Usar políticas globais de firewall de rede para proteger balanceadores de carga baseados no Envoy

Para restringir o tráfego aos proxies Envoy gerenciados em uma sub-rede somente proxy, configure políticas globais de firewall de rede para proteger balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos.

Neste documento, descrevemos como configurar uma regra de política de firewall de rede global que se aplica a balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos.

Os balanceadores de carga de aplicativo internos e os balanceadores de carga de rede de proxy interno têm os seguintes requisitos e opções de regra de firewall:

  • Regras de firewall aplicáveis aos back-ends do balanceador de carga: se você usar grupos de instâncias ou back-ends de grupos de endpoints de rede (NEG) zonais GCE_VM_IP_PORT, configure regras de firewall que permitam que os proxies gerenciados do Envoy se conectem às VMs de back-end.

  • Regras de firewall aplicadas aos proxies Envoy gerenciados: essas regras fornecem controle de acesso opcional para regras de encaminhamento do balanceador de carga. Isso é útil se o balanceador de carga usar NEGs regionais da Internet ou NEGs do Private Service Connect.

Criar os recursos de balanceamento de carga

Antes de configurar regras e políticas de firewall, configure os recursos de balanceamento de carga necessários. Esses recursos incluem uma rede de nuvem privada virtual (VPC), sub-redes, um balanceador de carga com back-ends e uma regra de encaminhamento, além de uma instância de VM cliente para testar a conectividade.

Para criar e configurar os recursos do balanceador de carga escolhido, consulte os seguintes documentos:

Depois de criar os recursos, observe os seguintes detalhes. Use esses detalhes para configurar regras e políticas de firewall mais adiante nesta página:

  • O nome e o endereço IP da regra de encaminhamento
  • O nome da rede VPC
  • O endereço IP de origem que se conecta ao balanceador de carga. Para teste, esse endereço pode ser o endereço IP da instância de VM de teste que você criou para verificar a conectividade com o balanceador de carga.

Criar recursos do Cloud NGFW

  1. Criar uma política de firewall de rede global. Para mais informações, consulte Criar uma política global de firewall de rede.

  2. Associe a política de firewall à rede VPC.

    Para aplicar regras de política de firewall a uma regra de encaminhamento do balanceador de carga, é necessário associar a política à rede VPC que contém a regra de encaminhamento. A associação da política ativa as regras nessa rede.

  3. Para controlar o tráfego que chega ao balanceador de carga, crie regras de firewall de entrada em uma política de firewall de rede global. Ao contrário dos destinos de VM, a entrada é permitida quando nenhuma regra de firewall se aplica aos proxies Envoy gerenciados usados pelos balanceadores de carga de aplicativo internos e de rede de proxy interno. Para restringir o acesso a uma ou mais regras de encaminhamento do balanceador de carga, crie regras de firewall de entrada com o parâmetro --target-type=INTERNAL_MANAGED_LB:

    • Uma regra de firewall de entrada de prioridade mais baixa deny com --src-ip-ranges=0.0.0.0/0. Isso define um valor de referência que nega todo o tráfego de entrada.

    • Uma ou mais regras de firewall de entrada allow de maior prioridade com --src-ip-ranges que incluem os seguintes intervalos:

    Para segmentar uma regra de encaminhamento específica, defina --target-forwarding-rules como uma única regra de encaminhamento do balanceador de carga no formato compatível. Se você quiser aplicar a política de firewall e as regras dela a balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos de uma rede VPC, não especifique a flag --target-forwarding-rules.

  4. Ver registros de firewall. Para mais informações, consulte Visualizar registros.