Questa pagina fornisce indicazioni per configurare il firewall di Google Cloud e le regole del firewall della tua rete peer.
Quando configuri i tunnel Cloud VPN per la connessione alla tua rete peer, Esaminare e modificare le regole firewall in Google Cloud e nelle reti peer per assicurarti che soddisfino le tue esigenze. Se la tua rete peer è un'altra Rete Virtual Private Cloud (VPC), quindi configura il firewall di Google Cloud per entrambi i lati della connessione di rete.
Per ulteriori informazioni su Cloud VPN, consulta le risorse seguenti:
Per le best practice da considerare prima di configurare Cloud VPN, consulta Best practice.
Per ulteriori informazioni su Cloud VPN, consulta Panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, vedi Termini chiave.
Regole firewall di Google Cloud
Le regole firewall di Google Cloud si applicano ai pacchetti inviati a e da istanze di macchine virtuali (VM) all'interno della tua rete VPC e attraverso i tunnel Cloud VPN.
Le regole di autorizzazione in uscita implicita consente alle istanze VM e ad altre risorse nella tua rete Google Cloud di fare richieste in uscita e ricevere risposte consolidate. Tuttavia, blocchi di regole implicite di negazione in entrata di tutto il traffico in entrata alle tue risorse Google Cloud.
Come minimo, crea regole firewall per consentire il traffico in entrata da dalla tua rete peer a Google Cloud. Se hai creato regole di traffico in uscita negare determinati tipi di traffico, potrebbe essere necessario anche creare altri traffico in uscita le regole del caso.
Traffico contenente i protocolli UDP 500, UDP 4500 ed ESP (IPsec, protocollo IP 50) è sempre consentito a e da uno o più IP esterni su un gateway Cloud VPN. Tuttavia, il firewall di Google Cloud regole non si applicano pacchetti IPsec post-incapsulati inviate da un gateway Cloud VPN a un gateway VPN peer.
Per saperne di più sulle regole firewall di Google Cloud, consulta Panoramica delle regole firewall VPC.
Configurazioni di esempio
Per vari esempi di limitazione del traffico in entrata o in uscita, consulta le esempi di configurazione nella documentazione del VPC.
L'esempio seguente crea una regola firewall Ingress allow. Questa regola consente tutto il traffico TCP, UDP e ICMP dal CIDR della rete peer al tuo delle VM nella tua rete VPC.
Console
Nella console Google Cloud, vai alla pagina Tunnel VPN.
Fai clic sul tunnel VPN che vuoi utilizzare.
Nella sezione Gateway VPN, fai clic sul nome del VPC in ogni rete. Questa azione ti indirizza alla pagina Dettagli rete VPC, contiene il tunnel.
Fai clic sulla scheda Regole firewall.
Fai clic su Aggiungi regola firewall. Aggiungi una regola per TCP, UDP e ICMP:
- Nome: inserisci
allow-tcp-udp-icmp
. - Filtro di origine:seleziona Intervalli IPv4.
- Intervalli IP di origine: inserisci un valore per Intervallo IP rete remota da
al momento della creazione del tunnel. Se hai più di una rete peer
inserisci ogni valore. Premi il tasto Tab tra una voce e l'altra.
Per consentire il traffico da tutti gli indirizzi IPv4 di origine nella rete peer, specifica
0.0.0.0/0
. - Protocolli o porte specificati: seleziona
tcp
eudp
. - Altri protocolli: inserisci
icmp
. - Tag di destinazione: aggiungi qualsiasi tag o tag valido.
- Nome: inserisci
Fai clic su Crea.
Se devi consentire l'accesso agli indirizzi IPv6 sulla tua rete VPC dalla rete peer, aggiungi una regola firewall allow-ipv6-tcp-udp-icmpv6
.
- Fai clic su Aggiungi regola firewall. Aggiungi una regola per TCP, UDP e ICMPv6:
- Nome: inserisci
allow-ipv6-tcp-udp-icmpv6
. - Filtro di origine:seleziona Intervalli IPv6.
- Intervalli IP di origine: inserisci un valore per Intervallo IP rete remota da
al momento della creazione del tunnel. Se hai più di una rete peer
inserisci ogni valore. Premi il tasto Tab tra una voce e l'altra.
Per consentire il traffico da tutti gli indirizzi IPv6 di origine nella tua rete peer, specifica
::/0
. - Protocolli o porte specificati: seleziona
tcp
eudp
. - Altri protocolli: inserisci
58
. 58 è il numero di protocollo per ICMPv6. - Tag di destinazione: aggiungi qualsiasi tag o tag valido.
