Utiliser des stratégies de pare-feu réseau mondiales pour protéger les équilibreurs de charge basés sur Envoy

Pour limiter le trafic aux proxys Envoy gérés dans un sous-réseau proxy réservé, vous pouvez configurer des règles de pare-feu réseau globales afin de protéger les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes.

Ce document explique comment configurer une règle de stratégie de pare-feu de réseau mondial qui s'applique aux équilibreurs de charge d'application internes et aux équilibreurs de charge réseau proxy internes.

Les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes présentent les exigences et les options suivantes concernant les règles de pare-feu :

  • Règles de pare-feu s'appliquant aux backends de l'équilibreur de charge : si vous utilisez des groupes d'instances ou des backends de groupes de points de terminaison réseau (NEG) zonaux GCE_VM_IP_PORT, vous devez configurer des règles de pare-feu qui autorisent les proxys Envoy gérés à se connecter aux VM de backend.

  • Règles de pare-feu qui s'appliquent aux proxys Envoy gérés : ces règles fournissent un contrôle d'accès facultatif pour les règles de transfert de l'équilibreur de charge. Cela est utile si l'équilibreur de charge utilise des NEG Internet régionaux ou des NEG Private Service Connect.

Créer les ressources d'équilibrage de charge

Avant de configurer des règles et des stratégies de pare-feu, configurez les ressources d'équilibrage de charge requises. Ces ressources incluent un réseau de cloud privé virtuel (VPC), des sous-réseaux, un équilibreur de charge avec des backends et une règle de transfert, ainsi qu'une instance de VM cliente pour tester la connectivité.

Pour créer et configurer les ressources de l'équilibreur de charge de votre choix, consultez les documents suivants :

Une fois les ressources créées, notez les informations suivantes. Utilisez ces informations pour configurer les règles et les stratégies de pare-feu plus loin sur cette page :

  • Nom et adresse IP de la règle de transfert
  • Nom du réseau VPC
  • Adresse IP source qui se connecte à l'équilibreur de charge. Pour les tests, cette adresse peut être l'adresse IP de l'instance de VM de test que vous avez créée pour vérifier la connectivité avec l'équilibreur de charge.

Créer des ressources Cloud NGFW

  1. Créer une stratégie de pare-feu de réseau au niveau mondial Pour en savoir plus, consultez Créer une stratégie de pare-feu réseau au niveau mondial.

  2. Associez la stratégie de pare-feu au réseau VPC.

    Pour appliquer des règles de stratégie de pare-feu à une règle de transfert d'équilibreur de charge, vous devez associer la stratégie au réseau VPC qui contient la règle de transfert. L'association de la stratégie active les règles sur ce réseau.

  3. Pour contrôler le trafic qui atteint l'équilibreur de charge, créez des règles de pare-feu d'entrée dans une stratégie de pare-feu réseau au niveau mondial. Contrairement aux cibles de VM, le trafic entrant est autorisé lorsqu'aucune règle de pare-feu ne s'applique aux proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes. Pour restreindre l'accès à une ou plusieurs règles de transfert d'équilibreur de charge, vous devez créer des règles de pare-feu d'entrée avec le paramètre --target-type=INTERNAL_MANAGED_LB :

    • Une règle de pare-feu d'entrée deny de priorité inférieure avec --src-ip-ranges=0.0.0.0/0. Cela définit une base de référence qui refuse tout trafic entrant.

    • Une ou plusieurs règles de pare-feu allow entrantes de priorité plus élevée avec --src-ip-ranges incluant les plages suivantes :

    Pour cibler une règle de transfert spécifique, définissez --target-forwarding-rules sur une seule règle de transfert d'équilibreur de charge au format accepté. Si vous souhaitez appliquer la règle de pare-feu et ses règles aux équilibreurs de charge d'application internes et aux équilibreurs de charge réseau proxy internes d'un réseau VPC, ne spécifiez pas l'indicateur --target-forwarding-rules.

  4. Affichez les journaux de pare-feu. Pour en savoir plus, consultez Afficher les journaux.