您可以在 Cloud Next Generation Firewall (Cloud NGFW) 防火牆政策中設定規則,這些規則會套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的受管理 Envoy Proxy。這些 Proxy 會在僅限 Proxy 的子網路中執行。
內部應用程式負載平衡器和內部 Proxy 網路負載平衡器有下列防火牆規則需求和選項:
套用至負載平衡器後端的防火牆規則:如果您使用執行個體群組或
GCE_VM_IP_PORT區域網路端點群組 (NEG) 後端,必須設定防火牆規則,允許受管理 Envoy Proxy 連線至後端 VM。適用於受管理 Envoy Proxy 的防火牆規則:這些防火牆規則適用於受管理 Envoy Proxy。這些規則可選擇性控管負載平衡器轉送規則的存取權,當負載平衡器使用區域網際網路 NEG 或 Private Service Connect NEG 時,這項功能就非常實用。
本文說明如何設定適用於受管理 Envoy 代理程式的防火牆規則。
建立負載平衡資源
設定防火牆規則和政策前,請先設定負載平衡資源,例如虛擬私有雲 (VPC) 網路、子網路、負載平衡器 (含後端和轉送規則),以及用於測試連線的用戶端 VM 執行個體。
如要建立及設定所選負載平衡器的資源,請參閱下列文件:
- 設定具有 VM 執行個體群組後端的跨區域內部應用程式負載平衡器
- 設定具有 VM 執行個體群組後端的區域內部應用程式負載平衡器
- 設定具備 VM 執行個體群組後端的跨區域內部 Proxy 網路負載平衡器
- 設定具有 VM 執行個體群組後端的區域內部 Proxy 網路負載平衡器
建立資源後,請記錄下列詳細資料。您將使用這些詳細資料,在本文件的後續部分設定防火牆規則和政策:
- 負載平衡器的區域
- 轉送規則的名稱和 IP 位址
- 虛擬私有雲網路的名稱
- 您建立的用戶端 VM 執行個體名稱、區域和 IP 位址,用於測試負載平衡器連線
建立 Cloud NGFW 資源
在與負載平衡器相同的區域中,建立區域性網路防火牆政策。詳情請參閱「建立區域網路防火牆政策」。
將防火牆政策與虛擬私有雲網路建立關聯。
如要將防火牆政策的規則套用至負載平衡器轉送規則,您必須將政策與該轉送規則所在的虛擬私有雲網路建立關聯。建立關聯後,虛擬私有雲網路就會啟用防火牆政策的規則。
如要控管傳送至負載平衡器的流量,請在區域網路防火牆政策中建立輸入防火牆規則。與 VM 目標不同,如果沒有防火牆規則套用至內部應用程式負載平衡器和內部 Proxy 網路負載平衡器使用的受管理 Envoy Proxy,系統就會允許輸入流量。如要限制對一或多項負載平衡器轉送規則的存取權,請使用
--target-type=INTERNAL_MANAGED_LB參數建立輸入防火牆規則:一項優先順序較低的輸入
deny防火牆規則,且具有--src-ip-ranges=0.0.0.0/0。這會設定拒絕所有連入流量的基準。一或多個優先順序較高的輸入
allow防火牆規則,且--src-ip-ranges包含下列範圍:已核准用戶端的 IP 位址。
Google 健康狀態檢查探測的 IP 位址。詳情請參閱健康狀態檢查總覽中的「探測 IP 範圍,適用於特定以 Envoy 為基礎的代管負載平衡器前端」。
如要指定特定轉送規則,請將
--target-forwarding-rules設為支援格式的單一負載平衡器轉送規則。如要將防火牆政策及其規則套用至虛擬私有雲網路的內部應用程式負載平衡器和內部 Proxy 網路負載平衡器,請勿指定--target-forwarding-rules旗標。查看防火牆記錄檔。詳情請參閱「查看記錄」。