谷歌云防火墙是不是默认阻止子网间流量？

Posted 2023-02-22

【中文标题】谷歌云防火墙是不是默认阻止子网间流量？

【英文标题】：Does Google Cloud Firewall block inter-subnet traffic by default?谷歌云防火墙是否默认阻止子网间流量？

【发布时间】：2020-03-16 07:21:42

【问题描述】：

GCP 防火墙具有默认的隐含规则来阻止所有入口并允许所有出口。这适用于 *** 之外的外部流量。

但这是否会在默认情况下阻止单个 *** 中子网之间的流量？

【参考方案1】：

大多数情况下是的，默认情况下，给定 VPC 网络上的子网之间的流量是不允许的（除了在您的项目中自动创建的 default 网络上）。

请注意，这实际上会阻止 所有 实例之间的流量，而不仅仅是子网之间的流量。因此，重点实际上是实例，而不是子网——但默认情况下，不同子网上的实例（default 网络除外）上的实例将无法通信。

请记住，VPC 防火墙规则是 enforced at the instance level，即使它的配置是在网络级别。

虽然规则在实例级别强制执行，但其配置与 VPC 网络相关联。

如您所见，implied rules 只有两个：

允许所有出口（到任何其他地址，包括内部） 拒绝所有入口（来自任何其他地址，包括内部）

只有default 网络上还有default rules。

允许内部流量 (default-allow-internal) -- 此规则允许实例之间的流量（无论子网如何） 允许来自任何来源的 ssh 入口 允许任何来源的 rdp 入口 允许任何来源的 icmp 进入

因此，在非default 网络上，您需要创建与default-allow-internal 规则等效的规则（允许来自网络上所有 IP 的所有协议到网络上的任何实例）。

【讨论】：

谢谢。因此，如果我离开开箱即用的设置，default-allow-internal 是否允许子网之间的流量，或者仅允许同一子网中的实例之间的流量？根据您的回答，后者。

它应该允许 VPC 网络上所有实例之间的流量，无论子网如何

好的。所以一个关键点（这对我有帮助，您可能想添加到答案中）是开箱即用，所有实例甚至可以跨子网进行通信）。

在我之前回复时添加，“无论子网如何” :) 很高兴审查编辑，如果有什么能让它更清楚的话。这仅在实例可以默认通信的default 网络上是正确的——在其他 VPC 网络上，它们不能，您必须添加规则。

谢谢你，这很有帮助