[英]In GCP, how to create firewall rules to isolate subnets by their IP ranges?
我們正在使用具有兩個子網(10.65.0.0/16 和 10.66.0.0/16)的共享 VPC。 共享 VPC 連接到本地網絡,因此兩個子網都可以訪問本地托管的資源。 由於我們將一個子網用於 DEV 環境,將另一個子網用於 PROD 環境,因此我們希望阻止這兩個子網之間的所有流量。 我不想通過使用在這些子網上托管的每個實例的標簽或服務帳戶來管理這些防火牆規則,因為在這兩個子網上托管的所有項目的所有者可能並不總是遵守規則,並導致額外的通信需要澄清。 理想情況下,我想創建一些防火牆規則來阻止僅使用這兩個 IP 子網范圍的流量。 為了在彼此之間隔離子網,我需要創建一個源為“10.65.0.0/16”和區分為“10.66.0.0/16”的“拒絕”防火牆規則,以及另一個源為“10.66.0.0/16”和區分的防火牆規則“10.65.0.0/16”。 對於我所看到的,在出口和入口防火牆中,只允許在源或區別上設置 IP 范圍,但不能同時設置。 看起來沒有辦法在使用 CIDR 的單個防火牆中同時設置源和區別。
我知道使用對等網絡可以輕松減少 VPC/子網之間的流量。 但是 VPC 有限制,2+ 層對等互連之間的路由很糟糕,谷歌管理的資源已經涉及一層對等互連,所以如果可能的話我不想涉及另一層對等互連網絡。 如果沒有更好的主意,我可能不得不使用Tags或Service accounts來一個一個地創建防火牆。
請分享您的想法,或任何其他方式來解決我的問題。
謝謝
針對此問題咨詢了 Google 技術支持。 他們的建議不足為奇。 它不能通過設置源IP CIDR 和區分CIDR 來完成。 他們的建議是使用“標簽”+“資源 IP 范圍”。
例如 - 允許所有 [ingress],目標標簽:vmGroup-1,源 IPv4:vmGroup-1 的 CIDR
基本上,通過這種方式而不是創建由 VPC 的一個優勢和 VPC 的一個限制引起的“拒絕”防火牆。 優點是: 優點是:在 VPC 中,任何實例之間的流量自然會被阻塞,即使它們在同一子網中,防火牆是在 VPC 中創建的,但單獨處理每個實例,就像每個實例都有自己的防火牆一樣。 限制是:到目前為止,VPC 不允許創建同時定義源和區分 IP 范圍的防火牆。
Terraform/GCP,如何創建防火牆規則以拒絕所有未指定 IP 范圍的流量?
[英]Terraform/GCP, how to create a firewall rule to deny all traffic without specify IP ranges?
GCP 未能創建子網。 在分配的 IP 范圍內找不到空閑塊
[英]GCP Failed to create Subnetwork. Couldn't find free blocks in allocated IP ranges
如何通過 terraform 在 GCP 中描述共享 VPC 並定義其子網
[英]How to describe a shared VPC and define its subnets in GCP via terraform
如何防止用戶訪問 GCP 中托管的網站的 IP 地址?
[英]How to prevent user access to IP address for a website hosted in GCP?
如何使用 A 記錄將 GCP 負載均衡器 IP map 到自定義域?
[英]How to map a GCP Loadbalancer IP to a custom domain using A Records?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
