これが私のセットアップと私が達成しようとしていることです-
フロント エンド サーバー [FE]、バックエンド サーバー [BE] があります。独自の VPC をセットアップしようとしています。FE と BE は、同じリージョンの異なるゾーンにあります。FE には独自のサービス アカウント (fe-sa) があり、BE には独自のサービス アカウント (be-sa) があります。
ドキュメントを読むことで、サービス アカウントに基づいてファイアウォール ルールを設定し、インスタンス グループへのアクセスを許可/拒否できることを理解しました。
ターゲットとフィルターを切り替えてみましたが、役に立ちません。フィルターをFEサーバーIPに置き換えてみました-これは機能しているようです(ただし、これが正しいアプローチではないことはわかっています)すべてを削除して、新たに試してみました
Name Type Target Filters Protocol Action Priority
fe-to-be Ingress be-sa fe-sa icmp ALLOW 999
where,
be-sa - is the Service account associated with Back end.
fe-sa - is the service account associated with Front end.
Below are complete list of other Firewall Rules, which work as expected:
Name Type Target Filters Protocol Action Priority
be-disable-internet egress be-sa 0.0.0.0/0 icmp DENY 1000
fe-enable-internet egress fe-sa 0.0.0.0/0 icmp ALLOW 1000
allow-ssh-for-all ingress open-ssh-tag 0.0.0.0/0 tcp 22 ALLOW 1000
fe-incoming ingress fe-sa 0.0.0.0/0 icmp ALLOW 1000
ただし、これは任意のソース (内部 IP と外部 IP の両方) からの BE へのすべての着信要求をブロックするようです。
FE からの ping が成功すると予想されます -> BE & ローカル ラップトップからの ping -> BE はブロックされます。
現在、上記のルールでは、FE -> BE とラップトップ -> BE の両方がブロックされていることがわかります。