プロキシ専用サブネット内のマネージド Envoy プロキシへのトラフィックを制限するには、グローバル ネットワーク ファイアウォール ポリシーを構成して、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサを保護します。
このドキュメントでは、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサに適用されるグローバル ネットワーク ファイアウォール ポリシー ルールを設定する方法について説明します。
内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサには、次のファイアウォール ルールの要件とオプションがあります。
ロードバランサ バックエンドに適用されるファイアウォール ルール: インスタンス グループまたは
GCE_VM_IP_PORTゾーン ネットワーク エンドポイント グループ(NEG)バックエンドを使用する場合は、マネージド Envoy プロキシがバックエンド VM に接続できるようにするファイアウォール ルールを構成する必要があります。マネージド Envoy プロキシに適用されるファイアウォール ルール: これらのルールは、ロードバランサ転送ルールのオプションのアクセス制御を提供します。これは、ロードバランサがリージョン インターネット NEG または Private Service Connect NEG を使用する場合に便利です。
ロード バランシング リソースを作成する
ファイアウォール ルールとポリシーを構成する前に、必要なロード バランシング リソースを設定します。これらのリソースには、Virtual Private Cloud(VPC)ネットワーク、サブネット、バックエンドと転送ルールを含むロードバランサ、接続をテストするためのクライアント VM インスタンスが含まれます。
選択したロードバランサのリソースを作成して構成するには、次のドキュメントをご覧ください。
- VM インスタンス グループのバックエンドを使用してクロスリージョン内部アプリケーション ロードバランサを設定する
- VM インスタンス グループのバックエンドを使用してリージョン内部アプリケーション ロードバランサを設定する
- VM インスタンス グループのバックエンドを使用してクロスリージョン内部プロキシ ネットワーク ロードバランサを設定する
- VM インスタンス グループのバックエンドを使用してリージョン内部プロキシ ネットワーク ロードバランサを設定する
リソースを作成したら、次の詳細をメモします。このページで後ほどファイアウォール ルールとポリシーを構成する際に、これらの詳細を使用します。
- 転送ルールの名前と IP アドレス
- VPC ネットワークの名前
- ロードバランサに接続する送信元 IP アドレス。テストの場合、このアドレスは、ロードバランサとの接続を確認するために作成したテスト VM インスタンスの IP アドレスにできます。
Cloud NGFW リソースを作成する
グローバル ネットワーク ファイアウォール ポリシーを作成します。詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するをご覧ください。
ファイアウォール ポリシーを VPC ネットワークに関連付けます。
ファイアウォール ポリシー ルールをロードバランサ転送ルールに適用するには、転送ルールを含む VPC ネットワークにポリシーを関連付ける必要があります。ポリシーを関連付けると、そのネットワークのルールが有効になります。
ロードバランサに到達するトラフィックを制御するには、グローバル ネットワーク ファイアウォール ポリシーで上り(内向き)ファイアウォール ルールを作成します。VM ターゲットとは異なり、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサで使用されるマネージド Envoy プロキシにファイアウォール ルールが適用されない場合、上り(内向き)は許可されます。1 つ以上のロードバランサ転送ルールへのアクセスを制限するには、
--target-type=INTERNAL_MANAGED_LBパラメータを使用して上り(内向き)ファイアウォール ルールを作成する必要があります。--src-ip-ranges=0.0.0.0/0を含む優先度の低い内向きdenyファイアウォール ルール。これにより、すべての受信トラフィックを拒否するベースラインが設定されます。次の範囲を含む
--src-ip-rangesを持つ、優先度の高い 1 つ以上の上り(内向き)allowファイアウォール ルール:承認済みクライアントの IP アドレス。
Google ヘルスチェック プローブの IP アドレス。詳細については、ヘルスチェックの概要の一部のマネージド Envoy ベースのロードバランサ フロントエンドのプローブ IP 範囲をご覧ください。
特定の転送ルールをターゲットにするには、
--target-forwarding-rulesをサポートされている形式の単一のロードバランサ転送ルールに設定します。ファイアウォール ポリシーとそのルールを VPC ネットワークの内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサに適用する場合は、--target-forwarding-rulesフラグを指定しないでください。ファイアウォール ログを表示します。詳細については、ログの表示をご覧ください。