Firewallrichtlinien für ULL-VPC-Netzwerke erstellen und verwalten
Wenn Sie Cloud NGFW für VPC-Netzwerke (Virtual Private Cloud) mit extrem niedriger Latenz (Ultra Low Latency, ULL) konfigurieren möchten, müssen Sie eine regionale Netzwerk-Firewallrichtlinie erstellen und das Richtlinientyp-Flag auf ULL_POLICY festlegen.
ULL-VPC-Netzwerke unterscheiden sich von regulären VPC-Netzwerken und unterstützen keine Legacy-VPC-Firewallregeln.
Auf dieser Seite wird beschrieben, wie Sie Firewallrichtlinienregeln konfigurieren, die für ULL-VPC-Netzwerke gelten.
Hinweis
Sie benötigen die Rolle „Compute Security Admin“ (
roles/compute.securityAdmin), um Netzwerk-Firewallrichtlinien zu verwalten.Sie benötigen ein ULL-VPC-Netzwerk.
ULL-Firewallrichtlinie erstellen
Nachdem Sie ein ULL-VPC-Netzwerk erstellt haben, können Sie eine Firewallrichtlinie für dieses Netzwerk erstellen. Wenn Sie die Richtlinie erstellen, legen Sie das Feld policy_type auf ULL_POLICY fest. Für ULL-VPC-Netzwerke können Sie nur regionale Netzwerk-Firewallrichtlinien verwenden.
gcloud
Verwenden Sie zum Erstellen einer regionalen Netzwerk-Firewallrichtlinie für ULL den
gcloud beta compute network-firewall-policies create-Befehl:gcloud beta compute network-firewall-policies create FIREWALL_POLICY_NAME \ --region=REGION \ --policy_type=ULL_POLICYErsetzen Sie die folgenden Werte:
FIREWALL_POLICY_NAME: Name der Firewallrichtlinie.REGION: die Region der ULL-Netzwerk-Firewallrichtlinie.
Regeln in der ULL-Firewallrichtlinie erstellen
Fügen Sie Ihrer ULL-Richtlinie Firewallregeln hinzu. Um eine niedrige Latenz aufrechtzuerhalten, unterstützen ULL-Richtlinien nur eine bestimmte Teilmenge der Standardfunktionen von Cloud NGFW.
gcloud
Verwenden Sie den
gcloud compute network-firewall-policies rules create-Befehl, um der ULL-Netzwerk-Firewallrichtlinie eine Regel hinzuzufügen:gcloud compute network-firewall-policies rules create PRIORITY \ --firewall-policy-region=REGION \ --firewall-policy=FIREWALL_POLICY_NAME \ --action=allow \ --direction=DIRECTION \ --src-ip-ranges=SOURCE_IP_RANGE \ --layer4-configs=tcp:80,udp:53Ersetzen Sie die folgenden Werte:
PRIORITY: die numerische Auswertungsreihenfolge der Regel innerhalb der Richtlinie. Die Prioritäten müssen für jede Regel eindeutig sein.REGION: die Region der ULL-Netzwerk-Firewallrichtlinie.FIREWALL_POLICY_NAME: Name der Firewallrichtlinie.DIRECTION: die Richtung des Traffics, auf den die Regel angewendet wird.SOURCE_IP_RANGE: Die IP-Adressbereiche, die eingehende Verbindungen zu den Instanzen im Netzwerk herstellen dürfen, die der Firewallregel entsprechen. Die IP-Adresse muss im CIDR-Format (Classless Inter-Domain Routing) angegeben werden.
Richtlinie mit dem ULL-VPC-Netzwerk verknüpfen
Nachdem Sie die Richtlinie erstellt und ihre Regeln definiert haben, verknüpfen Sie sie mit Ihrem ULL-VPC-Netzwerk. Bei der Verknüpfung wird geprüft, ob das Profil des Netzwerks den Typ ULL_POLICY zulässt.
gcloud
Verwenden Sie zum Verknüpfen eines ULL-VPC-Netzwerk den Befehl
gcloud compute network-firewall-policies associations create:gcloud compute network-firewall-policies associations create \ --firewall-policy-region=REGION \ --firewall-policy=FIREWALL_POLICY_NAME \ --network=ULL_NETWORK_NAMEErsetzen Sie die folgenden Werte:
REGION: die Region der ULL-Netzwerk-Firewallrichtlinie.FIREWALL_POLICY_NAME: Name der Firewallrichtlinie.ULL_NETWORK_NAME: der Name des ULL-VPC-Netzwerk.
Nächste Schritte
- Firewall für ULL-VPC-Netzwerke – Übersicht
- Ultra Low Latency Solution – Übersicht
- Verknüpfung löschen
- Regel aktualisieren