Some or all of the information on this page might not apply to Cloud de Confiance by S3NS. See Differences from Google Cloud for more details.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שימוש במדיניות אזורית של חומת אש ברשת כדי להגן על מאזני עומסים פנימיים של אפליקציות (ALB) ועל מאזני עומסים פנימיים של רשת בשרת proxy

אפשר להגדיר כללים במדיניות חומת האש של Cloud Next Generation Firewall ‏ (Cloud NGFW) שחלים על שרתי proxy מנוהלים של Envoy שמשמשים מאזן עומסים פנימי של אפליקציות ומאזן עומסי רשת פנימי בשרת proxy. הפרוקסי האלה פועלים ברשת משנה של פרוקסי בלבד.

מאזני עומסים פנימיים של אפליקציות (ALB) ומאזני עומסי רשת פנימיים לשרת proxy צריכים לעמוד בדרישות הבאות של כללי חומת האש, ויש להם את האפשרויות הבאות:

כללי חומת אש שחלים על השרתים העורפיים של מאזן העומסים: אם אתם משתמשים בשרתים עורפיים של קבוצת מופעים או ב-NEG אזורי, אתם צריכים להגדיר כללי חומת אש שמאפשרים לשרתי ה-proxy המנוהלים של Envoy להתחבר למכונות הווירטואליות של השרתים העורפיים.GCE_VM_IP_PORT
כללי חומת אש שחלים על שרתי ה-proxy המנוהלים של Envoy: כללי חומת האש האלה חלים על שרתי ה-proxy המנוהלים של Envoy. הכללים מספקים בקרת גישה אופציונלית לכללי העברה של מאזן העומסים, וזה שימושי כשמאזן העומסים משתמש בקבוצות אזוריות של נקודות קצה ברשת האינטרנט או ב קבוצות של נקודות קצה ב-Private Service Connect.

במאמר הזה מוסבר איך מגדירים את כללי חומת האש שחלים על שרתי ה-proxy המנוהלים של Envoy.

יצירת משאבי איזון העומסים

לפני שמגדירים כללי מדיניות וכללי חומת אש, צריך להגדיר את הסביבה ואת משאבי איזון העומסים, כמו רשת של ענן וירטואלי פרטי (VPC), תת-רשת, מאזן עומסים עם שרתי הקצה שלו וכלל העברה, ומכונה וירטואלית של לקוח לבדיקת הקישוריות.

כדי ליצור ולהגדיר את המשאבים של מאזן העומסים שבחרתם, תוכלו לעיין במסמכים הבאים:

אחרי שיוצרים את המשאבים, רושמים את הפרטים הבאים. תשתמשו בפרטים האלה כדי להגדיר כללי מדיניות וכללי חומת אש בהמשך המסמך:

האזור של מאזן העומסים
השם וכתובת ה-IP של כלל ההעברה
השם של רשת ה-VPC
השם, האזור וכתובת ה-IP של מופע הלקוח של מכונת ה-VM שיצרתם כדי לבדוק את הקישוריות של מאזן העומסים

יצירת משאבים של Cloud NGFW

יוצרים מדיניות אזורית של חומת אש ברשת באותו אזור שבו נמצא מאזן העומסים. מידע נוסף זמין במאמר יצירת מדיניות אזורית של חומת אש ברשת.
משייכים את מדיניות חומת האש לרשת ה-VPC.

כדי שהכללים של מדיניות חומת אש יחולו על כלל העברה של מאזן עומסים, צריך לשייך את המדיניות לרשת ה-VPC שבה קיים כלל ההעברה הזה. השיוך הזה מפעיל את הכללים של מדיניות חומת האש ברשת ה-VPC.
כדי לשלוט בתעבורת הנתונים שמגיעה למאזן העומסים, יוצרים כללים של חומת אש לתעבורת נתונים נכנסת (ingress) במדיניות אזורית של חומת אש ברשת. בניגוד ליעדי מכונות וירטואליות, תעבורת נכנסת מותרת כשלא חלים כללי חומת אש על שרתי ה-proxy המנוהלים של Envoy שמשמשים מאזני עומסים פנימיים של אפליקציות ומאזני עומסים פנימיים של רשתות לשרתי proxy. כדי להגביל את הגישה לכלל העברה אחד או יותר של מאזן עומסים, צריך ליצור לפחות שני כללים של חומת אש לתעבורת נתונים נכנסת (ingress) עם --target-type INTERNAL_MANAGED_LB:
- כלל חומת אש עם עדיפות נמוכה יותר שחוסם תעבורה נכנסת עם --src-ip-ranges=0.0.0.0/0.
- כלל חומת אש לדחייה של תעבורת נתונים נכנסת (ingress) בעדיפות גבוהה יותר עם --src-ip-ranges שמוגדר לטווחים המאושרים של כתובות ה-IP של המקור.
- כלל חומת אש עם עדיפות גבוהה יותר שמאפשר תעבורת נתונים נכנסת, עם --src-ip-ranges שמוגדר לכתובות ה-IP של בדיקות התקינות של Google עבור שרתי ה-proxy המנוהלים של Envoy. מידע נוסף זמין במאמר בנושא בדיקות תקינות בקטע בנושא טווחי כתובות IP של בדיקות וכללים של חומת אש.
- צפייה ביומני חומת האש. מידע נוסף זמין במאמר בנושא צפייה ביומנים.

מגבלות

כשמשתמשים במדיניות חומת האש של Cloud NGFW כדי להגן על קצה העורף של מאזן העומסים, חלות המגבלות הבאות:

מאזני עומסים תומכים בכללי חומת אש של תעבורת נתונים נכנסת (ingress) כדי לבדוק תנועה שמגיעה מהלקוח. כללי חומת האש מוגדרים להערכת תעבורת נתונים שמיועדת לכתובת ה-IP הווירטואלית (VIP) של מאזן העומסים. כללי חומת האש מאפשרים את תעבורת הנתונים היוצאת (egress), שזורמת מהשרתים העורפיים (backend instance) למאזן העומסים דרך תת-הרשת של שרת proxy בלבד.
מאזני עומסים לא תומכים במדיניות חומת אש היררכית. יש תמיכה רק במדיניות של חומת אש ברשת.
כללים במדיניות חומת האש להגנה על שרתים עורפיים של מאזן עומסים תומכים רק בפרוטוקול TCP.
מאזני עומסים לא תומכים בתכונות הבאות של Cloud NGFW:
- מיקום גיאוגרפי
- מודיעין איומי סייבר ברשת (NTI)
- ציון טווח כתובות IP של יעד
- מפרט הניוד
כלל חומת אש יכול להיות מיועד לכלל העברה יחיד או לכל כללי ההעברה ברשת ה-VPC. אי אפשר להגדיר כלל לחומת אש לטירגוט רשימה ספציפית של כמה כללי העברה.
כללי חומת אש עם target-type שמוגדר כ-INTERNAL_MANAGED_LB יכולים להשתמש בסוגי הרשת VPC_NETWORKS או INTRA_VPC, אבל לא בסוגי הרשת INTERNET או NON_INTERNET.
מאזני העומסים תומכים במדיניות חומת אש עם סוגי הרשתות VPC_NETWORKS ו-INTRA_VPC. ‫VPC_NETWORKS specifies source traffic from defined VPCs. INTRA_VPC מציין תנועה ממקורות באותו VPC.