Puedes configurar reglas en las políticas de firewall de Cloud Next Generation Firewall (Cloud NGFW) que se apliquen a los proxies de Envoy administrados que usan el balanceador de cargas de aplicaciones interno y el balanceador de cargas de red de proxy interno. Estos proxies se ejecutan en una subred de solo proxy.
Los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos tienen los siguientes requisitos y opciones de reglas de firewall:
Reglas de firewall que se aplican a los backends del balanceador de cargas: Si usas backends de NEG zonales de
GCE_VM_IP_PORTo de grupo de instancias, debes configurar reglas de firewall que permitan que los proxies de Envoy administrados se conecten a las VMs de backend.Reglas de firewall que se aplican a los proxies de Envoy administrados: Estas reglas de firewall se aplican a los proxies de Envoy administrados. Las reglas proporcionan un control de acceso opcional a las reglas de reenvío del balanceador de cargas, lo que resulta útil cuando el balanceador de cargas usa NEGs de Internet regionales o NEGs de Private Service Connect.
En este documento, se describe cómo configurar las reglas de firewall que se aplican a los proxies de Envoy administrados.
Crea los recursos de balanceo de cargas
Antes de configurar las reglas y políticas de firewall, configura el entorno y los recursos de balanceo de cargas, como una red de nube privada virtual (VPC), una subred, un balanceador de cargas con sus servidores de backend y una regla de reenvío, y una instancia de VM cliente para probar la conectividad.
Para crear y configurar los recursos del balanceador de cargas que elegiste, consulta los siguientes documentos:
- Configura un balanceador de cargas de aplicaciones interno entre regiones con backends de grupos de instancias de VM
- Configura un balanceador de cargas de aplicaciones interno regional con backends de grupos de instancias de VM.
- Configura un balanceador de cargas de red de proxy interno entre regiones con backends de grupos de instancias de VM
- Configura un balanceador de cargas de red de proxy interno regional con backends de grupos de instancias de VM
Después de crear los recursos, registra los siguientes detalles. Usarás estos detalles para configurar las reglas y políticas de firewall más adelante en este documento:
- Región del balanceador de cargas
- El nombre y la dirección IP de la regla de reenvío
- Nombre de la red de VPC
- El nombre, la zona y la dirección IP de la instancia de VM del cliente que creaste para probar la conectividad del balanceador de cargas
Crea recursos de Cloud NGFW
Crea una política de firewall de red regional en la misma región que el balanceador de cargas. Para obtener más información, consulta Crea una política de firewall de red regional.
Asocia la política de firewall con la red de VPC.
Para que las reglas de una política de firewall se apliquen a una regla de reenvío del balanceador de cargas, debes asociar la política a la red de VPC en la que existe esa regla de reenvío. Esta asociación activa las reglas de la política de firewall en la red de VPC.
Para controlar el tráfico que llega al balanceador de cargas, crea reglas de firewall de entrada en una política de firewall de red regional. A diferencia de los destinos de VM, se permite la entrada cuando no se aplican reglas de firewall a los proxies de Envoy administrados que usan los balanceadores de cargas de aplicaciones internos y los balanceadores de cargas de red de proxy internos. Para restringir el acceso a una o más reglas de reenvío del balanceador de cargas, debes crear al menos dos reglas de firewall de entrada con
--target-type INTERNAL_MANAGED_LB:Una regla de firewall de entrada de denegación de menor prioridad con
--src-ip-ranges=0.0.0.0/0.Una regla de firewall de permiso de entrada de mayor prioridad con
--src-ip-rangesestablecida en los rangos de direcciones IP de origen aprobados.Una regla de firewall de entrada de permiso con mayor prioridad y
--src-ip-rangesestablecida en las direcciones IP de los sondeos de verificación de estado de Google para los proxies de Envoy administrados. Para obtener más información, consulta Rangos de IP del sondeo y reglas de firewall en la Descripción general de las verificaciones de estado.Ver los registros de firewall Para obtener más información, consulta Visualiza registros.
Limitaciones
Cuando usas políticas de firewall de Cloud NGFW para proteger los backends de balanceador de cargas, se aplican las siguientes limitaciones:
Los balanceadores de cargas admiten reglas de firewall de entrada para inspeccionar el tráfico proveniente del cliente. Las reglas de firewall están configuradas para evaluar el tráfico destinado a la dirección IP virtual (VIP) del balanceador de cargas. Las reglas de firewall permiten el tráfico de salida, que fluye desde las instancias de backend al balanceador de cargas a través de la subred de solo proxy.
Los balanceadores de cargas no admiten políticas de firewall jerárquicas. Solo se admiten las políticas de firewall de red.
Las reglas de políticas de firewall para proteger los backends del balanceador de cargas solo admiten el protocolo TCP.
Los balanceadores de cargas no admiten las siguientes funciones de Cloud NGFW:
- Ubicación geográfica
- Inteligencia de amenazas de red (NTI)
- Especificación del rango de IP de destino
- Especificación de puerto
Una regla de firewall puede tener como objetivo una sola regla de reenvío o todas las reglas de reenvío de la red de VPC. No puedes configurar una regla de firewall para que se aplique a una lista específica de varias reglas de reenvío.
Las reglas de firewall con
target-typeestablecido enINTERNAL_MANAGED_LBpueden usar los tipos de redVPC_NETWORKSoINTRA_VPC, pero no pueden usar los tipos de redINTERNEToNON_INTERNET.Los balanceadores de cargas admiten políticas de firewall con tipos de red
VPC_NETWORKSyINTRA_VPC.VPC_NETWORKSespecifica el tráfico de origen de las VPC definidas.INTRA_VPCespecifica el tráfico de origen dentro de la misma VPC.