Брандмауэр GCP и поддержка адресов IPv6?

sirkus7

26.11.2022, 17:51

Хотя в документации GCP утверждается, что адреса IPv6 поддерживаются при создании правил брандмауэра (https://cloud.google.com/vpc/docs/firewalls) У меня не получается. Из этого документа:

Правила брандмауэра поддерживают соединения IPv4. Соединения IPv6 также поддерживаются в сетях VPC, в которых включен IPv6. При указании источник правила входа или пункт назначения правила выхода адрес, вы можете указать IPv4 или IPv6 адреса или блоки в CIDR обозначение.

Каждое правило брандмауэра может содержать диапазоны IPv4 или IPv6, но не оба диапазона.

Однако, когда я пытаюсь создать правило брандмауэра с IPv6-адресом, я получаю сообщение об ошибке и не позволяет мне его сохранить, как показано на скриншоте ниже.

В приведенном выше примере показаны два примера, которые я пробовал, но я пробовал с одиночными адресами, с блоками CIDR и без них и так далее. И всем отказывают. Я подтвердил, что в подсети VPC включен IPv6.

Я что-то пропустил?

228

1 + 1

IPv6

облачная платформа Google

sirkus7

26.11.2022, 18:18

Я создал подсеть в us-west2 с параметром --stack-type=IPV4_IPV6, как указано в документах GCP. Я пытаюсь создать правила для этой подсети.

Ответить

Рейтинг:2

Server

Michael Hampton

26.11.2022, 18:21

Графический интерфейс у меня тоже не работает, но я смог успешно создать правила брандмауэра с помощью эквивалентной команды gcloud.

Для проверки я создал новый VPC, новую подсеть и новое правило брандмауэра:

error@cloudshell:~ (strange-passage-193919)$ вычислительные сети gcloud создают ipv6test --project=strange-passage-193919 --subnet-mode=custom --mtu=1460 --bgp-routing-mode=regional
Создан [https://www.googleapis.com/compute/v1/projects/strange-passage-193919/global/networks/ipv6test].
НАЗВАНИЕ ПОДСЕТЬ_MODE BGP_ROUTING_MODE IPV4_RANGE GATEWAY_IPV4
ipv6test ПОЛЬЗОВАТЕЛЬСКИЙ РЕГИОНАЛЬНЫЙ

Экземпляры в этой сети будут недоступны, пока правила брандмауэра
создаются. Например, вы можете разрешить весь внутренний трафик между
экземпляры, а также SSH, RDP и ICMP, запустив:

$ gcloud вычислить правила брандмауэра создать <FIREWALL_NAME> --network ipv6test --allow tcp,udp,icmp --source-ranges <IP_RANGE>
$ gcloud вычислить правила брандмауэра создать <FIREWALL_NAME> --network ipv6test --allow tcp:22,tcp:3389,icmp

error@cloudshell:~ (strange-passage-193919)$ подсети вычислительных сетей gcloud создают ipv6test --project=strange-passage-193919 --range=10.16.0.0/20 --network=ipv6test --region=us-west2
Создан [https://www.googleapis.com/compute/v1/projects/strange-passage-193919/regions/us-west2/subnetworks/ipv6test].
НАЗВАНИЕ РЕГИОН ДИАПАЗОН СЕТИ STACK_TYPE IPV6_ACCESS_TYPE IPV6_CIDR_RANGE EXTERNAL_IPV6_CIDR_RANGE
ipv6test us-west2 ipv6test 10.16.0.0/20 IPV4_ONLY
error@cloudshell:~ (strange-passage-193919)$ Обновление подсетей вычислительных сетей gcloud ipv6test --project=strange-passage-193919 --stack-type=IPV4_IPV6 --ipv6-access-type=EXTERNAL --region=us- запад2
Обновлен [https://www.googleapis.com/compute/v1/projects/strange-passage-193919/regions/us-west2/subnetworks/ipv6test].
error@cloudshell:~ (strange-passage-193919)$ gcloud вычисление --project=strange-passage-193919 firewall-rules create ruletest --direction=INRESS --priority=1000 --network=ipv6test --action=ALLOW - -rules=tcp:22 --source-ranges=2001:db8::/32
Создание брандмауэра... ¹Создано [https://www.googleapis.com/compute/v1/projects/strange-passage-193919/global/firewalls/ruletest].
Создание брандмауэра... готово.
НАЗВАНИЕ НАПРАВЛЕНИЕ СЕТИ ПРИОРИТЕТ РАЗРЕШИТЬ ЗАПРЕТ ОТКЛЮЧЕНО
ipv6test ВХОД 1000 TCP: 22 False
error@cloudshell:~ (странный проход-193919)$

0 + 0

Admin