Utilizzo delle regole firewall
In questa pagina vengono descritti i comandi per l'utilizzo delle regole firewall e vengono forniti alcuni esempi di utilizzo.
Prima di iniziare
Fai riferimento alla Panoramica delle regole firewall per scoprire di più sulle regole firewall, ad esempio regole implicite e regole generate dal sistema per le reti predefinite.
Prima di configurare le regole firewall, esamina i componenti delle regole firewall per acquisire familiarità con i componenti firewall utilizzati in Google Cloud.
Creazione di regole firewall
Le regole di firewall si definiscono a livello di rete e si applicano solo alla rete in cui sono create; tuttavia, il nome scelto per ciascuna di esse deve essere univoco per il progetto.
Una regola firewall può contenere intervalli IPv4 o IPv6, ma non entrambi.
Quando crei una regola firewall, puoi scegliere di abilitarne il logging. Se abiliti il logging, puoi omettere i campi dei metadati per risparmiare sui costi di archiviazione. Per ulteriori informazioni, consulta la sezione Utilizzare il logging delle regole firewall.
Se vuoi specificare più account di servizio per il campo dell'account di servizio di destinazione o di origine, utilizza l'interfaccia a riga di comando di Google Cloud, l'API o le librerie client.
La rete predefinita fornisce le regole firewall automatiche al momento della creazione. Le reti personalizzate e in modalità automatica consentono di creare facilmente firewall simili durante la creazione della rete se utilizzi la console. Se utilizzi l'interfaccia a riga di comando gcloud o l'API e vuoi creare regole firewall simili a quelle fornite dalla rete predefinita, consulta la sezione Configurare regole firewall per casi d'uso comuni.
console
- Vai alla pagina Firewall in Google Cloud Console.
Vai alla pagina Firewall - Fai clic su Crea regola firewall.
- Inserisci un Nome per la regola firewall.
Questo nome deve essere univoco per il progetto. - (Facoltativo) Puoi attivare il log delle regole firewall:
- Fai clic su Logs > On.
- Per omettere i metadati, espandi Dettagli log, quindi cancella Includi metadati.
- Specifica la rete per la regola firewall.
- Specifica la priorità della regola.
Più basso è il numero, maggiore è la priorità. - Per Direzione del traffico, scegli traffico in entrata o in uscita.
- Per l'opzione Azione in caso di corrispondenza, scegli Consenti o Rifiuta.
- Specifica i target della regola.
- Se vuoi che la regola venga applicata a tutte le istanze della rete, scegli
All instances in the network
. - Se vuoi che la regola venga applicata a istanze selezionate per tag di rete (target), scegli
Specified target tags
, quindi digita i tag a cui applicarla nel campo Tag di destinazione. - Se vuoi che la regola si applichi alle istanze selezionate per l'account di servizio associato, scegli
Specified service account
, indica se l'account di servizio è nel progetto corrente o in un altro sotto Ambito dell'account di servizio e scegli o digita il nome dell'account di servizio nel campo Account di servizio di destinazione.
- Se vuoi che la regola venga applicata a tutte le istanze della rete, scegli
- Per una regola in entrata, specifica il filtro Sorgente:
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona
IPv4 ranges
e inserisci i blocchi CIDR nel campo Intervalli IPv4 di origine. Utilizza0.0.0.0/0
per qualsiasi origine IPv4. - Per filtrare il traffico in entrata in base agli intervalli IPv6 di origine, seleziona
IPv6 ranges
e inserisci i blocchi CIDR nel campo Intervalli IPv6 di origine. Utilizza::/0
per qualsiasi origine IPv6. - Per filtrare il traffico in entrata in base al tag di rete, scegli
Source tags
, quindi digita i tag di rete nel campo Tag di origine. Per informazioni sul limite del numero di tag di origine, consulta la sezione Limiti per rete. Il filtro per tag di origine è disponibile solo se il target non è specificato dall'account di servizio. Per ulteriori informazioni, consulta la pagina Filtrare per account di servizio e tag di rete. - Per filtrare il traffico in entrata per account di servizio, scegli
Service account
, indica se l'account di servizio si trova nel progetto corrente o in un altro nella sezione Ambito dell'account di servizio e scegli o digita il nome dell'account di servizio nel campo Account di servizio di origine. Il filtro per account di servizio di origine è disponibile solo se il target non è specificato dal tag di rete. Per ulteriori informazioni, consulta la pagina Filtro per account di servizio rispetto al tag di rete. - Se vuoi, specifica un Secondo filtro di origine. I filtri di origine secondari non possono utilizzare gli stessi criteri di filtro di quello principale. Gli intervalli IP di origine possono essere utilizzati insieme ai tag di origine o all'account di servizio di origine. Il set di origini effettive è l'unione degli indirizzi IP dell'intervallo di origine e delle istanze identificate da tag di rete o account di servizio. Ciò significa che, se l'intervallo IP di origine o i tag di origine (o gli account di servizio di origine) corrispondono ai criteri del filtro, l'origine è inclusa nel set di origini efficace.
- I tag di origine e l'account di servizio di origine non possono essere utilizzati insieme.
- Per filtrare il traffico in entrata in base agli intervalli IPv4 di origine, seleziona
- Per una regola in uscita, specifica il filtro Destinazione:
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona
IPv4 ranges
e inserisci i blocchi CIDR nel campo Intervalli IPv4 di destinazione. Utilizza0.0.0.0/0
per qualsiasi destinazione IPv4. - Per filtrare il traffico in uscita in base agli intervalli IPv6 di destinazione, seleziona
IPv6 ranges
e inserisci i blocchi CIDR nel campo Intervalli IPv6 di destinazione. Utilizza::/0
per qualsiasi destinazione IPv6.
