您可以在 Cloud Next Generation Firewall (Cloud NGFW) 防火牆政策中設定規則,這些規則會套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的受管理 Envoy Proxy。這些 Proxy 會在僅限 Proxy 的子網路中執行。
內部應用程式負載平衡器和內部 Proxy 網路負載平衡器有下列防火牆規則需求和選項:
套用至負載平衡器後端的防火牆規則:如果您使用執行個體群組或
GCE_VM_IP_PORT地區 NEG 後端,必須設定防火牆規則,允許受管理 Envoy Proxy 連線至後端 VM。適用於受管理 Envoy Proxy 的防火牆規則:這些防火牆規則適用於受管理 Envoy Proxy。這些規則可選擇性控管負載平衡器轉送規則的存取權,當負載平衡器使用區域網際網路 NEG 或 Private Service Connect NEG 時,這項功能就非常實用。
本文說明如何設定適用於受管理 Envoy 代理程式的防火牆規則。
建立負載平衡資源
設定防火牆規則和政策前,請先設定環境和負載平衡資源,例如虛擬私有雲 (VPC) 網路、子網路、負載平衡器 (含後端和轉送規則),以及用於測試連線的用戶端 VM 執行個體。
如要建立及設定所選負載平衡器的資源,請參閱下列文件:
- 設定具有 VM 執行個體群組後端的跨區域內部應用程式負載平衡器
- 設定具有 VM 執行個體群組後端的區域內部應用程式負載平衡器
- 設定具備 VM 執行個體群組後端的跨區域內部 Proxy 網路負載平衡器
- 設定具備 VM 執行個體群組後端的區域內部 Proxy 網路負載平衡器
建立資源後,請記錄下列詳細資料。您將使用這些詳細資料,在本文件的後續部分設定防火牆規則和政策:
- 負載平衡器的區域
- 轉送規則的名稱和 IP 位址
- 虛擬私有雲網路的名稱
- 您建立的用戶端 VM 執行個體名稱、區域和 IP 位址,用於測試負載平衡器連線
建立 Cloud NGFW 資源
在負載平衡器所在的區域建立區域性網路防火牆政策。詳情請參閱「建立區域網路防火牆政策」。
將防火牆政策與虛擬私有雲網路建立關聯。
如要將防火牆政策的規則套用至負載平衡器轉送規則,您必須將政策與該轉送規則所在的虛擬私有雲網路建立關聯。建立關聯後,防火牆政策的規則就會在虛擬私有雲網路上生效。
如要控管傳送至負載平衡器的流量,請在區域網路防火牆政策中建立輸入防火牆規則。與 VM 目標不同,如果沒有防火牆規則套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的受管理 Envoy Proxy,系統就會允許輸入流量。如要限制對一或多個負載平衡器轉送規則的存取權,您必須建立至少兩個輸入防火牆規則,並使用
--target-type INTERNAL_MANAGED_LB:優先順序較低的輸入拒絕防火牆規則,且優先順序為
--src-ip-ranges=0.0.0.0/0。優先順序較高的允許輸入防火牆規則,且
--src-ip-ranges設為核准的來源 IP 位址範圍。優先順序較高的 ingress 允許防火牆規則,並將
--src-ip-ranges設為受管理 Envoy 代理程式的 Google 健康狀態檢查探測器 IP 位址。詳情請參閱「健康狀態檢查總覽」中的「探查 IP 範圍和防火牆規則」。查看防火牆記錄檔。詳情請參閱「查看記錄」。
限制
使用 Cloud NGFW 防火牆政策保護負載平衡器後端時,適用下列限制:
負載平衡器支援輸入防火牆規則,可檢查來自用戶端的流量。防火牆規則會評估傳向負載平衡器虛擬 IP (VIP) 位址的流量。防火牆規則允許輸出流量,也就是從後端執行個體流向負載平衡器的流量 (透過僅限 Proxy 的子網路)。
負載平衡器不支援階層式防火牆政策。僅支援網路防火牆政策。
保護負載平衡器後端的防火牆政策規則僅支援 TCP 通訊協定。
負載平衡器不支援下列 Cloud NGFW 功能:
- 地理位置
- 網路威脅情報 (NTI)
- 指定目的地 IP 範圍
- 通訊埠規格
防火牆規則可以指定單一轉送規則,也可以指定虛擬私有雲網路中的所有轉送規則。您無法設定防火牆規則,指定多個轉送規則的特定清單。
如果防火牆規則的
target-type設為INTERNAL_MANAGED_LB,可以使用VPC_NETWORKS或INTRA_VPC網路類型,但無法使用INTERNET或NON_INTERNET網路類型。負載平衡器支援
VPC_NETWORKS和INTRA_VPC網路類型的防火牆政策。VPC_NETWORKS指定來自所定義 VPC 的來源流量。INTRA_VPC指定同一個 VPC 內的來源流量。