Utiliser des règles de pare-feu réseau régionales pour protéger les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes

Vous pouvez configurer des règles dans les stratégies de pare-feu Cloud Next Generation Firewall (Cloud NGFW) qui s'appliquent aux proxys Envoy gérés utilisés par l'équilibreur de charge d'application interne et l'équilibreur de charge réseau proxy interne. Ces proxys s'exécutent dans un sous-réseau proxy réservé.

Les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes présentent les exigences et les options suivantes concernant les règles de pare-feu :

  • Règles de pare-feu qui s'appliquent aux backends de l'équilibreur de charge : si vous utilisez des groupes d'instances ou des backends de groupe de points de terminaison réseau (NEG) zonaux GCE_VM_IP_PORT, vous devez configurer des règles de pare-feu qui autorisent les proxys Envoy gérés à se connecter aux VM de backend.

  • Règles de pare-feu qui s'appliquent aux proxys Envoy gérés : ces règles de pare-feu s'appliquent aux proxys Envoy gérés. Les règles permettent de contrôler l'accès aux règles de transfert de l'équilibreur de charge (facultatif). Cela est utile lorsque l'équilibreur de charge utilise des NEG Internet régionaux ou des NEG Private Service Connect.

Ce document explique comment configurer les règles de pare-feu qui s'appliquent aux proxys Envoy gérés.

Créer les ressources d'équilibrage de charge

Avant de configurer des règles et des stratégies de pare-feu, configurez les ressources d'équilibrage de charge, telles qu'un réseau cloud privé virtuel (VPC), des sous-réseaux, un équilibreur de charge avec ses backends et une règle de transfert, ainsi qu'une instance de VM cliente pour tester la connectivité.

Pour créer et configurer les ressources de l'équilibreur de charge de votre choix, consultez les documents suivants :

Après avoir créé les ressources, enregistrez les informations suivantes. Vous utiliserez ces informations pour configurer des règles et des stratégies de pare-feu plus loin dans ce document :

  • Région de l'équilibreur de charge
  • Nom et adresse IP de la règle de transfert
  • Nom du réseau VPC
  • Nom, zone et adresse IP de l'instance de VM cliente que vous avez créée pour tester la connectivité de l'équilibreur de charge

Créer des ressources Cloud NGFW

  1. Créez une stratégie de pare-feu réseau régionale dans la même région que l'équilibreur de charge. Pour en savoir plus, consultez Créer une règle de pare-feu réseau régionale.

  2. Associez la stratégie de pare-feu au réseau VPC.

    Pour que les règles d'une stratégie de pare-feu s'appliquent à une règle de transfert d'équilibreur de charge, vous devez associer la stratégie au réseau VPC dans lequel se trouve cette règle de transfert. Cette association active les règles du pare-feu sur le réseau VPC.

  3. Pour contrôler le trafic qui atteint l'équilibreur de charge, créez des règles de pare-feu d'entrée dans une stratégie de pare-feu réseau régionale. Contrairement aux cibles de VM, le trafic entrant est autorisé lorsqu'aucune règle de pare-feu ne s'applique aux proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes. Pour restreindre l'accès à une ou plusieurs règles de transfert d'équilibreur de charge, vous devez créer des règles de pare-feu d'entrée avec le paramètre --target-type=INTERNAL_MANAGED_LB :

    • Une règle de pare-feu d'entrée deny de priorité inférieure avec --src-ip-ranges=0.0.0.0/0. Cela définit une base de référence qui refuse tout trafic entrant.

    • Une ou plusieurs règles de pare-feu allow entrantes de priorité plus élevée avec --src-ip-ranges incluant les plages suivantes :

    Pour cibler une règle de transfert spécifique, définissez --target-forwarding-rules sur une seule règle de transfert d'équilibreur de charge au format accepté. Si vous souhaitez appliquer la règle de pare-feu et ses règles aux équilibreurs de charge d'application internes et aux équilibreurs de charge réseau proxy internes d'un réseau VPC, ne spécifiez pas l'indicateur --target-forwarding-rules.

  4. Affichez les journaux de pare-feu. Pour en savoir plus, consultez Afficher les journaux.