グローバル ネットワーク ファイアウォール ポリシーを使用して Envoy ベースのロードバランサを保護する

プロキシ専用サブネット内のマネージド Envoy プロキシへのトラフィックを制限するには、グローバル ネットワーク ファイアウォール ポリシーを構成して、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサを保護します。

このドキュメントでは、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサに適用されるグローバル ネットワーク ファイアウォール ポリシー ルールを設定する方法について説明します。

内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサには、次のファイアウォール ルールの要件とオプションがあります。

  • ロードバランサ バックエンドに適用されるファイアウォール ルール: インスタンス グループまたは GCE_VM_IP_PORT ゾーン ネットワーク エンドポイント グループ(NEG)バックエンドを使用する場合は、マネージド Envoy プロキシがバックエンド VM に接続できるようにするファイアウォール ルールを構成する必要があります。

  • マネージド Envoy プロキシに適用されるファイアウォール ルール: これらのルールは、ロードバランサ転送ルールのオプションのアクセス制御を提供します。これは、ロードバランサがリージョン インターネット NEG または Private Service Connect NEG を使用する場合に便利です。

ロード バランシング リソースを作成する

ファイアウォール ルールとポリシーを構成する前に、必要なロード バランシング リソースを設定します。これらのリソースには、Virtual Private Cloud(VPC)ネットワーク、サブネット、バックエンドと転送ルールを含むロードバランサ、接続をテストするためのクライアント VM インスタンスが含まれます。

選択したロードバランサのリソースを作成して構成するには、次のドキュメントをご覧ください。

リソースを作成したら、次の詳細をメモします。このページで後ほどファイアウォール ルールとポリシーを構成する際に、これらの詳細を使用します。

  • 転送ルールの名前と IP アドレス
  • VPC ネットワークの名前
  • ロードバランサに接続する送信元 IP アドレス。テストの場合、このアドレスは、ロードバランサとの接続を確認するために作成したテスト VM インスタンスの IP アドレスにできます。

Cloud NGFW リソースを作成する

  1. グローバル ネットワーク ファイアウォール ポリシーを作成します。詳細については、グローバル ネットワーク ファイアウォール ポリシーを作成するをご覧ください。

  2. ファイアウォール ポリシーを VPC ネットワークに関連付けます。

    ファイアウォール ポリシー ルールをロードバランサ転送ルールに適用するには、転送ルールを含む VPC ネットワークにポリシーを関連付ける必要があります。ポリシーを関連付けると、そのネットワークのルールが有効になります。

  3. ロードバランサに到達するトラフィックを制御するには、グローバル ネットワーク ファイアウォール ポリシーで上り(内向き)ファイアウォール ルールを作成します。VM ターゲットとは異なり、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサで使用されるマネージド Envoy プロキシにファイアウォール ルールが適用されない場合、上り(内向き)は許可されます。1 つ以上のロードバランサ転送ルールへのアクセスを制限するには、--target-type=INTERNAL_MANAGED_LB パラメータを使用して上り(内向き)ファイアウォール ルールを作成する必要があります。

    • --src-ip-ranges=0.0.0.0/0 を含む優先度の低い内向き deny ファイアウォール ルール。これにより、すべての受信トラフィックを拒否するベースラインが設定されます。

    • 次の範囲を含む --src-ip-ranges を持つ、優先度の高い 1 つ以上の上り(内向き)allow ファイアウォール ルール:

    特定の転送ルールをターゲットにするには、--target-forwarding-rulesサポートされている形式の単一のロードバランサ転送ルールに設定します。ファイアウォール ポリシーとそのルールを VPC ネットワークの内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサに適用する場合は、--target-forwarding-rules フラグを指定しないでください。

  4. ファイアウォール ログを表示します。詳細については、ログの表示をご覧ください。