Pode configurar regras em políticas de firewall da firewall de nova geração da nuvem (NGFW da nuvem) que se aplicam a proxies Envoy geridos usados pelo Application Load Balancer interno e pelo Network Load Balancer de proxy interno. Estes proxies são executados numa sub-rede só de proxy.
Os balanceadores de carga de aplicações internos e os balanceadores de carga de rede de proxy internos têm os seguintes requisitos e opções de regras de firewall:
Regras de firewall que se aplicam aos back-ends do balanceador de carga: se usar um grupo de instâncias ou back-ends do NEG zonais, tem de configurar regras de firewall que permitam que os proxies Envoy geridos se liguem às VMs de back-end.
GCE_VM_IP_PORTRegras de firewall que se aplicam aos proxies Envoy geridos: estas regras de firewall aplicam-se aos proxies Envoy geridos. As regras fornecem controlo de acesso opcional às regras de encaminhamento do balanceador de carga, o que é útil quando o balanceador de carga usa NEGs de Internet regionais ou NEGs do Private Service Connect.
Este documento descreve como configurar as regras de firewall que se aplicam aos proxies Envoy geridos.
Crie os recursos de balanceamento de carga
Antes de configurar regras e políticas de firewall, configure o ambiente e os recursos de balanceamento de carga, como uma rede de nuvem virtual privada (VPC), uma sub-rede, um balanceador de carga com os respetivos back-ends e uma regra de encaminhamento, bem como uma instância de VM do cliente para testar a conetividade.
Para criar e configurar os recursos para o balanceador de carga escolhido, consulte os seguintes documentos:
- Configure um Application Load Balancer interno entre regiões com back-ends de grupos de instâncias de VMs
- Configure um Application Load Balancer interno regional com back-ends de grupos de instâncias de VMs
- Configure um balanceador de carga de rede de proxy interno entre regiões com back-ends de grupos de instâncias de VMs
- Configure um balanceador de carga de rede de proxy interno regional com back-ends de grupos de instâncias de VMs
Depois de criar os recursos, registe os seguintes detalhes. Vai usar estes detalhes para configurar regras e políticas de firewall mais tarde neste documento:
- A região do balanceador de carga
- O nome e o endereço IP da regra de encaminhamento
- O nome da rede VPC
- O nome, a zona e o endereço IP da instância da VM do cliente que criou para testar a conetividade do balanceador de carga
Crie recursos do NGFW do Google Cloud
Crie uma política de firewall de rede regional na mesma região que o balanceador de carga. Para mais informações, consulte o artigo Crie uma política de firewall de rede regional.
Associe a política de firewall à rede VPC.
Para que as regras de uma política de firewall se apliquem a uma regra de encaminhamento de um balanceador de carga, tem de associar a política à rede da VPC onde essa regra de encaminhamento existe. Esta associação ativa as regras da política de firewall na rede de VPC.
Para controlar o tráfego que atinge o balanceador de carga, crie regras de firewall de entrada numa política de firewall de rede regional. Ao contrário dos destinos de VMs, a entrada é permitida quando não se aplicam regras de firewall aos proxies Envoy geridos usados pelos balanceadores de carga de aplicações internos e pelos balanceadores de carga de rede de proxy internos. Para restringir o acesso a uma ou mais regras de encaminhamento do balanceador de carga, tem de criar, pelo menos, duas regras de firewall de entrada com
--target-type INTERNAL_MANAGED_LB:Uma regra de firewall de negação de entrada de prioridade mais baixa com
--src-ip-ranges=0.0.0.0/0.Uma regra de firewall de autorização de entrada com uma prioridade mais elevada e
--src-ip-rangesdefinida para os intervalos de endereços IP de origem aprovados.Uma regra de firewall de permissão de entrada de prioridade mais elevada com
--src-ip-rangesdefinida para os endereços IP das sondas de verificação de funcionamento da Google para os proxies Envoy geridos. Para mais informações, consulte os Intervalos de IPs de sondagem e regras da firewall na vista geral das verificações de funcionamento.Veja os registos da firewall. Para mais informações, consulte o artigo Ver registos.
Limitações
Quando usa políticas de firewall do Cloud NGFW para proteger back-ends do balanceador de carga, aplicam-se as seguintes limitações:
Os balanceadores de carga suportam regras de firewall de entrada para inspecionar o tráfego proveniente do cliente. As regras de firewall estão configuradas para avaliar o tráfego destinado ao endereço IP virtual (VIP) do balanceador de carga. O tráfego de saída, que flui das instâncias de back-end para o balanceador de carga através da sub-rede só de proxy, é permitido pelas regras de firewall.
Os equilibradores de carga não suportam políticas de firewall hierárquicas. Apenas são suportadas políticas de firewall de rede.
As regras de políticas de firewall para proteger os back-ends do balanceador de carga só suportam o protocolo TCP.
Os equilibradores de carga não suportam as seguintes funcionalidades do NGFW da nuvem:
- Geolocalização
- Informações sobre ameaças de rede (NTI)
- Especificação do intervalo de IPs de destino
- Especificação de portas
Uma regra de firewall pode segmentar uma única regra de encaminhamento ou todas as regras de encaminhamento na rede de VPC. Não pode configurar uma regra de firewall para segmentar uma lista específica de várias regras de encaminhamento.
As regras de firewall com
target-typedefinido comoINTERNAL_MANAGED_LBpodem usar os tipos de redeVPC_NETWORKSouINTRA_VPC, mas não podem usar os tipos de redeINTERNETouNON_INTERNET.Os balanceadores de carga suportam políticas de firewall com os tipos de rede
VPC_NETWORKSeINTRA_VPC.VPC_NETWORKSespecifica o tráfego de origem de VPCs definidas.INTRA_VPCespecifica o tráfego de origem na mesma VPC.