Google cloud platform 谷歌云防火墙是否默认阻止子网间通信？_Google Cloud Platform_Vpn_Firewall_Subnet_Google Cloud Networking

Google cloud platform 谷歌云防火墙是否默认阻止子网间通信？

google-cloud-platform

Google cloud platform 谷歌云防火墙是否默认阻止子网间通信？,google-cloud-platform,vpn,firewall,subnet,google-cloud-networking,Google Cloud Platform,Vpn,Firewall,Subnet,Google Cloud Networking,GCP防火墙具有默认的隐含规则，用于阻止所有入口并允许所有出口。这是针对外部流量的，在VPN之外但默认情况下，这会阻止单个VPN中的子网之间的通信吗大多数情况下是的，默认情况下，不允许在给定VPC网络上的子网之间进行通信（使用项目自动创建的default网络除外）请注意，这实际上阻止了所有实例之间的通信，而不仅仅是子网之间的通信。因此，重点实际上是实例，而不是子网——但其影响是，默认情况下，不同子网上的实例（除了default网络上的实例）将无法通信请记住，VPC防火墙规则是安全的，即使

GCP防火墙具有默认的隐含规则，用于阻止所有入口并允许所有出口。这是针对外部流量的，在VPN之外

但默认情况下，这会阻止单个VPN中的子网之间的通信吗

大多数情况下是的，默认情况下，不允许在给定VPC网络上的子网之间进行通信（使用项目自动创建的

default

网络除外）

请注意，这实际上阻止了所有实例之间的通信，而不仅仅是子网之间的通信。因此，重点实际上是实例，而不是子网——但其影响是，默认情况下，不同子网上的实例（除了

default

网络上的实例）将无法通信

请记住，VPC防火墙规则是安全的，即使其配置是在网络级别

当规则在实例级别强制执行时，其配置与VPC网络相关联

正如您所注意到的，只有两个：

允许所有出口（到任何其他地址，包括内部）
拒绝所有进入（来自任何其他地址，包括内部地址）

只有

默认值网络上才有

允许内部通信（default allow internal
）--此规则允许实例之间的通信（不考虑子网）
允许来自任何源的ssh入口
允许从任何源进入rdp
允许从任何源进入icmp

因此，在非default
网络上，您需要创建相当于default allow internal
规则（允许网络上所有IP到网络上任何实例的所有协议）。
谢谢。因此，如果我保留开箱即用的设置，默认情况下是否允许子网之间或同一子网中的实例之间的内部允许通信？根据您的回答，是后者。它应该允许VPC网络上所有实例之间的通信，而不考虑子网。因此，一个关键点（在这里对我有帮助，您可能想补充到答案中）是，开箱即用，所有实例甚至可以跨子网进行通信）。我在前面回答“不考虑子网”时补充道：“如果有什么能让它更清楚的话，很高兴查看编辑。”。只有在默认情况下实例可以通信的default
网络上才是如此——在其他VPC网络上，它们不能通信，您必须添加规则。谢谢，这非常有用