Puedes configurar reglas en las políticas de firewall de Cloud Next Generation Firewall (Cloud NGFW) que se apliquen a los proxies de Envoy gestionados que utilizan los balanceadores de carga de aplicaciones internos y los balanceadores de carga de red con proxy internos. Estos proxies se ejecutan en una subred de solo proxy.
Los balanceadores de carga de aplicaciones internos y los balanceadores de carga de red de proxy internos tienen los siguientes requisitos y opciones de reglas de firewall:
Reglas de cortafuegos que se aplican a los backends del balanceador de carga: si usas backends de grupo de instancias o de NEG de zona
GCE_VM_IP_PORT, debes configurar reglas de cortafuegos que permitan que los proxies Envoy gestionados se conecten a las VMs de backend.Reglas de cortafuegos que se aplican a los proxies Envoy gestionados: estas reglas de cortafuegos se aplican a los proxies Envoy gestionados. Las reglas proporcionan control de acceso opcional a las reglas de reenvío del balanceador de carga, lo que resulta útil cuando el balanceador de carga usa NEGs de Internet regionales o NEGs de Private Service Connect.
En este documento se describe cómo configurar las reglas de firewall que se aplican a los proxies de Envoy gestionados.
Crear los recursos de balanceo de carga
Antes de configurar reglas y políticas de cortafuegos, configura el entorno y los recursos de balanceo de carga, como una red de nube privada virtual (VPC), una subred, un balanceador de carga con sus back-ends y una regla de reenvío, así como una instancia de VM de cliente para probar la conectividad.
Para crear y configurar los recursos del balanceador de carga que hayas elegido, consulta los siguientes documentos:
- Configurar un balanceador de carga de aplicación interno entre regiones con backends de grupos de instancias de VM
- Configurar un balanceador de carga de aplicación interno regional con backends de grupos de instancias de máquina virtual
- Configurar un balanceador de carga de red de proxy interno entre regiones con backends de grupos de instancias de VM
- Configurar un balanceador de carga de red de proxy interno regional con backends de grupos de instancias de VM
Después de crear los recursos, anota los siguientes detalles. Usará estos detalles para configurar reglas y políticas de cortafuegos más adelante en este documento:
- Región del balanceador de carga
- El nombre y la dirección IP de la regla de reenvío
- El nombre de la red VPC
- El nombre, la zona y la dirección IP de la instancia de VM de cliente que has creado para probar la conectividad del balanceador de carga
Crear recursos de Cloud NGFW
Crea una política de cortafuegos de red regional en la misma región que el balanceador de carga. Para obtener más información, consulta Crear una política de firewall de red regional.
Asocia la política de cortafuegos a la red de VPC.
Para que las reglas de una política de cortafuegos se apliquen a una regla de reenvío de un balanceador de carga, debes asociar la política a la red de VPC en la que se encuentre esa regla de reenvío. Esta asociación activa las reglas de la política de cortafuegos en la red de VPC.
Para controlar el tráfico que llega al balanceador de carga, crea reglas de cortafuegos de entrada en una política de cortafuegos de red regional. A diferencia de los destinos de VM, el tráfico de entrada se permite cuando no se aplican reglas de cortafuegos a los proxies Envoy gestionados que usan los balanceadores de carga de aplicaciones internos y los balanceadores de carga de red con proxy internos. Para restringir el acceso a una o varias reglas de reenvío de balanceadores de carga, debes crear al menos dos reglas de cortafuegos de entrada con
--target-type INTERNAL_MANAGED_LB:Una regla de cortafuegos de denegación de entrada de menor prioridad con
--src-ip-ranges=0.0.0.0/0.Una regla de cortafuegos de entrada de mayor prioridad con
--src-ip-rangesdefinida en los intervalos de direcciones IP de origen aprobados.Una regla de cortafuegos de entrada con mayor prioridad y
--src-ip-rangesconfigurado en las direcciones IP de las sondas de comprobación del estado de Google para los proxies Envoy gestionados. Para obtener más información, consulta Intervalos de IP de sondeo y reglas de cortafuegos en la descripción general de las comprobaciones del estado.Ver los registros de cortafuegos. Para obtener más información, consulta Ver registros.
Limitaciones
Cuando usas políticas de cortafuegos de Cloud NGFW para proteger los back-ends de los balanceadores de carga, se aplican las siguientes limitaciones:
Los balanceadores de carga admiten reglas de cortafuegos de entrada para inspeccionar el tráfico procedente del cliente. Las reglas de cortafuegos se configuran para evaluar el tráfico destinado a la dirección IP virtual (VIP) del balanceador de carga. Las reglas de cortafuegos permiten el tráfico de salida, que fluye desde las instancias de backend al balanceador de carga a través de la subred de solo proxy.
Los balanceadores de carga no admiten políticas de cortafuegos jerárquicas. Solo se admiten políticas de cortafuegos de red.
Las reglas de la política de cortafuegos para proteger los backends de los balanceadores de carga solo admiten el protocolo TCP.
Los balanceadores de carga no admiten las siguientes funciones de Cloud NGFW:
- Geolocalización
- Inteligencia de amenazas de red (NTI)
- Especificación del intervalo de IP de destino
- Especificación de puerto
Una regla de cortafuegos puede dirigirse a una sola regla de reenvío o a todas las reglas de reenvío de la red de VPC. No puedes configurar una regla de cortafuegos para que se aplique a una lista específica de varias reglas de reenvío.
Las reglas de cortafuegos con
target-typeconfigurado comoINTERNAL_MANAGED_LBpueden usar los tipos de redVPC_NETWORKSoINTRA_VPC, pero no los tipos de redINTERNEToNON_INTERNET.Los balanceadores de carga admiten políticas de cortafuegos con tipos de red
VPC_NETWORKSyINTRA_VPC.VPC_NETWORKSespecifica el tráfico de origen de las VPCs definidas.INTRA_VPCespecifica el tráfico de origen dentro de la misma VPC.