【问题标题】:Several firewalls when creating Google Cloud Platform instance. Which to use?创建 Google Cloud Platform 实例时的多个防火墙。使用哪个?
【发布时间】:2017-02-18 04:23:25
【问题描述】:
我创建了一个 Google Cloud Platform Ubuntu 16.04 实例。似乎 GCP 有几个可以过滤流量的地方:
- GCP 控制台的实例部分允许我允许或禁止
HTTP 和 HTTPS 流量。
- 在“网络”部分,我可以创建额外的防火墙规则来限制对网络的访问。
- 最后,在 Ubuntu 实例本身中,我可以配置 UFW 以阻止/允许某些端口。
我应该配置所有这些吗?只配置一个并允许其他所有内容会更好吗?
请注意,此实例将为网站提供服务,因此我只允许 HTTP/HTTPS 流量。
【问题讨论】:
标签:
google-cloud-platform
【解决方案1】:
完整的答案是,这取决于。
对于第一个,唯一发生的事情是 default-allow-http rule 被应用于该实例。
网络部分是您定义自己的规则的地方,这些规则将应用于实例。如果您开始拥有多个实例和负载平衡器,那么在 Google Cloud 中维护所有网络配置会变得更加容易。您可以共享将单个规则应用到某些机器,并且可以组合它们。
最后,我只会将 ufw/iptables 用作最后的配置。例如,我在负载均衡器后面有一些机器,其中一台正在做一些奇怪的事情。我会 ssh 进入它并阻止端口 80 并调查它。