創建Google Cloud Platform實例時的幾個防火牆。使用哪個？

Question

我創建了Google雲平臺Ubuntu 16.04實例。看來GCP有幾個地方的流量可以被過濾：

1. 的GCP控制檯的Instances部分讓我允許或禁止 HTTP和HTTPS流量。
2. 在網絡部分，我可以創建額外的防火牆規則來限制對網絡的訪問。
3. 最後，在Ubuntu實例本身中，我可以配置UFW來阻止/允許某些端口。

我應該配置所有這些嗎？配置一個並允許其他所有配置會更好嗎？

請注意，此實例將爲網站提供服務，因此我只允許HTTP/HTTPS流量。

Answer 1

完整答案是它取決於。

對於頭號，唯一發生的是default-allow-httprule被應用到該實例。

網絡部分是您定義應用於實例的自己規則的地方。如果您開始擁有多個實例和負載均衡器，則在Google Cloud中維護所有網絡配置將變得更加容易。您可以共享應用單個規則到某些機器，並且您可以撰寫它們。

最後，我只會使用ufw/iptables作爲最後的手段配置。例如，我在負載均衡器後面有一些機器，其中一個機器正在做一些奇怪的事情。我會ssh進入並阻止端口80並進行調查。