Wenn Sie den Traffic zu den verwalteten Envoy-Proxys in einem Nur-Proxy-Subnetz einschränken möchten, können Sie globale Netzwerk-Firewallrichtlinien konfigurieren, um interne Application Load Balancer und interne Proxy-Network Load Balancer zu schützen.
In diesem Dokument wird beschrieben, wie Sie eine globale Netzwerk-Firewallrichtlinienregel einrichten, die für interne Application Load Balancer und interne Proxy-Network Load Balancer gilt.
Für interne Application Load Balancer und interne Proxy-Network Load Balancer gelten die folgenden Anforderungen und Optionen für Firewallregeln:
Firewallregeln, die für die Load Balancer-Back-Ends gelten: Wenn Sie Instanzgruppen oder
GCE_VM_IP_PORTzonale Network Endpoint Groups (NEGs) -Back-Ends verwenden, müssen Sie Firewallregeln konfigurieren, die es den verwalteten Envoy -Proxys ermöglichen, eine Verbindung zu den Backend-VMs herzustellen.Firewallregeln, die für die verwalteten Envoy-Proxys gelten: Diese Regeln bieten eine optionale Zugriffs steuerung für Weiterleitungsregeln für Load Balancer. Das ist nützlich, wenn der Load Balancer regionale Internet NEGs oder Private Service Connect NEGs verwendet.
Load-Balancing-Ressourcen erstellen
Bevor Sie Firewallregeln und ‑richtlinien konfigurieren, richten Sie die erforderlichen Load-Balancing-Ressourcen ein. Zu diesen Ressourcen gehören ein VPC-Netzwerk (Virtual Private Cloud), Subnetze, ein Load Balancer mit Back-Ends und einer Weiterleitungsregel sowie eine Client-VM-Instanz zum Testen der Konnektivität.
Informationen zum Erstellen und Konfigurieren der Ressourcen für den ausgewählten Load Balancer finden Sie in den folgenden Dokumenten:
- Regionenübergreifenden internen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten
- Regionalen internen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten
- Regionenübergreifenden internen Proxy-Network Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten
- Regionalen internen Proxy-Network Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten
Notieren Sie sich nach dem Erstellen der Ressourcen die folgenden Details. Verwenden Sie diese Details, um später auf dieser Seite Firewallregeln und ‑richtlinien zu konfigurieren:
- Name und IP-Adresse der Weiterleitungsregel
- Name des VPC-Netzwerk
- Die Quell-IP-Adresse, die eine Verbindung zum Load Balancer herstellt. Zum Testen kann diese Adresse die IP-Adresse der Test-VM-Instanz sein, die Sie erstellt haben, um die Konnektivität mit dem Load Balancer zu überprüfen.
Cloud NGFW-Ressourcen erstellen
Erstellen Sie eine globale Netzwerk-Firewallrichtlinie. Weitere Informationen finden Sie unter Globale Netzwerk-Firewallrichtlinie erstellen.
Verknüpfen Sie die Firewallrichtlinie mit dem VPC-Netzwerk.
Wenn Sie Firewallrichtlinienregeln auf eine Weiterleitungsregel für einen Load Balancer anwenden möchten, müssen Sie die Richtlinie mit dem VPC-Netzwerk verknüpfen, das die Weiterleitungsregel enthält. Durch das Verknüpfen der Richtlinie werden die Regeln in diesem Netzwerk aktiviert.
Wenn Sie den Traffic steuern möchten, der den Load Balancer erreicht, erstellen Sie Firewallregeln für eingehenden Traffic in einer globalen Netzwerk-Firewallrichtlinie. Im Gegensatz zu VM-Zielen ist eingehender Traffic zulässig, wenn keine Firewallregeln auf die verwalteten Envoy-Proxys angewendet werden, die von internen Application Load Balancern und internen Proxy-Network Load Balancern verwendet werden. Wenn Sie den Zugriff auf eine oder mehrere Weiterleitungsregeln für Load Balancer einschränken möchten, müssen Sie Firewallregeln für eingehenden Traffic mit dem Parameter
--target-type=INTERNAL_MANAGED_LBerstellen:Eine Firewallregel für eingehenden Traffic mit niedrigerer Priorität
denymit--src-ip-ranges=0.0.0.0/0. Dadurch wird eine Baseline festgelegt, die den gesamten eingehenden Traffic ablehnt.Eine oder mehrere Firewallregeln für eingehenden Traffic mit höherer Priorität und
--src-ip-rangesdie die folgenden Bereiche enthalten:allowDie IP-Adressen der genehmigten Clients.
Die IP-Adressen der Google-Systemdiagnose-Tests. Weitere Informationen finden Sie unter IP-Adressen für Tests für ausgewählte verwaltete Envoy-basierte Load Balancer Front-Ends in der Übersicht zu Systemdiagnosen.
Wenn Sie eine bestimmte Weiterleitungsregel verwenden möchten, legen Sie
--target-forwarding-rulesauf eine einzelne Weiterleitungsregel für Load Balancer im unterstützten Format fest. Wenn Sie die Firewallrichtlinie und ihre Regeln auf interne Application Load Balancer und interne Proxy-Network Load Balancer eines VPC-Netzwerk anwenden möchten, geben Sie das Flag--target-forwarding-rulesnicht an.Firewall-Logs ansehen. Weitere Informationen finden Sie unter Logs ansehen.