リージョン ネットワーク ファイアウォール ポリシーを使用して、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサを保護する

Cloud Next Generation Firewall（Cloud NGFW）ファイアウォール ポリシーで、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサで使用されるマネージド Envoy プロキシに適用されるルールを構成できます。これらのプロキシは、プロキシ専用サブネットで実行されます。

内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサには、次のファイアウォール ルールの要件とオプションがあります。

• ロードバランサのバックエンドに適用されるファイアウォール ルール: インスタンス グループまたは GCE_VM_IP_PORT ゾーン NEG バックエンドを使用する場合は、 マネージド Envoy プロキシが バックエンド VM に接続できるようにファイアウォール ルールを構成する必要があります。

• マネージド Envoy プロキシに適用されるファイアウォール ルール: これらのファイアウォール ルールは、マネージド Envoy プロキシに適用されます。このルールは、ロードバランサの転送ルールへのオプションのアクセス 制御を提供します。これは、ロード バランサがリージョン インターネット NEGまたは Private Service Connect NEGを使用する場合に便利です。

このドキュメントでは、マネージド Envoy プロキシに適用されるファイアウォール ルールを設定する方法について説明します。

ロード バランシング リソースを作成する

ファイアウォール ルールとポリシーを構成する前に、Virtual Private Cloud（VPC）ネットワーク、サブネット、バックエンドと転送ルールを持つロードバランサ、接続をテストするためのクライアント VM インスタンスなど、環境とロード バランシング リソースを設定します。

選択したロードバランサのリソースを作成して構成するには、次のドキュメントをご覧ください。

• VM インスタンス グループのバックエンドを使用してクロスリージョン内部アプリケーション ロードバランサを設定する
• VM インスタンス グループのバックエンドを使用してリージョン内部アプリケーション ロードバランサを設定する
• VM インスタンス グループのバックエンドを使用してクロスリージョン内部プロキシ ネットワーク ロードバランサを設定する
• VM インスタンス グループのバックエンドを使用してリージョン内部プロキシ ネットワーク ロードバランサを設定する

リソースを作成したら、次の詳細を記録します。これらの詳細は、このドキュメントで後ほどファイアウォール ルールとポリシーを構成するために使用します。

• ロードバランサのリージョン
• 転送ルールの名前と IP アドレス
• VPC ネットワークの名前
• ロードバランサの接続をテストするために作成したクライアント VM インスタンスの名前、ゾーン、IP アドレス

Cloud NGFW リソースを作成する

1. ロードバランサと同じリージョンにリージョン ネットワーク ファイアウォール ポリシーを作成します。詳細については、リージョン ネットワーク ファイアウォール ポリシーを作成するをご覧ください。

2. ファイアウォール ポリシーを VPC ネットワークに関連付けます。

   ファイアウォール ポリシーのルールをロードバランサ 転送ルールに適用するには、その転送ルールが存在する VPC ネットワーク にポリシーを関連付ける必要があります。この関連付けにより、VPC ネットワークでファイアウォール ポリシーのルールが有効になります。

3. ロードバランサに到達するトラフィックを制御するには、上り（内向き） ファイアウォール ルールをリージョン ネットワーク ファイアウォール ポリシーで作成します。VM ターゲットとは異なり、内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサで使用されるマネージド Envoy プロキシにファイアウォール ルールが適用されない場合、上り（内向き）が許可されます。1 つ以上のロードバランサ転送ルールへのアクセスを制限するには、--target-type INTERNAL_MANAGED_LB を使用して、少なくとも 2 つの上り（内向き）ファイアウォール ルールを作成する必要があります。

   • --src-ip-ranges=0.0.0.0/0 を使用した、優先度の低い上り（内向き）拒否ファイアウォール ルール。

   • --src-ip-ranges が承認済みの送信元 IP アドレス範囲に設定された、優先度の高い上り（内向き）許可ファイアウォール ルール。

   • --src-ip-ranges がマネージド Envoy プロキシの Google ヘルスチェック プローブの IP アドレスに設定された、優先度の高い上り（内向き）許可ファイアウォール ルール。詳細については、ヘルスチェックの概要の プローブの IP 範囲と ファイアウォール ルールをご覧ください。

   • ファイアウォール ログを表示します。詳細については、ログを表示する をご覧ください。

制限事項

Cloud NGFW ファイアウォール ポリシーを使用してロードバランサのバックエンドを保護する場合、次の制限が適用されます。

• ロードバランサは、クライアントからのトラフィックを検査する上り（内向き）ファイアウォール ルールをサポートしています。ファイアウォール ルールは、ロードバランサの仮想 IP（VIP）アドレス宛のトラフィックを評価するように構成されています。プロキシ専用サブネットを介してバックエンド インスタンスからロードバランサに流れる下り（外向き）トラフィックは、ファイアウォール ルールによって許可されます。

• ロードバランサは、階層型ファイアウォール ポリシーをサポートしていません。ネットワーク ファイアウォール ポリシーのみがサポートされています。

• ロードバランサのバックエンドを保護するファイアウォール ポリシー ルールは、TCP プロトコルのみをサポートしています。

• ロードバランサは、次の Cloud NGFW 機能をサポートしていません。

  • 位置情報
  • ネットワークの脅威インテリジェンス（NTI）
  • 宛先 IP 範囲の指定
  • ポートの指定

• ファイアウォール ルールは、単一の転送ルールまたは VPC ネットワーク内のすべての転送ルールをターゲットにできます。複数の転送ルールの特定のリストをターゲットとするようにファイアウォール ルールを構成することはできません。

• target-type が INTERNAL_MANAGED_LB に設定されたファイアウォール ルールは、VPC_NETWORKS または INTRA_VPC ネットワーク タイプを使用できますが、INTERNET または NON_INTERNET ネットワーク タイプは使用できません。

• ロードバランサは、VPC_NETWORKS ネットワーク タイプと INTRA_VPC ネットワーク タイプのファイアウォール ポリシーをサポートしています。VPC_NETWORKS は、定義された VPC からの送信元トラフィックを指定します。INTRA_VPC は、同じ VPC 内の送信元トラフィックを指定します。