GCP VPC防火墙

防火墙

GCP VPC防火墙规则，应用於给定的项目和网络，防火墙规则可以包含IPv4 IPv6 范围但不能同时包含两者，目前介面不支援IPv6设定需使用gcloud指令方式设置，防火墙设置大致分为三大项设定。

gcloud compute firewall-rules create test \
    --project you_project \
    --network vpc_name \
    --action allow \
    --direction ingress \
    --rules tcp:80 \            #通讯协定和埠
    --source-ranges ::/0 \      #IPv6
    --priority 999 \            #防火墙优先权
    --target-tags allow_allipv6 #tag

• 查询list

gcloud compute firewall-rules list --filter network=vpc_name

除了三大项比较重要的设定，在防火墙设定中需要先选定该VPC网路层的目标，故名就是每当建立起防火墙他会针对该 VPC网段 去限制 流入 或是 流出 ，这边也可以设定防火墙的流入流出 纪录 (但相对会增加了Cloud Logging 成本)，那今天就讨论防火墙三大设定的主轴。

1. 防火墙优先权(包含Allow Deny)
   • 由先全权限为数字越小权限越大
   • 优先顺序范围：0 至 65535
2. 防火墙目标
   • 网路中所有执行个体
     • 选此目标表示套用该VPC网段所有机器，也包含了GKE丛集(需小心设定)
   • 指定目标标记
     • 使用目标标记是给建立防火墙上，上了一个tag名称当有需要遵从此规则VM在该机器"网路标记"输入tag名称(需要注意tag名称唯一性避免涵盖了不必要的规则)
       
   • 指定服务帐户
     • 服务帐户绑定，规则很类似目标标记，差异在服务帐户范围分为专案内外(服务内可以使用自己建立或预设GCP的service account，然後也可使用专案外项项目，因为service account支援跨专案权限)
       
3. IP 通讯协定和埠
   • IP范围支援(CIDR)
     • 可输入all
     • 逗号分隔的目的地端口列表，例如 0-65535, 80, 443。
   • tcp，udp，其他通讯协定(ex. icmp)