GCP - VPC & Networking
Мережеве взаємодія GCP Compute в кількох словах
VPC містить правила брандмауера, щоб дозволити вхідний трафік до VPC. VPC також містить підмережі, де будуть підключені віртуальні машини. Порівнюючи з AWS, брандмауер буде найближчим до груп безпеки AWS та NACL, але в цьому випадку вони визначені в VPC, а не в кожному екземплярі.
VPC, Підмережі та Брандмауери в GCP
Екземпляри обчислень підключені до підмереж, які є частиною VPC (Віртуальні приватні хмари). У GCP відсутні групи безпеки, але є брандмауери VPC з правилами, визначеними на цьому рівні мережі, але застосованими до кожного екземпляра віртуальної машини.
Підмережі
У VPC може бути кілька підмереж. Кожна підмережа знаходиться в 1 регіоні.
Брандмауери
За замовчуванням, кожна мережа має два імпліцитні правила брандмауера: дозволити вихідний та заборонити вхідний.
При створенні проекту GCP створюється VPC з назвою default, з наступними правилами брандмауера:
default-allow-internal: дозволяє весь трафік від інших екземплярів на мережі
defaultdefault-allow-ssh: дозволяє 22 з будь-якого місця
default-allow-rdp: дозволяє 3389 з будь-якого місця
default-allow-icmp: дозволяє ping з будь-якого місця
Як можна побачити, правила брандмауера зазвичай є більш дозвільними для внутрішніх IP-адрес. Утиліта за замовчуванням дозволяє весь трафік між екземплярами обчислень.
Можна створювати більше правил брандмауера для мережі за замовчуванням або для нових VPC. Правила брандмауера можна застосовувати до екземплярів за допомогою наступних методів:
Всі екземпляри в межах VPC
На жаль, не існує простої команди gcloud, щоб вивести всі екземпляри обчислень з відкритими портами в Інтернеті. Вам потрібно з'єднати крапки між правилами брандмауера, мережевими тегами, обліковими записами служб та екземплярами.
Цей процес було автоматизовано за допомогою цього скрипту Python, який експортує наступне:
CSV-файл, що показує екземпляр, публічну IP-адресу, дозволені TCP, дозволені UDP
nmap-сканування для спрямування всіх екземплярів на порти, що дозволені для вхідного трафіку з Інтернету (0.0.0.0/0)
masscan для спрямування повного діапазону TCP тих екземплярів, які дозволяють ВСІ TCP-порти з Інтернету (0.0.0.0/0)
Ієрархічні політики брандмауера
Ієрархічні політики брандмауера дозволяють створювати та застосовувати послідовну політику брандмауера по всій вашій організації. Ви можете призначити ієрархічні політики брандмауера для всієї організації в цілому або для окремих папок. Ці політики містять правила, які можуть явно відхиляти або дозволяти з'єднання.
Ви створюєте та застосовуєте політики брандмауера як окремі кроки. Ви можете створювати та застосовувати політики брандмауера на вузлах організації або папок ієрархії ресурсів. Правило політики брандмауера може блокувати з'єднання, дозволяти з'єднання або відкладати оцінку правила брандмауера до правил брандмауера на нижчих рівнях папок або визначених в правилах брандмауера VPC в мережах VPC.
За замовчуванням всі правила ієрархічної політики брандмауера застосовуються до всіх віртуальних машин у всіх проектах під організацією або папкою, де асоційована політика. Однак ви можете обмежити, які віртуальні машини отримують певне правило, вказавши цільові мережі або цільові службові облікові записи.
Ви можете прочитати тут, як створити ієрархічну політику брандмауера.
Оцінка правил брандмауера
Орг: Правила брандмауера, призначені для Організації
Папка: Правила брандмауера, призначені для Папки
VPC: Правила брандмауера, призначені для VPC
Глобальні: Інший тип правил брандмауера, які можуть бути призначені для VPC
Регіональні: Правила брандмауера, пов'язані з мережею VPC мережі NIC та регіону VM.
З'єднання мереж VPC
Дозволяє підключити дві віртуальні приватні хмари (VPC) так, що ресурси в кожній мережі можуть спілкуватися один з одним. З'єднані мережі VPC можуть бути в одному проекті, різних проектах однієї організації або різних проектах різних організацій.
Для цього потрібні наступні дозволи:
compute.networks.addPeeringcompute.networks.updatePeeringcompute.networks.removePeeringcompute.networks.listPeeringRoutes
Посилання
Last updated
