Как открыть порты брандмауэра в экземпляре GCP Compute Engine
Если вы не можете получить доступ к службе, работающей на вашем виртуальном частном сервере, вероятно, это связано с тем, что брандмауэр перед ней блокирует нужные вам порты. Мы покажем вам, как работать и открывать порты в брандмауэре Google Cloud Platform.
Как работают брандмауэры GCP?
По сравнению с другими облачными провайдерами система брандмауэра GCP работает немного иначе. В обычном брандмауэре, таком как группы безопасности AWS, вы можете вручную редактировать и открывать порты для любого экземпляра, который использует эту группу безопасности. Если вы просто хотите открыть один порт, все, что вам нужно сделать, это отредактировать группу безопасности.
Для GCP брандмауэры управляются с помощью «Правил брандмауэра», которые представляют собой наборы разрешенных/запрещенных портов с другими настройками, такими как IP-фильтр источника. Правило брандмауэра можно применить к каждому экземпляру в учетной записи, но вы должны установить «целевой тег», такой как «ftp» или «https-сервер», который можно добавить к любому экземпляру вычислительной машины, чтобы открыть указанные порты.
В итоге вы получите систему, в которой вы можете управлять правилами брандмауэра в зависимости от необходимости приложения, что значительно упрощает понимание того, почему порты открыты. Конечно, если вы хотите просто создать правило брандмауэра с уникальным тегом для вашего экземпляра и напрямую управлять портами, вы также можете это сделать.
Открытие портов с помощью правил брандмауэра
В консоли Compute Engine нажмите «Просмотр сведений о сети» на экземпляре.
Нажмите «Правила брандмауэра» на боковой панели.
Создайте новое правило брандмауэра.
Дайте ему имя и выберите, хотите ли вы разрешить или запретить трафик. По умолчанию трафик неявно запрещен.
Для целевых тегов дайте правилу имя для его идентификации. Для исходного диапазона IP-адресов нет варианта «где угодно», поэтому вам нужно вручную ввести 0.0.0.0/0
— нотация CIDR для всех возможных IP-адресов.
В разделе «Протоколы и порты» вы можете открыть все (плохая идея) или выбрать протокол и номер порта. Вы можете ввести несколько номеров портов через запятую или указать другие протоколы, кроме tcp и udp.
Создайте правило и вернитесь в Compute Engine, чтобы применить его. Нажмите на экземпляр, чтобы просмотреть подробности, и нажмите «Редактировать», чтобы изменить сетевые теги.
В разделе «Сетевые теги» добавьте тег для только что добавленного правила.
После сохранения обновления брандмауэра должны отражаться автоматически.
Если ваше приложение по-прежнему недоступно на открытых вами портах, вы можете проверить или отключить любые брандмауэры на устройстве, такие как ufw
, чтобы убедиться, что они не конфликтуют с GCP.