GCP - VPC & Networking
GCP Compute Mtandao kwa Kifupi
VPCs ina mipangilio ya Firewall kuruhusu trafiki kuingia kwenye VPC. VPCs pia ina subnetworks ambapo mashine za virtual zitakuwa zimeunganishwa. Ulinganifu na AWS, Firewall ungekuwa kitu karibu na Vikundi vya Usalama vya AWS na NACLs, lakini katika kesi hii hizi zinapatikana katika VPC na sio katika kila kifaa.
VPC, Subnetworks & Firewalls katika GCP
Mifumo ya Kuhesabu imeunganishwa subnetworks ambazo ni sehemu ya VPCs (Cloud za Kibinafsi za Virtual). Katika GCP hakuna vikundi vya usalama, kuna firewalls za VPC na sheria zilizofafanuliwa kwenye kiwango hiki cha mtandao lakini zinatumika kwa kila Kifaa cha VM.
Subnetworks
VPC inaweza kuwa na subnetworks kadhaa. Kila subnetwork iko katika eneo 1.
Firewalls
Kwa chaguo-msingi, kila mtandao una sheria mbili za firewall zilizopendekezwa: kuruhusu kutoka nje na kukataa kuingia.
Wakati mradi wa GCP unapoanzishwa, VPC inayoitwa default
pia inaundwa, na sheria za firewall zifuatazo:
kuruhusu-ndani-ya-kawaida: kuruhusu trafiki yote kutoka kwa vifaa vingine kwenye mtandao wa
default
kuruhusu-ssh-ya-kawaida: kuruhusu 22 kutoka kote
kuruhusu-rdp-ya-kawaida: kuruhusu 3389 kutoka kote
kuruhusu-icmp-ya-kawaida: kuruhusu ping kutoka kote
Kama unavyoona, sheria za firewall huwa zenye kibali zaidi kwa anwani za IP za ndani. VPC ya chaguo-msingi inaruhusu trafiki yote kati ya Mashine za Kuhesabu.
Sheria zaidi za Firewall zinaweza kuundwa kwa VPC ya chaguo-msingi au kwa VPC mpya. Sheria za Firewall zinaweza kutumika kwa vifaa kupitia njia zifuatazo:
Vifaa vyote ndani ya VPC
Kwa bahati mbaya, hakuna amri rahisi ya gcloud
ya kutoa orodha ya Mashine za Kuhesabu zilizo na bandari wazi kwenye mtandao. Lazima uunganishe alama kati ya sheria za firewall, lebo za mtandao, akaunti za huduma, na vifaa.
Mchakato huu uliwekwa kiotomatiki kwa kutumia skripti hii ya python ambayo itaexport yafuatayo:
Faili ya CSV inayoonyesha kifaa, IP ya umma, TCP iliyoruhusiwa, UDP iliyoruhusiwa
Uchunguzi wa nmap kwenye vifaa vyote kwenye bandari zilizoruhusiwa kuingia kutoka kwenye wavuti ya umma (0.0.0.0/0)
masscan kwenye safu kamili ya TCP ya vifaa hivyo vinavyoruhusu PORT zote za TCP kutoka kwenye wavuti ya umma (0.0.0.0/0)
Sera za Firewall za Hirarkia
Sera za firewall za hirarkia kuruhusu kuunda na kutekeleza sera thabiti ya firewall kote kwa shirika lako. Unaweza kugawa sera za firewall za hirarkia kwa shirika nzima au kwa folda binafsi. Sera hizi zina sheria ambazo zinaweza kukataa au kuruhusu wazi mawasiliano.
Unaweza kuunda na kutumia sera za firewall kama hatua tofauti. Unaweza kuunda na kutumia sera za firewall kwenye vifungu vya shirika au folda ya hirarkia ya rasilimali. Sheria ya sera ya firewall inaweza kuzuia mawasiliano, kuruhusu mawasiliano, au kuchelewesha tathmini ya sheria ya firewall kwa sheria za firewall za VPC zilizofafanuliwa katika mitandao ya VPC.
Kwa chaguo-msingi, sheria zote za sera za firewall za hirarkia zinatumika kwa VM zote katika miradi yote chini ya shirika au folda ambapo sera inahusishwa. Walakini, unaweza kizuia ni VM zipi zinapata sheria iliyopewa kwa kufafanua mitandao ya lengo au akaunti za huduma.
Unaweza kusoma hapa jinsi ya kuunda Sera ya Firewall ya Hirarkia.
Tathmini ya Sheria za Firewall
Shirika: Sera za firewall zilizopewa Shirika
Funga: Sera za firewall zilizopewa Funga
VPC: Sheria za firewall zilizopewa VPC
Global: Aina nyingine ya sheria za firewall ambazo zinaweza kupewa VPCs
Kikanda: Sheria za firewall zinazohusiana na mtandao wa VPC wa NIC ya VM na eneo la VM.
Uunganishaji wa Mtandao wa VPC
Inaruhusu kuunganisha mitandao miwili ya Cloud za Kibinafsi za Virtual (VPC) ili rasilimali katika kila mtandao ziweze kufanya mawasiliano kati yake. Mitandao iliyounganishwa ya VPC inaweza kuwa katika mradi mmoja, miradi tofauti ya shirika moja, au miradi tofauti ya mashirika tofauti.
Hizi ni idhini zinazohitajika:
compute.networks.addPeering
compute.networks.updatePeering
compute.networks.removePeering
compute.networks.listPeeringRoutes
Marejeo
Last updated