為 ULL 虛擬私有雲網路建立及管理防火牆政策
如要為超低延遲 (ULL) 虛擬私有雲 (VPC) 網路設定 Cloud Next Generation Firewall (Cloud NGFW),請建立區域網路防火牆政策,並將政策類型標記設為 ULL_POLICY。ULL 虛擬私有雲網路與一般虛擬私有雲網路不同,且不支援舊版虛擬私有雲防火牆規則。
本頁面說明如何設定適用於 ULL 虛擬私有雲網路的防火牆政策規則。
事前準備
確認您具備Compute 安全管理員角色 (
roles/compute.securityAdmin),可管理網路防火牆政策。確認您有 ULL 虛擬私有雲網路。
建立 ULL 防火牆政策
建立 ULL 虛擬私有雲網路後,即可為該網路建立防火牆政策。建立政策時,請將 policy_type 欄位設為 ULL_POLICY。您只能為 ULL 虛擬私有雲網路使用區域網路防火牆政策。
gcloud
如要建立 ULL 區域網路防火牆政策,請使用
gcloud beta compute network-firewall-policies create指令:gcloud beta compute network-firewall-policies create FIREWALL_POLICY_NAME \ --region=REGION \ --policy_type=ULL_POLICY替換下列值:
FIREWALL_POLICY_NAME:網路防火牆政策的名稱。REGION:ULL 網路防火牆政策的區域。
在 ULL 防火牆政策中建立規則
在 ULL 政策中新增防火牆規則。為維持低延遲,ULL 政策支援特定子集的標準 Cloud NGFW 功能。
gcloud
如要將規則新增至 ULL 網路防火牆政策,請使用
gcloud compute network-firewall-policies rules create指令:gcloud compute network-firewall-policies rules create PRIORITY \ --firewall-policy-region=REGION \ --firewall-policy=FIREWALL_POLICY_NAME \ --action=allow \ --direction=DIRECTION \ --src-ip-ranges=SOURCE_IP_RANGE \ --layer4-configs=tcp:80,udp:53替換下列值:
PRIORITY:政策中規則的數值評估順序。每項規則的優先順序不得重複。REGION:ULL 網路防火牆政策的區域。FIREWALL_POLICY_NAME:網路防火牆政策的名稱。DIRECTION:套用規則的流量方向。SOURCE_IP_RANGE:允許建立輸入連線的 IP 位址範圍,這些連線符合防火牆規則,可連線至網路上的執行個體。IP 位址必須以無類別跨網域路由 (CIDR) 格式指定。
將政策與 ULL 虛擬私有雲網路建立關聯
建立政策並定義規則後,請將政策與 ULL 虛擬私有雲網路建立關聯。關聯會驗證網路設定檔是否允許 ULL_POLICY 類型。
gcloud
如要建立 ULL 虛擬私有雲網路的關聯,請使用
gcloud compute network-firewall-policies associations create指令:gcloud compute network-firewall-policies associations create \ --firewall-policy-region=REGION \ --firewall-policy=FIREWALL_POLICY_NAME \ --network=ULL_NETWORK_NAME替換下列值:
REGION:ULL 網路防火牆政策的區域。FIREWALL_POLICY_NAME:網路防火牆政策的名稱。ULL_NETWORK_NAME:ULL 虛擬私有雲網路的名稱。