리전 네트워크 방화벽 정책을 사용하여 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기 보호

내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에서 사용하는 관리형 Envoy 프록시에 적용되는 Cloud Next Generation Firewall (Cloud NGFW) 방화벽 정책에서 규칙을 구성할 수 있습니다. 이러한 프록시는 프록시 전용 서브넷에서 실행됩니다.

내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에는 다음과 같은 방화벽 규칙 요구사항 및 옵션이 있습니다.

  • 부하 분산기 백엔드에 적용되는 방화벽 규칙: 인스턴스 그룹 또는 GCE_VM_IP_PORT 영역 네트워크 엔드포인트 그룹 (NEG) 백엔드를 사용하는 경우 관리형 Envoy 프록시가 백엔드 VM에 연결할 수 있도록 방화벽 규칙을 구성해야 합니다.

  • 관리형 Envoy 프록시에 적용되는 방화벽 규칙: 이러한 방화벽 규칙은 관리형 Envoy 프록시에 적용됩니다. 이 규칙은 부하 분산기가 리전 인터넷 NEG 또는 Private Service Connect NEG를 사용하는 경우 유용한 부하 분산기 전달 규칙에 대한 선택적 액세스 제어를 제공합니다.

이 문서에서는 관리형 Envoy 프록시에 적용되는 방화벽 규칙을 설정하는 방법을 설명합니다.

부하 분산 리소스 만들기

방화벽 규칙 및 정책을 구성하기 전에 가상 프라이빗 클라우드 (VPC) 네트워크, 서브넷, 백엔드 및 전달 규칙이 있는 부하 분산기, 연결 테스트를 위한 클라이언트 VM 인스턴스와 같은 부하 분산 리소스를 설정합니다.

선택한 부하 분산기의 리소스를 만들고 구성하려면 다음 문서를 참조하세요.

리소스를 만든 후 다음 세부정보를 기록합니다. 이 문서의 뒷부분에서 이러한 세부정보를 사용하여 방화벽 규칙 및 정책을 구성합니다.

  • 부하 분산기의 리전
  • 전달 규칙의 이름 및 IP 주소
  • VPC 네트워크 이름
  • 부하 분산기 연결을 테스트하기 위해 만든 클라이언트 VM 인스턴스의 이름, 영역, IP 주소

Cloud NGFW 리소스 만들기

  1. 부하 분산기와 동일한 리전에서 리전 네트워크 방화벽 정책을 만듭니다. 자세한 내용은 리전 네트워크 방화벽 정책 만들기를 참조하세요.

  2. 방화벽 정책을 VPC 네트워크와 연결합니다.

    방화벽 정책의 규칙을 부하 분산기 전달 규칙에 적용하려면 해당 전달 규칙이 있는 VPC 네트워크 와 정책을 연결해야 합니다. 이 연결은 VPC 네트워크에서 방화벽 정책의 규칙을 활성화합니다.

  3. 부하 분산기에 도달하는 트래픽을 제어하려면 리전 네트워크 방화벽 정책에서 인그레스 방화벽 규칙을 만듭니다. VM 타겟과 달리 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에서 사용하는 관리형 Envoy 프록시에 적용되는 방화벽 규칙이 없으면 인그레스가 허용됩니다. 하나 이상의 부하 분산기 전달 규칙에 대한 액세스를 제한하려면 --target-type=INTERNAL_MANAGED_LB 매개변수를 사용하여 인그레스 방화벽 규칙을 만들어야 합니다.

    특정 전달 규칙을 타겟팅하려면 --target-forwarding-rules을 지원되는 형식의 단일 부하 분산기 전달 규칙으로 설정합니다. 방화벽 정책 및 규칙을 VPC 네트워크의 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에 적용하려면 --target-forwarding-rules 플래그를 지정하지 마세요.

  4. 방화벽 로그를 봅니다. 자세한 내용은 로그 보기를 참조하세요.