[There are 4 "default" firewall rules定义。
我只想为特定主机禁用特定的一个default-allow-ssh
。
由于某些原因,我在default-allow-ssh
中看不到标签gcloud compute instances describe $VM
:
tags:
fingerprint: ioTF8nBLmIk=
items:
- allow-tcp-443
- allow-tcp-80
我检查了规则定义:
gcloud compute firewall-rules describe default-allow-ssh
allowed:
- IPProtocol: tcp
ports:
- '22'
description: Allow SSH from anywhere
direction: INGRESS
disabled: false
kind: compute#firewall
name: default-allow-ssh
network: https://www.googleapis.com/compute/v1/projects/.../global/networks/default
priority: 65534
selfLink: https://www.googleapis.com/compute/v1/projects/.../global/firewalls/default-allow-ssh
sourceRanges:
- 0.0.0.0/0
我在定义上看不到targetTags
或sourceTags
。这是否意味着该规则将应用于整个项目,并且不能按主机禁用?
我在定义中没有看到targetTags或sourceTags。这是否意味着规则适用于整个项目,不能按主机禁用吗?
是的,您可以找到有关默认防火墙规则here]的更多信息>
最佳做法是通过使用标签或源ips来使此规则不太宽松,但是,您还可以制定另一条规则,以使用标签拒绝到特定vm的ssh流量,也许只允许来自堡垒主机的ssh。