Regionale Netzwerk-Firewallrichtlinien zum Schutz interner Application Load Balancer und interner Proxy-Network Load Balancer verwenden

Sie können Regeln in Firewallrichtlinien von Cloud Next Generation Firewall (Cloud NGFW) konfigurieren, die auf verwaltete Envoy-Proxys angewendet werden, die von internen Application Load Balancern und internen Proxy-Network Load Balancern verwendet werden. Diese Proxys werden in einem Nur-Proxy-Subnetz ausgeführt.

Für interne Application Load Balancer und interne Proxy-Network Load Balancer gelten die folgenden Anforderungen und Optionen für Firewallregeln:

  • Firewallregeln, die auf die Load-Balancer-Back-Ends angewendet werden: Wenn Sie Instanzgruppen- oder GCE_VM_IP_PORT zonale Network Endpoint Group (NEG) -Back-Ends verwenden, müssen Sie Firewallregeln konfigurieren, die es den verwalteten Envoy -Proxys ermöglichen, eine Verbindung zu den Backend-VMs herzustellen.

  • Firewallregeln, die auf die verwalteten Envoy-Proxys angewendet werden: Diese Firewall regeln gelten für die verwalteten Envoy-Proxys. Die Regeln bieten eine optionale Zugriffs steuerung für Load-Balancer-Weiterleitungsregeln. Das ist nützlich, wenn der Load Balancer regionale Internet NEGs oder Private Service Connect NEGs verwendet.

In diesem Dokument wird beschrieben, wie Sie die Firewallregeln einrichten, die auf die verwalteten Envoy-Proxys angewendet werden.

Load-Balancing-Ressourcen erstellen

Bevor Sie Firewallregeln und -richtlinien konfigurieren, richten Sie die Load-Balancing-Ressourcen ein, z. B. ein VPC-Netzwerk (Virtual Private Cloud), Subnetze, einen Load-Balancer mit seinen Back-Ends und einer Weiterleitungsregel sowie eine Client-VM-Instanz zum Testen der Konnektivität.

Informationen zum Erstellen und Konfigurieren der Ressourcen für den ausgewählten Load-Balancer finden Sie in den folgenden Dokumenten:

Notieren Sie sich nach dem Erstellen der Ressourcen die folgenden Details. Sie verwenden diese Details später in diesem Dokument, um Firewallregeln und -richtlinien zu konfigurieren:

  • Die Region des Load-Balancers
  • Der Name und die IP-Adresse der Weiterleitungsregel
  • Der Name des VPC-Netzwerk
  • Der Name, die Zone und die IP-Adresse der Client-VM-Instanz, die Sie zum Testen der Load-Balancer-Konnektivität erstellt haben

Cloud NGFW-Ressourcen erstellen

  1. Erstellen Sie eine regionale Netzwerk-Firewallrichtlinie in derselben Region wie der Load-Balancer. Weitere Informationen finden Sie unter Regionale Netzwerk Firewall richtlinie erstellen.

  2. Verknüpfen Sie die Firewallrichtlinie mit dem VPC-Netzwerk.

    Damit die Regeln einer Firewallrichtlinie auf eine Load-Balancer Weiterleitungsregel angewendet werden, müssen Sie die Richtlinie mit dem VPC-Netzwerk verknüpfen, in dem sich diese Weiterleitungsregel befindet. Durch diese Verknüpfung werden die Regeln der Firewallrichtlinie im VPC-Netzwerk aktiviert.

  3. Wenn Sie den Traffic steuern möchten, der den Load-Balancer erreicht, erstellen Sie Firewallregeln für eingehenden Traffic in einer regionalen Netzwerk-Firewall richtlinie. Im Gegensatz zu VM-Zielen ist eingehender Traffic zulässig, wenn keine Firewallregeln auf die verwalteten Envoy-Proxys angewendet werden, die von internen Application Load Balancern und internen Proxy-Network Load Balancern verwendet werden. Wenn Sie den Zugriff auf eine oder mehrere Load-Balancer-Weiterleitungsregeln einschränken möchten, müssen Sie Firewallregeln für eingehenden Traffic mit dem Parameter --target-type=INTERNAL_MANAGED_LB erstellen:

    • Eine Firewallregel für eingehenden Traffic mit niedrigerer Priorität, die deny verwendet und --src-ip-ranges=0.0.0.0/0 enthält. Dadurch wird eine Baseline festgelegt, die den gesamten eingehenden Traffic ablehnt.

    • Eine oder mehrere Firewallregeln für eingehenden Traffic mit höherer Priorität, die allow verwenden und --src-ip-ranges enthalten, einschließlich der folgenden Bereiche:

    Wenn Sie eine bestimmte Weiterleitungsregel verwenden möchten, legen Sie --target-forwarding-rules auf eine einzelne Load-Balancer-Weiterleitungsregel im unterstützten Format fest. Wenn Sie die Firewallrichtlinie und ihre Regeln auf interne Application Load Balancer und interne Proxy-Network Load Balancer eines VPC-Netzwerk anwenden möchten, geben Sie das Flag --target-forwarding-rules nicht an.

  4. Firewall-Logs ansehen. Weitere Informationen finden Sie unter Logs ansehen.