GCP - VPC & Networking
GCP Compute Networking kwa Ufupi
VPCs zina kanuni za Firewall kuruhusu trafiki inayoingia kwenye VPC. VPCs pia zina subnetworks ambapo virtual machines zitakuwa zinaunganishwa. Ukilinganisha na AWS, Firewall itakuwa kitu cha karibu zaidi na AWS Security Groups na NACLs, lakini katika kesi hii hizi zimefafanuliwa kwenye VPC na si kwenye kila instance.
VPC, Subnetworks & Firewalls katika GCP
Compute Instances zimeunganishwa na subnetworks ambazo ni sehemu ya VPCs (Virtual Private Clouds). Katika GCP hakuna security groups, kuna VPC firewalls zenye kanuni zilizofafanuliwa kwenye kiwango cha mtandao lakini zinatumika kwa kila VM Instance.
Subnetworks
VPC inaweza kuwa na subnetworks kadhaa. Kila subnetwork iko katika eneo 1.
Firewalls
Kwa default, kila mtandao una kanuni mbili za firewall zilizodokezwa: kuruhusu kutoka nje na kukataa kuingia ndani.
Wakati mradi wa GCP unaundwa, VPC inayoitwa default pia inaundwa, na kanuni za firewall zifuatazo:
default-allow-internal: kuruhusu trafiki yote kutoka kwa instances nyingine kwenye mtandao wa
defaultdefault-allow-ssh: kuruhusu 22 kutoka kila mahali
default-allow-rdp: kuruhusu 3389 kutoka kila mahali
default-allow-icmp: kuruhusu ping kutoka kila mahali
Kama unavyoona, kanuni za firewall huwa zinajali zaidi kwa anwani za IP za ndani. VPC ya default inaruhusu trafiki yote kati ya Compute Instances.
Kanuni zaidi za Firewall zinaweza kuundwa kwa VPC ya default au kwa VPC mpya. Kanuni za Firewall zinaweza kutumika kwa instances kupitia njia zifuatazo:
Instances zote ndani ya VPC
Kwa bahati mbaya, hakuna amri rahisi ya gcloud kutoa Compute Instances zote zilizo na bandari wazi kwenye mtandao. Unahitaji kuunganisha nukta kati ya kanuni za firewall, network tags, service accounts, na instances.
Mchakato huu ulifanywa kiotomatiki kwa kutumia script ya python hii ambayo itatoa yafuatayo:
Faili ya CSV inayoonyesha instance, public IP, TCP inayoruhusiwa, UDP inayoruhusiwa
nmap scan kulenga instances zote kwenye bandari zinazoruhusiwa kuingia kutoka kwenye mtandao wa umma (0.0.0.0/0)
masscan kulenga anuwai kamili ya TCP ya instances hizo zinazokubali bandari zote za TCP kutoka kwenye mtandao wa umma (0.0.0.0/0)
Hierarchical Firewall Policies
Hierarchical firewall policies zinakuruhusu kuunda na kutekeleza sera ya firewall thabiti katika shirika lako. Unaweza kupeana hierarchical firewall policies kwa shirika kwa ujumla au kwa folders binafsi. Sera hizi zina kanuni ambazo zinaweza kukataa au kuruhusu muunganisho wazi.
Unaunda na kutumia sera za firewall kama hatua tofauti. Unaweza kuunda na kutumia sera za firewall kwenye nodes za shirika au folder za resource hierarchy. Kanuni ya sera ya firewall inaweza kuzuia muunganisho, kuruhusu muunganisho, au kuahirisha tathmini ya kanuni za firewall kwa folders za ngazi ya chini au kanuni za firewall za VPC zilizofafanuliwa kwenye mitandao ya VPC.
Kwa default, kanuni zote za sera za firewall za hierarchical zinatumika kwa VMs zote katika miradi yote chini ya shirika au folder ambapo sera imehusishwa. Hata hivyo, unaweza kuzuia ni VMs gani zinapata kanuni fulani kwa kubainisha target networks au target service accounts.
Unaweza kusoma hapa jinsi ya kuunda Hierarchical Firewall Policy.
Firewall Rules Evaluation
Org: Sera za firewall zilizopewa Shirika
Folder: Sera za firewall zilizopewa Folder
VPC: Kanuni za firewall zilizopewa VPC
Global: Aina nyingine ya kanuni za firewall ambazo zinaweza kupewa VPCs
Regional: Kanuni za firewall zinazohusishwa na mtandao wa VPC wa NIC ya VM na eneo la VM.
VPC Network Peering
Inaruhusu kuunganisha mitandao miwili ya Virtual Private Cloud (VPC) ili rasilimali katika kila mtandao ziweze kuwasiliana na kila mmoja. Mitandao ya VPC iliyounganishwa inaweza kuwa katika mradi mmoja, miradi tofauti ya shirika moja, au miradi tofauti ya mashirika tofauti.
Hizi ni ruhusa zinazohitajika:
compute.networks.addPeeringcompute.networks.updatePeeringcompute.networks.removePeeringcompute.networks.listPeeringRoutes
Marejeleo
Last updated
