如需将流量限制到代理专用子网中的受管 Envoy 代理,您可以配置全局网络防火墙政策来保护内部应用负载平衡器和内部代理网络负载平衡器。
本文档介绍了如何设置适用于内部应用负载平衡器和内部代理网络负载平衡器的全球网络防火墙政策规则。
内部应用负载平衡器和内部代理网络负载平衡器具有以下防火墙规则要求和选项:
适用于负载均衡器后端的防火墙规则:如果您使用实例组或
GCE_VM_IP_PORT可用区级网络端点组 (NEG) 后端,则必须配置防火墙规则,以允许受管 Envoy 代理连接到后端虚拟机。适用于受管 Envoy 代理的防火墙规则:这些规则为负载均衡器转发规则提供可选的访问权限控制。如果负载平衡器使用区域级互联网 NEG 或 Private Service Connect NEG,则此功能非常有用。
创建负载均衡资源
在配置防火墙规则和政策之前,请先设置所需的负载均衡资源。这些资源包括 Virtual Private Cloud (VPC) 网络、子网、具有后端和转发规则的负载均衡器,以及用于测试连接的客户端虚拟机实例。
如需创建和配置所选负载均衡器的资源,请参阅以下文档:
- 设置具有虚拟机实例组后端的跨区域内部应用负载均衡器
- 设置具有虚拟机实例组后端的区域级内部应用负载均衡器
- 设置具有虚拟机实例组后端的跨区域内部代理网络负载均衡器
- 设置具有虚拟机实例组后端的区域级内部代理网络负载平衡器
创建资源后,请注意以下详细信息。您可以使用这些详细信息来配置此页面上的防火墙规则和政策:
- 转发规则的名称和 IP 地址
- VPC 网络的名称
- 连接到负载均衡器的源 IP 地址。对于测试,此地址可以是您创建的测试虚拟机实例的 IP 地址,用于验证与负载均衡器的连接。
创建 Cloud NGFW 资源
创建全球网络防火墙政策。如需了解详情,请参阅创建全球网络防火墙政策。
将防火墙政策与 VPC 网络相关联。
如需将防火墙政策规则应用于负载均衡器转发规则,您必须将该政策与包含相应转发规则的 VPC 网络相关联。关联政策会激活相应网络中的规则。
如需控制到达负载均衡器的流量,请在全球网络防火墙政策中创建入站防火墙规则。与虚拟机目标不同,当没有防火墙规则应用于内部应用负载平衡器和内部代理网络负载平衡器使用的受管 Envoy 代理时,系统会允许入站流量。如需限制对一个或多个负载均衡器转发规则的访问权限,您必须使用
--target-type=INTERNAL_MANAGED_LB参数创建入站流量防火墙规则:一条优先级较低的入站
deny防火墙规则,具有--src-ip-ranges=0.0.0.0/0。此设置会建立拒绝所有入站流量的基准。一条或多条优先级更高的入站
allow防火墙规则,其中包含以下范围的--src-ip-ranges:获批客户的 IP 地址。
Google 健康检查探测的 IP 地址。如需了解详情,请参阅健康检查概览中的部分基于 Envoy 的受管负载均衡器前端的探测 IP 地址范围。
如需以特定转发规则为目标,请将
--target-forwarding-rules设置为受支持的格式的单个负载均衡器转发规则。如果您想将防火墙政策及其规则应用于 VPC 网络的内部应用负载平衡器和内部代理网络负载平衡器,请勿指定--target-forwarding-rules标志。查看防火墙日志。如需了解详情,请参阅查看日志。