GCP - VPC & Networking
GCP Rekenaar Netwerke in 'n neutedop
VPCs bevat Firewall-reëls om inkomende verkeer na die VPC toe te laat. VPCs bevat ook subnetwerke waar virtuele masjiene aan gekoppel gaan word. Vergelykend met AWS, sou Firewall die naaste ding wees aan AWS Sekuriteitsgroepe en NACLs, maar in hierdie geval is hulle gedefinieer in die VPC en nie in elke instansie nie.
VPC, Subnetwerke & Firewalls in GCP
Rekenaarinstansies is gekoppelde subnetwerke wat deel is van VPCs (Virtuele Privaat Wolke). In GCP is daar nie sekuriteitsgroepe nie, daar is VPC-firewalls met reëls wat op hierdie netwerkvlak gedefinieer is, maar toegepas word op elke VM-instansie.
Subnetwerke
'n VPC kan verskeie subnetwerke hê. Elke subnetwerk is in 1 streek.
Firewalls
Standaard het elke netwerk twee geïmpliceerde firewall-reëls: toelaat uitgaande en weier inkomende.
Wanneer 'n GCP-projek geskep word, word 'n VPC genaamd default ook geskep, met die volgende firewall-reëls:
default-allow-internal: laat alle verkeer van ander instansies op die
default-netwerk toedefault-allow-ssh: laat 22 van oral toe
default-allow-rdp: laat 3389 van oral toe
default-allow-icmp: laat ping van oral toe
Soos gesien kan firewall-reëls geneig wees om meer inskiklik te wees vir interne IP-adresse. Die verstek VPC laat alle verkeer tussen Rekenaarinstansies toe.
Meer Firewall-reëls kan geskep word vir die verstek VPC of vir nuwe VPCs. Firewall-reëls kan op instansies toegepas word via die volgende metodes:
Alle instansies binne 'n VPC
Ongelukkig is daar nie 'n eenvoudige gcloud-bevel om alle Rekenaarinstansies met oop poorte op die internet uit te spuug nie. Jy moet die punte tussen firewall-reëls, netwerktags, diensrekeninge en instansies verbind.
Hierdie proses is geoutomatiseer met behulp van hierdie Python-skrip wat die volgende sal uitvoer:
CSV-lêer wat instansie, openbare IP, toegelate TCP, toegelate UDP wys
nmap-scan om te mik op alle instansies op poorte wat toegelaat word vanaf die openbare internet (0.0.0.0/0)
masscan om die volledige TCP-reeks van daardie instansies te teiken wat ALLE TCP-poorte van die openbare internet (0.0.0.0/0) toelaat
Hierargiese Firewall-beleide
Hierargiese firewall-beleide laat jou toe om 'n konsekwente firewall-beleid oor jou organisasie te skep en af te dwing. Jy kan hierargiese firewall-beleide aan die organisasie as geheel of aan individuele vouers toeken. Hierdie beleide bevat reëls wat verbindings uitdruklik kan weier of toelaat.
Jy skep en pas firewall-beleide as afsonderlike stappe toe. Jy kan firewall-beleide skep en toepas op die organisasie- of vouernodes van die hulpbronhiërargie. 'n Firewall-beleidreël kan verbindings blokkeer, verbindings toelaat, of firewall-reël-evaluasie uitstel na laer-vlak vouers of VPC-firewall-reëls wat in VPC-netwerke gedefinieer is.
Standaard is alle hierargiese firewall-beleidsreëls van toepassing op alle VM's in alle projekte onder die organisasie of vouer waar die beleid geassosieer is. Jy kan egter beperk watter VM's 'n gegewe reël kry deur teikennetwerke of teikendiensrekeninge te spesifiseer.
Jy kan hier lees hoe om 'n Hierargiese Firewall-beleid te skep.
Firewall-reëls Evaluasie
Org: Firewall-beleide toegewys aan die Organisasie
Vouer: Firewall-beleide toegewys aan die Vouer
VPC: Firewall-reëls toegewys aan die VPC
Globaal: 'n Ander tipe firewall-reëls wat aan VPC's toegewys kan word
Streeks: Firewall-reëls wat geassosieer is met die VPC-netwerk van die VM se NIC en streek van die VM.
VPC Netwerk Koppeling
Laat toe om twee Virtuele Privaatwolk (VPC) netwerke te koppel sodat hulpbronne in elke netwerk met mekaar kan kommunikeer. Gekoppelde VPC-netwerke kan in dieselfde projek, verskillende projekte van dieselfde organisasie, of verskillende projekte van verskillende organisasies wees.
Hierdie is die nodige toestemmings:
compute.networks.addPeeringcompute.networks.updatePeeringcompute.networks.removePeeringcompute.networks.listPeeringRoutes
Verwysings
Last updated
