Come configurare le regole del firewall in Google Cloud Platform?

Ti chiedi come consentire o negare il flusso di rete su Google Cloud Platform (GCP?


Ogni progetto creato in GCP include le regole predefinite del firewall.

Esploriamo cosa sono.

  • default-allow-ICMP – consentire da qualsiasi sorgente a tutto l’IP di rete. Il protocollo ICMP viene utilizzato principalmente per eseguire il ping del target.
  • default-allow-interno – consentire la connettività tra istanze su qualsiasi porta.
  • default-allow-RDP – consentire alla sessione RDP di connettersi ai server Windows da qualsiasi origine.
  • default-allow-ssh – abilita la sessione SSH a connettersi ai server UNIX da qualsiasi sorgente.

Come puoi vedere, le regole predefinite consentono la connettività di base per abilitare il ping e accedere al server.

Hai bisogno di più di questo?

Sono sicuro che lo farai. È qui che devi sapere come configurare in base alle esigenze.

Il firewall GCP è regole definite dal software; non è necessario apprendere o accedere a dispositivi hardware firewall convenzionali.

Le regole del firewall di Google Cloud sono stateful.

Tutta la configurazione viene eseguita tramite GCP Console o comandi. Tuttavia, spiegherò come fare utilizzando una console.

Le regole del firewall sono disponibili nella rete VPC nella sezione di rete nel menu a sinistra.

Quando fai clic su Crea una regola firewall, ti verranno richiesti i dettagli di connettività. Comprendiamo cosa abbiamo tutte le opzioni e cosa significa.

Nome – nome del firewall (solo in minuscolo e non è consentito spazio)

Descrizione – facoltativo ma buono per inserire qualcosa di significativo, in modo da ricordare in futuro

Rete – Se non hai creato alcun VPC, vedrai solo il valore predefinito e lo lascerai così com’è. Tuttavia, se si dispone di più VPC, selezionare la rete in cui si desidera applicare le regole del firewall.

Priorità – priorità della regola applicata alla rete. La più bassa ha la priorità più alta e inizia da 1000. Nella maggior parte dei casi, si desidera mantenere tutti i servizi critici (HTTP, HTTPS, ecc.) Con priorità 1000.

Direzione del traffico – seleziona il tipo di flusso tra ingresso (in entrata) e uscita (in uscita).

Azione sulla partita – scegli se vuoi consentire o negare

obiettivi – l’obiettivo in cui si desidera applicare le regole. Hai un’opzione per applicare le regole a tutte le istanze della rete, consentire solo su tag specifici o account di servizio.

Filtro sorgente – una fonte che verrà convalidata per consentire o negare. È possibile filtrare per intervalli IP, sottoreti, tag di origine e account di servizio.

Intervalli IP di origine – se l’intervallo IP selezionato nel filtro sorgente è predefinito, fornire l’intervallo IP che sarà consentito.

Filtro seconda fonte – è possibile la validazione di più fonti.

Es .: puoi avere il primo filtro sorgente come tag sorgente e il secondo filtro come account di servizio. Qualunque sia la corrispondenza sarà consentita / negata.

Protocollo e porte – è possibile selezionare tutte le porte o specificarne una singola (TCP / UDP). Puoi avere più porte uniche in una singola regola.

Esploriamo gli scenari in tempo reale …

Hai cambiato la porta SSH da 22 a qualcos’altro (diciamo 5000) per motivi di sicurezza. Da allora, non puoi entrare in una macchina virtuale.

Perché?

Bene, puoi facilmente indovinare perché la porta 5000 non è consentita nel firewall. Per consentire, è necessario creare una regola firewall come di seguito.

  • Fornisci un nome per la regola
  • Scegli l’ingresso nella direzione del traffico
  • Scegli di consentire l’azione della partita
  • Seleziona tutte le istanze in una rete di destinazione (supponendo che desideri connetterti a qualsiasi VM con la porta 5000)
  • Seleziona gli intervalli IP nel filtro sorgente (supponendo che desideri connetterti da QUALSIASI fonte)
  • Fornire intervalli IP di origine come 0.0.0.0/0
  • Seleziona i protocolli e le porte specificati e inserisci tcp: 5000
  • Fai clic su Crea

Prova a connettere la tua VM con la porta 5000 e dovrebbe essere ok.

Alcuni dei migliori pratiche per la gestione delle regole del firewall.

  • Consenti solo ciò che è richiesto (base di necessità)
  • Ove possibile, specificare IP o intervalli di singole fonti anziché 0.0.0.0/0 (ANY)
  • Associare le istanze di macchine virtuali ai tag e utilizzarle nella destinazione anziché in tutte le istanze
  • Combina più porte in un’unica regola per abbinare origine e destinazione
  • Rivedere periodicamente le regole del firewall

L’interfaccia grafica GCP è di facile comprensione e gestione.

Spero che questo ti dia un’idea della gestione delle regole del firewall di Google Cloud Platform. Se interessati a saperne di più, allora lo consiglierei corso online.

TAGS:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map