Questa pagina fornisce indicazioni per configurare il firewall di Google Cloud e le regole del firewall della tua rete peer.
Quando configuri i tunnel Cloud VPN per connetterti alla rete peer, esamina e modifica le regole del firewall nelle reti Google Cloud e peer per assicurarti che soddisfino le tue esigenze. Se la rete peer è un'altra rete VPC (Virtual Private Cloud), configura le regole del firewall Google Cloud per entrambi i lati della connessione di rete.
Per ulteriori informazioni su Cloud VPN, consulta le risorse seguenti:
Per le best practice da considerare prima di configurare Cloud VPN, consulta Best practice.
Per ulteriori informazioni su Cloud VPN, consulta Panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave.
Regole firewall di Google Cloud
Le regole firewall di Google Cloud si applicano ai pacchetti inviati a e da istanze di macchine virtuali (VM) all'interno della tua rete VPC e attraverso i tunnel Cloud VPN.
Le regole permettono l'uscita implicita consentono alle istanze VM e ad altre risorse nella tua rete Google Cloud di effettuare richieste in uscita e ricevere risposte stabilite. Tuttavia, blocchi di regole implicite di negazione in entrata di tutto il traffico in entrata alle tue risorse Google Cloud.
Come minimo, crea regole firewall per consentire il traffico in entrata dalla tua rete peer a Google Cloud. Se hai creato regole di traffico in uscita negare determinati tipi di traffico, potrebbe essere necessario anche creare altri traffico in uscita le regole del caso.
Traffico contenente i protocolli UDP 500, UDP 4500 ed ESP (IPsec, protocollo IP 50) è sempre consentito a e da uno o più IP esterni su un gateway Cloud VPN. Tuttavia, le regole del firewall di Google Cloud non si applicano ai pacchetti IPsec post-incapsulati inviati da un gateway VPN Cloud a un gateway VPN peer.
Per saperne di più sulle regole firewall di Google Cloud, consulta Panoramica delle regole firewall VPC.
Configurazioni di esempio
Per diversi esempi di limitazione del traffico in entrata o in uscita, consulta gli esempi di configurazione nella documentazione VPC.
L'esempio seguente crea una regola firewall consenti in entrata. Questa regola consente tutto il traffico TCP, UDP e ICMP dal CIDR della rete peer alle VM nella rete VPC.
Console
Nella console Google Cloud, vai alla pagina Tunnel VPN.
Fai clic sul tunnel VPN che vuoi utilizzare.
Nella sezione Gateway VPN, fai clic sul nome della rete VPC. Questa azione ti indirizza alla pagina Dettagli rete VPC, contiene il tunnel.
Fai clic sulla scheda Regole firewall.
Fai clic su Aggiungi regola firewall. Aggiungi una regola per TCP, UDP e ICMP:
- Nome: inserisci
allow-tcp-udp-icmp
. - Filtro di origine:seleziona Intervalli IPv4.
- Intervalli IP di origine: inserisci un valore Intervallo IP rete remota corrispondente a quello utilizzato quando hai creato il tunnel. Se hai più di un intervallo di reti di peer, inseriscili tutti. Premi il tasto Tab tra una voce e l'altra.
Per consentire il traffico da tutti gli indirizzi IPv4 di origine nella rete peer, specifica
0.0.0.0/0
. - Protocolli o porte specificati: seleziona
tcp
eudp
. - Altri protocolli: inserisci
icmp
. - Tag target: aggiungi uno o più tag validi.
- Nome: inserisci
Fai clic su Crea.
Se devi consentire l'accesso agli indirizzi IPv6 sulla tua rete VPC dalla rete peer, aggiungi una regola firewall allow-ipv6-tcp-udp-icmpv6
.
- Fai clic su Aggiungi regola firewall. Aggiungi una regola per TCP, UDP e ICMPv6:
- Nome: inserisci
allow-ipv6-tcp-udp-icmpv6
. - Filtro di origine:seleziona Intervalli IPv6.
- Intervalli IP di origine: inserisci un valore per Intervallo IP rete remota da
al momento della creazione del tunnel. Se hai più di un intervallo di reti di peer, inseriscili tutti. Premi il tasto Tab tra una voce e l'altra.
Per consentire il traffico da tutti gli indirizzi IPv6 di origine nella tua rete peer, specifica
::/0
. - Protocolli o porte specificati: seleziona
tcp
eudp
. - Altri protocolli: inserisci
58
. 58 è il numero di protocollo per ICMPv6. - Tag di destinazione: aggiungi qualsiasi tag o tag valido.
