Para restringir el tráfico a los proxies de Envoy administrados en una subred de solo proxy, puedes configurar políticas de firewall de red globales para proteger los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos.
En este documento, se describe cómo configurar una regla de política de firewall de red global que se aplica a los balanceadores de cargas de aplicaciones internos y a los balanceadores de cargas de red de proxy internos.
Los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos tienen los siguientes requisitos y opciones de reglas de firewall:
Reglas de firewall que se aplican a los backends del balanceador de cargas: Si usas grupos de instancias o
GCE_VM_IP_PORTgrupos de extremos de red (NEG) zonales backends, debes configurar reglas de firewall que permitan que los proxies de Envoy administrados se conecten a las VMs de backend.Reglas de firewall que se aplican a los proxies de Envoy administrados: Estas reglas proporcionan control de acceso opcional para las reglas de reenvío del balanceador de cargas. Esto es útil si el balanceador de cargas usa NEGs de Internet regionales o NEGs de Private Service Connect.
Crea los recursos de balanceo de cargas
Antes de configurar las reglas y políticas de firewall, configura los recursos de balanceo de cargas necesarios. Estos recursos incluyen una red de nube privada virtual (VPC), subredes, un balanceador de cargas con backends y una regla de reenvío, y una instancia de VM de cliente para probar la conectividad.
Para crear y configurar los recursos del balanceador de cargas elegido, consulta los siguientes documentos:
- Configura un balanceador de cargas de aplicaciones interno entre regiones con backends de grupos de instancias de VM
- Configura un balanceador de cargas de aplicaciones interno regional con backends de grupos de instancias de VM.
- Configura un balanceador de cargas de red de proxy interno entre regiones con backends de grupos de instancias de VM
- Configura un balanceador de cargas de red de proxy interno regional con backends de grupos de instancias de VM
Después de crear los recursos, ten en cuenta los siguientes detalles. Usa estos detalles para configurar las reglas y políticas de firewall más adelante en esta página:
- El nombre y la dirección IP de la regla de reenvío
- El nombre de la red de VPC
- La dirección IP de origen que se conecta al balanceador de cargas. Para las pruebas, esta dirección puede ser la dirección IP de la instancia de VM de prueba que creaste para verificar la conectividad con el balanceador de cargas.
Crea recursos de Cloud NGFW
Crear una política de firewall de red global Para obtener más información, consulta Crea una política de firewall de red global.
Asocia la política de firewall con la red de VPC.
Para aplicar reglas de política de firewall a una regla de reenvío del balanceador de cargas, debes asociar la política con la red de VPC que contiene la regla de reenvío. La asociación de la política activa las reglas en esa red.
Para controlar el tráfico que llega al balanceador de cargas, crea reglas de firewall de entrada en una política de firewall de red global policy. A diferencia de los destinos de VM, se permite la entrada cuando no se aplican reglas de firewall a los proxies de Envoy administrados que usan los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos. Para restringir el acceso a una o más reglas de reenvío del balanceador de cargas, debes crear reglas de firewall de entrada con el parámetro
--target-type=INTERNAL_MANAGED_LB:Una regla de firewall de entrada
denyde menor prioridad con--src-ip-ranges=0.0.0.0/0. Esto establece una línea de base que deniega todo el tráfico entrante.Una o más reglas de firewall de entrada
allowde mayor prioridad con--src-ip-rangesque incluyen los siguientes rangos:Las direcciones IP de los clientes aprobados.
Las direcciones IP de los sondeos de verificación de estado de Google. Para obtener más información, consulta Rangos de IP del sondeo para frontends de balanceador de cargas basados en Envoy administrados seleccionados en la descripción general de las verificaciones de estado.
Para segmentar una regla de reenvío específica, establece
--target-forwarding-rulesen una sola regla de reenvío del balanceador de cargas en el formato admitido. Si deseas aplicar la política de firewall y sus reglas a los balanceadores de cargas de aplicaciones internos y a los balanceadores de cargas de red de proxy internos de una red de VPC, no especifiques la marca--target-forwarding-rules.Visualiza los registros de firewall. Para obtener más información, consulta Visualiza registros.