内部应用负载平衡器和内部代理网络负载平衡器具有以下防火墙规则要求和选项:
适用于负载均衡器后端的防火墙规则:如果您使用 实例组或
GCE_VM_IP_PORT可用区级 NEG 后端,则必须配置 防火墙规则,以允许受管 Envoy 代理连接到 后端虚拟机。适用于受管 Envoy 代理的防火墙规则:这些防火墙 规则适用于受管 Envoy 代理。这些规则为负载均衡器转发规则提供可选的访问权限控制,当负载均衡器使用 区域级互联网 NEG 或 Private Service Connect NEG 时,此功能非常有用。
本文档介绍了如何设置适用于受管 Envoy 代理的防火墙规则。
创建负载均衡资源
在配置防火墙规则和政策之前,请设置环境和负载均衡资源,例如虚拟私有云 (VPC) 网络、子网、包含后端和转发规则的负载均衡器,以及用于测试连接的客户端虚拟机实例。
如需为所选负载均衡器创建和配置资源,请参阅以下文档:
- 设置具有虚拟机实例组后端的跨区域内部应用负载平衡器
- 设置具有虚拟机实例组后端的区域级内部应用负载平衡器
- 设置具有虚拟机实例组后端的跨区域内部代理网络负载平衡器
- 设置具有虚拟机实例组后端的区域级内部代理网络负载平衡器
创建资源后,请记录以下详细信息。您将在本文档的后续部分中使用这些详细信息来配置防火墙规则和政策:
- 负载均衡器的区域
- 转发规则的名称和 IP 地址
- VPC 网络的名称
- 您为测试负载均衡器连接而创建的客户端虚拟机实例的名称、可用区和 IP 地址
创建 Cloud NGFW 资源
在与负载均衡器相同的区域中创建区域级网络防火墙政策。如需了解详情,请参阅创建区域级网络 防火墙 政策。
将防火墙政策与 VPC 网络相关联。
如需将防火墙政策的规则应用于负载均衡器转发规则,您必须将该政策与存在该转发规则的 VPC 网络相关联。此关联会在 VPC 网络上激活防火墙政策的规则。
如需控制到达负载均衡器的流量,请创建入站防火墙规则,并将其添加到区域级网络防火墙政策中。与虚拟机目标不同,当没有防火墙规则应用于内部应用负载平衡器和内部代理网络负载平衡器使用的受管 Envoy 代理时,系统会允许入站流量。如需限制对一个或多个负载均衡器转发规则的访问权限,您必须创建至少两个入站防火墙规则,并将
--target-type INTERNAL_MANAGED_LB设置为:优先级较低的入站拒绝防火墙规则,并将
--src-ip-ranges=0.0.0.0/0。优先级较高的入站允许防火墙规则,并将
--src-ip-ranges设置为获批的来源 IP 地址范围。优先级较高的入站允许防火墙规则,并将
--src-ip-ranges设置为受管 Envoy 代理的 Google 健康检查探测器的 IP 地址。如需了解详情,请参阅健康检查概览中的 探测 IP 地址范围和 防火墙规则。查看防火墙日志。如需了解详情,请参阅查看 日志。
限制
当您使用 Cloud NGFW 防火墙政策来保护负载均衡器后端时,适用以下限制:
负载平衡器支持入站防火墙规则,以检查来自客户端的流量。防火墙规则配置为评估发往负载均衡器的虚拟 IP (VIP) 地址的流量。出站流量(从后端实例通过代理专用子网流向负载均衡器)由防火墙规则允许。
负载平衡器不支持分层防火墙政策。仅支持网络防火墙政策。
用于保护负载均衡器后端的防火墙政策规则仅支持 TCP 协议。
负载平衡器不支持以下 Cloud NGFW 功能:
- 地理定位
- 网络威胁情报 (NTI)
- 目标 IP 地址范围规范
- 端口规范
防火墙规则可以面向单个转发规则,也可以面向 VPC 网络中的所有转发规则。您无法将防火墙规则配置为面向多个转发规则的特定列表。
将
target-type设置为INTERNAL_MANAGED_LB的防火墙规则可以使用VPC_NETWORKS或INTRA_VPC网络类型,但不能使用INTERNET或NON_INTERNET网络类型。负载平衡器支持具有
VPC_NETWORKS和INTRA_VPC网络类型的防火墙政策。VPC_NETWORKS指定来自已定义 VPC 的来源流量。INTRA_VPC指定同一 VPC 内的来源流量。