对等 VPC 能否使用引用标签和服务帐户的防火墙规则?
Can peered VPCs use firewall rules that reference tags and service accounts?
我有 2 个对等 VPC,aaa
和 bbb
。
在 aaa
中,我有一个带有网络标记 tag-aaa
的虚拟机 host-aaa
,在 bbb
中,我有一个带有网络标记的虚拟机 host-bbb
tag-bbb
.
我可以在 aaa
中创建一个防火墙规则 允许根据网络标签从 host-bbb
进入 进入 host-aaa
吗?
也就是像
这样的防火墙规则
network: aaa
direction: ingress
action: allow
target-tag: tag-aaa
source-tag: tag-bbb
protocols: allow-all
创建此规则时,我没有观察到它起作用。如果我使用服务帐户作为目标和源过滤器,也是一样。 host-bbb
无法 ping host-aaa
。 但是 当我创建一个防火墙规则来过滤基于 IP 地址 的来源时,它就起作用了。如果我允许 host-bbb
所在的 IP 范围,则它允许进入 host-aaa
.
那么,我的问题是:
我可以在防火墙规则中使用服务帐户 and/or 标签来处理对等 VPC 设置中的跨 VPC 流量吗?
根据官方 documentation。
标记和服务帐户不可跨对等网络使用
我有 2 个对等 VPC,aaa
和 bbb
。
在 aaa
中,我有一个带有网络标记 tag-aaa
的虚拟机 host-aaa
,在 bbb
中,我有一个带有网络标记的虚拟机 host-bbb
tag-bbb
.
我可以在 aaa
中创建一个防火墙规则 允许根据网络标签从 host-bbb
进入 进入 host-aaa
吗?
也就是像
这样的防火墙规则network: aaa
direction: ingress
action: allow
target-tag: tag-aaa
source-tag: tag-bbb
protocols: allow-all
创建此规则时,我没有观察到它起作用。如果我使用服务帐户作为目标和源过滤器,也是一样。 host-bbb
无法 ping host-aaa
。 但是 当我创建一个防火墙规则来过滤基于 IP 地址 的来源时,它就起作用了。如果我允许 host-bbb
所在的 IP 范围,则它允许进入 host-aaa
.
那么,我的问题是:
我可以在防火墙规则中使用服务帐户 and/or 标签来处理对等 VPC 设置中的跨 VPC 流量吗?
根据官方 documentation。
标记和服务帐户不可跨对等网络使用