Puoi configurare regole nei criteri firewall di Cloud Next Generation Firewall (Cloud NGFW) che si applicano ai proxy Envoy gestiti utilizzati dal bilanciatore del carico delle applicazioni interno e dal bilanciatore del carico di rete con proxy interno. Questi proxy vengono eseguiti in una subnet solo proxy.
I bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni hanno i seguenti requisiti e opzioni per le regole firewall:
Regole firewall che si applicano ai backend del bilanciatore del carico: se utilizzi gruppi di istanze o backend NEG zonali
GCE_VM_IP_PORT, devi configurare regole firewall che consentano ai proxy Envoy gestiti di connettersi alle VM di backend.Regole firewall che si applicano ai proxy Envoy gestiti: queste regole firewall si applicano ai proxy Envoy gestiti. Le regole forniscono un controllo dell'accesso facoltativo alle regole di forwarding del bilanciatore del carico, utile quando il bilanciatore del carico utilizza NEG di internet regionali o NEG Private Service Connect.
Questo documento descrive come configurare le regole firewall che si applicano ai proxy Envoy gestiti.
Crea le risorse di bilanciamento del carico
Prima di configurare regole e policy firewall, configura l'ambiente e le risorse di bilanciamento del carico, ad esempio una rete Virtual Private Cloud (VPC), una subnet, un bilanciatore del carico con i relativi backend e una regola di forwarding e un'istanza VM client per testare la connettività.
Per creare e configurare le risorse per il bilanciatore del carico scelto, consulta i seguenti documenti:
- Configura un bilanciatore del carico delle applicazioni interno cross-region con backend di gruppi di istanze VM
- Configura un bilanciatore del carico delle applicazioni interno regionale con backend di gruppi di istanze VM
- Configura un bilanciatore del carico di rete proxy interno tra regioni con backend di gruppi di istanze VM
- Configura un bilanciatore del carico di rete proxy interno regionale con backend di gruppi di istanze VM
Dopo aver creato le risorse, registra i seguenti dettagli. Utilizzerai questi dettagli per configurare regole e criteri firewall più avanti in questo documento:
- La regione del bilanciatore del carico
- Il nome e l'indirizzo IP della regola di forwarding
- Il nome della rete VPC
- Il nome, la zona e l'indirizzo IP dell'istanza VM client che hai creato per testare la connettività del bilanciatore del carico
Crea risorse Cloud NGFW
Crea una policy firewall di rete regionale nella stessa regione del bilanciatore del carico. Per saperne di più, consulta Crea una policy firewall di rete regionale.
Associa il criterio firewall alla rete VPC.
Affinché le regole di una policy firewall vengano applicate a una regola di forwarding del bilanciatore del carico, devi associare la policy alla rete VPC in cui esiste la regola di forwarding. Questa associazione attiva le regole dei criteri firewall sulla rete VPC.
Per controllare il traffico che raggiunge il bilanciatore del carico, crea regole firewall in entrata in una policy firewall di rete regionale. A differenza dei target VM, l'ingresso è consentito quando non vengono applicate regole firewall ai proxy Envoy gestiti utilizzati dai bilanciatori del carico delle applicazioni interni e dai bilanciatori del carico di rete con proxy interno. Per limitare l'accesso a una o più regole di forwarding del bilanciatore del carico, devi creare almeno due regole firewall in entrata con
--target-type INTERNAL_MANAGED_LB:Una regola firewall di negazione in entrata con priorità inferiore con
--src-ip-ranges=0.0.0.0/0.Una regola firewall in entrata con priorità più alta con
--src-ip-rangesimpostato sugli intervalli di indirizzi IP di origine approvati.Una regola firewall in entrata con priorità più alta con
--src-ip-rangesimpostato sugli indirizzi IP dei probe del controllo di integrità di Google per i proxy Envoy gestiti. Per saperne di più, consulta Intervalli IP probe e regole firewall nella panoramica dei controlli di integrità.Visualizza i log firewall. Per saperne di più, consulta Visualizza i log.
Limitazioni
Quando utilizzi le policy firewall Cloud NGFW per proteggere i backend del bilanciatore del carico, si applicano le seguenti limitazioni:
I bilanciatori del carico supportano le regole firewall in entrata per ispezionare il traffico proveniente dal client. Le regole firewall sono configurate per valutare il traffico destinato all'indirizzo IP virtuale (VIP) del bilanciatore del carico. Il traffico in uscita, che fluisce dalle istanze di backend al bilanciatore del carico sulla subnet solo proxy, è consentito dalle regole firewall.
I bilanciatori del carico non supportano i criteri firewall gerarchici. Sono supportate solo le policy del firewall di rete.
Le regole delle policy firewall per proteggere i backend del bilanciatore del carico supportano solo il protocollo TCP.
I bilanciatori del carico non supportano le seguenti funzionalità di Cloud NGFW:
- Geolocalizzazione
- Threat intelligence di rete (NTI)
- Specifica dell'intervallo IP di destinazione
- Specifica della porta
Una regola firewall può avere come target una singola regola di forwarding o tutte le regole di forwarding nella rete VPC. Non puoi configurare una regola firewall in modo che abbia come target un elenco specifico di più regole di forwarding.
Le regole firewall con
target-typeimpostato suINTERNAL_MANAGED_LBpossono utilizzare i tipi di reteVPC_NETWORKSoINTRA_VPC, ma non possono utilizzare i tipi di reteINTERNEToNON_INTERNET.I bilanciatori del carico supportano le policy firewall con i tipi di rete
VPC_NETWORKSeINTRA_VPC.VPC_NETWORKSspecifica il traffico di origine proveniente da VPC definite.INTRA_VPCspecifica il traffico di origine all'interno della stessa VPC.