本頁提供設定 Google Cloud 防火牆規則和對等互連網路防火牆規則的指南。
設定 Cloud VPN 通道以連線至對等互連網路時,請檢查並修改 Google Cloud 和對等互連網路中的防火牆規則,確保規則符合您的需求。如果對等互連網路是另一個虛擬私有雲 (VPC) 網路,請為網路連線的兩端設定 Google Cloud 防火牆規則。
如要進一步瞭解 Cloud VPN,請參閱下列資源:
如要瞭解設定 Cloud VPN 前的最佳做法,請參閱最佳做法。
如要進一步瞭解 Cloud VPN,請參閱 Cloud VPN 總覽。
如要瞭解本頁面使用的詞彙定義,請參閱「重要詞彙」。
Google Cloud 防火牆規則
Google Cloud 防火牆規則適用於傳送至虛擬私有雲網路內虛擬機器 (VM) 執行個體和透過 Cloud VPN 通道傳送的封包,以及從這些項目傳送的封包。
默示允許輸出規則可讓 Google Cloud 網路中的 VM 執行個體和其他資源發出外送要求並接收已建立的回應。不過,默示拒絕輸入規則會封鎖所有傳入 Google Cloud 資源的流量。
至少要建立防火牆規則,允許從對等互連網路到 Google Cloud的輸入流量。如果您建立輸出規則來拒絕特定類型的流量,可能也需要建立其他輸出規則。
系統一律允許含有 UDP 500、UDP 4500 和 ESP (IPsec,IP 通訊協定 50) 通訊協定的流量,傳送至 Cloud VPN 閘道上的一或多個外部 IP 位址,以及從這些位址傳送流量。不過, Google Cloud 防火牆規則不適用於從 Cloud VPN 閘道傳送至對等互連 VPN 閘道的封裝後 IPsec 封包。
如要進一步瞭解 Google Cloud 防火牆規則,請參閱「虛擬私有雲防火牆規則總覽」。
設定範例
如要查看限制輸入或輸出流量的範例,請參閱虛擬私有雲說明文件中的設定範例。
以下範例會建立允許輸入的防火牆規則。這項規則允許來自對等互連網路 CIDR 的所有 TCP、UDP 和 ICMP 流量,傳輸至虛擬私有雲網路中的 VM。
控制台
前往 Google Cloud 控制台的「VPN tunnels」(VPN 通道) 頁面。
按一下您要使用的 VPN 通道。
在「VPN gateway」(VPN 閘道) 部分,按一下虛擬私有雲網路的名稱。這項操作會將您導向至包含通道的「虛擬私有雲網路詳細資料」頁面。
按一下「防火牆規則」分頁標籤。
按一下 [新增防火牆規則]。新增 TCP、UDP 和 ICMP 的規則:
- 名稱:輸入
allow-tcp-udp-icmp。 - 來源篩選器:選取「IPv4 範圍」。
- 來源 IP 範圍:輸入建立通道時的「遠端網路 IP 範圍」值。如果有多個對等互連網路範圍,請逐一輸入。在各個項目之間按下 Tab 鍵。
如要允許來自對等互連網路中所有來源 IPv4 位址的流量,請指定
0.0.0.0/0。 - 指定的通訊協定或通訊埠:選取
tcp和udp。 - 其他通訊協定:輸入
icmp。 - 目標標記:新增任何有效的標記。
- 名稱:輸入
點選「建立」。
如要允許從對等互連網路存取虛擬私有雲網路上的 IPv6 位址,請新增 allow-ipv6-tcp-udp-icmpv6 防火牆規則。
- 按一下 [新增防火牆規則]。為 TCP、UDP 和 ICMPv6 新增規則:
- 名稱:輸入
allow-ipv6-tcp-udp-icmpv6。 - 來源篩選器:選取「IPv6 範圍」。
- 來源 IP 範圍:輸入建立通道時的「遠端網路 IP 範圍」值。如果有多個對等互連網路範圍,請逐一輸入。在各個項目之間按下 Tab 鍵。
如要允許來自對等互連網路中所有來源 IPv6 位址的流量,請指定
::/0。 - 指定的通訊協定或通訊埠:選取
tcp和udp。 - 其他通訊協定:輸入
58。58 是 ICMPv6 的通訊協定號碼。 - 目標標記:新增任何有效的標記。
- 名稱:輸入
- 點選「建立」。
必要時建立其他防火牆規則。
您也可以從 Google Cloud 控制台防火牆頁面建立規則。
