[英]In GCP, how to create firewall rules to isolate subnets by their IP ranges?
我们正在使用具有两个子网(10.65.0.0/16 和 10.66.0.0/16)的共享 VPC。 共享 VPC 连接到本地网络,因此两个子网都可以访问本地托管的资源。 由于我们将一个子网用于 DEV 环境,将另一个子网用于 PROD 环境,因此我们希望阻止这两个子网之间的所有流量。 我不想通过使用在这些子网上托管的每个实例的标签或服务帐户来管理这些防火墙规则,因为在这两个子网上托管的所有项目的所有者可能并不总是遵守规则,并导致额外的通信需要澄清。 理想情况下,我想创建一些防火墙规则来阻止仅使用这两个 IP 子网范围的流量。 为了在彼此之间隔离子网,我需要创建一个源为“10.65.0.0/16”和区分为“10.66.0.0/16”的“拒绝”防火墙规则,以及另一个源为“10.66.0.0/16”和区分的防火墙规则“10.65.0.0/16”。 对于我所看到的,在出口和入口防火墙中,只允许在源或区别上设置 IP 范围,但不能同时设置。 看起来没有办法在使用 CIDR 的单个防火墙中同时设置源和区别。
我知道使用对等网络可以轻松减少 VPC/子网之间的流量。 但是 VPC 有限制,2+ 层对等互连之间的路由很糟糕,谷歌管理的资源已经涉及一层对等互连,所以如果可能的话我不想涉及另一层对等互连网络。 如果没有更好的主意,我可能不得不使用Tags或Service accounts来一个一个地创建防火墙。
请分享您的想法,或任何其他方式来解决我的问题。
谢谢
针对此问题咨询了 Google 技术支持。 他们的建议不足为奇。 它不能通过设置源IP CIDR 和区分CIDR 来完成。 他们的建议是使用“标签”+“资源 IP 范围”。
例如 - 允许所有 [ingress],目标标签:vmGroup-1,源 IPv4:vmGroup-1 的 CIDR
基本上,通过这种方式而不是创建由 VPC 的一个优势和 VPC 的一个限制引起的“拒绝”防火墙。 优点是: 优点是:在 VPC 中,任何实例之间的流量自然会被阻塞,即使它们在同一子网中,防火墙是在 VPC 中创建的,但单独处理每个实例,就像每个实例都有自己的防火墙一样。 限制是:到目前为止,VPC 不允许创建同时定义源和区分 IP 范围的防火墙。
Terraform/GCP,如何创建防火墙规则以拒绝所有未指定 IP 范围的流量?
[英]Terraform/GCP, how to create a firewall rule to deny all traffic without specify IP ranges?
GCP 未能创建子网。 在分配的 IP 范围内找不到空闲块
[英]GCP Failed to create Subnetwork. Couldn't find free blocks in allocated IP ranges
如何通过 terraform 在 GCP 中描述共享 VPC 并定义其子网
[英]How to describe a shared VPC and define its subnets in GCP via terraform
如何防止用户访问 GCP 中托管的网站的 IP 地址?
[英]How to prevent user access to IP address for a website hosted in GCP?
如何使用 A 记录将 GCP 负载均衡器 IP map 到自定义域?
[英]How to map a GCP Loadbalancer IP to a custom domain using A Records?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
