Configurare la sicurezza per i collegamenti di rete
Questa pagina descrive in che modo gli amministratori di rete consumer possono gestire la sicurezza in Reti VPC che utilizzano collegamenti di rete.
Le interfacce di Private Service Connect sono create e gestite da un producer, ma si trovano in un VPC consumer in ogni rete. Per la sicurezza lato consumer, consigliamo regole firewall basate su intervalli di indirizzi IP dalla rete VPC consumer. Questo approccio consente al consumatore di controllare il traffico proveniente da interfacce Private Service Connect senza facendo affidamento sui tag di rete del producer.
L'utilizzo dei tag di rete con regole firewall è supportato, ma sconsigliato, perché il consumatore non ha il controllo di questi tag.
Limita il traffico in entrata dal produttore al consumatore
Considera la configurazione di esempio nella figura 1, in cui il consumatore vuole
per concedere al producer l'accesso a producer-ingress-subnet e bloccare
di accedere a restricted-subnet.
Figura 1. Le regole firewall aiutano ad assicurare
che il traffico proveniente da
la subnet del producer può raggiungere solo le VM nella zona attachment-subnet
e producer-ingress-subnet subnet.
Le seguenti regole firewall consentono il traffico in entrata limitato da producer a consumer:
Una regola a bassa priorità nega tutto il traffico in uscita dall'intervallo di indirizzi IP alla subnet del collegamento di rete,
attachment-subnet.gcloud compute firewall-rules create deny-all-egress \ --network=consumer-vpc \ --action=DENY \ --rules=ALL \ --direction=EGRESS \ --priority=65534 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="0.0.0.0/0"Una regola di priorità più elevata consente il traffico in uscita dall'intervallo di indirizzi IP
attachment-subnetverso le destinazioni nell'intervallo di indirizzi diproducer-ingress-subnet.gcloud compute firewall-rules create allow-limited-egress \ --network=consumer-vpc \ --action=ALLOW \ --rules=ALL \ --direction=EGRESS \ --priority=1000 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="10.10.2.0/24"Una regola Consenti entrata sostituisce la regola implicita di negazione in entrata per traffico proveniente da
attachment-subnet.gcloud compute firewall-rules create allow-ingress \ --network=consumer-vpc \ --action=ALLOW \ --rules=ALL \ --direction=INGRESS \ --priority=1000 \ --source-ranges="10.0.1.48/28"
Consenti traffico in uscita da consumer a producer
Se vuoi consentire a una rete consumer di avviare il traffico verso una rete producer, puoi utilizzare le regole firewall in entrata.
Consideriamo la configurazione di esempio nella figura 2, in cui il consumatore vuole lasciare
subnet-1 accede alla rete del producer tramite
Connessione Private Service Connect.
Figura 2. Una regola firewall in entrata consente
subnet-1 accede alla rete del producer tramite
una connessione Private Service Connect
subnet-2 è bloccato dalla regola implicita di negazione del traffico in entrata (fai clic per
ingrandire).
La seguente regola firewall garantisce che solo subnet-1
possono accedere alla rete del producer
Connessione Private Service Connect:
gcloud compute firewall-rules create vm-subnet-allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="10.10.2.0/24" \
--destination-ranges="10.0.1.48/28"
Configura la sicurezza da producer a producer
Puoi utilizzare le regole firewall VPC per la sicurezza in scenari in cui un'applicazione producer deve accedere a un'altra applicazione producer.
Considera uno scenario in cui un consumatore utilizza due diversi modelli e servizi ospitati in diverse reti VPC. Un servizio è un database e l'altro servizio fornisce analisi. Il servizio di analisi deve connettersi al servizio di database per analizzarne i dati. Un approccio è i servizi per creare una connessione diretta. Tuttavia, se i due servizi di terze parti sono direttamente collegati, il consumatore perde il controllo e la visibilità sui propri dati.
Un approccio più sicuro consiste nell'utilizzare Private Service Connect interfacce, endpoint Private Service Connect, e le regole firewall VPC, come mostrato figura 3.
Figura 3. Il traffico proveniente dall'applicazione di analisi associato per l'applicazione di database passa attraverso il consumer rete VPC. Le regole firewall VPC limitano il traffico in uscita il traffico in base all'intervallo di indirizzi IP di origine (fai clic per ingrandire).
In questo approccio, la rete consumer si connette all'applicazione di database
attraverso un endpoint in una subnet e si connette all'applicazione di analisi
tramite un collegamento di rete in una subnet diversa. Traffico proveniente da Analytics
applicazione può raggiungere l'applicazione di database passando
l'interfaccia di Private Service Connect e il collegamento di rete,
in transito nella rete del consumatore e in uscita attraverso l'endpoint in endpoint-subnet.
Nella rete VPC consumer, è presente una regola firewall VPC
nega tutto il traffico in uscita da attachment-subnet. Un'altra regola firewall che
ha una priorità più alta consente il traffico in uscita da attachment-subnet e consumer-private-subnet verso l'endpoint. Di conseguenza, il traffico proveniente
un'applicazione di analisi può raggiungere il VPC dell'applicazione di database
e questo traffico deve fluire attraverso l'endpoint nel consumer.
Le seguenti regole firewall creano la configurazione descritta nella Figura 4.
Una regola firewall blocca tutto il traffico in uscita da
attachment-subnet:gcloud compute firewall-rules create consumer-deny-all-egress \ --network=consumer-vpc \ --action=DENY \ --rules=all \ --direction=EGRESS \ --priority=65534 \ --source-ranges="10.0.1.48/28" \ --destination-ranges="0.0.0.0/0"Una regola firewall consente il traffico TCP in uscita sulla porta 80 da
attachment-subneteconsumer-private-subnetverso l'endpoint:gcloud compute firewall-rules create consumer-allow-80-egress \ --network=intf-consumer-vpc \ --allow=tcp:80 \ --direction=EGRESS \ --source-ranges="10.0.1.48/28,10.10.2.0/24" \ --destination-ranges="10.0.1.66/32" \ --priority=1000