiemb; 21.11.2019
comment
Спасибо, это было весьма полезно - person Joshua Fox; 21.11.2019