GCP - VPC & Networking
GCP Compute Networking in a Nutshell
VPCs ina Firewall sheria za kuruhusu trafiki inayokuja kwenye VPC. VPCs pia ina subnetworks ambapo mashine za virtual zitakuwa zimeunganishwa. Ikilinganishwa na AWS, Firewall ingekuwa kitu cha karibu na AWS Security Groups na NACLs, lakini katika kesi hii hizi zina mwelekeo katika VPC na si katika kila mfano.
VPC, Subnetworks & Firewalls in GCP
Compute Instances zimeunganishwa subnetworks ambazo ni sehemu ya VPCs (Virtual Private Clouds). Katika GCP hakuna makundi ya usalama, kuna VPC firewalls zenye sheria zilizofafanuliwa katika kiwango hiki cha mtandao lakini zinatumika kwa kila VM Instance.
Subnetworks
VPC inaweza kuwa na subnetworks kadhaa. Kila subnetwork iko katika eneo 1.
Firewalls
Kwa kawaida, kila mtandao una sheria mbili za firewall zilizodhamiriwa: ruhusu outbound na kata inbound.
Wakati mradi wa GCP unaundwa, VPC inayoitwa default pia inaundwa, ikiwa na sheria zifuatazo za firewall:
default-allow-internal: ruhusu trafiki yote kutoka kwa mifano mingine kwenye mtandao wa
defaultdefault-allow-ssh: ruhusu 22 kutoka kila mahali
default-allow-rdp: ruhusu 3389 kutoka kila mahali
default-allow-icmp: ruhusu ping kutoka kila mahali
Kama unavyoona, firewall rules huwa na ruhusa zaidi kwa anwani za IP za ndani. VPC ya kawaida inaruhusu trafiki yote kati ya Compute Instances.
Sheria zaidi za Firewall zinaweza kuundwa kwa VPC ya kawaida au kwa VPC mpya. Sheria za Firewall zinaweza kutumika kwa mifano kupitia mbinu zifuatazo:
Mifano yote ndani ya VPC
Kwa bahati mbaya, hakuna amri rahisi ya gcloud kutoa mifano yote ya Compute yenye bandari wazi kwenye mtandao. Lazima uunganishe alama kati ya sheria za firewall, lebo za mtandao, akaunti za huduma, na mifano.
Mchakato huu umefanywa kuwa otomatiki kwa kutumia hii python script ambayo itasafirisha yafuatayo:
Faili ya CSV inayoonyesha mfano, IP ya umma, TCP inayoruhusiwa, UDP inayoruhusiwa
skana ya nmap kulenga mifano yote kwenye bandari zinazoruhusiwa kutoka kwa mtandao wa umma (0.0.0.0/0)
masscan kulenga safu kamili ya TCP ya mifano hiyo inayoruhusu BANDARI ZOTE za TCP kutoka kwa mtandao wa umma (0.0.0.0/0)
Hierarchical Firewall Policies
Sera za firewall za kihierarkia zinakuwezesha kuunda na kutekeleza sera thabiti za firewall katika shirika lako. Unaweza kupeana sera za firewall za kihierarkia kwa shirika kwa ujumla au kwa folders za kibinafsi. Sera hizi zina sheria ambazo zinaweza kukataa au kuruhusu mawasiliano kwa wazi.
Unaunda na kutekeleza sera za firewall kama hatua tofauti. Unaweza kuunda na kutekeleza sera za firewall katika mashirika au nodi za folda za hierarchia ya rasilimali. Sheria ya sera ya firewall inaweza kuzuia mawasiliano, kuruhusu mawasiliano, au kuchelewesha tathmini ya sheria za firewall kwa folda za chini au sheria za firewall za VPC zilizofafanuliwa katika mitandao ya VPC.
Kwa kawaida, sheria zote za sera za firewall za kihierarkia zinatumika kwa VMs zote katika miradi yote chini ya shirika au folda ambapo sera hiyo inahusishwa. Hata hivyo, unaweza kudhibiti ni VMs zipi zinapata sheria fulani kwa kubainisha mitandao ya lengo au akaunti za huduma za lengo.
Unaweza kusoma hapa jinsi ya kuunda Sera ya Firewall ya Kihierarkia.
Firewall Rules Evaluation
Org: Sera za firewall zilizotolewa kwa Shirika
Folder: Sera za firewall zilizotolewa kwa Folda
VPC: Sheria za firewall zilizotolewa kwa VPC
Global: Aina nyingine ya sheria za firewall ambazo zinaweza kutolewa kwa VPCs
Regional: Sheria za firewall zinazohusishwa na mtandao wa VPC wa NIC ya VM na eneo la VM.
VPC Network Peering
Inaruhusu kuunganisha mitandao miwili ya Virtual Private Cloud (VPC) ili rasilimali katika kila mtandao ziweze kuwasiliana na kila mmoja. Mitandao ya VPC iliyounganishwa inaweza kuwa katika mradi mmoja, miradi tofauti ya shirika moja, au miradi tofauti ya mashirika tofauti.
Hizi ndizo ruhusa zinazohitajika:
compute.networks.addPeeringcompute.networks.updatePeeringcompute.networks.removePeeringcompute.networks.listPeeringRoutes
References
Last updated