- Per filtrare il traffico in uscita in base agli intervalli IPv4 di destinazione, seleziona
Definisci i protocolli e le porte a cui si applica la regola:
Seleziona
Allow all
oDeny all
, a seconda dell'azione, per applicare la regola a tutti i protocolli e alle porte di destinazione.Definisci protocolli e porte di destinazione specifici:
- Seleziona tcp per includere il protocollo TCP e le porte di destinazione. Inserisci
all
o un elenco di porte di destinazione delimitati da virgole, come20-22, 80, 8080
. - Seleziona udp per includere il protocollo UDP e le porte di destinazione. Inserisci
all
o un elenco di porte di destinazione delimitati da virgole, come67-69, 123
. - Seleziona Altri protocolli per includere protocolli come
icmp
,sctp
o un numero di protocollo. Utilizza il protocollo58
per ICMPv6. Consulta i protocolli e le porte di destinazione per ulteriori informazioni.
- Seleziona tcp per includere il protocollo TCP e le porte di destinazione. Inserisci
(Facoltativo) Puoi creare la regola firewall ma non applicarla impostando il relativo stato su disattivato. Fai clic su Disattiva regola, quindi seleziona Disattivata.
Fai clic su Crea.
gcloud
Il comando gcloud
per la creazione di regole firewall è il seguente:
gcloud compute firewall-rules create NAME \ [--network NETWORK; default="default"] \ [--priority PRIORITY;default=1000] \ [--direction (ingress|egress|in|out); default="ingress"] \ [--action (deny | allow )] \ [--target-tags TAG[,TAG,...]] \ [--target-service-accounts=IAM_SERVICE_ACCOUNT[,IAM_SERVICE_ACCOUNT,...]] \ [--source-ranges CIDR_RANGE[,CIDR_RANGE,...]] \ [--source-tags TAG,TAG,] \ [--source-service-accounts=IAM_SERVICE_ACCOUNT[,IAM_SERVICE_ACCOUNT,...]] \ [--destination-ranges CIDR_RANGE[,CIDR_RANGE,...]] \ [--rules (PROTOCOL[:PORT[-PORT]],[PROTOCOL[:PORT[-PORT]],...]] | all ) \ [--disabled | --no-disabled] \ [--enable-logging | --no-enable-logging] \ [--logging-metadata LOGGING_METADATA]
Utilizza i parametri come riportato di seguito. Maggiori dettagli su ciascuno sono disponibili nella documentazione di riferimento sull'SDK.
--network
: la rete per la regola. Se omessa, la regola viene creata nella retedefault
. Se non hai una rete predefinita o se vuoi creare la regola in una rete specifica, devi utilizzare questo campo.--priority
Un valore numerico che indica la priorità per la regola. Più basso è il numero, maggiore è la priorità.--direction
La direzione del traffico:ingress
oegress
.--action
L'azione sulla corrispondenza,allow
odeny
. Deve essere utilizzato con il flag--rules
.- Specifica un target in uno dei tre seguenti modi:
- Per una regola in entrata, specifica un'origine:
--source-ranges
Utilizza questo flag per specificare intervalli di origini IPv4 o IPv6 di origine in formato CIDR.- Se
--source-ranges
,source-tags
e--source-service-accounts
sono omessi, l'origine in entrata è un indirizzo IPv4,0.0.0.0/0
. --source-tags
Utilizza questo flag per specificare istanze di origine in base ai tag di rete. Il filtro per tag di origine è disponibile solo se il target non è specificato dall'account di servizio. Per ulteriori informazioni, consulta la pagina Filtrare per account di servizio e tag di rete.--source-ranges
e--source-tags
possono essere utilizzati insieme. Se entrambi sono specificati, l'insieme di origini effettive è l'unione degli indirizzi IP degli intervalli di origine e le istanze identificate dai tag di rete, anche se le istanze dei tag non hanno indirizzi IP compresi negli intervalli di origine.--source-service-accounts
Utilizza questo flag per specificare le istanze in base agli account di servizio che utilizzano. Il filtro per account di servizio di origine è disponibile solo se il target non è specificato dal tag di rete. Per ulteriori informazioni, consulta la sezione Filtrare per account di servizio e tag di rete.--source-ranges
e--source-service-accounts
possono essere utilizzati insieme. Se entrambi sono specificati, l'insieme di origini effettive è l'unione degli indirizzi IP degli intervalli di origine e le istanze identificate dagli account di servizio di origine, anche se le istanze identificate dagli account di servizio di origine non hanno indirizzi IP compresi negli intervalli di origine.
- Per una regola in uscita, specifica una destinazione:
--destination-ranges
Utilizza questo flag per specificare intervalli di indirizzi di destinazione IPv4 o IPv6 di destinazione in formato CIDR.- Se
--destination-ranges
viene omesso, la destinazione in uscita è qualsiasi indirizzo IPv4,0.0.0.0/0
.
--rules
Un elenco di protocolli e porte di destinazione a cui si applica la regola. Utilizzaall
per rendere la regola applicabile a tutti i protocolli e a tutte le porte di destinazione. Richiede il flag--action
.- Per impostazione predefinita, le regole firewall vengono create e applicate automaticamente, ma puoi modificare questo comportamento.
- Se
--disabled
e--no-disabled
vengono omessi, la regola firewall viene creata e applicata. --disabled
Aggiungi questo flag per creare la regola firewall ma non applicarla. La regola firewall rimane disattivata fino a quando non la aggiorna per abilitarla.--no-disabled
Aggiungi questo flag per assicurarti che la regola firewall sia applicata.
- Se
--enable-logging | --no-enable-logging
Puoi attivare la registrazione di una regola firewall durante la creazione o l'aggiornamento di una regola. Il logging delle regole firewall consente di controllare, verificare e analizzare gli effetti delle regole firewall. Per maggiori dettagli, vedi Log delle regole firewall.--logging-metadata
Se abiliti il logging, per impostazione predefinita, il logging delle regole firewall include campi di base e di metadati. Puoi omettere i campi dei metadati per risparmiare sui costi di archiviazione. Per ulteriori informazioni, consulta Utilizzo del logging delle regole firewall.
