Regionale Netzwerk-Firewallrichtlinien zum Schutz interner Application Load Balancer und interner Proxy-Network Load Balancer verwenden

Sie können Regeln in Cloud Next Generation Firewall-Firewallrichtlinien (Cloud NGFW) konfigurieren, die auf verwaltete Envoy-Proxys angewendet werden, die von internen Application Load Balancern und internen Proxy-Network Load Balancern verwendet werden. Diese Proxys werden in einem Nur-Proxy-Subnetz ausgeführt.

Für interne Application Load Balancer und interne Proxy-Network Load Balancer gelten die folgenden Anforderungen und Optionen für Firewallregeln:

  • Firewallregeln, die auf die Load-Balancer-Back-Ends angewendet werden: Wenn Sie zonale NEG-Back-Ends für Instanzgruppen oder GCE_VM_IP_PORT verwenden, müssen Sie Firewallregeln konfigurieren, die es den verwalteten Envoy-Proxys ermöglichen, eine Verbindung zu den Back-End-VMs herzustellen.

  • Firewallregeln, die auf die verwalteten Envoy-Proxys angewendet werden: Diese Firewall regeln gelten für die verwalteten Envoy-Proxys. Die Regeln bieten eine optionale Zugriffs steuerung für Weiterleitungsregeln für Load Balancer. Das ist nützlich, wenn der Load Balancer regionale Internet NEGs oder Private Service Connect NEGs verwendet.

In diesem Dokument wird beschrieben, wie Sie die Firewallregeln einrichten, die auf die verwalteten Envoy-Proxys angewendet werden.

Load-Balancing-Ressourcen erstellen

Bevor Sie Firewallregeln und -richtlinien konfigurieren, richten Sie die Umgebung und die Load-Balancing-Ressourcen ein, z. B. ein VPC-Netzwerk (Virtual Private Cloud), ein Subnetz, einen Load Balancer mit seinen Back-Ends und einer Weiterleitungsregel sowie eine Client-VM-Instanz zum Testen der Konnektivität.

Informationen zum Erstellen und Konfigurieren der Ressourcen für den von Ihnen ausgewählten Load Balancer finden Sie in den folgenden Dokumenten:

Notieren Sie sich nach dem Erstellen der Ressourcen die folgenden Details. Sie verwenden diese Details später in diesem Dokument, um Firewallregeln und -richtlinien zu konfigurieren:

  • Die Region des Load Balancers
  • Der Name und die IP-Adresse der Weiterleitungsregel
  • Der Name des VPC-Netzwerk
  • Der Name, die Zone und die IP-Adresse der Client-VM-Instanz, die Sie zum Testen der Load-Balancer-Konnektivität erstellt haben

Cloud NGFW-Ressourcen erstellen

  1. Erstellen Sie eine regionale Netzwerk-Firewallrichtlinie in derselben Region wie der Load Balancer. Weitere Informationen finden Sie unter Regionale Netzwerk Firewall richtlinie erstellen.

  2. Verknüpfen Sie die Firewallrichtlinie mit dem VPC-Netzwerk.

    Damit die Regeln einer Firewallrichtlinie auf eine Weiterleitungsregel für einen Load Balancer angewendet werden, müssen Sie die Richtlinie mit dem VPC-Netzwerk verknüpfen, in dem sich diese Weiterleitungsregel befindet. Durch diese Verknüpfung werden die Regeln der Firewallrichtlinie im VPC-Netzwerk aktiviert.

  3. Um den Traffic zu steuern, der den Load Balancer erreicht, erstellen Sie Firewallregeln für eingehenden Traffic in einer regionalen Netzwerk-Firewall richtlinie. Im Gegensatz zu VM-Zielen ist eingehender Traffic zulässig, wenn keine Firewallregeln auf die verwalteten Envoy-Proxys angewendet werden, die von internen Application Load Balancern und internen Proxy-Network Load Balancern verwendet werden. Wenn Sie den Zugriff auf eine oder mehrere Weiterleitungsregeln für Load Balancer einschränken möchten, müssen Sie mindestens zwei Firewallregeln für eingehenden Traffic mit --target-type INTERNAL_MANAGED_LB erstellen:

    • Eine Firewallregel zum Ablehnen von eingehendem Traffic mit niedrigerer Priorität und --src-ip-ranges=0.0.0.0/0.

    • Eine Firewallregel zum Zulassen von eingehendem Traffic mit höherer Priorität, bei der --src-ip-ranges auf die genehmigten Quell-IP-Adressbereiche festgelegt ist.

    • Eine Firewallregel zum Zulassen von eingehendem Traffic mit höherer Priorität, bei der --src-ip-ranges auf die IP-Adressen der Google-Systemdiagnose-Prober für die verwalteten Envoy-Proxys festgelegt ist. Weitere Informationen finden Sie unter Prüfungs-IP-Bereiche und Firewallregeln in der Übersicht zu Systemdiagnosen.

    • Firewall-Logs ansehen. Weitere Informationen finden Sie unter Logs ansehen.

Beschränkungen

Wenn Sie Cloud NGFW-Firewallrichtlinien verwenden, um Load-Balancer-Back-Ends zu schützen, gelten die folgenden Einschränkungen:

  • Load Balancer unterstützen Firewallregeln für eingehenden Traffic, um Traffic vom Client zu prüfen. Die Firewallregeln sind so konfiguriert, dass Traffic ausgewertet wird, der für die virtuelle IP-Adresse (VIP) des Load Balancers bestimmt ist. Der ausgehende Traffic, der über das Nur-Proxy-Subnetz von den Back-End-Instanzen zum Load Balancer fließt, wird durch die Firewallregeln zugelassen.

  • Load Balancer unterstützen keine hierarchischen Firewallrichtlinien. Es werden nur Netzwerk-Firewallrichtlinien unterstützt.

  • Firewallrichtlinienregeln zum Schutz von Load-Balancer-Back-Ends unterstützen nur das TCP-Protokoll.

  • Load Balancer unterstützen die folgenden Cloud NGFW-Features nicht:

    • Standortbestimmung
    • Netzwerk-Bedrohungsinformationen (Network Threat Intelligence, NTI)
    • Spezifikation des Ziel-IP-Bereichs
    • Portspezifikation

  • Eine Firewallregel kann entweder auf eine einzelne Weiterleitungsregel oder auf alle Weiterleitungsregeln im VPC-Netzwerk ausgerichtet sein. Sie können keine Firewallregel so konfigurieren, dass sie auf eine bestimmte Liste mehrerer Weiterleitungsregeln ausgerichtet ist.

  • Für Firewallregeln, bei denen target-type auf INTERNAL_MANAGED_LB festgelegt ist, können die Netzwerktypen VPC_NETWORKS oder INTRA_VPC verwendet werden, nicht jedoch die Netzwerktypen INTERNET oder NON_INTERNET.

  • Die Load Balancer unterstützen Firewallrichtlinien mit den Netzwerktypen VPC_NETWORKS und INTRA_VPC. VPC_NETWORKS gibt Quell-Traffic aus definierten VPCs an. INTRA_VPC gibt Quell-Traffic innerhalb derselben VPC an.