Untuk membatasi traffic ke proxy Envoy terkelola di subnet khusus proxy, Anda dapat mengonfigurasi kebijakan firewall jaringan global untuk melindungi Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal.
Dokumen ini menjelaskan cara menyiapkan aturan kebijakan firewall jaringan global yang berlaku untuk Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal.
Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal memiliki persyaratan dan opsi aturan firewall berikut:
Aturan firewall yang berlaku untuk backend load balancer: Jika Anda menggunakan grup instance atau
GCE_VM_IP_PORTGrup Endpoint Jaringan (NEG) zonal backend, Anda harus mengonfigurasi aturan firewall yang mengizinkan proxy Envoy terkelola terhubung ke VM backend.Aturan firewall yang berlaku untuk proxy Envoy terkelola: Aturan ini menyediakan kontrol akses opsional untuk aturan penerusan load balancer. Hal ini berguna jika load balancer menggunakan NEG internet regional atau NEG Private Service Connect.
Membuat resource load balancing
Sebelum mengonfigurasi aturan dan kebijakan firewall, siapkan resource load balancing yang diperlukan. Resource ini mencakup jaringan Virtual Private Cloud (VPC), subnet, load balancer dengan backend dan aturan penerusan, serta instance VM klien untuk menguji konektivitas.
Untuk membuat dan mengonfigurasi resource untuk load balancer yang Anda pilih, lihat dokumen berikut:
- Menyiapkan Load Balancer Aplikasi internal lintas region dengan backend grup instance VM
- Menyiapkan Load Balancer Aplikasi internal regional dengan backend grup instance VM
- Menyiapkan Load Balancer Jaringan proxy internal lintas region dengan backend grup instance VM
- Menyiapkan Load Balancer Jaringan proxy internal regional dengan backend grup instance VM
Setelah membuat resource, perhatikan detail berikut. Gunakan detail ini untuk mengonfigurasi aturan dan kebijakan firewall nanti di halaman ini:
- Nama dan alamat IP aturan penerusan
- Nama jaringan VPC
- Alamat IP sumber yang terhubung ke load balancer. Untuk pengujian, alamat ini dapat berupa alamat IP instance VM pengujian yang Anda buat untuk memverifikasi konektivitas dengan load balancer.
Membuat resource Cloud NGFW
Buat kebijakan firewall jaringan global. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall jaringan global.
Kaitkan kebijakan firewall dengan jaringan VPC.
Untuk menerapkan aturan kebijakan firewall ke aturan penerusan load balancer, Anda harus mengaitkan kebijakan dengan jaringan VPC yang berisi aturan penerusan. Mengaitkan kebijakan akan mengaktifkan aturan di jaringan tersebut.
Untuk mengontrol traffic yang mencapai load balancer, buat aturan firewall ingress dalam kebijakan firewall jaringan global. Tidak seperti target VM, ingress diizinkan jika tidak ada aturan firewall yang berlaku untuk proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Untuk membatasi akses ke satu atau beberapa aturan penerusan load balancer, Anda harus membuat aturan firewall ingress dengan parameter
--target-type=INTERNAL_MANAGED_LB:Satu aturan firewall ingress
denydengan prioritas lebih rendah dengan--src-ip-ranges=0.0.0.0/0. Tindakan ini menetapkan baseline yang menolak semua traffic masuk.Satu atau beberapa aturan firewall ingress
allowdengan prioritas lebih tinggi dengan--src-ip-rangesyang mencakup rentang berikut:Alamat IP klien yang disetujui.
Alamat IP probe health check Google. Untuk mengetahui informasi selengkapnya, lihat Rentang IP probe untuk frontend load balancer berbasis Envoy terkelola tertentu di Ringkasan health check.
Untuk menargetkan aturan penerusan tertentu, tetapkan
--target-forwarding-ruleske satu aturan penerusan load balancer dalam format yang didukung. Jika Anda ingin menerapkan kebijakan firewall dan aturannya ke Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal dari jaringan VPC, jangan tentukan flag--target-forwarding-rules.Lihat log firewall. Untuk mengetahui informasi selengkapnya, lihat Melihat log.