API
Crea una regola firewall.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls { "name": "FIREWALL_NAME", "network": "projects/PROJECT-ID/global/networks/NETWORK", ... other fields }
Sostituisci i segnaposto con valori validi:
PROJECT_ID
è l'ID del progetto in cui si trova la rete VPC.NETWORK
è il nome della rete VPC in cui viene creata la regola firewall.FIREWALL_NAME
un nome per la regola firewall.Per una regola firewall in entrata, utilizza i campi seguenti per specificare la sorgente in entrata:
sourceRanges
,sourceTags
osourceServiceAccounts
.sourceRanges
può essere un intervallo IPv4 o IPv6, ma non una combinazione di entrambi. Non specificare alcun campo per utilizzare l'intervallo0.0.0.0/0
. Non puoi utilizzare insieme i campisourceTags
esourceServiceAccounts
. Tuttavia, puoi utilizzaresourceRanges
consourceTags
osourceServiceAccounts
. Se lo fai, la connessione deve corrispondere a una delle due; in questo caso, verrà applicata la regola firewall.Per i campi target, se utilizzi il campo
sourceTags
, non puoi utilizzare il campotargetServiceAccounts
. Devi utilizzare il campotargetTags
o nessun campo target. Allo stesso modo, se utilizzi il camposourceServiceAccounts
, non puoi utilizzare il campotargetTags
. Se non specifichi un campo target, la regola viene applicata a tutti i target nella rete.Per una regola firewall in uscita, utilizza il campo
destinationRanges
per specificare la destinazione.destinationRanges
può essere un intervallo IPv4 o IPv6, ma non una combinazione di entrambi. Se non specifichi una destinazione, Google Cloud utilizza0.0.0.0/0
. Utilizza il campotargetTags
otargetServiceAccounts
per specificare a quale target applicare la regola. Se non specifichi un campo target, la regola viene applicata a tutti i target nella rete.
Per ulteriori informazioni e descrizioni per ogni campo, consulta il metodo firewalls.insert
.
C#
Go
Java
Node.js
PHP
Python
Ruby
Terraform
Puoi utilizzare una risorsa Terraform per creare una regola firewall.
Aggiornamento delle regole firewall
Puoi modificare alcuni componenti di una regola firewall, ad esempio i protocolli e le porte di destinazione specificati per la condizione di corrispondenza. Non puoi modificare il nome della regola firewall, la rete, l'azione sulla corrispondenza e la direzione del traffico.
Se devi modificare il nome, la rete o il componente Azione o Direzione, devi eliminare la regola e crearne una nuova.
Se vuoi aggiungere o rimuovere più account di servizio, utilizza l'interfaccia a riga di comando di Google Cloud, l'API o le librerie client. Non puoi utilizzare la console per specificare più account di servizio di destinazione o account di servizio di origine.
console
- Vai alla pagina Firewall in Google Cloud Console.
Vai alla pagina Firewall - Fai clic sulla regola firewall da modificare.
- Fai clic su Modifica.
Modifica i componenti modificabili per soddisfare le tue esigenze.
Nel campo Protocolli e porte specificati, utilizza un elenco delimitato da punto e virgola per specificare più protocolli e combinazioni di porta protocollo e destinazione. Per specificare ICMP IPv4, utilizza
icmp
o il numero di protocollo1
. Per specificare la ICMP IPv6, utilizza il numero di protocollo58
. Consulta protocolli e porte di destinazione per ulteriori informazioni.Fai clic su Salva.
gcloud
Il comando gcloud
per aggiornare le regole firewall è il seguente:
gcloud compute firewall-rules update NAME \ [--priority=PRIORITY] \ [--description=DESCRIPTION] \ [--target-tags=TAG,...] \ [--target-service-accounts=IAM_SERVICE_ACCOUNT,_] \ [--source-ranges=CIDR_RANGE,...] \ [--source-tags=TAG,...] \ [--source-service-accounts=IAM_SERVICE_ACCOUNT,_] \ [--destination-ranges=CIDR_RANGE,...] \ [--rules=[PROTOCOL[:PORT[-PORT]],…]] \ [--disabled | --no-disabled] \ [--enable-logging | --no-enable-logging]
Le descrizioni di ogni flag sono le stesse della creazione di regole firewall e ulteriori dettagli su ognuna sono disponibili nella documentazione di riferimento dell'SDK.
API
Utilizza PATCH per aggiornare i seguenti campi: allowed
, description
,
sourceRanges
, sourceTags
o targetTags
. Utilizza PUT o POST per tutti gli altri campi.
(PATCH|(POST|PUT)) https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/FIREWALL_NAME { "name": "FIREWALL_NAME", "network": "projects/PROJECT-ID/global/networks/NETWORK", ... other fields }
Sostituisci i segnaposto con valori validi:
PROJECT_ID
è l'ID del progetto in cui si trova la rete VPC.NETWORK
è il nome della rete VPC in cui si trova la regola firewall.FIREWALL_NAME
è il nome della regola firewall da aggiornare.
Per ulteriori informazioni e descrizioni per ogni campo, consulta il metodo
firewalls.patch
o
firewalls.update
.
C#
Go
Java
Node.js
PHP
Python
Ruby
Elenco delle regole firewall per una rete VPC
In Google Cloud Console, puoi elencare tutte le regole firewall per il tuo progetto o per una determinata rete VPC. Per ogni regola firewall, Google Cloud Console mostra dettagli come il tipo di regola, i target e i filtri.
Se attivi il
Log delle regole firewall,
Insight sul firewall può fornire informazioni sulle regole del firewall per aiutarti a comprendere e ottimizzare meglio le configurazioni. Ad esempio, puoi visualizzare quali regole allow
non sono state utilizzate nelle ultime sei settimane.
Per ulteriori informazioni, consulta la sezione Utilizzare la schermata Dettagli regola firewall nella documentazione di Firewall Insights.
console
Per visualizzare tutte le regole firewall per tutte le reti nel tuo progetto:
- Vai alla pagina Firewall in Google Cloud Console.
Vai alla pagina Firewall
Per visualizzare le regole firewall in una determinata rete:
- Vai alla pagina Reti VPC in Google Cloud Console.