- Nome: inserisci
- Fai clic su Crea.
Crea altre regole firewall, se necessario.
In alternativa, puoi creare regole dalla console Google Cloud Firewall.
gcloud
Esegui questo comando:
gcloud compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \ --network NETWORK \ --allow tcp,udp,icmp \ --source-ranges IPV4_PEER_SOURCE_RANGE
Sostituisci IPV4_PEER_SOURCE_RANGE
con gli intervalli IPv4 di origine della tua rete peer.
Se hai più di un intervallo di rete peer, fornisci un elenco separato da virgole nel campo intervalli-sorgente (--source-ranges 192.168.1.0/24,192.168.2.0/24
).
Per consentire il traffico da tutti gli indirizzi IPv4 di origine nella rete peer, specifica 0.0.0.0/0
.
Regole firewall IPv6
Se devi consentire l'accesso agli indirizzi IPv6 sulla tua rete VPC dalla rete peer, aggiungi una regola firewall allow-ipv6-tcp-udp-icmpv6
.
gcloud compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \ --network NETWORK \ --allow tcp,udp,58 \ --source-ranges IPV6_PEER_SOURCE_RANGE
58 è il numero di protocollo per ICMPv6.
Sostituisci PEER_SOURCE_RANGE
con gli intervalli IPv6 di origine della tua rete peer.
Se hai più di un intervallo di rete peer, fornisci dati separati da virgole
nel campo degli intervalli di origine
(--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64
).
Per consentire il traffico da tutti gli indirizzi IPv6 di origine nella rete peer, specifica ::/0
.
Altre regole firewall
Crea altre regole firewall, se necessario.
Per ulteriori informazioni sul comando firewall-rules
, consulta le
gcloud
regole firewall
documentazione.
Regole firewall dei peer
Quando configuri le regole firewall peer, considera quanto segue:
- Configura le regole per consentire il traffico in entrata e in uscita da e verso gli intervalli IP utilizzati dalle subnet nella tua rete VPC.
- Puoi scegliere di autorizzare tutti i protocolli e le porte oppure puoi limitare il traffico solo all'insieme di protocolli e porte necessario a soddisfare le tue esigenze.
- Consenti il traffico ICMP se devi utilizzare
ping
per poter comunicare tra sistemi peer e istanze o risorse in Google Cloud. - Se devi accedere agli indirizzi IPv6 sulla rete peer con
ping
, consenti ICMPv6 (protocollo IP 58) nel firewall peer. - Sia i dispositivi di rete (appliance di sicurezza, dispositivi firewall, switch, router e gateway) sia il software in esecuzione sui sistemi (ad esempio il software firewall incluso in un sistema operativo) possono implementare regole del firewall on-premise. Per consentire il traffico, configura tutte le regole firewall nel percorso verso della rete VPC in modo appropriato.
- Se il tunnel VPN utilizza il routing dinamico (BGP), assicurati di consentire il traffico BGP per gli indirizzi IP locali rispetto al collegamento. Per ulteriori dettagli, consulta la .
Considerazioni BGP per i gateway peer
Il routing dinamico (BGP) scambia le informazioni sulle route utilizzando la porta TCP 179. Alcuni gateway VPN, inclusi i gateway Cloud VPN, consentono automaticamente questo traffico quando scegli il routing dinamico. Se il gateway VPN peer non lo fa,
configuralo per consentire il traffico in entrata e in uscita sulla porta TCP 179. Tutte le BGP
Gli indirizzi IP utilizzano il blocco CIDR 169.254.0.0/16
locale rispetto al link.
Se il gateway VPN peer non è connesso direttamente a internet, assicurati che il gateway e i router peer, le regole firewall e le appliance di sicurezza siano configurati per almeno inoltrare il traffico BGP (porta TCP 179) e ICMP al gateway VPN. ICMP non è obbligatorio, ma è utile per testare la connettività tra un router Cloud e il gateway VPN. L'intervallo di indirizzi IP a cui deve essere applicata la regola firewall peer deve includere gli indirizzi IP BGP del router Cloud e del gateway.
Passaggi successivi
- Per assicurarti che i componenti comunichino correttamente con Cloud VPN, consulta Verificare lo stato della VPN.
- Per utilizzare scenari di alta disponibilità e ad alto throughput o scenari con più reti private virtuali, consulta Configurazioni avanzate.
- Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo Cloud VPN, consulta la sezione Risoluzione dei problemi.