23 防火墙规则和安全组

在上一篇中，我们讨论了如何设置 VPC 网络以保证你的 Google Cloud Platform (GCP) 环境的安全性和可扩展性。本篇将深入探讨 GCP 的防火墙规则和安全组，这些是保护你的 VPC 网络和实际资源的关键工具。

防火墙规则

在 GCP 中，防火墙规则用于控制进出 VPC 网络的流量。你可以利用防火墙规则设置允许或拒绝特定流量的信息。此外，GCP 的防火墙是状态感知的，这意味着只需要设置传入流量的规则，确保返回流量自动允许。

创建防火墙规则

创建防火墙规则的步骤如下：

1. 导航到防火墙规则页面：在 GCP 控制台中，前往“网络服务” > “VPC 网络” > “防火墙”。

2. 点击“创建防火墙规则”按钮。

3. 填写规则信息：

   • 名称：为你的规则命名，例如 allow-http。
   • 方向：选择“入站”或“出站”。
   • 目标：选择应用该规则的实例，如“所有实例”或特定标签的实例。
   • 来源 IP 范围：可以指定特定的 IP 范围，例如 0.0.0.0/0 允许所有流量。
   • 协议和端口：选择要允许的协议和端口，例如 tcp:80 允许 HTTP 流量。

4. 创建规则：完成后，点击“创建”按钮，规则即会生效。

案例：创建一个 HTTP 防火墙规则

假设我们要创建一个防火墙规则，允许来自所有 IP 地址的 HTTP 流量。代码可以通过 gcloud 命令行工具实现：

gcloud compute firewall-rules create allow-http \
    --direction=INGRESS \
    --priority=1000 \
    --network=my-vpc-network \
    --action=ALLOW \
    --rules=tcp:80 \
    --source-ranges=0.0.0.0/0 \
    --target-tags=http-server

防火墙规则的优先级

在 GCP 中，防火墙规则的优先级范围从 0 到 65535。优先级越低，规则的优先级越高。如果两个规则都适用于相同的流量，优先级较高的规则将被首先应用。务必设计匹配的规则时考虑优先级的问题。

安全组

在 GCP 中，“安全组”概念并不像 AWS 中那样有专门的定义。在 GCP 中，类似的功能是通过标签和防火墙规则组合实现的。你可以将标签分配给实例，然后创建防火墙规则，通过指定标签来控制流量。

使用标签创建安全组

1. 为实例添加标签：在创建或编辑实例时，你可以添加标签，例如 webserver。

2. 创建防火墙规则：使用这些标签作为规则的目标来允许或拒绝流量。

案例：创建一个安全组并对其应用防火墙规则

假设我们有一组 Web 服务器实例，标签为 webserver，我们需要允许 HTTPS 流量：

gcloud compute firewall-rules create allow-https \
    --direction=INGRESS \
    --priority=1000 \
    --network=my-vpc-network \
    --action=ALLOW \
    --rules=tcp:443 \
    --source-ranges=0.0.0.0/0 \
    --target-tags=webserver

通过上述分配和规则，可以确保给定标签的实例能够安全地接收 HTTPS 流量。

小结

在这一部分中，我们探讨了如何在 GCP 中设置防火墙规则和使用标签实现安全组的功能。确保理解防火墙规则的设置、优先级及其对网络安全的重要性，是确保云环境安全运行的关键。在下一篇中，我们将继续讨论 负载均衡与流量管理，进一步增强我们的 GCP 实例的可用性和性能。