为 ULL VPC 网络创建和管理防火墙政策
如需为
超低延迟 (ULL) 虚拟私有云 (VPC) 网络配置 Cloud Next Generation Firewall (Cloud NGFW),您必须创建
区域级网络防火墙政策
并将政策类型标志设置为 ULL_POLICY。
ULL VPC 网络与常规 VPC 网络不同,并且不支持旧版 VPC 防火墙规则。
本页面介绍了如何配置适用于 ULL VPC 网络的防火墙政策规则。
准备工作
确保您具有 Compute Security Admin 角色 (
roles/compute.securityAdmin) ,以便管理网络防火墙政策。确保您拥有 ULL VPC 网络。
创建 ULL 防火墙政策
创建 ULL VPC 网络后,您可以为该网络创建防火墙政策。创建政策时,请将 policy_type 字段设置为
ULL_POLICY。您只能将区域级网络防火墙政策用于 ULL VPC 网络。
gcloud
如需创建 ULL 区域级网络防火墙政策,请使用
gcloud beta compute network-firewall-policies create命令:gcloud beta compute network-firewall-policies create FIREWALL_POLICY_NAME \ --region=REGION \ --policy_type=ULL_POLICY替换以下值:
FIREWALL_POLICY_NAME:网络防火墙政策的名称。REGION:ULL 网络防火墙政策的区域。
在 ULL 防火墙政策中创建规则
将防火墙规则添加到 ULL 政策。为了保持低延迟,ULL 政策支持标准 Cloud NGFW 功能的特定子集。
gcloud
如需向 ULL 网络防火墙政策添加规则,请使用
gcloud compute network-firewall-policies rules create命令:gcloud compute network-firewall-policies rules create PRIORITY \ --firewall-policy-region=REGION \ --firewall-policy=FIREWALL_POLICY_NAME \ --action=allow \ --direction=DIRECTION \ --src-ip-ranges=SOURCE_IP_RANGE \ --layer4-configs=tcp:80,udp:53替换以下值:
PRIORITY:政策中规则的数字评估顺序。每个规则的优先级必须是唯一的。REGION:ULL 网络防火墙政策的区域。FIREWALL_POLICY_NAME:网络防火墙政策的名称。DIRECTION:应用规则的流量的方向。SOURCE_IP_RANGE:允许与网络上的实例建立与防火墙规则匹配的入站连接的 IP 地址范围。IP 地址必须以 无类别域间路由 (CIDR) 格式指定。
将政策与 ULL VPC 网络关联
创建政策并定义其规则后,将其与 ULL VPC 网络关联。关联会验证网络配置文件是否允许 ULL_POLICY 类型。
gcloud
如需关联 ULL VPC 网络,请使用
gcloud compute network-firewall-policies associations create命令:gcloud compute network-firewall-policies associations create \ --firewall-policy-region=REGION \ --firewall-policy=FIREWALL_POLICY_NAME \ --network=ULL_NETWORK_NAME替换以下值:
REGION:ULL 网络防火墙政策的区域。FIREWALL_POLICY_NAME:网络防火墙政策的名称。ULL_NETWORK_NAME:ULL VPC 网络的名称。