Vai alla pagina Reti VPC - Fai clic sul nome di una rete VPC per passare alla relativa pagina dei dettagli.
- Nella pagina dei dettagli della rete, fai clic sulla scheda Regole firewall.
gcloud
Il comando seguente genera un elenco ordinato di regole firewall per una determinata rete ([NETWORK-NAME]
).
gcloud compute firewall-rules list --filter network=NETWORK \ --sort-by priority \ --format="table( name, network, direction, priority, sourceRanges.list():label=SRC_RANGES, destinationRanges.list():label=DEST_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, denied[].map().firewall_rule().list():label=DENY, sourceTags.list():label=SRC_TAGS, targetTags.list():label=TARGET_TAGS )"
API
Elenca tutte le regole firewall per una determinata rete.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/?filter=network="NETWORK
Sostituisci i segnaposto con valori validi:
PROJECT_ID
è l'ID del progetto in cui si trova la rete VPC.NETWORK
è il nome della rete VPC che contiene le regole firewall da elencare.
Per ulteriori informazioni, consulta il
metodo firewalls.list
.
C#
Go
Java
Node.js
PHP
Python
Ruby
Elenco delle regole firewall per un'interfaccia di rete di un'istanza VM
Per ogni interfaccia di rete, Google Cloud Console elenca tutte le regole firewall applicate all'interfaccia e le regole che vengono effettivamente utilizzate. Le regole firewall possono mascherare altre regole, pertanto tutte quelle applicabili a un'interfaccia potrebbero non essere utilizzate dall'interfaccia.
Le regole firewall vengono associate a un'istanza VM tramite un parametro target di una regola. Visualizzando tutte le regole applicate, puoi verificare se una determinata regola viene applicata a un'interfaccia.
Se attivi il Log delle regole firewall, Insight sul firewall può fornire informazioni sulle regole del firewall per aiutarti a comprendere e ottimizzare meglio le configurazioni. Ad esempio, puoi visualizzare quali regole in un'interfaccia sono state interessate nelle ultime sei settimane. Per ulteriori informazioni, consulta la sezione Utilizzare la schermata dei dettagli dell'interfaccia di rete delle VM nella documentazione di Firewall Insights.
Per visualizzare le regole applicabili a un'interfaccia di rete specifica di un'istanza VM:
- Vai alla pagina delle istanze VM in Google Cloud Console e trova l'istanza da visualizzare.
Vai alla pagina Istanze VM - Nel menu Altre azioni (
) dell'istanza, seleziona Visualizza dettagli di rete.
- Se un'istanza ha più interfacce di rete, seleziona l'interfaccia di rete da visualizzare nella sezione Dettagli interfaccia di rete.
- Nella sezione Dettagli firewall e route, seleziona la scheda Regole firewall.
- Visualizza la tabella per determinare se il traffico da o verso un determinato indirizzo IP è consentito.
Visualizzazione dei dettagli delle regole firewall
Puoi esaminare una regola firewall per visualizzarne il nome, la rete applicabile e i componenti, nonché se la regola è abilitata o disabilitata.
console
- Elenca le regole del firewall. Puoi visualizzare un elenco di tutte le regole o solo di quelle in una determinata rete.
- Fai clic sulla regola per visualizzarla.
gcloud
Il comando seguente descrive una singola regola firewall. Sostituisci
[FIREWALL-NAME]
con il nome della regola firewall. Poiché i nomi delle regole firewall sono univoci per il progetto, non devi specificare una rete quando ne descrivi una esistente.
gcloud compute firewall-rules describe [FIREWALL-NAME]
API
Descrivi una determinata regola firewall.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/FIREWALL_NAME
Sostituisci i segnaposto con valori validi:
PROJECT_ID
è l'ID del progetto in cui si trova la regola firewall.FIREWALL_NAME
è il nome della regola firewall da descrivere.
Per ulteriori informazioni, consulta il
metodo firewalls.get
.
Eliminazione regole firewall
console
- Elenca le regole del firewall. Puoi visualizzare un elenco di tutte le regole o solo di quelle in una determinata rete.
- Fai clic sulla regola da eliminare.
- Fai clic su Elimina.
- Fai di nuovo clic su Elimina per confermare.
gcloud
Il comando seguente elimina una regola firewall. Sostituisci
[FIREWALL-NAME]
con il nome della regola da eliminare.
gcloud compute firewall-rules delete [FIREWALL-NAME]
API
Elimina una regola firewall.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/FIREWALL_NAME
Sostituisci i segnaposto con valori validi:
PROJECT_ID
è l'ID del progetto in cui si trova la regola firewall.FIREWALL_NAME
è il nome della regola firewall da eliminare.
Per ulteriori informazioni, consulta il metodo firewalls.delete
.
C#
Go
Java
Node.js
PHP
Python
Ruby
Monitoraggio delle regole firewall
Puoi attivare il logging per le regole firewall per vedere quale regola è consentita o ha bloccato il traffico. Per le istruzioni, consulta la pagina relativa all'utilizzo del logging delle regole firewall.
Configurare regole di firewall per casi d'uso comuni
Le sezioni seguenti forniscono l'interfaccia a riga di comando gcloud di esempio e l'API per ricreare le regole firewall predefinite create per le reti predefinite. Puoi utilizzare gli esempi per creare regole simili per le reti in modalità personalizzata e automatica. Ogni regola firewall può includere intervalli di indirizzi IPv4 o IPv6, ma non entrambi.
