Las políticas de cortafuegos de red regionales te permiten crear y aplicar una política de cortafuegos coherente en todas las subredes de una región de tu red de VPC. Puedes asignar políticas de cortafuegos de red regionales a una red de VPC. Estas políticas contienen reglas que pueden denegar o permitir conexiones de forma explícita, o bien pasar al siguiente nivel de la jerarquía.
Especificaciones
- Las políticas de cortafuegos de red regionales son muy similares a las políticas de cortafuegos de red globales.Las políticas de cortafuegos de red regionales tienen una sola región de destino, mientras que las políticas de cortafuegos de red globales se aplican automáticamente a todas las regiones.
- Las políticas de cortafuegos de red regionales se crean a nivel de VPC. Crear una política no implica que las reglas se apliquen automáticamente a la red.
- Una vez creadas, las políticas se pueden aplicar a cualquier red VPC de tu proyecto (es decir, se pueden asociar a ella).
- Las políticas de cortafuegos de red regionales son contenedores de reglas de cortafuegos. Cuando asocias una política a la red de VPC, todas las reglas se aplican inmediatamente.
- Puedes asociar la misma política de cortafuegos de red regional a varias redes de VPC de un proyecto.
- Las políticas de cortafuegos de red regionales no admiten la inspección de la capa 7.
- Las políticas de cortafuegos de red regionales admiten etiquetas en las reglas de cortafuegos. Para obtener más información, consulta el artículo Crear y gestionar etiquetas seguras.
- Puedes crear políticas de cortafuegos de red regionales con el tipo de política de cortafuegos definido como
RDMA_ROCE_POLICYpara usarlas con redes de VPC de RoCE. Para obtener más información, consulta Cloud Next Generation Firewall para redes de VPC RoCE.
Detalles de la política de cortafuegos de red regional
Las reglas de las políticas de cortafuegos de red regionales se definen en un recurso de política de cortafuegos que actúa como contenedor de reglas de cortafuegos. Las reglas definidas en una política de cortafuegos de red regional no se aplican hasta que la política se asocia a una red VPC.
Una sola política se puede asociar a varias redes VPC. Si modificas una regla de una política, ese cambio se aplicará a todas las redes asociadas.
En una región concreta, solo se puede asociar una política de cortafuegos de red regional a una red. Las reglas de políticas de cortafuegos de red globales, las reglas de cortafuegos de VPC y las reglas de políticas de cortafuegos de red regionales se evalúan en un orden bien definido.
Una política de cortafuegos que no está asociada a ninguna red es una política de cortafuegos de red regional no asociada.
Detalles de la regla de la política de cortafuegos de red regional
Las políticas de cortafuegos de red regionales contienen reglas que suelen funcionar igual que las reglas de políticas de cortafuegos de red, pero hay algunas diferencias:
Aplicación regional: las reglas de la política de cortafuegos de red regional solo se aplican a la región en la que se crea la política de cortafuegos de red regional.
Orden de prioridad: debes especificar las prioridades al crear las reglas de la política de cortafuegos de red regional. Estas prioridades son únicas y solo significativas en una política de cortafuegos de red regional.
El orden de evaluación de las reglas se determina por la prioridad de la regla, del número más bajo al más alto. La regla con el valor numérico más bajo asignado tiene la prioridad lógica más alta y se evalúa antes que las reglas con prioridades lógicas más bajas. La prioridad de una regla disminuye a medida que aumenta su número (1, 2, 3, N+1). No puedes configurar dos o más reglas con la misma prioridad.
La prioridad de cada regla debe ser un número entre 0 y 2147483547 (ambos incluidos). La prioridad numérica mínima es 0. Los valores de prioridad comprendidos entre 2147483548 (INT-MAX-99) y 2147483647 (INT-MAX) están reservados para las reglas de cortafuegos predeterminadas del sistema.
Orden de evaluación: las políticas de cortafuegos de red regionales siempre se evalúan después de las políticas de cortafuegos de red globales. De forma predeterminada, las reglas de cortafuegos de VPC se evalúan antes que las políticas de cortafuegos de red globales y regionales. También puedes personalizar el orden de evaluación de las reglas para aplicar las políticas de cortafuegos de red globales antes o después de las reglas de cortafuegos de VPC.
Las reglas de las políticas de cortafuegos de red regionales también incluyen etiquetas seguras de origen y de destino.
Reglas predefinidas
Cuando creas una política de cortafuegos de red regional, Cloud Next Generation Firewall añade reglas predefinidas con la prioridad más baja a la política. Estas reglas se aplican a las conexiones que no coinciden con ninguna regla definida explícitamente en la política, lo que provoca que esas conexiones se transfieran a políticas o reglas de red de nivel inferior.
Para obtener información sobre los distintos tipos de reglas predefinidas y sus características, consulte Reglas predefinidas.
roles de Gestión de Identidades y Accesos
Para obtener información sobre los roles de IAM que rigen las acciones para crear y gestionar políticas de cortafuegos de red regionales, consulta Usar políticas de cortafuegos de red regionales.