帶有源標籤的 GCE 防火牆

1. 在 GCE 中創建了一個實例，標記為“tagA”
2. 創建防火牆規則：tcp:12345、源標籤tagA、目標標籤tagA
3. 在執行的實例上：nc -l 0.0.0.0 -p 12345

網路統計-an | grep 12345

tcp 0 0 0.0.0.0:12345 0.0.0.0:* 聽

4. 嘗試連接內部： nc -v internal.ip 12345=> 12345 (?) open
5. 嘗試連接外部： nc -v external.ip 12345=> 12345（？）：連接被拒絕

根據 GCE 手冊：

來源標籤

$$ Required if sourceRanges is not specified $$如果源在此網路內並具有指定標籤之一，則將接受連接。如果同時指定了 sourceRanges 和 sourceTags，則如果源的範圍或標記與 sourceRanges 或 sourceTags 匹配，則允許入站連接。

誰能解釋為什麼外部 IP 上的埠不適用於此防火牆規則？

目標和源標籤僅在規則中未指定網路時才可用於內部使用，正如您在問題中提到的If both sourceRanges and sourceTags are specified, an inbound connection is allowed if either the range or the tag of the source matches sourceRanges or sourceTags.那樣，為了使其安全，僅允許您的本地網路 IP 範圍（您嘗試連接的位置）在防火牆上。

引用自：https://serverfault.com/questions/650519