리전 네트워크 방화벽 정책을 사용하여 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기 보호

내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에서 사용하는 관리형 Envoy 프록시에 적용되는 Cloud Next Generation Firewall (Cloud NGFW) 방화벽 정책의 규칙을 구성할 수 있습니다. 이러한 프록시는 프록시 전용 서브넷에서 실행됩니다.

내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에는 다음 방화벽 규칙 요구사항과 옵션이 있습니다.

• 부하 분산기 백엔드에 적용되는 방화벽 규칙: 인스턴스 그룹 또는 GCE_VM_IP_PORT 영역 NEG 백엔드를 사용하는 경우 관리형 Envoy 프록시가 백엔드 VM에 연결할 수 있도록 허용하는 방화벽 규칙을 구성해야 합니다.

• 관리 Envoy 프록시에 적용되는 방화벽 규칙: 이러한 방화벽 규칙은 관리 Envoy 프록시에 적용됩니다. 이 규칙은 부하 분산기가 리전 인터넷 NEG 또는 Private Service Connect NEG를 사용하는 경우에 유용한 부하 분산기 전달 규칙에 대한 선택적 액세스 제어를 제공합니다.

이 문서에서는 관리형 Envoy 프록시에 적용되는 방화벽 규칙을 설정하는 방법을 설명합니다.

부하 분산 리소스 만들기

방화벽 규칙 및 정책을 구성하기 전에 가상 프라이빗 클라우드 (VPC) 네트워크, 서브넷, 백엔드가 있는 부하 분산기 및 전달 규칙, 연결 테스트를 위한 클라이언트 VM 인스턴스와 같은 환경 및 부하 분산 리소스를 설정합니다.

선택한 부하 분산기의 리소스를 만들고 구성하려면 다음 문서를 참고하세요.

• VM 인스턴스 그룹 백엔드로 리전 간 내부 애플리케이션 부하 분산기 설정
• VM 인스턴스 그룹 백엔드로 리전 내부 애플리케이션 부하 분산기 설정
• VM 인스턴스 그룹 백엔드로 교차 리전 내부 프록시 네트워크 부하 분산기 설정
• VM 인스턴스 그룹 백엔드로 리전 내부 프록시 네트워크 부하 분산기 설정

리소스를 만든 후 다음 세부정보를 기록합니다. 이 세부정보는 이 문서의 뒷부분에서 방화벽 규칙 및 정책을 구성하는 데 사용됩니다.

• 부하 분산기의 리전
• 전달 규칙의 이름 및 IP 주소
• VPC 네트워크의 이름
• 부하 분산기 연결을 테스트하기 위해 만든 클라이언트 VM 인스턴스의 이름, 영역, IP 주소

Cloud NGFW 리소스 만들기

1. 부하 분산기와 동일한 리전에 리전 네트워크 방화벽 정책을 만듭니다. 자세한 내용은 리전 네트워크 방화벽 정책 만들기를 참고하세요.

2. 방화벽 정책을 VPC 네트워크와 연결합니다.

   방화벽 정책의 규칙을 부하 분산기 전달 규칙에 적용하려면 해당 전달 규칙이 있는 VPC 네트워크와 정책을 연결해야 합니다. 이렇게 연결하면 VPC 네트워크에서 방화벽 정책의 규칙이 활성화됩니다.

3. 부하 분산기에 도달하는 트래픽을 제어하려면 리전 네트워크 방화벽 정책에서 인그레스 방화벽 규칙을 만드세요. VM 타겟과 달리 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기에서 사용하는 관리 Envoy 프록시에 적용되는 방화벽 규칙이 없으면 인그레스가 허용됩니다. 하나 이상의 부하 분산기 전달 규칙에 대한 액세스를 제한하려면 --target-type INTERNAL_MANAGED_LB를 사용하여 인그레스 방화벽 규칙을 두 개 이상 만들어야 합니다.

   • --src-ip-ranges=0.0.0.0/0가 있는 우선순위가 낮은 인그레스 거부 방화벽 규칙

   • --src-ip-ranges이 승인된 소스 IP 주소 범위로 설정된 우선순위가 더 높은 인그레스 허용 방화벽 규칙

   • --src-ip-ranges이 관리 Envoy 프록시의 Google 상태 점검 프로브 IP 주소로 설정된 우선순위가 더 높은 인그레스 허용 방화벽 규칙 자세한 내용은 상태 점검 개요의 프로브 IP 범위 및 방화벽 규칙을 참고하세요.

   • 방화벽 로그를 확인합니다. 자세한 내용은 로그 보기를 참고하세요.

제한사항

Cloud NGFW 방화벽 정책을 사용하여 부하 분산기 백엔드를 보호하는 경우 다음 제한사항이 적용됩니다.

• 부하 분산기는 클라이언트에서 들어오는 트래픽을 검사하기 위한 인그레스 방화벽 규칙을 지원합니다. 방화벽 규칙은 부하 분산기의 가상 IP (VIP) 주소로 향하는 트래픽을 평가하도록 구성됩니다. 프록시 전용 서브넷을 통해 백엔드 인스턴스에서 부하 분산기로 흐르는 이그레스 트래픽은 방화벽 규칙에 의해 허용됩니다.

• 부하 분산기는 계층식 방화벽 정책을 지원하지 않습니다. 네트워크 방화벽 정책만 지원됩니다.

• 부하 분산기 백엔드를 보호하는 방화벽 정책 규칙은 TCP 프로토콜만 지원합니다.

• 부하 분산기는 다음 Cloud NGFW 기능을 지원하지 않습니다.

  • 위치정보
  • 네트워크 위협 인텔리전스 (NTI)
  • 대상 IP 범위 사양
  • 포트 사양

• 방화벽 규칙은 단일 전달 규칙 또는 VPC 네트워크의 모든 전달 규칙을 타겟팅할 수 있습니다. 여러 전달 규칙의 특정 목록을 타겟팅하도록 방화벽 규칙을 구성할 수 없습니다.

• target-type이 INTERNAL_MANAGED_LB으로 설정된 방화벽 규칙은 VPC_NETWORKS 또는 INTRA_VPC 네트워크 유형을 사용할 수 있지만 INTERNET 또는 NON_INTERNET 네트워크 유형은 사용할 수 없습니다.

• 부하 분산기는 VPC_NETWORKS 및 INTRA_VPC 네트워크 유형의 방화벽 정책을 지원합니다. VPC_NETWORKS는 정의된 VPC의 소스 트래픽을 지정합니다. INTRA_VPC는 동일한 VPC 내의 소스 트래픽을 지정합니다.