Usa políticas de firewall de red globales para proteger los balanceadores de cargas basados en Envoy

Para restringir el tráfico a los proxies de Envoy administrados en una subred de solo proxy, puedes configurar políticas de firewall de red globales para proteger los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos.

En este documento, se describe cómo configurar una regla de política de firewall de red global que se aplica a los balanceadores de cargas de aplicaciones internos y a los balanceadores de cargas de red de proxy internos.

Los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos tienen los siguientes requisitos y opciones de reglas de firewall:

  • Reglas de firewall que se aplican a los backends del balanceador de cargas: Si usas grupos de instancias o GCE_VM_IP_PORT grupos de extremos de red (NEG) zonales backends, debes configurar reglas de firewall que permitan que los proxies de Envoy administrados se conecten a las VMs de backend.

  • Reglas de firewall que se aplican a los proxies de Envoy administrados: Estas reglas proporcionan control de acceso opcional para las reglas de reenvío del balanceador de cargas. Esto es útil si el balanceador de cargas usa NEGs de Internet regionales o NEGs de Private Service Connect.

Crea los recursos de balanceo de cargas

Antes de configurar las reglas y políticas de firewall, configura los recursos de balanceo de cargas necesarios. Estos recursos incluyen una red de nube privada virtual (VPC), subredes, un balanceador de cargas con backends y una regla de reenvío, y una instancia de VM de cliente para probar la conectividad.

Para crear y configurar los recursos del balanceador de cargas elegido, consulta los siguientes documentos:

Después de crear los recursos, ten en cuenta los siguientes detalles. Usa estos detalles para configurar las reglas y políticas de firewall más adelante en esta página:

  • El nombre y la dirección IP de la regla de reenvío
  • El nombre de la red de VPC
  • La dirección IP de origen que se conecta al balanceador de cargas. Para las pruebas, esta dirección puede ser la dirección IP de la instancia de VM de prueba que creaste para verificar la conectividad con el balanceador de cargas.

Crea recursos de Cloud NGFW

  1. Crear una política de firewall de red global Para obtener más información, consulta Crea una política de firewall de red global.

  2. Asocia la política de firewall con la red de VPC.

    Para aplicar reglas de política de firewall a una regla de reenvío del balanceador de cargas, debes asociar la política con la red de VPC que contiene la regla de reenvío. La asociación de la política activa las reglas en esa red.

  3. Para controlar el tráfico que llega al balanceador de cargas, crea reglas de firewall de entrada en una política de firewall de red global policy. A diferencia de los destinos de VM, se permite la entrada cuando no se aplican reglas de firewall a los proxies de Envoy administrados que usan los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos. Para restringir el acceso a una o más reglas de reenvío del balanceador de cargas, debes crear reglas de firewall de entrada con el parámetro --target-type=INTERNAL_MANAGED_LB:

    • Una regla de firewall de entrada deny de menor prioridad con --src-ip-ranges=0.0.0.0/0. Esto establece una línea de base que deniega todo el tráfico entrante.

    • Una o más reglas de firewall de entrada allow de mayor prioridad con --src-ip-ranges que incluyen los siguientes rangos:

    Para segmentar una regla de reenvío específica, establece --target-forwarding-rules en una sola regla de reenvío del balanceador de cargas en el formato admitido. Si deseas aplicar la política de firewall y sus reglas a los balanceadores de cargas de aplicaciones internos y a los balanceadores de cargas de red de proxy internos de una red de VPC, no especifiques la marca --target-forwarding-rules.

  4. Visualiza los registros de firewall. Para obtener más información, consulta Visualiza registros.