Kako konfigurirati pravila požarnega zidu v Googlovi platformi v oblaku?

Se sprašujete, kako dovoliti ali zavrniti omrežni tok na Googlovi platformi v oblaku (GCP)?


Vsak projekt, ki ga ustvarite v GCP, ima privzeta pravila požarnega zidu.

Raziščimo, kaj so.

  • privzeto-dovoli-icmp – dovoli iz katerega koli vira vse omrežje IP. ICMP protokol se večinoma uporablja za pinganje cilja.
  • privzeti-dovoli-notranji – omogočajo povezljivost med primerki na katerem koli pristanišču.
  • privzeto-dovoli-rdp – dovolite, da se seja RDP poveže s strežniki Windows iz katerega koli vira.
  • privzeto-dovoli-ssh – omogočite seji SSH, da se poveže s strežniki UNIX iz katerega koli vira.

Kot lahko vidite, privzeta pravila dovoljujejo osnovni povezljivosti, da omogočajo ping v strežnik in se prijavijo nanj.

Ali potrebujete več kot to?

Prepričan sem, da. Tu morate vedeti, kako konfigurirati glede na potrebe.

GCP požarni zid je programsko določena pravila; vam ni treba učiti ali se prijavljati v običajne strojne naprave požarnega zidu.

Pravila o požarnem zidu Google Cloud so pomembna.

Vsa konfiguracija se izvede prek konzole GCP ali ukazov. Vendar bom razložil, kako to storiti s konzolo.

Pravila požarnega zidu so na voljo v omrežju VPC v omrežju v levem meniju.

Ko kliknete na ustvari pravilo požarnega zidu, vas bo vprašal o povezavi. Razumejmo, kaj vse imamo na voljo in kaj to pomeni.

Ime – ime požarnega zidu (ni dovoljeno le v malih črkah in ni prostora)

Opis – neobvezno, vendar dobro vnesti nekaj smiselnega, da si ga zapomnite v prihodnosti

Omrežje – Če še niste ustvarili nobenega VPC-ja, boste videli samo privzeto in ga pustili takšnega, kot je. Če imate več VPC-jev, izberite omrežje, v katerem želite uporabiti pravila požarnega zidu.

Prednost – prioriteta pravila, uporabljena v omrežju. Najnižji so dobili najvišjo prioriteto in se začnejo od 1000. V večini primerov želite obdržati vse kritične storitve (HTTP, HTTPS itd.) S prednostjo 1000.

Smer prometa – izberite vrsto toka med vhodom (vhodom) in izhodom (odhodom).

Akcija na tekmo – izberite, ali želite dovoliti ali zavrniti

Cilji – cilj, kjer želite uporabiti pravila. Pravila lahko uporabite za vse primerke v omrežju, dovolite le na določenih oznakah ali računu storitev.

Izvorni filter – vir, ki ga bomo potrdili ali dovolili ali zavrnili. Filtrirate lahko po območjih IP, podomrežjih, izvornih oznakah in računih storitev.

Obseg vira IP – če je izbran obseg IP v izvornem filtru, ki je privzet, navedite obseg IP, ki bo dovoljen.

Drugi vir filtra – možna je večkratna potrditev vira.

Na primer: prvi izvorni filter lahko imate kot izvorne oznake in drugi filter kot račun storitve. Ne glede na to, ali se ujema, bo dovoljeno / zavrnjeno.

Protokol in vrata – lahko izberete vsa vrata ali določite posamezna (TCP / UDP). V enem pravilu lahko imate več edinstvenih vrat.

Raziščimo scenarije v realnem času …

Iz varnostnih razlogov ste spremenili vrata SSH iz 22 v nekaj drugega (recimo 5000). Od takrat naprej ne morete v VM.

Zakaj?

No, lahko preprosto uganite, ker vrata 5000 niso dovoljena v požarnem zidu. Če želite dovoliti, morate ustvariti pravilo požarnega zidu, kot je spodaj.

  • Navedite ime pravila
  • Izberite vhod v smeri prometa
  • Izberite, če želite omogočiti delovanje tekme
  • Izberite vse primerke v ciljnem omrežju (ob predpostavki, da se želite povezati s katerim koli VM-jem s pristaniščem 5000)
  • Izberite obsege IP v filtru virov (ob predpostavki, da se želite povezati iz NEKATERIH virov)
  • Navedite obsege IP vira kot 0.0.0.0/0
  • Izberite določene protokole in vrata in vnesite tcp: 5000
  • Kliknite Ustvari

Poskusite povezati svoj VM s pristaniščem 5000 in mora biti v redu.

Nekateri od Najboljše prakse za upravljanje s pravili požarnega zidu.

  • Dovoli samo tisto, kar se zahteva (glede na potrebe)
  • Kadar je le mogoče, namesto 0,0.0.0/0 (ANY) navedite posamezne vire IP ali obsege
  • Združite primerke VM z oznakami in jih uporabite v target namesto vseh primerkov
  • Združite več vrat v enem samem pravilu za ujemanje izvora in cilja
  • Občasno preglejte pravila požarnega zidu

Grafični vmesnik GCP je enostavno razumeti in upravljati.

Upam, da vam to daje idejo o upravljanju pravil požarnega zidu Google Cloud Platform. Če bi se želel naučiti več, bi to priporočil spletni tečaj.

Oznake:

  • GCP

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map