如要將流量限制在僅限 Proxy 的子網路中代管的 Envoy Proxy,您可以設定全域網路防火牆政策,保護內部應用程式負載平衡器和內部 Proxy 網路負載平衡器。
本文說明如何設定全域網路防火牆政策規則,並套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器。
內部應用程式負載平衡器和內部 Proxy 網路負載平衡器有下列防火牆規則需求和選項:
套用至負載平衡器後端的防火牆規則:如果您使用執行個體群組或
GCE_VM_IP_PORT區域網路端點群組 (NEG) 後端,則必須設定防火牆規則,允許受管理 Envoy Proxy 連線至後端 VM。適用於受管理 Envoy Proxy 的防火牆規則:這些規則可為負載平衡器轉送規則提供選用的存取權控管。如果負載平衡器使用區域網際網路 NEG 或 Private Service Connect NEG,這項功能就非常實用。
建立負載平衡資源
設定防火牆規則和政策前,請先設定必要的負載平衡資源。這些資源包括虛擬私有雲 (VPC) 網路、子網路、具有後端和轉送規則的負載平衡器,以及用於測試連線的用戶端 VM 執行個體。
如要建立及設定所選負載平衡器的資源,請參閱下列文件:
- 設定具有 VM 執行個體群組後端的跨區域內部應用程式負載平衡器
- 設定具有 VM 執行個體群組後端的區域內部應用程式負載平衡器
- 設定具備 VM 執行個體群組後端的跨區域內部 Proxy 網路負載平衡器
- 設定具有 VM 執行個體群組後端的區域內部 Proxy 網路負載平衡器
建立資源後,請記下下列詳細資料。使用這些詳細資料,稍後在本頁面設定防火牆規則和政策:
- 轉送規則的名稱和 IP 位址
- 虛擬私有雲網路的名稱
- 連線至負載平衡器的來源 IP 位址。如要進行測試,這個位址可以是您建立的測試 VM 執行個體 IP 位址,用來驗證與負載平衡器的連線。
建立 Cloud NGFW 資源
建立全域網路防火牆政策。詳情請參閱「建立全域網路防火牆政策」。
將防火牆政策與虛擬私有雲網路建立關聯。
如要對負載平衡器轉送規則套用防火牆政策規則,請將政策與包含轉送規則的虛擬私有雲網路建立關聯。連結政策後,系統就會在該網路上啟用規則。
如要控管抵達負載平衡器的流量,請在全域網路防火牆政策中建立輸入防火牆規則。與 VM 目標不同,如果沒有防火牆規則套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的受管理 Envoy Proxy,系統就會允許輸入流量。如要限制對一或多項負載平衡器轉送規則的存取權,請使用
--target-type=INTERNAL_MANAGED_LB參數建立輸入防火牆規則:一項優先順序較低的輸入
deny防火牆規則,且具有--src-ip-ranges=0.0.0.0/0。這會設定拒絕所有連入流量的基準。一或多個優先順序較高的輸入
allow防火牆規則,且--src-ip-ranges包含下列範圍:已核准用戶端的 IP 位址。
Google 健康狀態檢查探測的 IP 位址。詳情請參閱健康狀態檢查總覽中的「探測 IP 範圍,適用於特定以 Envoy 為基礎的代管負載平衡器前端」。
如要指定特定轉送規則,請將
--target-forwarding-rules設為支援格式的單一負載平衡器轉送規則。如要將防火牆政策及其規則套用至虛擬私有雲網路的內部應用程式負載平衡器和內部 Proxy 網路負載平衡器,請勿指定--target-forwarding-rules旗標。查看防火牆記錄檔。詳情請參閱「查看記錄」。