Wie konfiguriere ich Firewall-Regeln in der Google Cloud Platform?

Fragen Sie sich, wie Sie den Netzwerkfluss auf der Google Cloud Platform (GCP) zulassen oder verweigern können?


Jedes Projekt, das Sie in GCP erstellen, enthält die Standardregeln für die Firewall.

Lassen Sie uns untersuchen, was sie sind.

  • default-allow-icmp – Erlauben Sie von jeder Quelle die gesamte Netzwerk-IP. Das ICMP-Protokoll wird hauptsächlich zum Pingen des Ziels verwendet.
  • default-allow-internal – Ermöglichen Sie die Konnektivität zwischen Instanzen an einem beliebigen Port.
  • default-allow-rdp – Erlauben Sie der RDP-Sitzung, von jeder Quelle aus eine Verbindung zu Windows-Servern herzustellen.
  • default-allow-ssh – Aktivieren Sie die SSH-Sitzung, um von einer beliebigen Quelle aus eine Verbindung zu UNIX-Servern herzustellen.

Wie Sie sehen können, ermöglichen die Standardregeln die grundlegende Konnektivität, um Ping auf dem Server und die Anmeldung am Server zu ermöglichen.

Benötigen Sie mehr als das??

Ich bin mir sicher, dass du es tust. Hier müssen Sie wissen, wie Sie je nach Bedarf konfigurieren können.

Die GCP-Firewall besteht aus softwaredefinierten Regeln. Sie müssen sich nicht mit herkömmlichen Firewall-Hardwaregeräten vertraut machen oder anmelden.

Die Firewall-Regeln von Google Cloud sind statusbehaftet.

Die gesamte Konfiguration erfolgt entweder über die GCP-Konsole oder über Befehle. Ich werde jedoch erklären, wie Sie eine Konsole verwenden.

Firewall-Regeln finden Sie unter VPC-Netzwerk im Abschnitt Netzwerk im Menü auf der linken Seite.

Wenn Sie auf Firewall-Regel erstellen klicken, werden Sie nach den Konnektivitätsdetails gefragt. Lassen Sie uns verstehen, welche Optionen wir haben und was dies bedeutet.

Name – Name der Firewall (nur in Kleinbuchstaben und kein Platz erlaubt)

Beschreibung – optional, aber gut, um etwas Sinnvolles einzugeben, damit Sie sich in Zukunft daran erinnern

Netzwerk – Wenn Sie keine VPC erstellt haben, wird nur die Standardeinstellung angezeigt, und Sie lassen sie unverändert. Wenn Sie jedoch mehrere VPCs haben, wählen Sie das Netzwerk aus, in dem Sie die Firewall-Regeln anwenden möchten.

Priorität – Regelpriorität für das Netzwerk. Der niedrigste Wert hat die höchste Priorität und beginnt bei 1000. In den meisten Fällen möchten Sie alle kritischen Dienste (HTTP, HTTPS usw.) mit der Priorität 1000 behalten.

Verkehrsrichtung – Wählen Sie den Flusstyp zwischen Eingang (eingehend) und Ausgang (ausgehend)..

Aktion beim Spiel – Wählen Sie, ob Sie zulassen oder ablehnen möchten

Ziele – das Ziel, auf das Sie die Regeln anwenden möchten. Sie haben die Möglichkeit, die Regeln auf alle Instanzen im Netzwerk anzuwenden und nur bestimmte Tags oder Dienstkonten zuzulassen.

Quellfilter – eine Quelle, die validiert wird, um entweder zuzulassen oder zu verweigern. Sie können nach IP-Bereichen, Subnetzen, Quell-Tags und Dienstkonten filtern.

Quell-IP-Bereiche – Wenn der IP-Bereich im Quellfilter als Standard ausgewählt ist, geben Sie den zulässigen IP-Bereich an.

Zweiter Quellfilter – Eine Validierung mehrerer Quellen ist möglich.

Beispiel: Sie können den ersten Quellfilter als Quell-Tags und den zweiten Filter als Dienstkonto verwenden. Welches Match auch immer erlaubt / verweigert wird.

Protokoll und Ports – Sie können entweder alle Ports auswählen oder einen einzelnen angeben (TCP / UDP). Sie können mehrere eindeutige Ports in einer einzigen Regel haben.

Lassen Sie uns die Echtzeitszenarien untersuchen …

Sie haben den SSH-Port aus Sicherheitsgründen von 22 auf etwas anderes (z. B. 5000) geändert. Seitdem können Sie nicht mehr in eine VM gelangen.

Warum?

Nun, Sie können es leicht erraten, da Port 5000 in der Firewall nicht zulässig ist. Um dies zuzulassen, müssen Sie eine Firewall-Regel wie folgt erstellen.

  • Geben Sie einen Regelnamen an
  • Wählen Sie Eingang in Verkehrsrichtung
  • Wählen Sie diese Option, um eine Übereinstimmungsaktion zuzulassen
  • Wählen Sie alle Instanzen in einem Netzwerk im Ziel aus (vorausgesetzt, Sie möchten eine Verbindung zu einer VM mit Port 5000 herstellen).
  • Wählen Sie IP-Bereiche im Quellfilter aus (vorausgesetzt, Sie möchten eine Verbindung von JEDEN Quellen herstellen).
  • Geben Sie die Quell-IP-Bereiche als 0.0.0.0/0 an
  • Wählen Sie die angegebenen Protokolle und Ports aus und geben Sie tcp: 5000 ein
  • Klicken Sie auf Erstellen

Versuchen Sie, Ihre VM mit Port 5000 zu verbinden, und es sollte in Ordnung sein.

Manche der empfohlene Vorgehensweise zum Verwalten von Firewall-Regeln.

  • Nur das zulassen, was benötigt wird (Bedarfsbasis)
  • Geben Sie nach Möglichkeit einzelne Quell-IPs oder -Bereiche anstelle von 0.0.0.0/0 (ANY) an.
  • Ordnen Sie den Tags VM-Instanzen zu und verwenden Sie diese im Ziel anstelle aller Instanzen
  • Kombinieren Sie mehrere Ports in einer einzigen Regel, um Quelle und Ziel abzugleichen
  • Überprüfen Sie die Firewall-Regeln regelmäßig

Die grafische Oberfläche von GCP ist einfach zu verstehen und zu verwalten.

Ich hoffe, dies gibt Ihnen eine Vorstellung davon, wie Sie die Firewall-Regeln der Google Cloud Platform verwalten können. Wenn Sie mehr erfahren möchten, würde ich dies empfehlen Online Kurs.

STICHWORTE:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map