Google cloud platform 如何修复GCP防火墙规则不起作用_Google Cloud Platform_Firewall_Google Vpc

Google cloud platform 如何修复GCP防火墙规则不起作用

google-cloud-platform

Google cloud platform 如何修复GCP防火墙规则不起作用,google-cloud-platform,firewall,google-vpc,Google Cloud Platform,Firewall,Google Vpc,我在GCP中有一个网络，配置了防火墙规则。我有两个例子，其中两个如下 instance 1 - with network tag "kube-master" instance 2 - with network tag "kube-minion" 我想从kube-masterping到kube-minion，因此，我为icmp设置了防火墙规则（master-to-node） instance 1 - with network tag "kube-

我在

GCP

中有一个

网络

，配置了防火墙规则。我有两个例子，其中两个如下

instance 1 - with network tag "kube-master"
instance 2 - with network tag "kube-minion"

我想从

kube-master

ping到

kube-minion

，因此，我为

icmp

设置了防火墙规则（

master-to-node

）

instance 1 - with network tag "kube-master"
instance 2 - with network tag "kube-minion"

但问题是我仍然无法从

kube-master

ping到

kube-minion

。我登录实例1（

kube-master

）并尝试ping实例2（

kube-minion

）的公共ip地址，但它没有ping

如上图所示，我是否限制这种行为？但我已将优先级设置为

，因此它将优先

当我将

source

设置为

0.0.0/0

而不是将

kube-master

设置为

source

时，它可以工作，但我只需要从

kube-master

将流量发送到

kube-minion

）

有人能告诉我我在哪里犯的错误吗？谢谢大家!

正如您在

因此，网络标记仍然仅在实例的网络接口连接到的网络中有意义

因此，如果您使用公共IP访问VM，您将离开网络访问它，并且标签信息将丢失。使用虚拟机的私有IP，它将按预期工作

如果要继续使用实例2公共IP，请将0.0.0.0/0添加为源，或在/32中添加主机的公共IP（更好），源标记仅适用于从VPC网络中另一个适用实例的网络接口发送的流量。源标记无法控制源为外部IP地址的数据包，即使外部IP地址属于实例

当您从

instance-1

ping

instance-2

的外部IP地址时，ICMP请求被转换，因此在接收方，请求似乎来自与网络标签

kube master

不相关的IP地址（instance-1的外部IP）

编辑：

谢谢你的解释。谢谢。你愿意解释一下这个图表吗？@JananathBanuka，当然。您也可以自己跟踪这些跃点，在您自己的项目中使用。在这里，我展示了当您从

instance-1

ping时发生的情况，即

instance-2

的外部IP地址：1。默认出口FW允许ICMP请求；2.路由表确定必须转换请求，因此目的地属于不同的子网；3.最后达到实例2的公共IP，因此需要从外部到内部的转换…4。数据包被丢弃，因为除了丢弃所有内容的规则外，没有命中任何规则（您创建的允许使用source

kube master进入的规则不被命中，因为在此特定步骤中，源是一个外部IP地址，并且与实例1无关）