Menggunakan kebijakan firewall jaringan regional untuk melindungi Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal

Anda dapat mengonfigurasi aturan dalam kebijakan firewall Cloud Next Generation Firewall (Cloud NGFW) yang berlaku untuk proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Proxy ini berjalan di subnet khusus proxy.

Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal memiliki persyaratan dan opsi aturan firewall berikut:

  • Aturan firewall yang berlaku untuk backend load balancer: Jika Anda menggunakan grup instance atau GCE_VM_IP_PORT backend Network Endpoint Group (NEG) zonal, Anda harus mengonfigurasi aturan firewall yang mengizinkan proxy Envoy terkelola terhubung ke VM backend.

  • Aturan firewall yang berlaku untuk proxy Envoy terkelola: Aturan firewall ini berlaku untuk proxy Envoy terkelola. Aturan ini menyediakan kontrol akses opsional ke aturan penerusan load balancer, yang berguna saat load balancer menggunakan NEG internet regional atau NEG Private Service Connect.

Dokumen ini menjelaskan cara menyiapkan aturan firewall yang berlaku untuk proxy Envoy terkelola.

Membuat resource load balancing

Sebelum mengonfigurasi aturan dan kebijakan firewall, siapkan resource load balancing, seperti jaringan Virtual Private Cloud (VPC), subnet, load balancer dengan backend dan aturan penerusannya, serta instance VM klien untuk menguji konektivitas.

Untuk membuat dan mengonfigurasi resource untuk load balancer yang Anda pilih, lihat dokumen berikut:

Setelah membuat resource, catat detail berikut. Anda akan menggunakan detail ini untuk mengonfigurasi aturan dan kebijakan firewall nanti dalam dokumen ini:

  • Region load balancer
  • Nama dan alamat IP aturan penerusan
  • Nama jaringan VPC
  • Nama, zona, dan alamat IP instance VM klien yang Anda buat untuk menguji konektivitas load balancer

Membuat resource Cloud NGFW

  1. Buat kebijakan firewall jaringan regional di region yang sama dengan load balancer. Untuk mengetahui informasi selengkapnya, lihat Membuat kebijakan firewall jaringan regional.

  2. Kaitkan kebijakan firewall dengan jaringan VPC.

    Agar aturan kebijakan firewall berlaku untuk aturan penerusan load balancer, Anda harus mengaitkan kebijakan dengan jaringan VPC tempat aturan penerusan tersebut ada. Pengaitan ini mengaktifkan aturan kebijakan firewall di jaringan VPC.

  3. Untuk mengontrol traffic yang mencapai load balancer, buat aturan firewall ingress dalam kebijakan firewall jaringan regional policy. Tidak seperti target VM, ingress diizinkan jika tidak ada aturan firewall yang berlaku untuk proxy Envoy terkelola yang digunakan oleh Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal. Untuk membatasi akses ke satu atau beberapa aturan penerusan load balancer, Anda harus membuat aturan firewall ingress dengan parameter --target-type=INTERNAL_MANAGED_LB:

    • Satu aturan firewall ingress deny dengan prioritas lebih rendah dengan --src-ip-ranges=0.0.0.0/0. Tindakan ini menetapkan baseline yang menolak semua traffic masuk.

    • Satu atau beberapa aturan firewall ingress allow dengan prioritas lebih tinggi dengan --src-ip-ranges yang mencakup rentang berikut:

    Untuk menargetkan aturan penerusan tertentu, tetapkan --target-forwarding-rules ke satu aturan penerusan load balancer dalam format yang didukung. Jika Anda ingin menerapkan kebijakan firewall dan aturannya ke Load Balancer Aplikasi internal dan Load Balancer Jaringan proxy internal dari jaringan VPC, jangan tentukan flag --target-forwarding-rules.

  4. Lihat log firewall. Untuk mengetahui informasi selengkapnya, lihat Melihat log.