Per limitare il traffico ai proxy Envoy gestiti in una subnet solo proxy, puoi configurare policy del firewall di rete globali per proteggere i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni.
Questo documento descrive come configurare una regola della policy del firewall di rete globale che si applica ai bilanciatori del carico delle applicazioni interni e ai bilanciatori del carico di rete proxy interni.
I bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni hanno i seguenti requisiti e opzioni per le regole firewall:
Regole firewall che si applicano ai backend del bilanciatore del carico: se utilizzi gruppi di istanze o
GCE_VM_IP_PORTgruppi di endpoint di rete (NEG) zonali backend, devi configurare regole firewall che consentano ai proxy Envoy gestiti di connettersi alle VM di backend.Regole firewall che si applicano ai proxy Envoy gestiti: queste regole forniscono il controllo dell'accesso facoltativo per le regole di forwarding del bilanciatore del carico. Questa opzione è utile se il bilanciatore del carico utilizza NEG di internet regionali o NEG di Private Service Connect.
Crea le risorse di bilanciamento del carico
Prima di configurare le regole e le policy firewall, configura le risorse di bilanciamento del carico richieste. Queste risorse includono una rete Virtual Private Cloud (VPC), subnet, un bilanciatore del carico con backend e una regola di forwarding e un'istanza VM client per testare la connettività.
Per creare e configurare le risorse per il bilanciatore del carico scelto, consulta i seguenti documenti:
- Configura un bilanciatore del carico delle applicazioni interno tra regioni con backend di gruppi di istanze VM
- Configura un bilanciatore del carico delle applicazioni interno regionale con backend di gruppi di istanze VM
- Configura un bilanciatore del carico di rete proxy interno tra regioni con backend di gruppi di istanze VM
- Configura un bilanciatore del carico di rete proxy interno regionale con backend di gruppi di istanze VM
Dopo aver creato le risorse, prendi nota dei seguenti dettagli. Utilizza questi dettagli per configurare le regole e le policy firewall più avanti in questa pagina:
- Il nome e l'indirizzo IP della regola di forwarding
- Il nome della rete VPC
- L'indirizzo IP di origine che si connette al bilanciatore del carico. Per i test, questo indirizzo può essere l'indirizzo IP dell'istanza VM di test che hai creato per verificare la connettività con il bilanciatore del carico.
Crea risorse Cloud NGFW
Crea una policy del firewall di rete globale. Per saperne di più, consulta Crea una policy del firewall di rete globale.
Associa la policy del firewall alla rete VPC.
Per applicare le regole della policy del firewall a una regola di forwarding del bilanciatore del carico, devi associare la policy alla rete VPC che contiene la regola di forwarding. L'associazione della policy attiva le regole nella rete.
Per controllare il traffico che raggiunge il bilanciatore del carico, crea regole firewall in entrata in una policy del firewall di rete globale. A differenza delle destinazioni VM, l'ingresso è consentito quando non si applicano regole firewall ai proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete proxy interni. Per limitare l'accesso a una o più regole di forwarding del bilanciatore del carico, devi creare regole firewall in entrata con il parametro
--target-type=INTERNAL_MANAGED_LB:Una regola firewall in entrata
denya priorità inferiore con--src-ip-ranges=0.0.0.0/0. Questa regola imposta una baseline che nega tutto il traffico in entrata.Una o più regole firewall in entrata
allowa priorità più alta con--src-ip-rangesche includono i seguenti intervalli:Gli indirizzi IP dei client approvati.
Gli indirizzi IP dei probe del controllo di integrità di Google. Per saperne di più, consulta Intervalli IP dei probe per i frontend dei bilanciatori del carico basati su Envoy gestiti selezionati nella panoramica dei controlli di integrità.
Per indirizzare una regola di forwarding specifica, imposta
--target-forwarding-rulessu una singola regola di forwarding del bilanciatore del carico nel formato supportato. Se vuoi applicare la policy del firewall e le relative regole ai bilanciatori del carico delle applicazioni interni e ai bilanciatori del carico di rete proxy interni di una rete VPC, non specificare il flag--target-forwarding-rules.Visualizza i log firewall. Per saperne di più, consulta Visualizza i log.