Comment ouvrir des ports de pare-feu sur une instance GCP Compute Engine
Si vous ne parvenez pas à accéder à un service exécuté sur votre serveur privé virtuel, c'est probablement parce que le pare-feu devant lui bloque les ports dont vous avez besoin. Nous allons vous montrer comment utiliser et ouvrir des ports sur un pare-feu Google Cloud Platform.
Comment fonctionnent les pare-feu GCP?
Par rapport aux autres fournisseurs de cloud, le système de pare-feu de GCP fonctionne un peu différemment. Dans un pare-feu standard, comme les groupes de sécurité AWS, vous pouvez modifier et ouvrir manuellement les ports de toute instance qui utilise ce groupe de sécurité. Si vous souhaitez simplement ouvrir un seul port, il vous suffit de modifier le groupe de sécurité.
Pour GCP, les pare-feu sont gérés à l'aide de «Règles de pare-feu», qui sont des ensembles de ports autorisés / refusés avec d'autres paramètres tels que le filtre IP source. La règle de pare-feu peut être appliquée à chaque instance du compte, mais vous êtes censé définir un «tag cible», tel que «ftp» ou «https-server», qui peut être ajouté à n'importe quelle instance de moteur de calcul pour ouvrir le ports spécifiés.
Vous obtenez un système dans lequel vous pouvez gérer les règles de pare-feu en fonction de la nécessité de l'application, ce qui vous permet de comprendre beaucoup plus facilement pourquoi les ports sont ouverts. Bien sûr, si vous souhaitez simplement créer une règle de pare-feu avec une balise unique pour votre instance et gérer directement les ports, vous pouvez également le faire.
Ouverture de ports avec des règles de pare-feu
Dans la console Compute Engine, cliquez sur "Afficher les détails du réseau" sur l'instance.
Cliquez sur «Règles de pare-feu» dans la barre latérale.
Créez une nouvelle règle de pare-feu.
Donnez-lui un nom et choisissez si vous souhaitez autoriser ou refuser le trafic. Le trafic est refusé implicitement par défaut.
Pour les balises cibles, attribuez un nom à la règle pour l'identifier. Pour la plage d'adresses IP source, il n'y a pas d'option pour "n'importe où", vous devrez donc saisir manuellement 0.0.0.0/0
: Notation CIDR pour toutes les adresses IP possibles.
Sous Protocoles et ports, vous pouvez tout ouvrir (une mauvaise idée), ou sélectionner un protocole et un numéro de port. Vous pouvez taper plusieurs numéros de port avec des virgules ou spécifier d'autres protocoles en plus de tcp et udp.
Créez la règle et revenez sur Compute Engine pour l'appliquer. Cliquez sur l'instance pour afficher les détails, et cliquez sur «Modifier» pour modifier les balises réseau.
Sous "Balises réseau", ajoutez la balise de la règle que vous venez d'ajouter.
Une fois enregistrées, les mises à jour du pare-feu devraient être reflétées automatiquement.
Si votre application n'est toujours pas disponible sur les ports que vous avez ouverts, vous pouvez vérifier ou désactiver les pare-feu sur l'appareil, comme ufw
, pour vous assurer qu'ils ne sont pas en conflit avec les GCP.