Google Cloud Platformインスタンスの作成時に複数のファイアウォールがあります。どちらを使いますか？

Question

私はGoogle Cloud Platform Ubuntu 16.04インスタンスを作成しました。 GCPは、トラフィックをフィルタリングすることができますいくつかの場所を持っているようだ：

1. GCPコンソールのインスタンス部分は私が HTTPおよびHTTPSトラフィックを許可または禁止することができます。
2. [ネットワーク]セクションでは、ネットワークへのアクセスを制限する追加のファイアウォールルールを作成できます。
3. 最後に、Ubuntuインスタンス自体で、特定のポートをブロック/許可するようにUFWを設定できます。

これらはすべて設定する必要がありますか？ちょうど1つを構成し、他のすべてを許可するほうがよいでしょうか？

このインスタンスはWebサイトを提供するため、HTTP/HTTPSトラフィックのみを許可します。

Answer 1

完全な答えはです。それはに依存します。

第1位の理由は、default-allow-httpruleがそのインスタンスに適用されることだけです。

ネットワーキングセクションでは、インスタンスに適用する内容を定義する独自のルールを定義します。複数のインスタンスとロードバランサを導入すると、Google Cloudですべてのネットワーク設定を維持するのが簡単になります。いくつかのマシンに1つのルールを適用して共有することができ、それらを作成することができます。

最後に、ufw/iptablesは最後の設定としてのみ使用します。たとえば、ロードバランサの背後にマシンがあり、そのうちの1台が変なことをしています。私はそれにsshとポート80をブロックし、それを調査するだろう。