Menggunakan kebijakan firewall jaringan regional untuk melindungi Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal

Anda dapat mengonfigurasi aturan dalam kebijakan firewall Cloud Next Generation Firewall (Cloud NGFW) yang berlaku untuk proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Proxy ini berjalan di subnet khusus proxy.

Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal memiliki persyaratan dan opsi aturan firewall berikut:

• Aturan firewall yang berlaku untuk backend load balancer: jika Anda menggunakan backend NEG zonal GCE_VM_IP_PORT atau grup instance, Anda harus mengonfigurasi aturan firewall yang mengizinkan proxy Envoy terkelola terhubung ke VM backend.

• Aturan firewall yang berlaku untuk proxy Envoy terkelola: aturan firewall ini berlaku untuk proxy Envoy terkelola. Aturan ini menyediakan kontrol akses opsional ke aturan penerusan load balancer, yang berguna saat load balancer menggunakan NEG internet regional atau NEG Private Service Connect.

Dokumen ini menjelaskan cara menyiapkan aturan firewall yang berlaku untuk proxy Envoy terkelola.

Buat resource load balancing

Sebelum mengonfigurasi aturan dan kebijakan firewall, siapkan lingkungan dan resource load balancing, seperti jaringan Virtual Private Cloud (VPC), subnet, load balancer dengan backend dan aturan penerusannya, serta instance VM klien untuk menguji konektivitas.

Untuk membuat dan mengonfigurasi resource untuk load balancer yang Anda pilih, lihat dokumen berikut:

• Menyiapkan Load Balancer Aplikasi internal lintas region dengan backend grup instance VM
• Menyiapkan Load Balancer Aplikasi internal regional dengan backend grup instance VM
• Menyiapkan Load Balancer Jaringan proxy internal lintas region dengan backend grup instance VM
• Menyiapkan Load Balancer Jaringan proxy internal regional dengan backend grup instance VM

Setelah membuat resource, catat detail berikut. Anda akan menggunakan detail ini untuk mengonfigurasi aturan dan kebijakan firewall nanti dalam dokumen ini:

• Region load balancer
• Nama dan alamat IP aturan penerusan
• Nama jaringan VPC
• Nama, zona, dan alamat IP instance VM klien yang Anda buat untuk menguji konektivitas load balancer

Membuat resource Cloud NGFW

1. Buat kebijakan firewall jaringan regional di region yang sama dengan load balancer. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall jaringan regional.

2. Kaitkan kebijakan firewall dengan jaringan VPC.

   Agar aturan kebijakan firewall berlaku untuk aturan penerusan load balancer, Anda harus mengaitkan kebijakan dengan jaringan VPC tempat aturan penerusan tersebut berada. Asosiasi ini mengaktifkan aturan kebijakan firewall di jaringan VPC.

3. Untuk mengontrol traffic yang mencapai load balancer, buat aturan firewall masuk dalam kebijakan firewall jaringan regional. Tidak seperti target VM, ingress diizinkan jika tidak ada aturan firewall yang berlaku untuk proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Untuk membatasi akses ke satu atau beberapa aturan penerusan load balancer, Anda harus membuat minimal dua aturan firewall ingress dengan --target-type INTERNAL_MANAGED_LB:

   • Aturan firewall penolakan ingress dengan prioritas lebih rendah dengan --src-ip-ranges=0.0.0.0/0.

   • Aturan firewall izinkan masuk dengan prioritas yang lebih tinggi dengan --src-ip-ranges yang ditetapkan ke rentang alamat IP sumber yang disetujui.

   • Aturan firewall izinkan ingress dengan prioritas lebih tinggi dengan --src-ip-ranges yang ditetapkan ke alamat IP pemeriksaan health check Google untuk proxy Envoy terkelola. Untuk mengetahui informasi selengkapnya, lihat Rentang IP pemeriksaan dan aturan firewall di bagian Ringkasan health check.

   • Melihat log firewall. Untuk mengetahui informasi selengkapnya, lihat Melihat log.

Batasan

Saat Anda menggunakan kebijakan firewall Cloud NGFW untuk melindungi backend load balancer, batasan berikut berlaku:

• Load balancer mendukung aturan firewall masuk untuk memeriksa traffic yang berasal dari klien. Aturan firewall dikonfigurasi untuk mengevaluasi traffic yang ditujukan untuk alamat IP virtual (VIP) load balancer. Traffic keluar, yang mengalir dari instance backend ke load balancer melalui subnet khusus proxy, diizinkan oleh aturan firewall.

• Load balancer tidak mendukung Kebijakan firewall hierarkis. Hanya kebijakan firewall jaringan yang didukung.

• Aturan kebijakan firewall untuk melindungi backend load balancer hanya mendukung protokol TCP.

• Load balancer tidak mendukung fitur Cloud NGFW berikut:

  • Geolokasi
  • Network threat intelligence (NTI)
  • Spesifikasi rentang IP tujuan
  • Spesifikasi port

• Aturan firewall dapat menargetkan satu aturan penerusan atau semua aturan penerusan di jaringan VPC. Anda tidak dapat mengonfigurasi aturan firewall untuk menargetkan daftar spesifik dari beberapa aturan penerusan.

• Aturan firewall dengan target-type yang ditetapkan ke INTERNAL_MANAGED_LB dapat menggunakan jenis jaringan VPC_NETWORKS atau INTRA_VPC, tetapi tidak dapat menggunakan jenis jaringan INTERNET atau NON_INTERNET.

• Load balancer mendukung kebijakan firewall dengan jenis jaringan VPC_NETWORKS dan INTRA_VPC. VPC_NETWORKS menentukan traffic sumber dari VPC yang ditentukan. INTRA_VPC menentukan traffic sumber dalam VPC yang sama.