【发布时间】:2020-03-16 07:21:42
【问题描述】:
GCP 防火墙具有默认的隐含规则来阻止所有入口并允许所有出口。这适用于 VPN 之外的外部流量。
但这是否会在默认情况下阻止单个 VPN 中子网之间的流量?
【问题讨论】:
标签: google-cloud-platform vpn firewall subnet google-cloud-networking
【发布时间】:2020-03-16 07:21:42
【问题描述】:
大多数情况下是的,默认情况下,给定 VPC 网络上的子网之间的流量是不允许的(除了在您的项目中自动创建的 default 网络上)。
请注意,这实际上会阻止 所有 实例之间的流量,而不仅仅是子网之间的流量。因此,重点实际上是实例,而不是子网——但默认情况下,不同子网上的实例(default 网络除外)上的实例将无法通信。
请记住,VPC 防火墙规则是 enforced at the instance level,即使它的配置是在网络级别。
虽然规则在实例级别强制执行,但其配置与 VPC 网络相关联。
如您所见,implied rules 只有两个:
- 允许所有出口(到任何其他地址,包括内部)
- 拒绝所有入口(来自任何其他地址,包括内部)
只有default 网络上还有default rules。
- 允许内部流量 (
default-allow-internal) -- 此规则允许实例之间的流量(无论子网如何) - 允许来自任何来源的 ssh 入口
- 允许任何来源的 rdp 入口
- 允许任何来源的 icmp 进入
因此,在非default 网络上,您需要创建与default-allow-internal 规则等效的规则(允许来自网络上所有 IP 的所有协议到网络上的任何实例)。
【讨论】:
-
谢谢。因此,如果我离开开箱即用的设置,default-allow-internal 是否允许子网之间的流量,或者仅允许同一子网中的实例之间的流量?根据您的回答,后者。
-
它应该允许 VPC 网络上所有实例之间的流量,无论子网如何
-
好的。所以一个关键点(这对我有帮助,您可能想添加到答案中)是开箱即用,所有实例甚至可以跨子网进行通信)。
-
在我之前回复时添加,“无论子网如何” :) 很高兴审查编辑,如果有什么能让它更清楚的话。这仅在实例可以默认通信的
default网络上是正确的——在其他 VPC 网络上,它们不能,您必须添加规则。 -
谢谢你,这很有帮助