שימוש במדיניות חומת אש בין רשתות גלובליות כדי להגן על מאזני עומסים מבוססי Envoy

כדי להגביל את התעבורה לשרתי ה-proxy המנוהלים של Envoy בתת-רשת של שרת proxy בלבד, אפשר להגדיר מדיניות גלובלית של חומת אש ברשת כדי להגן על מאזני עומסים פנימיים של אפליקציות ועל מאזני עומסים פנימיים של רשתות proxy.

במאמר הזה מוסבר איך מגדירים כלל גלובלי במדיניות חומת אש ברשת שחל על מאזני עומסים פנימיים של אפליקציות ועל מאזני עומסים פנימיים של רשתות בשרת proxy.

מאזני עומסים פנימיים של אפליקציות (ALB) ומאזני עומסי רשת פנימיים לשרת proxy צריכים לעמוד בדרישות הבאות של כללי חומת האש, ויש להם את האפשרויות הבאות:

  • כללי חומת אש שחלים על השרתים העורפיים של מאזן העומסים: אם אתם משתמשים בקבוצות של מכונות וירטואליות או בשרתים עורפיים של GCE_VM_IP_PORT קבוצות נקודות קצה ברשת (NEG) אזוריות, אתם צריכים להגדיר כללי חומת אש שמאפשרים לשרתי ה-proxy המנוהלים של Envoy להתחבר למכונות הווירטואליות של השרת העורפי.

  • כללי חומת אש שחלים על שרתי Envoy proxy מנוהלים: הכללים האלה מספקים בקרת גישה אופציונלית לכללי העברה של מאזן עומסים. האפשרות הזו שימושית אם מאזן העומסים משתמש בקבוצות אזוריות של נקודות קצה ברשת האינטרנט (NEGs) או ב קבוצות של נקודות קצה ב-Private Service Connect (PSC).

יצירת משאבי איזון העומסים

לפני שמגדירים כללים ומדיניות של חומת אש, צריך להגדיר את משאבי איזון העומסים הנדרשים. המשאבים האלה כוללים רשת של ענן וירטואלי פרטי (VPC), רשתות משנה, מאזן עומסים עם קצוות עורפיים וכלל העברה, ומופע של מכונה וירטואלית של לקוח לבדיקת הקישוריות.

כדי ליצור ולהגדיר את המשאבים של מאזן העומסים שבחרתם, תוכלו לעיין במסמכים הבאים:

אחרי שיוצרים את המשאבים, חשוב לשים לב לפרטים הבאים. בהמשך הדף מוסבר איך להשתמש בפרטים האלה כדי להגדיר כללי מדיניות וכללי חומת אש:

  • השם וכתובת ה-IP של כלל ההעברה
  • השם של רשת ה-VPC
  • כתובת ה-IP של המקור שמתחברת למאזן העומסים. לצורך בדיקה, הכתובת הזו יכולה להיות כתובת ה-IP של מכונת ה-VM לבדיקה שיצרתם כדי לוודא את הקישוריות למאזן העומסים.

יצירת משאבים של Cloud NGFW

  1. יוצרים מדיניות גלובלית של חומת אש בין רשתות. מידע נוסף זמין במאמר יצירת מדיניות גלובלית של חומת אש לרשת.

  2. משייכים את מדיניות חומת האש לרשת ה-VPC.

    כדי להחיל כללים של מדיניות חומת אש על כלל העברה של מאזן עומסים, צריך לשייך את המדיניות לרשת ה-VPC שמכילה את כלל ההעברה. שיוך המדיניות מפעיל את הכללים ברשת הזו.

  3. כדי לשלוט בתעבורת הנתונים שמגיעה למאזן העומסים, יוצרים כללים של חומת אש לתעבורת נתונים נכנסת (ingress) במדיניות גלובלית של חומת אש ברשת. בניגוד ליעדי מכונות וירטואליות, תעבורת נכנסת מותרת כשלא חלים כללי חומת אש על שרתי ה-proxy המנוהלים של Envoy שמשמשים מאזני עומסים פנימיים של אפליקציות ומאזני עומסים פנימיים של רשתות לשרתי proxy. כדי להגביל את הגישה לכלל העברה אחד או יותר של מאזן עומסים, צריך ליצור כללי חומת אש לתעבורת נתונים נכנסת (ingress) עם הפרמטר --target-type=INTERNAL_MANAGED_LB:

    • כלל חומת אש deny לכניסת תעבורה עם עדיפות נמוכה יותר עם --src-ip-ranges=0.0.0.0/0. ההגדרה הזו קובעת בסיס שחוסם את כל התנועה הנכנסת.

    • אחד או יותר כללי חומת אש של תעבורת נכנסת allow בעדיפות גבוהה יותר עם --src-ip-ranges שכוללים את הטווחים הבאים:

    כדי לטרגט כלל העברה ספציפי, מגדירים את --target-forwarding-rules לכלל העברה יחיד של מאזן עומסים בפורמט הנתמך. אם רוצים להחיל את מדיניות חומת האש ואת הכללים שלה על מאזני עומסים פנימיים של אפליקציות (ALB) ועל מאזני עומסים פנימיים של רשת לשרת proxy ברשת VPC, לא מציינים את האפשרות --target-forwarding-rules.

  4. צפייה ביומני חומת האש. מידע נוסף זמין במאמר בנושא צפייה ביומנים.