É possível configurar regras em políticas de firewall do Cloud Next Generation Firewall (Cloud NGFW) que se aplicam a proxies Envoy gerenciados usados pelo balanceador de carga de aplicativo interno e pelo balanceador de carga de rede de proxy interno. Esses proxies são executados em uma sub-rede somente proxy.
Os balanceadores de carga de aplicativo internos e os balanceadores de carga de rede de proxy interno têm os seguintes requisitos e opções de regra de firewall:
Regras de firewall que se aplicam aos back-ends do balanceador de carga: se você usar back-ends de grupo de instâncias ou NEGs zonais
GCE_VM_IP_PORT, configure regras de firewall que permitam que os proxies Envoy gerenciados se conectem às VMs de back-end.Regras de firewall que se aplicam aos proxies Envoy gerenciados: essas regras de firewall se aplicam aos proxies Envoy gerenciados. As regras fornecem controle de acesso opcional às regras de encaminhamento do balanceador de carga, o que é útil quando o balanceador de carga usa NEGs regionais da Internet ou NEGs do Private Service Connect.
Este documento descreve como configurar as regras de firewall que se aplicam aos proxies Envoy gerenciados.
Criar os recursos de balanceamento de carga
Antes de configurar regras e políticas de firewall, configure o ambiente e os recursos de balanceamento de carga, como uma rede de nuvem privada virtual (VPC), uma sub-rede, um balanceador de carga com back-ends e uma regra de encaminhamento, além de uma instância de VM cliente para testar a conectividade.
Para criar e configurar os recursos do balanceador de carga escolhido, consulte os seguintes documentos:
- Configurar um balanceador de carga de aplicativo interno entre regiões com back-ends de grupo de instâncias de VM
- Configurar um balanceador de carga de aplicativo externo regional com back-ends de grupos de instâncias de VM
- Configurar um balanceador de carga de rede de proxy interno entre regiões com back-ends de grupos de instâncias de VM
- Configurar um balanceador de carga de rede de proxy interno regional com back-ends de grupos de instâncias de VM
Depois de criar os recursos, registre os seguintes detalhes. Você vai usar esses detalhes para configurar regras e políticas de firewall mais adiante neste documento:
- A região do balanceador de carga
- O nome e o endereço IP da regra de encaminhamento
- O nome da rede VPC
- O nome, a zona e o endereço IP da instância de VM do cliente que você criou para testar a conectividade do balanceador de carga
Criar recursos do Cloud NGFW
Crie uma política de firewall de rede regional na mesma região do balanceador de carga. Para mais informações, consulte Criar uma política de firewall de rede regional.
Associe a política de firewall à rede VPC.
Para que as regras de uma política de firewall sejam aplicadas a uma regra de encaminhamento de balanceador de carga, é necessário associar a política à rede VPC em que essa regra de encaminhamento existe. Essa associação ativa as regras da política de firewall na rede VPC.
Para controlar o tráfego que chega ao balanceador de carga, crie regras de firewall de entrada em uma política de firewall de rede regional. Ao contrário dos destinos de VM, a entrada é permitida quando nenhuma regra de firewall se aplica aos proxies Envoy gerenciados usados pelos balanceadores de carga de aplicativo internos e pelos balanceadores de carga de rede de proxy interno. Para restringir o acesso a uma ou mais regras de encaminhamento do balanceador de carga, crie pelo menos duas regras de firewall de entrada com
--target-type INTERNAL_MANAGED_LB:Uma regra de firewall de negação de entrada de prioridade mais baixa com
--src-ip-ranges=0.0.0.0/0.Uma regra de firewall de permissão de entrada de prioridade mais alta com
--src-ip-rangesdefinido para os intervalos de endereços IP de origem aprovados.Uma regra de firewall de entrada de prioridade mais alta com
--src-ip-rangesdefinida como os endereços IP das sondagens de verificação de integridade do Google para os proxies Envoy gerenciados. Para mais informações, consulte Intervalos de IP de sondagem e regras de firewall na visão geral das verificações de integridade.Ver registros de firewall. Para mais informações, consulte Visualizar registros.
Limitações
Quando você usa políticas de firewall do Cloud NGFW para proteger back-ends de balanceadores de carga, as seguintes limitações se aplicam:
Os balanceadores de carga oferecem suporte a regras de firewall de entrada para inspecionar o tráfego proveniente do cliente. As regras de firewall são configuradas para avaliar o tráfego destinado ao endereço IP virtual (VIP) do balanceador de carga. O tráfego de saída, que flui das instâncias de back-end para o balanceador de carga pela sub-rede somente proxy, é permitido pelas regras de firewall.
Os balanceadores de carga não são compatíveis com políticas hierárquicas de firewall. Apenas políticas de firewall de rede são aceitas.
As regras de política de firewall para proteger back-ends de balanceadores de carga são compatíveis apenas com o protocolo TCP.
Os balanceadores de carga não são compatíveis com os seguintes recursos do Cloud NGFW:
- Geolocalização
- Inteligência de ameaças a redes (NTI, na sigla em inglês)
- Especificação do intervalo de IPs de destino
- Especificação da porta
Uma regra de firewall pode segmentar uma única regra de encaminhamento ou todas as regras de encaminhamento na rede VPC. Não é possível configurar uma regra de firewall para segmentar uma lista específica de várias regras de encaminhamento.
As regras de firewall com
target-typedefinido comoINTERNAL_MANAGED_LBpodem usar os tipos de redeVPC_NETWORKSouINTRA_VPC, mas não podem usar os tipos de redeINTERNETouNON_INTERNET.Os balanceadores de carga são compatíveis com políticas de firewall com tipos de rede
VPC_NETWORKSeINTRA_VPC.VPC_NETWORKSespecifica o tráfego de origem das VPCs definidas.INTRA_VPCespecifica o tráfego de origem na mesma VPC.