Consenti connessioni in entrata interne tra le VM
Gli esempi seguenti creano una regola firewall per consentire le connessioni TCP, UDP e ICMP interne alle istanze VM, in modo simile alla regola allow-internal
per le reti predefinite:
gcloud
gcloud compute firewall-rules create NAME \ --action=ALLOW \ --direction=INGRESS \ --network=NETWORK; default="default" \ --priority=1000 \ --rules=tcp:0-65535,udp:0-65535,ICMP_PROTOCOL \ --source-ranges=SUBNET_RANGES
Sostituisci quanto segue:
NAME
: il nome per questa regola firewall.NETWORK
: il nome della rete a cui si applica questa regola firewall. Il valore predefinito èdefault
.ICMP_PROTOCOL
: specificaICMPv4
utilizzando il nome di protocolloicmp
o il numero di protocollo1
. SpecificaICMPv6
utilizzando il numero di protocollo58
.SUBNET_RANGES
: uno o più intervalli di indirizzi IP. Se includi un intervallo di indirizzi IP, il traffico proveniente da tale intervallo può raggiungere qualsiasi destinazione VM nella rete VPC. Puoi specificare gli intervalli IPv4 o IPv6 in una determinata regola firewall.Intervalli di subnet IPv4:
- Le reti VPC in modalità automatica utilizzano intervalli di indirizzi IP compresi in
10.128.0.0/9
. - Le reti in modalità personalizzata possono utilizzare qualsiasi intervallo IPv4 valido. Se non utilizzi intervalli contigui per le subnet nella rete VPC, potrebbe essere necessario specificare più intervalli.
- Puoi utilizzare
10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
per consentire il traffico da tutti gli intervalli di indirizzi IPv4 privati (intervalli RFC 1918).
Intervalli di subnet IPv6:
Se hai assegnato un intervallo di indirizzi IPv6 interno alla tua rete VPC, puoi utilizzare tale intervallo come intervallo di origine. L'utilizzo dell'intervallo IPv6 interno della rete VPC significa che la regola firewall include tutti gli intervalli di subnet IPv6 interni attuali e futuri. Puoi trovare l'intervallo IPv6 interno della rete VPC utilizzando il seguente comando:
gcloud compute networks describe NETWORK \ --format="flattened(internalIpv6Range)"
Puoi anche specificare intervalli di subnet IPv6 interni specifici.
Per consentire il traffico dagli intervalli di subnet IPv6 esterni delle subnet a doppio stack, devi specificare l'intervallo di indirizzi IPv6 di ogni subnet da includere.
- Le reti VPC in modalità automatica utilizzano intervalli di indirizzi IP compresi in
API
POST https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls { "kind": "compute#firewall", "name": "FIREWALL_NAME", "network": "projects/PROJECT_ID/global/networks/NETWORK", "direction": "INGRESS", "priority": 1000, "targetTags": [], "allowed": [ { "IPProtocol": "tcp", "ports": [ "0-65535" ] }, { "IPProtocol": "udp", "ports": [ "0-65535" ] }, { "IPProtocol": "ICMP_PROTOCOL" } ], "sourceRanges": [ "SUBNET_RANGES" ] }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui si trova la rete VPC.FIREWALL_NAME
: il nome della rete VPC in cui è creata la regola firewall.NETWORK
: nome per la regola firewall. Si applica la regola. Il valore predefinito èdefault
.ICMP_PROTOCOL
: specificaICMPv4
utilizzando il nome di protocolloicmp
o il numero di protocollo1
. SpecificaICMPv6
utilizzando il numero di protocollo58
.INTERNAL_SOURCE_RANGES
: uno o più intervalli IP. Per consentire il traffico interno in tutte le subnet delle reti VPC, specifica gli intervalli di indirizzi IP utilizzati nella rete VPC. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall.Intervalli di subnet IPv4:
- Le reti VPC in modalità automatica utilizzano intervalli di indirizzi IP compresi in
10.128.0.0/9
. - Le reti in modalità personalizzata possono utilizzare qualsiasi intervallo IPv4 valido. Se non utilizzi intervalli contigui per le subnet nella rete VPC, potrebbe essere necessario specificare più intervalli.
- Puoi utilizzare
10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
per consentire il traffico da tutti gli intervalli di indirizzi IPv4 privati (intervalli RFC 1918).
Intervalli di subnet IPv6:
Se hai assegnato un intervallo di indirizzi IPv6 interno alla tua rete VPC, puoi utilizzare tale intervallo come intervallo di origine. L'utilizzo dell'intervallo IPv6 interno della rete VPC significa che la regola firewall include tutti gli intervalli di subnet IPv6 interni attuali e futuri. Puoi trovare l'intervallo IPv6 interno della rete VPC utilizzando il seguente comando:
gcloud compute networks describe NETWORK \ --format="flattened(internalIpv6Range)"
Puoi anche specificare intervalli di subnet IPv6 interni specifici.
Per consentire il traffico dagli intervalli di subnet IPv6 esterni delle subnet a doppio stack, devi specificare l'intervallo di indirizzi IPv6 di ogni subnet da includere.
- Le reti VPC in modalità automatica utilizzano intervalli di indirizzi IP compresi in
Consenti connessioni SSH in entrata alle VM
Gli esempi seguenti creano una regola firewall per consentire le connessioni SSH alle istanze VM, in modo simile alla regola allow-ssh
per le reti predefinite:
gcloud
gcloud compute firewall-rules create NAME \ --action=ALLOW \ --direction=INGRESS \ --network=NETWORK; default="default" \ --priority=1000 \ --rules=tcp:22 \ --source-ranges=RANGES_OUTSIDE_VPC_NETWORK
Sostituisci quanto segue:
NAME
: il nome per questa regola firewall.NETWORK
: il nome della rete a cui si applica questa regola firewall. Il valore predefinito èdefault
.RANGES_OUTSIDE_VPC_NETWORK
: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.- L'inclusione di
35.235.240.0/20
negli intervalli di origine consente le connessioni SSH tramite forwarding TCP con Identity-Aware Proxy (IAP) se tutti gli altri prerequisiti sono soddisfatti. Per ulteriori informazioni, consulta Utilizzo di IAP per l'inoltro TCP. - L'utilizzo di
0.0.0.0/0
come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud. - L'utilizzo di
::/0
come intervallo di origini consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.