gcloud
執行下列指令:
gcloud compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
--network NETWORK \
--allow tcp,udp,icmp \
--source-ranges IPV4_PEER_SOURCE_RANGE
將 IPV4_PEER_SOURCE_RANGE 替換為對等互連網路的來源 IPv4 範圍。
如果您有多個對等互連網路範圍,請在來源範圍欄位 (--source-ranges 192.168.1.0/24,192.168.2.0/24) 中提供逗號分隔的清單。
如要允許來自對等互連網路中所有來源 IPv4 位址的流量,請指定 0.0.0.0/0。
IPv6 防火牆規則
如要允許從對等互連網路存取虛擬私有雲網路上的 IPv6 位址,請新增 allow-ipv6-tcp-udp-icmpv6 防火牆規則。
gcloud compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
--network NETWORK \
--allow tcp,udp,58 \
--source-ranges IPV6_PEER_SOURCE_RANGE
58 是 ICMPv6 的通訊協定號碼。
將 PEER_SOURCE_RANGE 替換為對等互連網路的來源 IPv6 範圍。如果您有多個對等互連網路範圍,請在來源範圍欄位 (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64) 中提供逗號分隔的清單。
如要允許來自對等互連網路中所有來源 IPv6 位址的流量,請指定 ::/0。
其他防火牆規則
必要時建立其他防火牆規則。
如要進一步瞭解 firewall-rules 指令,請參閱gcloud 防火牆規則說明文件。
對等互連防火牆規則
設定對等互連防火牆規則時,請注意下列事項:
- 設定規則,允許進出虛擬私有雲網路中子網路所用 IP 範圍的輸出和輸入流量。
- 您可以選擇允許所有通訊協定和通訊埠,也可以將流量限制在所需通訊協定和通訊埠。
- 如要使用
ping在對等系統、執行個體或資源之間進行通訊,請允許 ICMP 流量。 Google Cloud - 如要使用
ping存取對等互連網路上的 IPv6 位址,請在對等互連防火牆中允許 ICMPv6 (IP 通訊協定 58)。 - 您的網路裝置 (安全設備、防火牆裝置、交換器、路由器和閘道) 和系統上執行的軟體 (例如作業系統隨附的防火牆軟體),都可以實作地端部署防火牆規則。如要允許流量,請在虛擬私有雲網路路徑中,適當設定所有防火牆規則。
- 如果 VPN 通道使用動態 (BGP) 轉送,請確保針對連結本機 IP 位址允許 BGP 流量。詳情請參閱下一節。
對等互連閘道的 BGP 注意事項
動態 (BGP) 轉送會使用 TCP 通訊埠 179 交換路徑資訊。部分 VPN 閘道 (包括 Cloud VPN 閘道) 會在您選擇動態轉送時,自動允許這類流量。如果對等 VPN 閘道不支援,請設定允許 TCP 通訊埠 179 的傳入和外送流量。所有 BGP IP 位址都會使用連結本機 169.254.0.0/16 CIDR 區塊。
如果對等互連 VPN 閘道未直接連上網際網路,請確認該閘道和對等互連路由器、防火牆規則和安全設備已設定為至少將 BGP 流量 (TCP 通訊埠 179) 和 ICMP 流量傳送至您的 VPN 閘道。ICMP 並非必要,但在測試 Cloud Router 與 VPN 閘道之間的連線時很有用。應套用對等互連防火牆規則的 IP 位址範圍,必須包含 Cloud Router 的 BGP IP 位址和閘道的 BGP IP 位址。
後續步驟
- 如要確保元件與 Cloud VPN 正確通訊,請參閱「檢查 VPN 狀態」。
- 如要使用高可用性和高總處理量情境或多個子網路情境,請參閱進階設定。
- 如要解決使用 Cloud VPN 時可能遇到的常見問題,請參閱「疑難排解」。