- Nome: inserisci
- Fai clic su Crea.
Crea altre regole firewall, se necessario.
In alternativa, puoi creare regole dalla console Google Cloud Firewall.
gcloud
Esegui questo comando:
gcloud compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \ --network NETWORK \ --allow tcp,udp,icmp \ --source-ranges IPV4_PEER_SOURCE_RANGE
Sostituisci IPV4_PEER_SOURCE_RANGE
con intervalli IPv4 di origine della tua rete peer.
Se hai più di un intervallo di rete peer, fornisci dati separati da virgole
nel campo degli intervalli di origine
(--source-ranges 192.168.1.0/24,192.168.2.0/24
).
Per consentire il traffico da tutti gli indirizzi IPv4 di origine nella rete peer, specifica 0.0.0.0/0
.
Regole firewall IPv6
Se devi consentire l'accesso agli indirizzi IPv6 sulla tua rete VPC dalla rete peer, aggiungi una regola firewall allow-ipv6-tcp-udp-icmpv6
.
gcloud compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \ --network NETWORK \ --allow tcp,udp,58 \ --source-ranges IPV6_PEER_SOURCE_RANGE
58 è il numero di protocollo per ICMPv6.
Sostituisci PEER_SOURCE_RANGE
con intervalli IPv6 di origine della tua rete peer.
Se hai più di un intervallo di rete peer, fornisci dati separati da virgole
nel campo degli intervalli di origine
(--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64
).
Per consentire il traffico da tutti gli indirizzi IPv6 di origine nella tua rete peer, specifica ::/0
.
Altre regole firewall
Crea altre regole firewall, se necessario.
Per ulteriori informazioni sul comando firewall-rules
, consulta le
gcloud
regole firewall
documentazione.
Regole firewall peer
Quando configuri le regole firewall peer, considera quanto segue:
- Configura le regole per consentire il traffico in entrata e in uscita da e verso gli intervalli IP utilizzati dalle subnet nella tua rete VPC.
- Puoi scegliere di autorizzare tutti i protocolli e le porte oppure puoi limitare il traffico solo all'insieme di protocolli e porte necessario a soddisfare le tue esigenze.
- Consenti il traffico ICMP se devi usare
ping
per poter comunicare tra sistemi e istanze o risorse peer in Google Cloud. - Se devi accedere agli indirizzi IPv6 sulla tua rete peer con
ping
, Consenti ICMPv6 (protocollo IP 58) nel firewall peer. - Entrambi i dispositivi di rete (appliance di sicurezza, dispositivi firewall switch, router e gateway) e il software in esecuzione sui sistemi (ad esempio, software firewall incluso con un sistema operativo) possano implementare le regole del firewall. Per consentire il traffico, configura tutte le regole firewall nel percorso verso della rete VPC in modo appropriato.
- Se il tunnel VPN utilizza il routing dinamico (BGP), assicurati di consentire BGP per gli indirizzi IP locali rispetto al collegamento. Per ulteriori dettagli, consulta la .
Considerazioni BGP per i gateway peer
Il routing dinamico (BGP) scambia le informazioni di routing utilizzando la porta TCP 179. Alcune VPN
e gateway Cloud VPN, inclusi quelli Cloud VPN, consentono automaticamente questo traffico
quando scegli il routing dinamico. Se il gateway VPN peer non lo fa,
configuralo per consentire il traffico in entrata e in uscita sulla porta TCP 179. Tutte le BGP
Gli indirizzi IP utilizzano il blocco CIDR 169.254.0.0/16
locale rispetto al link.
Se il gateway VPN peer non è connesso direttamente a internet, assicurati e assicurati che il router peer, le regole del firewall e le appliance di sicurezza configurato per passare almeno il traffico BGP (porta TCP 179) e il traffico ICMP al tuo un gateway VPN ad alta disponibilità. Il protocollo ICMP non è richiesto, ma è utile testare la connettività tra da un router Cloud e da un gateway VPN. L'intervallo di indirizzi IP a cui la regola firewall peer deve essere applicata e deve includere gli indirizzi IP BGP router Cloud e il tuo gateway.
Passaggi successivi
- Per assicurarti che i componenti comunichino correttamente con Cloud VPN, consulta la sezione Controllare lo stato della VPN.
- Per usare scenari con disponibilità elevata e velocità effettiva elevata, oppure più gli scenari di subnet, vedi Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo Cloud VPN, consulta la sezione Risoluzione dei problemi.