Créer et gérer des stratégies de pare-feu pour les réseaux VPC ULL
Pour configurer Cloud Next Generation Firewall (Cloud NGFW) pour
les réseaux cloud privé virtuel (VPC) à latence ultra-faible (ULL), vous devez créer une
stratégie de pare-feu de réseau régionale
et définir l'indicateur de type de stratégie sur ULL_POLICY.
Les réseaux VPC ULL diffèrent des réseaux VPC standards et ne sont pas compatibles avec les anciennes règles de pare-feu VPC.
Cette page explique comment configurer des règles de stratégie de pare-feu qui s'appliquent aux réseaux VPC ULL.
Avant de commencer
Assurez-vous de disposer du rôle Administrateur de sécurité Compute (
roles/compute.securityAdmin) pour gérer les stratégies de pare-feu réseau.Assurez-vous de disposer d'un réseau VPC ULL.
Créer une stratégie de pare-feu ULL
Une fois que vous avez créé un réseau VPC ULL, vous pouvez créer une stratégie de pare-feu pour ce réseau. Lorsque vous créez la stratégie, définissez le champ policy_type sur ULL_POLICY. Vous ne pouvez utiliser que des stratégies de pare-feu réseau régionales pour les réseaux VPC ULL.
gcloud
Pour créer une stratégie de pare-feu de réseau régionale ULL, utilisez la
gcloud beta compute network-firewall-policies createcommande :gcloud beta compute network-firewall-policies create FIREWALL_POLICY_NAME \ --region=REGION \ --policy_type=ULL_POLICYRemplacez les valeurs suivantes :
FIREWALL_POLICY_NAME: nom de la stratégie de pare-feu réseau.REGION: région de la stratégie de pare-feu réseau ULL.
Créer des règles dans la stratégie de pare-feu ULL
Ajoutez des règles de pare-feu à votre stratégie ULL. Pour maintenir une faible latence, les stratégies ULL sont compatibles avec un sous-ensemble spécifique de fonctionnalités Cloud NGFW standards.
gcloud
Pour ajouter une règle à la stratégie de pare-feu réseau ULL, utilisez la
gcloud compute network-firewall-policies rules createcommande :gcloud compute network-firewall-policies rules create PRIORITY \ --firewall-policy-region=REGION \ --firewall-policy=FIREWALL_POLICY_NAME \ --action=allow \ --direction=DIRECTION \ --src-ip-ranges=SOURCE_IP_RANGE \ --layer4-configs=tcp:80,udp:53Remplacez les valeurs suivantes :
PRIORITY: ordre d'évaluation numérique de la règle dans la stratégie. Les priorités doivent être uniques pour chaque règle.REGION: région de la stratégie de pare-feu réseau ULL.FIREWALL_POLICY_NAME: nom de la stratégie de pare-feu réseau.DIRECTION: direction du trafic auquel la règle s'applique.SOURCE_IP_RANGE: plages d'adresses IP autorisées à établir des connexions entrantes correspondant à la règle de pare-feu pour les instances du réseau. L'adresse IP doit être spécifiée au format CIDR (Classless Inter-Domain Routing).
Associer la stratégie au réseau VPC ULL
Une fois que vous avez créé la stratégie et défini ses règles, associez-la à votre réseau VPC ULL. L'association valide que le profil du réseau autorise le type ULL_POLICY.
gcloud
Pour associer un réseau VPC ULL, utilisez la
gcloud compute network-firewall-policies associations createcommande :gcloud compute network-firewall-policies associations create \ --firewall-policy-region=REGION \ --firewall-policy=FIREWALL_POLICY_NAME \ --network=ULL_NETWORK_NAMERemplacez les valeurs suivantes :
REGION: région de la stratégie de pare-feu réseau ULL.FIREWALL_POLICY_NAME: nom de la stratégie de pare-feu réseau.ULL_NETWORK_NAME: nom du réseau VPC ULL.
Étape suivante
- Présentation du pare-feu pour les réseaux VPC ULL
- Présentation de la solution à latence ultra-faible
- Supprimer une association
- Mettre à jour une règle