프록시 전용 서브넷의 관리형 Envoy 프록시로 트래픽을 제한하려면 전역 네트워크 방화벽 정책을 구성하여 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기를 보호하면 됩니다.
이 문서에서는 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에 적용되는 전역 네트워크 방화벽 정책 규칙을 설정하는 방법을 설명합니다.
내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에는 다음 방화벽 규칙 요구사항과 옵션이 있습니다.
부하 분산기 백엔드에 적용되는 방화벽 규칙: 인스턴스 그룹 또는
GCE_VM_IP_PORT영역별 네트워크 엔드포인트 그룹 (NEG) 백엔드를 사용하는 경우 관리형 Envoy 프록시가 백엔드 VM에 연결할 수 있도록 허용하는 방화벽 규칙을 구성해야 합니다.관리형 Envoy 프록시에 적용되는 방화벽 규칙: 이러한 규칙은 부하 분산기 전달 규칙에 선택적 액세스 제어를 제공합니다. 이는 부하 분산기가 리전 인터넷 NEG 또는 Private Service Connect NEG를 사용하는 경우에 유용합니다.
부하 분산 리소스 만들기
방화벽 규칙과 정책을 구성하기 전에 필요한 부하 분산 리소스를 설정하세요. 이러한 리소스에는 가상 프라이빗 클라우드 (VPC) 네트워크, 서브넷, 백엔드와 전달 규칙이 있는 부하 분산기, 연결 테스트를 위한 클라이언트 VM 인스턴스가 포함됩니다.
선택한 부하 분산기의 리소스를 만들고 구성하려면 다음 문서를 참고하세요.
- VM 인스턴스 그룹 백엔드로 리전 간 내부 애플리케이션 부하 분산기 설정
- VM 인스턴스 그룹 백엔드로 리전 내부 애플리케이션 부하 분산기 설정
- VM 인스턴스 그룹 백엔드로 교차 리전 내부 프록시 네트워크 부하 분산기 설정
- VM 인스턴스 그룹 백엔드로 리전 내부 프록시 네트워크 부하 분산기 설정
리소스를 만든 후 다음 세부정보를 기록합니다. 이 세부정보를 사용하여 이 페이지에서 나중에 방화벽 규칙 및 정책을 구성합니다.
- 전달 규칙의 이름 및 IP 주소
- VPC 네트워크의 이름
- 부하 분산기에 연결되는 소스 IP 주소입니다. 테스트의 경우 이 주소는 부하 분산기와의 연결을 확인하기 위해 만든 테스트 VM 인스턴스의 IP 주소일 수 있습니다.
Cloud NGFW 리소스 만들기
전역 네트워크 방화벽 정책을 만듭니다. 자세한 내용은 전역 네트워크 방화벽 정책 만들기를 참고하세요.
방화벽 정책을 VPC 네트워크와 연결합니다.
부하 분산기 전달 규칙에 방화벽 정책 규칙을 적용하려면 전달 규칙이 포함된 VPC 네트워크에 정책을 연결해야 합니다. 정책을 연결하면 해당 네트워크의 규칙이 활성화됩니다.
부하 분산기에 도달하는 트래픽을 제어하려면 전역 네트워크 방화벽 정책에서 인그레스 방화벽 규칙을 만드세요. VM 대상과 달리 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에서 사용하는 관리 Envoy 프록시에 적용되는 방화벽 규칙이 없으면 인그레스가 허용됩니다. 하나 이상의 로드 밸런서 전달 규칙에 대한 액세스를 제한하려면
--target-type=INTERNAL_MANAGED_LB매개변수를 사용하여 인그레스 방화벽 규칙을 만들어야 합니다.--src-ip-ranges=0.0.0.0/0이 있는 우선순위가 낮은 인그레스deny방화벽 규칙 1개 이렇게 하면 모든 수신 트래픽을 거부하는 기준이 설정됩니다.다음 범위를 포함하는
--src-ip-ranges이 있는 하나 이상의 우선순위가 더 높은 인그레스allow방화벽 규칙승인된 클라이언트의 IP 주소입니다.
Google 상태 점검 프로브의 IP 주소입니다. 자세한 내용은 상태 점검 개요의 선택한 관리 Envoy 기반 부하 분산기 프런트엔드의 프로브 IP 범위를 참고하세요.
특정 전달 규칙을 타겟팅하려면
--target-forwarding-rules을 지원되는 형식의 단일 부하 분산기 전달 규칙으로 설정합니다. 방화벽 정책과 규칙을 VPC 네트워크의 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에 적용하려면--target-forwarding-rules플래그를 지정하지 마세요.방화벽 로그를 확인합니다. 자세한 내용은 로그 보기를 참고하세요.