- L'inclusione di
API
POST https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls { "kind": "compute#firewall", "name": "FIREWALL_NAME", "network": "projects/PROJECT_ID/global/networks/NETWORK", "direction": "INGRESS", "priority": 1000, "targetTags": [], "allowed": [ { "IPProtocol": "tcp", "ports": [ "22" ] } ], "sourceRanges": [ "RANGES_OUTSIDE_VPC_NETWORK" ] }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui si trova la rete VPC.FIREWALL_NAME
: il nome della rete VPC in cui è creata la regola firewall.NETWORK
: un nome per la regola firewall.RANGES_OUTSIDE_VPC_NETWORK
: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.- L'inclusione di
35.235.240.0/20
negli intervalli di origine consente le connessioni SSH tramite forwarding TCP con Identity-Aware Proxy (IAP) se tutti gli altri prerequisiti sono soddisfatti. Per ulteriori informazioni, consulta Utilizzo di IAP per l'inoltro TCP. - L'utilizzo di
0.0.0.0/0
come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud. - L'utilizzo di
::/0
come intervallo di origini consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.
- L'inclusione di
Consenti connessioni RDP in entrata alle VM
Gli esempi seguenti creano una regola firewall per consentire le connessioni Microcoft Remote Desktop Protocol (RDP) alle istanze VM, in modo simile alla regola allow-rdp
per le reti predefinite:
gcloud
gcloud compute firewall-rules create NAME \ --action=ALLOW \ --direction=INGRESS \ --network=NETWORK; default="default" \ --priority=1000 \ --rules=tcp:3389 \ --source-ranges=RANGES_OUTSIDE_VPC_NETWORK
Sostituisci quanto segue:
NAME
: il nome per questa regola firewall.NETWORK
: il nome della rete a cui si applica questa regola firewall. Il valore predefinito èdefault
.RANGES_OUTSIDE_VPC_NETWORK
: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.- L'inclusione di
35.235.240.0/20
negli intervalli di origine consente le connessioni RDP che utilizzano l'inoltro TCP di Identity-Aware Proxy (IAP) se tutti gli altri prerequisiti sono soddisfatti. Per ulteriori informazioni, consulta Utilizzo di IAP per l'inoltro TCP. - L'utilizzo di
0.0.0.0/0
come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud. - L'utilizzo di
::/0
come intervallo di origini consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.
- L'inclusione di
API
POST https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls { "kind": "compute#firewall", "name": "FIREWALL_NAME", "network": "projects/PROJECT_ID/global/networks/NETWORK", "direction": "INGRESS", "priority": 1000, "allowed": [ { "IPProtocol": "tcp", "ports": [ "3389" ] } ], "sourceRanges": [ "EXTERNAL_SOURCE_RANGES" ] }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui si trova la rete VPC.FIREWALL_NAME
: il nome della rete VPC in cui è creata la regola firewall.NETWORK
: un nome per la regola firewall.RANGES_OUTSIDE_VPC_NETWORK
: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.- L'inclusione di
35.235.240.0/20
negli intervalli di origine consente le connessioni RDP che utilizzano l'inoltro TCP di Identity-Aware Proxy (IAP) se tutti gli altri prerequisiti sono soddisfatti. Per ulteriori informazioni, consulta Utilizzo di IAP per l'inoltro TCP. - L'utilizzo di
0.0.0.0/0
come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud. - L'utilizzo di
::/0
come intervallo di origini consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.
- L'inclusione di
Consenti connessioni in entrata ICMP alle VM
Gli esempi seguenti creano una regola firewall per consentire le connessioni ICMP per le istanze VM, in modo simile alla regola allow-icmp
per le reti predefinite:
gcloud
gcloud compute firewall-rules create NAME \ --action=ALLOW \ --direction=INGRESS \ --network=NETWORK; default="default" \ --priority=1000 \ --rules=ICMP_PROTOCOL \ --source-ranges=RANGES_OUTSIDE_VPC_NETWORK
Sostituisci quanto segue:
NAME
: il nome per questa regola firewall.NETWORK
: il nome della rete a cui si applica questa regola firewall. Il valore predefinito èdefault
.ICMP_PROTOCOL
: specificaICMPv4
utilizzando il nome di protocolloicmp
o il numero di protocollo1
. SpecificaICMPv6
utilizzando il numero di protocollo58
.RANGES_OUTSIDE_VPC_NETWORK
: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.- L'utilizzo di
0.0.0.0/0
come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud. - L'utilizzo di
::/0
come intervallo di origini consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.
- L'utilizzo di
API
POST https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls { "kind": "compute#firewall", "name": "FIREWALL_NAME", "network": "projects/PROJECT_ID/global/networks/NETWORK", "direction": "INGRESS", "priority": 1000, "targetTags": [], "allowed": [ { "IPProtocol": "ICMP_PROTOCOL" } ], "sourceRanges": [ "RANGES_OUTSIDE_VPC_NETWORK" ] }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui si trova la rete VPC.FIREWALL_NAME
: il nome della rete VPC in cui è creata la regola firewall.NETWORK
: un nome per la regola firewall.ICMP_PROTOCOL
: specificaICMPv4
utilizzando il nome di protocolloicmp
o il numero di protocollo1
. SpecificaICMPv6
utilizzando il numero di protocollo58
.RANGES_OUTSIDE_VPC_NETWORK
: uno o più intervalli di indirizzi IP. Puoi specificare intervalli IPv4 o IPv6 in una determinata regola firewall. Come best practice, specifica gli intervalli di indirizzi IP specifici da cui devi consentire l'accesso, anziché tutte le origini IPv4 o IPv6.- L'utilizzo di
0.0.0.0/0
come intervallo di origine consente il traffico da tutte le origini IPv4, incluse quelle esterne a Google Cloud. - L'utilizzo di
::/0
come intervallo di origini consente il traffico da tutte le origini IPv6, incluse quelle esterne a Google Cloud.
