【发布时间】:2019-12-02 16:46:17
【问题描述】:
如果我理解正确,那么 - 此配额表示您可以为项目中的所有 VPC 网络创建的防火墙规则的数量。 每个项目的最大防火墙规则数:500(默认) 您无法增加此配额。
但在这种情况下,我有以下问题: 我如何才能知道我的项目中已经使用了多少? 它取决于什么?这是怎么来的?
【问题讨论】:
-
配额是每个项目。
【发布时间】:2019-12-02 16:46:17
【问题描述】:
Firewall 是一个网络安全系统,它根据预定的安全规则监视和控制传入和传出的网络流量。这些规则被视为防火墙规则。在 GCP 中,防火墙规则允许您根据指定的配置允许或拒绝进出您的虚拟机 (VM) 实例的流量。更多关于firewall rules in GCP的信息。
强制执行默认 GCP 防火墙规则,保护您的实例,无论其配置和操作系统如何,即使它们尚未启动。您可以在 GCP 项目 > 网络 > VPC 网络 > 防火墙规则中查看默认规则。如果您仔细观察,您会发现这些规则将使您能够根据流量的协议、端口、来源和目的地来定位特定类型的流量。
您可以为您的项目检查防火墙规则quotas。 Google 已为防火墙规则等资源创建了项目级别配额,以便将所有客户配置保持在 GCP 内部限制范围内,但是,不要将其视为您可以在 VPC 网络中创建的防火墙规则的最大数量。每个 VPC 的防火墙规则没有硬性限制,但是基于 GCP 项目中的多个因素的软性限制,例如防火墙规则的复杂性(例如 - 使用源标签的入口规则比使用单个标签的入口规则更复杂)源 IP 范围)。
最好在创建与您的 GCP 项目不同的防火墙规则时考虑要求,而不是限制。
【讨论】:
防火墙规则是对您希望允许/拒绝的内容的描述。正如您所说,您可以定义多少不同的规则是有配额的。但是,该规则的“应用”没有配额。当向您的网络发出请求时,有效的规则集将与该请求相匹配。这是规则的“应用”。可以应用规则的次数没有限制或配额。您可以定义的规则数量的配额与运行时查询这些规则的频率之间没有关系。
尝试进一步澄清......
假设您有一个在 GCP 内运行的应用程序正在侦听端口 12345。默认情况下,进入您的 GCP VPC 网络的所有传入流量都被阻止。您可以创建一个规则来定义允许到端口 12345 的 TCP 流量。这将是单个规则的示例。
为了安全起见,您可能希望只允许来自特定 IP 范围的 SSH 流量进入您的计算引擎。您可以定义第二条规则,说明端口 222 上的 TCP 流量只允许来自指定的 IP 范围。这将是另一个单一规则的示例。
如果这些是您唯一的规则,那么您将总共定义两个规则。您可以为每个项目创建 500 个此类规则。这通常远远超出您的需要。
区分您创建的规则数量与尝试访问您的网络的次数。每次访问您的网络的尝试都将应用所有这些规则。应用规则的次数没有配额...仅适用于您定义的规则总数。
【讨论】:
-
你好...您能详细说明哪些部分不清楚,我会尝试改进吗?我理解您的问题是与防火墙规则有关的担忧。您的帖子让我认为您可能对防火墙规则的存在(有限数量)以及在运行时使用这些防火墙规则(无限)感到困惑。这是错的吗?
-
是的,你是对的。我是认真的。只是我不明白这个概念一般是什么意思——防火墙规则。这只是我的项目中我的 VPC 网络的防火墙规则,还是其他什么?我不太明白定义本身。
-
@KirillSereda - 观看此视频。如果一切都不清楚,您可以搜索更多视频,包括深潜视频。 Google 在 YouTube 上有出色的培训视频:youtube.com/watch?v=HTVV9YzGw5k
-
我用更多的词更新了答案,以防导致灯泡亮起。
-
@Kolban 非常感谢您的回答。现在我明白了。