Pour limiter le trafic aux proxys Envoy gérés dans un sous-réseau proxy réservé, vous pouvez configurer des règles de pare-feu réseau globales afin de protéger les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes.
Ce document explique comment configurer une règle de stratégie de pare-feu de réseau mondial qui s'applique aux équilibreurs de charge d'application internes et aux équilibreurs de charge réseau proxy internes.
Les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes présentent les exigences et les options suivantes concernant les règles de pare-feu :
Règles de pare-feu s'appliquant aux backends de l'équilibreur de charge : si vous utilisez des groupes d'instances ou des backends de groupes de points de terminaison réseau (NEG) zonaux
GCE_VM_IP_PORT, vous devez configurer des règles de pare-feu qui autorisent les proxys Envoy gérés à se connecter aux VM de backend.Règles de pare-feu qui s'appliquent aux proxys Envoy gérés : ces règles fournissent un contrôle d'accès facultatif pour les règles de transfert de l'équilibreur de charge. Cela est utile si l'équilibreur de charge utilise des NEG Internet régionaux ou des NEG Private Service Connect.
Créer les ressources d'équilibrage de charge
Avant de configurer des règles et des stratégies de pare-feu, configurez les ressources d'équilibrage de charge requises. Ces ressources incluent un réseau de cloud privé virtuel (VPC), des sous-réseaux, un équilibreur de charge avec des backends et une règle de transfert, ainsi qu'une instance de VM cliente pour tester la connectivité.
Pour créer et configurer les ressources de l'équilibreur de charge de votre choix, consultez les documents suivants :
- Configurer un équilibreur de charge d'application interne interrégional avec des backends de groupes d'instances de VM
- Configurer un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM
- Configurez un équilibreur de charge réseau proxy interne interrégional avec des backends de groupes d'instances de VM.
- Configurer un équilibreur de charge réseau proxy interne régional avec des backends de groupes d'instances de VM
Une fois les ressources créées, notez les informations suivantes. Utilisez ces informations pour configurer les règles et les stratégies de pare-feu plus loin sur cette page :
- Nom et adresse IP de la règle de transfert
- Nom du réseau VPC
- Adresse IP source qui se connecte à l'équilibreur de charge. Pour les tests, cette adresse peut être l'adresse IP de l'instance de VM de test que vous avez créée pour vérifier la connectivité avec l'équilibreur de charge.
Créer des ressources Cloud NGFW
Créer une stratégie de pare-feu de réseau au niveau mondial Pour en savoir plus, consultez Créer une stratégie de pare-feu réseau au niveau mondial.
Associez la stratégie de pare-feu au réseau VPC.
Pour appliquer des règles de stratégie de pare-feu à une règle de transfert d'équilibreur de charge, vous devez associer la stratégie au réseau VPC qui contient la règle de transfert. L'association de la stratégie active les règles sur ce réseau.
Pour contrôler le trafic qui atteint l'équilibreur de charge, créez des règles de pare-feu d'entrée dans une stratégie de pare-feu réseau au niveau mondial. Contrairement aux cibles de VM, le trafic entrant est autorisé lorsqu'aucune règle de pare-feu ne s'applique aux proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes. Pour restreindre l'accès à une ou plusieurs règles de transfert d'équilibreur de charge, vous devez créer des règles de pare-feu d'entrée avec le paramètre
--target-type=INTERNAL_MANAGED_LB:Une règle de pare-feu d'entrée
denyde priorité inférieure avec--src-ip-ranges=0.0.0.0/0. Cela définit une base de référence qui refuse tout trafic entrant.Une ou plusieurs règles de pare-feu
allowentrantes de priorité plus élevée avec--src-ip-rangesincluant les plages suivantes :Adresses IP des clients approuvés.
Adresses IP des vérifications de l'état Google. Pour en savoir plus, consultez Plages d'adresses IP de vérification pour certains équilibreurs de charge gérés basés sur Envoy dans la présentation des vérifications d'état.
Pour cibler une règle de transfert spécifique, définissez
--target-forwarding-rulessur une seule règle de transfert d'équilibreur de charge au format accepté. Si vous souhaitez appliquer la règle de pare-feu et ses règles aux équilibreurs de charge d'application internes et aux équilibreurs de charge réseau proxy internes d'un réseau VPC, ne spécifiez pas l'indicateur--target-forwarding-rules.Affichez les journaux de pare-feu. Pour en savoir plus, consultez Afficher les journaux.