- L'utilizzo di
Altri esempi di configurazione
Il diagramma seguente mostra una configurazione firewall di esempio. Lo scenario prevede
un my-network
che contiene quanto segue:
- una subnet
subnet1
con intervallo IP10.240.10.0/24
- una subnet
subnet2
con intervallo IP192.168.1.0/24
- istanza
vm1
insubnet2
con tagwebserver
e IP interno192.168.1.2
- istanza
vm2
insubnet2
con tagdatabase
e IP interno192.168.1.3
Esempio 1: rifiuta tutte le connessioni TCP in entrata tranne quelle per la porta 80
di subnet1
Questo esempio crea un insieme di regole firewall che negano tutte le connessioni TCP in entrata tranne le connessioni destinate alla porta 80
da subnet1
.
Crea una regola firewall per rifiutare tutto il traffico TCP in entrata verso le istanze con tag
webserver
.gcloud compute firewall-rules create deny-subnet1-webserver-access \ --network NETWORK_NAME \ --action deny \ --direction ingress \ --rules tcp \ --source-ranges 0.0.0.0/0 \ --priority 1000 \ --target-tags webserver
Crea una regola firewall per consentire a tutti gli IP in
subnet1
(10.240.10.0/24
) di accedere alla porta TCP80
sulle istanze con tag conwebserver
.gcloud compute firewall-rules create vm1-allow-ingress-tcp-port80-from-subnet1 \ --network NETWORK_NAME \ --action allow \ --direction ingress \ --rules tcp:80 \ --source-ranges 10.240.10.0/24 \ --priority 50 \ --target-tags webserver
Esempio 2: negare tutte le connessioni TCP in uscita ad eccezione di quelle alla porta 80
di vm1
Crea una regola firewall per rifiutare tutto il traffico TCP in uscita.
gcloud compute firewall-rules create deny-all-access \ --network NETWORK_NAME \ --action deny \ --direction egress \ --rules tcp \ --destination-ranges 0.0.0.0/0 \ --priority 1000
Crea una regola firewall per consentire il traffico TCP destinato alla porta
vm1
80
.gcloud compute firewall-rules create vm1-allow-egress-tcp-port80-to-vm1 \ --network NETWORK_NAME \ --action allow \ --direction egress \ --rules tcp:80 \ --destination-ranges 192.168.1.2/32 \ --priority 60
Esempio 3: consentire le connessioni TCP in uscita alla porta 443
di un host esterno
Crea una regola firewall che consenta alle istanze con tag webserver
di inviare traffico TCP in uscita alla porta 443
di un indirizzo IP esterno di esempio, 192.0.2.5
.
gcloud compute firewall-rules create vm1-allow-egress-tcp-port443-to-192-0-2-5 \ --network NETWORK_NAME \ --action allow \ --direction egress \ --rules tcp:443 \ --destination-ranges 192.0.2.5/32 \ --priority 70 \ --target-tags webserver
Esempio 4: consentire connessioni SSH da vm2
a vm1
Crea la regola firewall che consente al traffico SSH da istanze con tag
database
(vm2
) di raggiungere istanze con tag webserver
(vm1
).
gcloud compute firewall-rules create vm1-allow-ingress-tcp-ssh-from-vm2 \ --network NETWORK_NAME \ --action allow \ --direction ingress \ --rules tcp:22 \ --source-tags database \ --priority 80 \ --target-tags webserver
Esempio 5: consenti il protocollo TCP:1443 dal server web al database utilizzando gli account di servizio
Per ulteriori informazioni sugli account di servizio e sui ruoli, vedi Concessione dei ruoli per gli account di servizio.
Considera lo scenario nel diagramma di seguito, in cui sono presenti due applicazioni
che vengono scalate automaticamente tramite modelli, un'applicazione server web my-sa-web
e un'applicazione di database 'my-sa-db". Un amministratore della sicurezza vuole consentire i flussi TCP alla porta di destinazione 1443
da my-sa-web
a my-sa-db
.
I passaggi per la configurazione, inclusa la creazione degli account di servizio, sono le seguenti:
Un EDITOR o un PROPRIETARIO del progetto crea gli account di servizio
my-sa-web
emy-sa-db
.gcloud iam service-accounts create my-sa-web \ --display-name "webserver service account"
gcloud iam service-accounts create my-sa-db \ --display-name "database service account"
Un proprietario di progetto assegna allo sviluppatore del server web
web-dev@example.com
un ruolo serviceAccountUser per l'account di serviziomy-sa-web
impostando un criterio IAM (Gestione di identità e accessi).gcloud iam service-accounts add-iam-policy-binding \ my-sa-web@my-project.iam.gserviceaccount.com \ --member='user:web-dev@example.com' \ --role='roles/iam.serviceAccountUser'
Un PROPRIETARIO di progetto assegna allo sviluppatore di database "db-dev@example.com" un ruolo di serviceAccountUser per l'account di servizio
my-sa-db
impostando un criterio IAM.gcloud iam service-accounts add-iam-policy-binding \ my-sa-db@my-project.iam.gserviceaccount.com \ --member='user:db-dev@example.com' \ --role='roles/iam.serviceAccountUser'
Lo sviluppatore
web-dev@example.com
, che ha il ruolo Amministratore istanza, crea un modello di istanza server web e autorizza le istanze in esecuzione come account di serviziomy-sa-web
.gcloud compute instance-templates create [INSTANCE_TEMPLATE_NAME] \ --service-account my-sa-web@my-project-123.iam.gserviceaccount.com
Lo sviluppatore
db-dev@example.com
, che ha il ruolo Amministratore istanza, crea il modello di istanza di database e autorizza le istanze in esecuzione come account di serviziomy-sa-db
.gcloud compute instance-templates create [INSTANCE_TEMPLATE_NAME] \ --service-account my-sa-db@my-project-123.iam.gserviceaccount.com
L'amministratore della sicurezza crea le regole firewall utilizzando gli account di servizio per consentire il traffico
TCP:1443
dall'account di serviziomy-sa-web
all'account di serviziomy-sa-db
.gcloud compute firewall-rules create FIREWALL_NAME \ --network network_a \ --allow TCP:1443 \ --source-service-accounts my-sa-web@my-project.iam.gserviceaccount.com \ --target-service-accounts my-sa-db@my-project.iam.gserviceaccount.com
Risolvere i problemi
Messaggi di errore durante la creazione o l'aggiornamento di una regola firewall
Potrebbe essere visualizzato uno dei seguenti messaggi di errore:
Should not specify destination range for ingress direction.
