כדי להגביל את התעבורה לשרתי ה-proxy המנוהלים של Envoy בתת-רשת של שרת proxy בלבד, אפשר להגדיר מדיניות גלובלית של חומת אש ברשת כדי להגן על מאזני עומסים פנימיים של אפליקציות ועל מאזני עומסים פנימיים של רשתות proxy.
במאמר הזה מוסבר איך מגדירים כלל גלובלי במדיניות חומת אש ברשת שחל על מאזני עומסים פנימיים של אפליקציות ועל מאזני עומסים פנימיים של רשתות בשרת proxy.
מאזני עומסים פנימיים של אפליקציות (ALB) ומאזני עומסי רשת פנימיים לשרת proxy צריכים לעמוד בדרישות הבאות של כללי חומת האש, ויש להם את האפשרויות הבאות:
כללי חומת אש שחלים על השרתים העורפיים של מאזן העומסים: אם אתם משתמשים בקבוצות של מכונות וירטואליות או בשרתים עורפיים של
GCE_VM_IP_PORTקבוצות נקודות קצה ברשת (NEG) אזוריות, אתם צריכים להגדיר כללי חומת אש שמאפשרים לשרתי ה-proxy המנוהלים של Envoy להתחבר למכונות הווירטואליות של השרת העורפי.כללי חומת אש שחלים על שרתי Envoy proxy מנוהלים: הכללים האלה מספקים בקרת גישה אופציונלית לכללי העברה של מאזן עומסים. האפשרות הזו שימושית אם מאזן העומסים משתמש בקבוצות אזוריות של נקודות קצה ברשת האינטרנט (NEGs) או ב קבוצות של נקודות קצה ב-Private Service Connect (PSC).
יצירת משאבי איזון העומסים
לפני שמגדירים כללים ומדיניות של חומת אש, צריך להגדיר את משאבי איזון העומסים הנדרשים. המשאבים האלה כוללים רשת של ענן וירטואלי פרטי (VPC), רשתות משנה, מאזן עומסים עם קצוות עורפיים וכלל העברה, ומופע של מכונה וירטואלית של לקוח לבדיקת הקישוריות.
כדי ליצור ולהגדיר את המשאבים של מאזן העומסים שבחרתם, תוכלו לעיין במסמכים הבאים:
- הגדרת מאזן עומסים פנימי של אפליקציות (ALB) בכמה אזורים עם קצה עורפי של קבוצת מכונות וירטואליות
- הגדרת מאזן עומסים פנימי אזורי של אפליקציות (ALB) עם קצה עורפי של קבוצת מכונות VM
- הגדרה של מאזן עומסי רשת פנימי לשרת proxy בין אזורים עם מערכות בק-אנד של קבוצות מופעי מכונה
- הגדרה של מאזן עומסי רשת אזורי פנימי לשרת proxy עם קצוות עורפיים של קבוצת מכונות וירטואליות
אחרי שיוצרים את המשאבים, חשוב לשים לב לפרטים הבאים. בהמשך הדף מוסבר איך להשתמש בפרטים האלה כדי להגדיר כללי מדיניות וכללי חומת אש:
- השם וכתובת ה-IP של כלל ההעברה
- השם של רשת ה-VPC
- כתובת ה-IP של המקור שמתחברת למאזן העומסים. לצורך בדיקה, הכתובת הזו יכולה להיות כתובת ה-IP של מכונת ה-VM לבדיקה שיצרתם כדי לוודא את הקישוריות למאזן העומסים.
יצירת משאבים של Cloud NGFW
יוצרים מדיניות גלובלית של חומת אש בין רשתות. מידע נוסף זמין במאמר יצירת מדיניות גלובלית של חומת אש לרשת.
משייכים את מדיניות חומת האש לרשת ה-VPC.
כדי להחיל כללים של מדיניות חומת אש על כלל העברה של מאזן עומסים, צריך לשייך את המדיניות לרשת ה-VPC שמכילה את כלל ההעברה. שיוך המדיניות מפעיל את הכללים ברשת הזו.
כדי לשלוט בתעבורת הנתונים שמגיעה למאזן העומסים, יוצרים כללים של חומת אש לתעבורת נתונים נכנסת (ingress) במדיניות גלובלית של חומת אש ברשת. בניגוד ליעדי מכונות וירטואליות, תעבורת נכנסת מותרת כשלא חלים כללי חומת אש על שרתי ה-proxy המנוהלים של Envoy שמשמשים מאזני עומסים פנימיים של אפליקציות ומאזני עומסים פנימיים של רשתות לשרתי proxy. כדי להגביל את הגישה לכלל העברה אחד או יותר של מאזן עומסים, צריך ליצור כללי חומת אש לתעבורת נתונים נכנסת (ingress) עם הפרמטר
--target-type=INTERNAL_MANAGED_LB:כלל חומת אש
denyלכניסת תעבורה עם עדיפות נמוכה יותר עם--src-ip-ranges=0.0.0.0/0. ההגדרה הזו קובעת בסיס שחוסם את כל התנועה הנכנסת.אחד או יותר כללי חומת אש של תעבורת נכנסת
allowבעדיפות גבוהה יותר עם--src-ip-rangesשכוללים את הטווחים הבאים:כתובות ה-IP של הלקוחות שאושרו.
כתובות ה-IP של בדיקות התקינות של Google. מידע נוסף זמין במאמר טווחים של כתובות IP של בדיקות עבור חזיתות נבחרות של מאזני עומסים מנוהלים מבוססי Envoy בסקירה הכללית על בדיקות תקינות.
כדי לטרגט כלל העברה ספציפי, מגדירים את
--target-forwarding-rulesלכלל העברה יחיד של מאזן עומסים בפורמט הנתמך. אם רוצים להחיל את מדיניות חומת האש ואת הכללים שלה על מאזני עומסים פנימיים של אפליקציות (ALB) ועל מאזני עומסים פנימיים של רשת לשרת proxy ברשת VPC, לא מציינים את האפשרות--target-forwarding-rules.צפייה ביומני חומת האש. מידע נוסף זמין במאמר בנושא צפייה ביומנים.