Utilizzare i criteri firewall di rete regionali per proteggere i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni

Puoi configurare regole nelle policy firewall di Cloud Next Generation Firewall (Cloud NGFW) che si applicano ai proxy Envoy gestiti utilizzati dal bilanciatore del carico delle applicazioni interno e dal bilanciatore del carico di rete con proxy interno. Questi proxy vengono eseguiti in una subnet solo proxy.

I bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni hanno i seguenti requisiti e opzioni per le regole firewall:

  • Regole firewall che si applicano ai backend del bilanciatore del carico: se utilizzi gruppi di istanze o backend di GCE_VM_IP_PORTgruppi di endpoint di rete (NEG) zonali, devi configurare regole firewall che consentano ai proxy Envoy gestiti di connettersi alle VM di backend.

  • Regole firewall che si applicano ai proxy Envoy gestiti: queste regole firewall si applicano ai proxy Envoy gestiti. Le regole forniscono un controllo dell'accesso facoltativo alle regole di forwarding del bilanciatore del carico, utile quando il bilanciatore del carico utilizza NEG di internet regionali o NEG Private Service Connect.

Questo documento descrive come configurare le regole firewall che si applicano ai proxy Envoy gestiti.

Crea le risorse di bilanciamento del carico

Prima di configurare regole e criteri firewall, configura le risorse di bilanciamento del carico, come una rete Virtual Private Cloud (VPC), subnet, un bilanciatore del carico con i relativi backend e una regola di forwarding e un'istanza VM client per testare la connettività.

Per creare e configurare le risorse per il bilanciatore del carico scelto, consulta i seguenti documenti:

Dopo aver creato le risorse, registra i seguenti dettagli. Utilizzerai questi dettagli per configurare regole e criteri firewall più avanti in questo documento:

  • La regione del bilanciatore del carico
  • Il nome e l'indirizzo IP della regola di forwarding
  • Il nome della rete VPC
  • Il nome, la zona e l'indirizzo IP dell'istanza VM client che hai creato per testare la connettività del bilanciatore del carico

Crea risorse Cloud NGFW

  1. Crea una policy del firewall di rete regionale nella stessa regione del bilanciatore del carico. Per saperne di più, consulta Crea una policy firewall di rete regionale.

  2. Associa la policy del firewall alla rete VPC.

    Affinché le regole di una policy firewall vengano applicate a una regola di forwarding del bilanciatore del carico, devi associare la policy alla rete VPC in cui esiste la regola di forwarding. Questa associazione attiva le regole dei criteri firewall sulla rete VPC.

  3. Per controllare il traffico che raggiunge il bilanciatore del carico, crea regole firewall in entrata in una policy firewall di rete regionale. A differenza dei target VM, l'ingresso è consentito quando non vengono applicate regole firewall ai proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete con proxy interno. Per limitare l'accesso a una o più regole di forwarding del bilanciatore del carico, devi creare regole firewall in entrata con il parametro --target-type=INTERNAL_MANAGED_LB:

    • Una regola firewall in entrata deny con priorità inferiore --src-ip-ranges=0.0.0.0/0. In questo modo viene impostata una base di riferimento che nega tutto il traffico in entrata.

    • Una o più regole firewall in entrata allow con priorità più alta con --src-ip-ranges che includono i seguenti intervalli:

    Per scegliere come target una regola di forwarding specifica, imposta --target-forwarding-rules su una singola regola di forwarding del bilanciatore del carico nel formato supportato. Se vuoi applicare la policy del firewall e le relative regole ai bilanciatori del carico delle applicazioni interni e ai bilanciatori del carico di rete del proxy interni di una rete VPC, non specificare il flag --target-forwarding-rules.

  4. Visualizza i log firewall. Per saperne di più, consulta Visualizza i log.