GCP - VPC & Networking
GCP Računarsko Mreženje u Kratkim Crtama
VPC-ovi sadrže Firewall pravila za dozvolu dolaznog saobraćaja u VPC. VPC-ovi takođe sadrže podmreže gde će biti povezane virtuelne mašine. U poređenju sa AWS-om, Firewall bi bio najbliža stvar AWS Security Groups i NACLs, ali u ovom slučaju su definisani u VPC-u a ne u svakom primerku.
VPC, Podmreže & Firewall-ovi u GCP-u
Računarski primeri su povezani podmrežama koje su deo VPC-ova (Virtualne privatne mreže). U GCP-u nema sigurnosnih grupa, postoje VPC firewall-ovi sa pravilima definisanim na ovom nivou mreže ali primenjenim na svaku VM instancu.
Podmreže
Jedan VPC može imati više podmreža. Svaka podmreža je u 1 regionu.
Firewall-ovi
Podrazumevano, svaka mreža ima dva podrazumevana firewall pravila: dozvoli odlazni i zabrani dolazni.
Kada se kreira GCP projekat, VPC nazvan default je takođe kreiran, sa sledećim firewall pravilima:
default-allow-internal: dozvoli sav saobraćaj od drugih instanci na
defaultmrežidefault-allow-ssh: dozvoli 22 sa bilo kog mesta
default-allow-rdp: dozvoli 3389 sa bilo kog mesta
default-allow-icmp: dozvoli ping sa bilo kog mesta
Kao što možete videti, firewall pravila obično su više dozvoljena za internu IP adresu. Podrazumevani VPC dozvoljava sav saobraćaj između Računarskih Instanci.
Više Firewall pravila može biti kreirano za podrazumevani VPC ili za nove VPC-ove. Firewall pravila mogu biti primenjena na instance putem sledećih metoda:
Sve instance unutar VPC-a
Nažalost, ne postoji jednostavna gcloud komanda koja će izlistati sve Računske Instance sa otvorenim portovima na internetu. Morate povezati tačkice između firewall pravila, mrežnih tagova, servisnih naloga i instanci.
Ovaj proces je automatizovan korišćenjem ovog python skripta koji će izvesti sledeće:
CSV fajl koji prikazuje instancu, javnu IP adresu, dozvoljeni TCP, dozvoljeni UDP
nmap skeniranje svih instanci na portovima dolaznog saobraćaja dozvoljenog sa javnog interneta (0.0.0.0/0)
masscan za ciljanje punog TCP opsega tih instanci koje dozvoljavaju SVE TCP portove sa javnog interneta (0.0.0.0/0)
Hijerarhijske Firewall Politike
Hijerarhijske firewall politike vam omogućavaju da kreirate i sprovedete doslednu firewall politiku širom vaše organizacije. Možete dodeliti hijerarhijske firewall politike organizaciji u celini ili pojedinačnim folderima. Ove politike sadrže pravila koja mogu eksplicitno zabraniti ili dozvoliti konekcije.
Kreirate i primenjujete firewall politike kao odvojene korake. Možete kreirati i primeniti firewall politike na čvorovima organizacije ili foldera hijerarhije resursa. Pravilo firewall politike može blokirati konekcije, dozvoliti konekcije ili odložiti evaluaciju pravila firewall-a na nižim nivoima foldera ili VPC firewall pravila definisanih u VPC mrežama.
Podrazumevano, sva pravila hijerarhijske firewall politike se primenjuju na sve VM-ove u svim projektima pod organizacijom ili folderom gde je politika povezana. Međutim, možete ograničiti kojim VM-ovima se dodeljuje dato pravilo specificiranjem ciljnih mreža ili ciljnih servisnih naloga.
Možete pročitati ovde kako kreirati Hijerarhijsku Firewall Politiku.
Evaluacija Firewall Pravila
Org: Firewall politike dodeljene Organizaciji
Folder: Firewall politike dodeljene Folderu
VPC: Firewall pravila dodeljena VPC-u
Globalno: Druga vrsta firewall pravila koja mogu biti dodeljena VPC-ovima
Regionalno: Firewall pravila povezana sa VPC mrežom NIC-a VM-a i regionom VM-a.
Povezivanje VPC Mreža
Omogućava povezivanje dve Virtualne privatne mreže (VPC) tako da resursi u svakoj mreži mogu komunicirati jedni sa drugima. Povezane VPC mreže mogu biti u istom projektu, različitim projektima iste organizacije, ili različitim projektima različitih organizacija.
Potrebne dozvole su:
compute.networks.addPeeringcompute.networks.updatePeeringcompute.networks.removePeeringcompute.networks.listPeeringRoutes
Reference
Last updated
