您可以在 Cloud Next Generation Firewall (Cloud NGFW) 防火墙政策中配置规则,这些规则适用于内部应用负载平衡器和内部代理网络负载平衡器使用的受管 Envoy 代理。这些代理在代理专用子网中运行。
内部应用负载平衡器和内部代理网络负载平衡器具有以下防火墙规则要求和选项:
适用于负载均衡器后端的防火墙规则:如果您使用实例组或
GCE_VM_IP_PORT可用区级 NEG 后端,则必须配置防火墙规则,以允许受管 Envoy 代理连接到后端虚拟机。适用于受管 Envoy 代理的防火墙规则:这些防火墙规则适用于受管 Envoy 代理。这些规则可为负载均衡器转发规则提供可选的访问权限控制,当负载均衡器使用区域级互联网 NEG 或 Private Service Connect NEG 时,此功能非常有用。
本文档介绍了如何设置适用于受管 Envoy 代理的防火墙规则。
创建负载均衡资源
在配置防火墙规则和政策之前,请先设置环境和负载均衡资源,例如虚拟私有云 (VPC) 网络、子网、包含后端和转发规则的负载均衡器,以及用于测试连接的客户端虚拟机实例。
如需创建和配置所选负载均衡器的资源,请参阅以下文档:
- 设置具有虚拟机实例组后端的跨区域内部应用负载均衡器
- 设置具有虚拟机实例组后端的区域级内部应用负载均衡器
- 设置具有虚拟机实例组后端的跨区域内部代理网络负载均衡器
- 设置具有虚拟机实例组后端的区域级内部代理网络负载平衡器
创建资源后,请记录以下详细信息。您将在本文档的后续部分使用这些详细信息来配置防火墙规则和政策:
- 负载均衡器所在的区域
- 转发规则的名称和 IP 地址
- VPC 网络的名称
- 您创建的用于测试负载均衡器连接性的客户端虚拟机实例的名称、可用区和 IP 地址
创建 Cloud NGFW 资源
在负载均衡器所在的区域中创建区域级网络防火墙政策。如需了解详情,请参阅创建区域网络防火墙政策。
将防火墙政策与 VPC 网络相关联。
如需将防火墙政策的规则应用于负载均衡器转发规则,您必须将该政策与相应转发规则所在的 VPC 网络相关联。此关联操作会激活 VPC 网络中的防火墙政策规则。
如需控制到达负载均衡器的流量,请在区域级网络防火墙政策中创建入站防火墙规则。与虚拟机目标不同,当没有防火墙规则适用于内部应用负载平衡器和内部代理网络负载平衡器使用的受管 Envoy 代理时,系统会允许入站流量。如需限制对一个或多个负载均衡器转发规则的访问权限,您必须创建至少两条具有
--target-type INTERNAL_MANAGED_LB的入站防火墙规则:优先级较低的入站拒绝防火墙规则,其值为
--src-ip-ranges=0.0.0.0/0。优先级较高的入站允许防火墙规则,其中
--src-ip-ranges设置为获批的来源 IP 地址范围。优先级较高的入站允许防火墙规则,其中
--src-ip-ranges设置为受管 Envoy 代理的 Google 健康检查探测器的 IP 地址。如需了解详情,请参阅健康检查概览中的探测 IP 地址范围和防火墙规则。查看防火墙日志。如需了解详情,请参阅查看日志。
限制
使用 Cloud NGFW 防火墙政策保护负载均衡器后端时,需要遵循以下限制:
负载平衡器支持入站防火墙规则,以检查来自客户端的流量。防火墙规则配置为评估以负载均衡器的虚拟 IP (VIP) 地址为目的地的流量。从后端实例流向负载均衡器的出站流量(通过代理专用子网)受防火墙规则的允许。
负载平衡器不支持分层防火墙政策。仅支持网络防火墙政策。
用于保护负载均衡器后端的防火墙政策规则仅支持 TCP 协议。
负载平衡器不支持以下 Cloud NGFW 功能:
- 地理定位
- 网络威胁情报 (NTI)
- 目标 IP 地址范围规范
- 端口指定
防火墙规则可以针对单个转发规则,也可以针对 VPC 网络中的所有转发规则。您无法配置防火墙规则以针对多个转发规则的特定列表。
将
target-type设置为INTERNAL_MANAGED_LB的防火墙规则可以使用VPC_NETWORKS或INTRA_VPC网络类型,但不能使用INTERNET或NON_INTERNET网络类型。负载平衡器支持网络类型为
VPC_NETWORKS和INTRA_VPC的防火墙政策。VPC_NETWORKS用于指定来自已定义 VPC 的源流量。INTRA_VPC指定同一 VPC 内的来源流量。