É possível configurar regras nas políticas de firewall do Cloud Next Generation Firewall (Cloud NGFW) que se aplicam a proxies Envoy gerenciados usados pelo balanceador de carga de aplicativo interno e pelo balanceador de carga de rede de proxy interno. Esses proxies são executados em uma sub-rede somente proxy.
Os balanceadores de carga de aplicativo internos e os balanceadores de carga de rede de proxy internos têm os seguintes requisitos e opções de regra de firewall:
Regras de firewall que se aplicam aos back-ends do balanceador de carga: se você usar grupos de instâncias ou
GCE_VM_IP_PORTback-ends de grupo de endpoints de rede (NEG) zonais, configure regras de firewall que permitam que os proxies Envoy gerenciados se conectem às VMs de back-end.Regras de firewall que se aplicam aos proxies Envoy gerenciados: essas regras de firewall se aplicam aos proxies Envoy gerenciados. As regras fornecem controle de acesso opcional às regras de encaminhamento do balanceador de carga, o que é útil quando o balanceador de carga usa NEGs regionais da Internet ou NEGs do Private Service Connect.
Este documento descreve como configurar as regras de firewall que se aplicam aos proxies Envoy gerenciados.
Criar os recursos de balanceamento de carga
Antes de configurar regras e políticas de firewall, configure os recursos de balanceamento de carga, como uma rede de nuvem privada virtual (VPC), sub-redes, um balanceador de carga com back-ends e uma regra de encaminhamento e uma instância de VM do cliente para testar a conectividade.
Para criar e configurar os recursos do balanceador de carga escolhido, consulte os seguintes documentos:
- Configurar um balanceador de carga de aplicativo interno entre regiões com back-ends de grupo de instâncias de VM
- Configurar um balanceador de carga de aplicativo externo regional com back-ends de grupos de instâncias de VM
- Configurar um balanceador de carga de rede de proxy interno entre regiões com back-ends de grupos de instâncias de VM
- Configurar um balanceador de carga de rede de proxy interno regional com back-ends de grupos de instâncias de VM
Depois de criar os recursos, registre os seguintes detalhes. Você vai usar esses detalhes para configurar regras e políticas de firewall mais adiante neste documento:
- A região do balanceador de carga
- O nome e o endereço IP da regra de encaminhamento
- O nome da rede VPC
- O nome, a zona e o endereço IP da instância de VM do cliente que você criou para testar a conectividade do balanceador de carga
Criar recursos do Cloud NGFW
Crie uma política de firewall de rede regional na mesma região que o balanceador de carga. Para mais informações, consulte Criar uma política de firewall de rede regional.
Associe a política de firewall à rede VPC.
Para que as regras de uma política de firewall sejam aplicadas a uma regra de encaminhamento do balanceador de carga, é necessário associar a política à rede VPC em que essa regra de encaminhamento existe. Essa associação ativa as regras da política de firewall na rede VPC.
Para controlar o tráfego que chega ao balanceador de carga, crie regras de firewall de entrada em uma política de firewall de rede regional policy. Ao contrário dos destinos de VM, a entrada é permitida quando nenhuma regra de firewall se aplica aos proxies Envoy gerenciados usados por balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos. Para restringir o acesso a uma ou mais regras de encaminhamento do balanceador de carga, crie regras de firewall de entrada com o parâmetro
--target-type=INTERNAL_MANAGED_LB:Uma regra de firewall de entrada
denyde prioridade mais baixa com--src-ip-ranges=0.0.0.0/0. Isso define uma linha de base que nega todo o tráfego de entrada.Uma ou mais regras de firewall de entrada
allowde maior prioridade com--src-ip-rangesque incluem os seguintes intervalos:Os endereços IP dos clientes aprovados.
Os endereços IP das sondagens de verificação de integridade do Google. Para mais informações, consulte Intervalos de IP de sondagem para front-ends de balanceadores de carga selecionados baseados no Envoy na visão geral das verificações de integridade.
Para segmentar uma regra de encaminhamento específica, defina
--target-forwarding-rulescomo uma única regra de encaminhamento do balanceador de carga no formato compatível. Se você quiser aplicar a política de firewall e as regras dela a balanceadores de carga de aplicativo internos e balanceadores de carga de rede de proxy internos de uma rede VPC, não especifique a flag--target-forwarding-rules.Ver registros do firewall. Para mais informações, consulte Visualizar registros.