GCP 防火墙具有默认的隐含规则来阻止所有入口并允许所有出口。那是针对 VPN 之外的外部流量。
但这是否会在默认情况下阻止单个 VPN 中子网之间的流量?
问问题
1112 次
1 回答
1
大多数情况下是的,默认情况下,给定 VPC 网络上的子网之间的流量是不允许的(除了在default您的项目中自动创建的网络上)。
请注意,这实际上会阻止所有实例之间的流量,而不仅仅是子网之间的流量。因此,重点实际上是实例,而不是子网——但效果是默认情况下,不同子网上的实例(default网络上的实例除外)将无法通信。
请记住,VPC 防火墙规则是在实例级别强制执行的,即使它的配置是在网络级别。
虽然该规则在实例级别强制执行,但其配置与 VPC 网络相关联。
正如您所注意到的,只有两个隐含的规则:
- 允许所有出口(到任何其他地址,包括内部)
- 拒绝所有入口(来自任何其他地址,包括内部)
仅网络上也有默认规则default。
- 允许内部流量 (
default-allow-internal) -- 此规则允许实例之间的流量(无论子网如何) - 允许来自任何来源的 ssh 入口
- 允许来自任何来源的 rdp 入口
- 允许来自任何来源的 icmp 入口
因此,在非default网络上,您需要创建default-allow-internal规则的等效项(允许来自网络上所有 IP 的所有协议到网络上的任何实例)。
于 2019-11-20T15:09:45.780 回答