GCP防火墙具有默认的隐含规则,可阻止所有入口并允许所有出口。那是VPN外部的外部流量。
但是默认情况下,这是否会阻止单个VPN中的子网之间的流量?
GCP防火墙具有默认的隐含规则,可阻止所有入口并允许所有出口。那是VPN外部的外部流量。
但是默认情况下,这是否会阻止单个VPN中的子网之间的流量?
通常是,默认情况下,给定VPC网络上子网之间的流量是不允许的(在default
网络上,它是随项目自动创建的)。
请注意,这实际上阻止了所有实例之间的流量,而不仅仅是子网之间的流量。因此,重点实际上是在实例上,而不是在子网上,但是结果是默认情况下,不同子网(default
网络上的实例)将无法通信。
请记住,VPC防火墙规则是enforced at the instance level,即使它的配置是在网络级别。
虽然该规则是在实例级别执行的,但其配置与VPC网络相关。
您注意到,只有两个implied rules:
在default
网络上也只有default rules。
default-allow-internal
)-此规则允许实例之间的流量(不考虑子网)因此,在非default
网络上,您需要创建与default-allow-internal
规则等效的规则(允许从网络上所有IP到网络上任何实例的所有协议)。