ホスト ファイアウォールの設定

デフォルトでは、Container-Optimized OS のホスト ファイアウォールでは発信接続と、SSH サービスを通した受信接続のみが許可されます。Container-Optimized OS インスタンスで受信接続を受け入れるには、サービスがリスニングしているポートを開く必要があります。

たとえば、同じ Compute Engine プロジェクト内の他のインスタンスからの接続を受け入れるには、開発ワークステーションと Conatiner-Optimized OS インスタンスの両方で次のコマンドを実行します。

# On your workstation:
SUBNETWORK_URI=$(gcloud compute instances describe ${COS_INSTANCE_NAME} | grep -w 'subnetwork:' | awk '{ print $2 }')
SUBNET_PREFIX=$(gcloud compute networks subnets describe ${SUBNETWORK_URI} | grep -w 'ipCidrRange:' | awk '{ print $2 }')

# On your Container-Optimized OS instance:
sudo iptables -w -A INPUT -p tcp -s ${SUBNET_PREFIX} -j ACCEPT
sudo iptables -w -A INPUT -p udp -s ${SUBNET_PREFIX} -j ACCEPT

別の例として、任意のソース IP アドレスから HTTP(ポート 80)接続を受け入れる必要がある場合は、Container-Optimzied OS インスタンスで次のコマンドを実行します。

# On your Container-Optimized OS instance:
sudo iptables -w -A INPUT -p tcp --dport 80 -j ACCEPT

一般的にはホスト ファイアウォールを systemd サービスとして cloud-init で構成することをおすすめします。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...