Vous pouvez configurer des règles dans les stratégies de pare-feu Cloud Next Generation Firewall (Cloud NGFW) qui s'appliquent aux proxys Envoy gérés utilisés par l'équilibreur de charge d'application interne et l'équilibreur de charge réseau proxy interne. Ces proxys s'exécutent dans un sous-réseau proxy réservé.
Les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes présentent les exigences et les options suivantes concernant les règles de pare-feu :
Règles de pare-feu s'appliquant aux backends de l'équilibreur de charge : si vous utilisez des backends de groupe d'instances ou de NEG zonal
GCE_VM_IP_PORT, vous devez configurer des règles de pare-feu qui autorisent les proxys Envoy gérés à se connecter aux VM de backend.Règles de pare-feu qui s'appliquent aux proxys Envoy gérés : ces règles de pare-feu s'appliquent aux proxys Envoy gérés. Les règles permettent de contrôler l'accès aux règles de transfert de l'équilibreur de charge (facultatif). Cela est utile lorsque l'équilibreur de charge utilise des NEG Internet régionaux ou des NEG Private Service Connect.
Ce document explique comment configurer les règles de pare-feu qui s'appliquent aux proxys Envoy gérés.
Créer les ressources d'équilibrage de charge
Avant de configurer des règles et des stratégies de pare-feu, configurez l'environnement et les ressources d'équilibrage de charge, comme un réseau cloud privé virtuel (VPC), un sous-réseau, un équilibreur de charge avec ses backends et une règle de transfert, ainsi qu'une instance de VM cliente pour tester la connectivité.
Pour créer et configurer les ressources de l'équilibreur de charge de votre choix, consultez les documents suivants :
- Configurer un équilibreur de charge d'application interne interrégional avec des backends de groupes d'instances de VM
- Configurer un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM
- Configurez un équilibreur de charge réseau proxy interne interrégional avec des backends de groupes d'instances de VM.
- Configurer un équilibreur de charge réseau proxy interne régional avec des backends de groupes d'instances de VM
Après avoir créé les ressources, notez les informations suivantes. Vous utiliserez ces informations pour configurer des règles et des stratégies de pare-feu plus loin dans ce document :
- Région de l'équilibreur de charge
- Nom et adresse IP de la règle de transfert
- Nom du réseau VPC
- Nom, zone et adresse IP de l'instance de VM cliente que vous avez créée pour tester la connectivité de l'équilibreur de charge
Créer des ressources Cloud NGFW
Créez une stratégie de pare-feu réseau régionale dans la même région que l'équilibreur de charge. Pour en savoir plus, consultez Créer une règle de pare-feu réseau régionale.
Associez la stratégie de pare-feu au réseau VPC.
Pour que les règles d'une stratégie de pare-feu s'appliquent à une règle de transfert d'équilibreur de charge, vous devez associer la stratégie au réseau VPC dans lequel se trouve cette règle de transfert. Cette association active les règles du règlement de pare-feu sur le réseau VPC.
Pour contrôler le trafic qui atteint l'équilibreur de charge, créez des règles de pare-feu d'entrée dans une stratégie de pare-feu réseau régionale. Contrairement aux cibles de VM, le trafic entrant est autorisé lorsqu'aucune règle de pare-feu ne s'applique aux proxys Envoy gérés utilisés par les équilibreurs de charge d'application internes et les équilibreurs de charge réseau proxy internes. Pour restreindre l'accès à une ou plusieurs règles de transfert d'équilibreur de charge, vous devez créer au moins deux règles de pare-feu d'entrée avec
--target-type INTERNAL_MANAGED_LB:Règle de pare-feu d'entrée de priorité inférieure avec
--src-ip-ranges=0.0.0.0/0.Une règle de pare-feu autorisant le trafic entrant de priorité supérieure avec
--src-ip-rangesdéfini sur les plages d'adresses IP sources approuvées.Une règle de pare-feu d'autorisation d'entrée de priorité plus élevée avec
--src-ip-rangesdéfini sur les adresses IP des vérificateurs d'état Google pour les proxys Envoy gérés. Pour en savoir plus, consultez Plages d'adresses IP de vérification et règles de pare-feu dans la présentation des vérifications d'état.Affichez les journaux de pare-feu. Pour en savoir plus, consultez Afficher les journaux.
Limites
Lorsque vous utilisez des règles de pare-feu Cloud NGFW pour protéger les backends d'équilibreur de charge, les limites suivantes s'appliquent :
Les équilibreurs de charge sont compatibles avec les règles de pare-feu d'entrée pour inspecter le trafic provenant du client. Les règles de pare-feu sont configurées pour évaluer le trafic destiné à l'adresse IP virtuelle (VIP) de l'équilibreur de charge. Le trafic de sortie, qui transite des instances de backend vers l'équilibreur de charge via le sous-réseau proxy réservé, est autorisé par les règles de pare-feu.
Les équilibreurs de charge ne sont pas compatibles avec les stratégies de pare-feu hiérarchiques. Seules les stratégies de pare-feu réseau sont acceptées.
Les règles de stratégie de pare-feu permettant de protéger les backends d'équilibreur de charge ne sont compatibles qu'avec le protocole TCP.
Les équilibreurs de charge ne sont pas compatibles avec les fonctionnalités Cloud NGFW suivantes :
- Géolocalisation
- Renseignements sur les menaces réseau (RMR)
- Spécification de la plage d'adresses IP de destination
- Spécification du port
Une règle de pare-feu peut cibler une seule règle de transfert ou toutes les règles de transfert du réseau VPC. Vous ne pouvez pas configurer une règle de pare-feu pour cibler une liste spécifique de plusieurs règles de transfert.
Les règles de pare-feu avec
target-typedéfini surINTERNAL_MANAGED_LBpeuvent utiliser les types de réseauVPC_NETWORKSouINTRA_VPC, mais pas les types de réseauINTERNETouNON_INTERNET.Les équilibreurs de charge sont compatibles avec les stratégies de pare-feu avec les types de réseau
VPC_NETWORKSetINTRA_VPC.VPC_NETWORKSspécifie le trafic source provenant des VPC définis.INTRA_VPCspécifie le trafic source au sein du même VPC.