Gli intervalli di destinazione non sono parametri validi per le regole firewall in entrata. Si presume che le regole firewall siano regole in entrata, a meno che non venga specificata una direzione
egress
. Se crei una regola che non specifica una direzione, viene creata come regola in entrata, che non consente un intervallo di destinazione. Inoltre, gli intervalli di origine non sono parametri validi per le regole in uscita.Firewall direction cannot be changed once created.
Non puoi modificare la direzione di una regola firewall esistente. Devi creare una nuova regola con i parametri corretti, quindi eliminare la vecchia.
Firewall traffic control action cannot be changed once created.
Non puoi modificare l'azione di una regola firewall esistente. Devi creare una nuova regola con i parametri corretti, quindi eliminare la vecchia.
Service accounts must be valid RFC 822 email addresses.
L'account di servizio specificato nella regola firewall deve essere un indirizzo email formattato in base al documento RFC 822.gcloud compute firewall-rules create bad --allow tcp --source-service-accounts invalid-email
Creating firewall...failed. ERROR: (gcloud.compute.firewall-rules.create) Could not fetch resource: – Invalid value for field 'resource.sourceServiceAccounts[0]': 'invalid-email'. Service accounts must be valid RFC 822 email addresses.
ServiceAccounts and Tags are mutually exclusive and can't be combined in the same firewall rule.
Non puoi specificare sia gli account di servizio sia i tag nella stessa regola.gcloud compute firewall-rules create bad --allow tcp --source-service-accounts test@google.com --target-tags target
Creating firewall...failed. ERROR: (gcloud.compute.firewall-rules.create) Could not fetch resource: – ServiceAccounts and Tags are mutually exclusive and can't be combined in the same firewall rule.
Impossibile connettersi all'istanza VM
Se non riesci a connetterti a un'istanza VM, controlla le regole firewall.
Se stai avviando la connessione da un'altra istanza VM, elenca le regole del firewall in uscita per tale istanza.
gcloud compute firewall-rules list --filter network=[NETWORK-NAME] \ --filter EGRESS \ --sort-by priority \ --format="table( name, network, direction, priority, sourceRanges.list():label=SRC_RANGES, destinationRanges.list():label=DEST_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, denied[].map().firewall_rule().list():label=DENY, sourceTags.list():label=SRC_TAGS, sourceServiceAccounts.list():label=SRC_SVC_ACCT, targetTags.list():label=TARGET_TAGS, targetServiceAccounts.list():label=TARGET_SVC_ACCT )"
Controlla se l'IP di destinazione è stato negato da qualsiasi regola in uscita. La regola con la priorità più alta (numero più basso) sostituisce le regole con priorità inferiore. La regola di negazione ha la precedenza per due regole con la stessa priorità.
Verifica la regola firewall in entrata per la rete che contiene l'istanza VM di destinazione.
gcloud compute firewall-rules list --filter network=[NETWORK-NAME] \ --filter INGRESS \ --sort-by priority \ --format="table( name, network, direction, priority, sourceRanges.list():label=SRC_RANGES, destinationRanges.list():label=DEST_RANGES, allowed[].map().firewall_rule().list():label=ALLOW, denied[].map().firewall_rule().list():label=DENY, sourceTags.list():label=SRC_TAGS, sourceServiceAccounts.list():label=SRC_SVC_ACCT, targetTags.list():label=TARGET_TAGS, targetServiceAccounts.list():label=TARGET_SVC_ACCT )"
Output di esempio. L'output dipenderà dall'elenco di regole firewall
NAME NETWORK DIRECTION PRIORITY SRC_RANGES DEST_RANGES ALLOW DENY SRC_TAGS SRC_SVC_ACCT TARGET_TAGS TARGET_SVC_ACCT default-allow-icmp default INGRESS 65534 0.0.0.0/0 icmp default-allow-internal default INGRESS 65534 10.128.0.0/9 tcp:0-65535,udp:0-65535,icmp default-allow-rdp default INGRESS 65534 0.0.0.0/0 tcp:3389 default-allow-ssh default INGRESS 65534 0.0.0.0/0 tcp:22 firewall-with-sa default INGRESS 1000 tcp:10000 test1@google.com target@google.com
Puoi anche eseguire test di connettività da/verso istanze VM in una rete VPC a un'altra rete VPC o in una rete cloud non Google per verificare se il traffico viene ignorato da eventuali regole firewall in entrata o in uscita. Per ulteriori informazioni su come eseguire i test di connettività per risolvere vari problemi, consulta la sezione Eseguire test di connettività.
La mia regola firewall è abilitata o disabilitata?
Per verificare se una regola firewall è attivata o disattivata, visualizza i dettagli delle regole firewall.
In Google Cloud Console, cerca Enabled
o Disabled
in Applicazione forzata.
Nell'output dell'interfaccia a riga di comando di Google Cloud, cerca il campo disabled
.
Se è indicato disabled:false
, la regola è attivata ed è applicata. Se dice
disabled: true
, la regola è disattivata.
Quale regola viene applicata a un'istanza VM?
Dopo aver creato una regola, puoi verificare se viene applicata correttamente a un'istanza specifica. Per ulteriori informazioni, consulta Elencare le regole firewall per un'interfaccia di rete di un'istanza VM.
Le regole firewall con tag di origine non hanno effetto immediato
La propagazione delle regole firewall in entrata che utilizzano tag di origine può richiedere del tempo. Per maggiori dettagli, consulta le considerazioni relative ai tag sorgente per le regole firewall in entrata.
Passaggi successivi
- Consulta la panoramica delle regole firewall per un'introduzione alle regole firewall