Para restringir o tráfego aos proxies Envoy gerenciados em uma sub-rede somente proxy, configure políticas globais de firewall de rede para proteger balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos.
Neste documento, descrevemos como configurar uma regra de política de firewall de rede global que se aplica a balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos.
Os balanceadores de carga de aplicativo internos e os balanceadores de carga de rede de proxy interno têm os seguintes requisitos e opções de regra de firewall:
Regras de firewall aplicáveis aos back-ends do balanceador de carga: se você usar grupos de instâncias ou back-ends de grupos de endpoints de rede (NEG) zonais
GCE_VM_IP_PORT, configure regras de firewall que permitam que os proxies gerenciados do Envoy se conectem às VMs de back-end.Regras de firewall aplicadas aos proxies Envoy gerenciados: essas regras fornecem controle de acesso opcional para regras de encaminhamento do balanceador de carga. Isso é útil se o balanceador de carga usar NEGs regionais da Internet ou NEGs do Private Service Connect.
Criar os recursos de balanceamento de carga
Antes de configurar regras e políticas de firewall, configure os recursos de balanceamento de carga necessários. Esses recursos incluem uma rede de nuvem privada virtual (VPC), sub-redes, um balanceador de carga com back-ends e uma regra de encaminhamento, além de uma instância de VM cliente para testar a conectividade.
Para criar e configurar os recursos do balanceador de carga escolhido, consulte os seguintes documentos:
- Configurar um balanceador de carga de aplicativo interno entre regiões com back-ends de grupo de instâncias de VM
- Configurar um balanceador de carga de aplicativo externo regional com back-ends de grupos de instâncias de VM
- Configurar um balanceador de carga de rede de proxy interno entre regiões com back-ends de grupos de instâncias de VM
- Configurar um balanceador de carga de rede de proxy interno regional com back-ends de grupos de instâncias de VM
Depois de criar os recursos, observe os seguintes detalhes. Use esses detalhes para configurar regras e políticas de firewall mais adiante nesta página:
- O nome e o endereço IP da regra de encaminhamento
- O nome da rede VPC
- O endereço IP de origem que se conecta ao balanceador de carga. Para teste, esse endereço pode ser o endereço IP da instância de VM de teste que você criou para verificar a conectividade com o balanceador de carga.
Criar recursos do Cloud NGFW
Criar uma política de firewall de rede global. Para mais informações, consulte Criar uma política global de firewall de rede.
Associe a política de firewall à rede VPC.
Para aplicar regras de política de firewall a uma regra de encaminhamento do balanceador de carga, é necessário associar a política à rede VPC que contém a regra de encaminhamento. A associação da política ativa as regras nessa rede.
Para controlar o tráfego que chega ao balanceador de carga, crie regras de firewall de entrada em uma política de firewall de rede global. Ao contrário dos destinos de VM, a entrada é permitida quando nenhuma regra de firewall se aplica aos proxies Envoy gerenciados usados pelos balanceadores de carga de aplicativo internos e de rede de proxy interno. Para restringir o acesso a uma ou mais regras de encaminhamento do balanceador de carga, crie regras de firewall de entrada com o parâmetro
--target-type=INTERNAL_MANAGED_LB:Uma regra de firewall de entrada de prioridade mais baixa
denycom--src-ip-ranges=0.0.0.0/0. Isso define um valor de referência que nega todo o tráfego de entrada.Uma ou mais regras de firewall de entrada
allowde maior prioridade com--src-ip-rangesque incluem os seguintes intervalos:Os endereços IP dos clientes aprovados.
Os endereços IP das sondagens de verificação de integridade do Google. Para mais informações, consulte Intervalos de IP de sondagem para front-ends de balanceadores de carga gerenciados baseados no Envoy selecionados na visão geral das verificações de integridade.
Para segmentar uma regra de encaminhamento específica, defina
--target-forwarding-rulescomo uma única regra de encaminhamento do balanceador de carga no formato compatível. Se você quiser aplicar a política de firewall e as regras dela a balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos de uma rede VPC, não especifique a flag--target-forwarding-rules.Ver registros de firewall. Para mais informações, consulte Visualizar registros.