Удалить правило брандмауэра по умолчанию из одного Google Compute Engine

Question

Существует 4 правила брандмауэра по умолчанию определены.

Я хочу отключить определенный default-allow-ssh только для определенного c хоста.

Для некоторых причина, по которой я не вижу тег default-allow-ssh в gcloud compute instances describe $VM:

tags:
  fingerprint: ioTF8nBLmIk=
  items:
  - allow-tcp-443
  - allow-tcp-80

Я проверил определение правила:

gcloud compute firewall-rules describe default-allow-ssh

allowed:
- IPProtocol: tcp
  ports:
  - '22'
description: Allow SSH from anywhere
direction: INGRESS
disabled: false
kind: compute#firewall
name: default-allow-ssh
network: https://www.googleapis.com/compute/v1/projects/.../global/networks/default
priority: 65534
selfLink: https://www.googleapis.com/compute/v1/projects/.../global/firewalls/default-allow-ssh
sourceRanges:
- 0.0.0.0/0

Не вижу targetTags или sourceTags в определении , Означает ли это, что правило применяется ко всему проекту и не может быть отключено для каждого хоста?

Answer 1

Я не вижу тегов targetTag или sourceTag в определении. Означает ли это, что правило применяется ко всему проекту и не может быть отключено для каждого хоста?

да, точнее, вы можете узнать больше о правилах брандмауэра по умолчанию здесь

Рекомендуется сделать это правило менее разрешительным с помощью тегов или исходных ips, однако вы также можете создать другое правило, которое запрещает s sh traffi c указанным c vms с использованием тега, возможно, разрешить s sh только с хоста бастиона.