Como configurar regras de firewall no Google Cloud Platform?

Pensando em como permitir ou negar o fluxo de rede no Google Cloud Platform (GCP?


Todo projeto que você cria no GCP vem com as regras de firewall padrão.

Vamos explorar o que são.

  • default-allow-icmp – permitir de qualquer fonte para todo o IP da rede. O protocolo ICMP é usado principalmente para executar ping no alvo.
  • default-allow-internal – permitir conectividade entre instâncias em qualquer porta.
  • default-allow-rdp – permitir que a sessão RDP se conecte aos servidores Windows a partir de qualquer fonte.
  • default-allow-ssh – habilitar a sessão SSH para se conectar aos servidores UNIX de qualquer origem.

Como você pode ver, as regras padrão permitem que a conectividade básica habilite o ping e o login no servidor.

Você precisa de mais do que isso?

Tenho a certeza que sim. É aí que você precisa saber como configurar com base nas necessidades.

O firewall GCP é regras definidas por software; você não precisa aprender ou fazer login em dispositivos de hardware de firewall convencionais.

As regras de firewall do Google Cloud são válidas.

Toda a configuração é feita através do console do GCP ou de comandos. No entanto, explicarei como usar um console.

As regras de firewall estão disponíveis na rede VPC na seção de rede no menu do lado esquerdo.

Quando você clica em criar uma regra de firewall, ele solicita os detalhes da conectividade. Vamos entender o que todas as opções que temos e o que isso significa.

Nome – nome do firewall (apenas em minúsculas e não é permitido espaço)

Descrição – opcional, mas bom para inserir algo significativo, para que você lembre no futuro

Rede – Se você não criou nenhum VPC, verá apenas o padrão e o deixará como está. No entanto, se você tiver várias VPC, selecione a rede na qual deseja aplicar as regras de firewall..

Prioridade – prioridade da regra aplicada à rede. O menor tem a prioridade mais alta e começa em 1000. Na maioria dos casos, você deseja manter todos os serviços críticos (HTTP, HTTPS etc.) com prioridade 1000.

Direção do tráfego – selecione o tipo de fluxo entre entrada (entrada) e saída (saída).

Ação na partida – escolha se deseja permitir ou negar

Metas – o destino em que você deseja aplicar as regras. Você tem a opção de aplicar as regras a todas as instâncias da rede, permitindo apenas tags ou contas de serviço específicas.

Filtro de origem – uma fonte que será validada para permitir ou negar. Você pode filtrar por intervalos de IP, sub-redes, tags de origem e contas de serviço.

Intervalos de IP de origem – se o intervalo de IP selecionado no filtro de origem, por padrão, forneça o intervalo de IP que será permitido.

Segundo filtro de origem – é possível a validação de várias fontes.

Ex: você pode ter o primeiro filtro de origem como tags de origem e o segundo filtro como uma conta de serviço. Qualquer correspondência que seja permitida / negada.

Protocolo e portas – você pode selecionar todas as portas ou especificar uma individual (TCP / UDP). Você pode ter várias portas exclusivas em uma única regra.

Vamos explorar os cenários em tempo real …

Você alterou a porta SSH de 22 para outra (digamos 5000) por motivos de segurança. Desde então, você não pode entrar em uma VM.

Por quê?

Bem, você pode adivinhar facilmente porque a porta 5000 não é permitida no firewall. Para permitir, você precisa criar uma regra de firewall como abaixo.

  • Forneça um nome de regra
  • Escolha a entrada na direção do tráfego
  • Escolha permitir ação de correspondência
  • Selecione todas as instâncias em uma rede no destino (supondo que você queira se conectar a qualquer VM com porta 5000)
  • Selecione intervalos de IP no filtro de origem (supondo que você queira se conectar de QUALQUER fonte)
  • Forneça intervalos de IP de origem como 0.0.0.0/0
  • Selecione os protocolos e portas especificados e digite tcp: 5000
  • Clique em criar

Tente conectar sua VM com a porta 5000 e ela deve estar ok.

Alguns dos Melhores Práticas para gerenciar regras de firewall.

  • Permitir apenas o necessário (com base nas necessidades)
  • Sempre que possível, especifique IP ou intervalos de origem individuais em vez de 0.0.0.0/0 (QUALQUER)
  • Associe instâncias da VM às tags e use-as no destino em vez de todas as instâncias
  • Combine várias portas em uma única regra para combinar origem e destino
  • Revise as regras de firewall periodicamente

A interface gráfica do GCP é fácil de entender e gerenciar.

Espero que isso lhe dê uma idéia do gerenciamento das regras de firewall do Google Cloud Platform. Se estiver interessado em aprender mais, recomendo isso curso online.

TAG:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map