配置 Google Cloud VPC 防火墙规则以允许特定网络流量,需要以下步骤:
-
登录 Google Cloud 控制台 ☁️:
首先,使用您的 Google Cloud 账号登录到 Google Cloud 控制台。
-
导航到防火墙规则 🛡️:
在控制台中,使用搜索栏找到 "防火墙" 或 "防火墙规则",然后点击进入防火墙规则页面。
-
选择 VPC 网络 🌐:
在防火墙规则页面,确保您选择了正确的 VPC 网络。如果您有多个 VPC 网络,请从下拉菜单中选择您要配置的网络。
-
创建防火墙规则 ➕:
点击 "创建防火墙规则" 按钮,开始创建新的防火墙规则。
-
配置防火墙规则 ⚙️:
在创建防火墙规则页面,您需要填写以下信息:
-
名称 🏷️:
为您的防火墙规则指定一个易于识别的名称,例如 "allow-ssh-from-external"。名字要具有描述性!
-
描述 📝:
添加对规则的描述,说明规则的目的。例如 "允许从特定 IP 地址 SSH 访问虚拟机"。
-
网络 🌐:
确认选择了正确的 VPC 网络。
-
优先级 🥇:
为防火墙规则设置优先级。优先级数值越小,优先级越高(例如,100 比 1000 优先级高)。如果规则之间存在冲突,优先级较高的规则先生效。
-
方向 ➡️:
选择流量方向。
-
入站:允许进入 VPC 网络的流量。
-
出站:允许从 VPC 网络发出的流量。
-
操作 🚦:
选择规则的操作。
-
允许:允许符合规则的流量通过。
-
拒绝:阻止符合规则的流量通过。
-
目标 🎯:
指定规则应用的目标。
-
网络中的所有实例:规则应用于 VPC 网络中的所有虚拟机实例。
-
指定的目标标记:规则应用于具有特定网络标记的虚拟机实例。
-
指定的服务账号:规则应用于使用特定服务账号的虚拟机实例。
-
所有实例(包括无盘实例):规则应用于所有实例,包括没有磁盘的实例。
-
来源过滤 🔍:
指定流量的来源。
-
IP 地址范围:允许来自特定 IP 地址范围的流量。您可以指定单个 IP 地址或 CIDR 块。
-
网络:允许来自同一 VPC 网络或其他 VPC 网络的流量。
-
服务账号:允许来自使用特定服务账号的实例的流量。
-
安全组:允许来自特定安全组的流量。
-
协议和端口 🤝:
指定允许的协议和端口。
-
允许所有:允许所有协议和端口的流量。
-
指定协议和端口:允许特定协议和端口的流量。您可以选择 TCP、UDP、ICMP 等协议,并指定端口范围或单个端口。
-
示例:允许 SSH 访问 💻:
假设您要允许从 IP 地址 203.0.113.10 到 VPC 网络中所有虚拟机的 SSH 访问(TCP 端口 22),您可以这样配置:
-
名称:allow-ssh-from-external
-
描述:允许从 203.0.113.10 SSH 访问虚拟机
-
网络:您的 VPC 网络名称
-
方向:入站
-
操作:允许
-
目标:网络中的所有实例
-
来源过滤:IP 地址范围
-
来源 IP 地址范围:203.0.113.10
-
协议和端口:指定协议和端口,TCP,端口 22
-
创建规则 ✅:
填写完所有必要信息后,点击 "创建" 按钮以创建防火墙规则。
-
测试规则 🧪:
创建规则后,测试规则是否生效。您可以尝试从指定的 IP 地址使用 SSH 连接到虚拟机,确认连接是否成功。如果连接失败,请检查您的防火墙规则配置。
注意事项 ⚠️:
-
优先级:防火墙规则的优先级非常重要。确保您的规则优先级设置正确,以避免意外阻止或允许流量。
-
最小权限原则:
只允许必要的流量,并尽可能限制流量的来源和目标,以提高安全性。
-
日志记录:启用防火墙规则的日志记录,以便您可以监控和审计流量。
-
网络标记和服务账号:使用网络标记和服务账号可以更灵活地管理防火墙规则,特别是在大型和复杂的环境中。
希望这些步骤能帮助您配置 Google Cloud VPC 防火墙规则!
