Firewallregeln

Cloud de Confiance Für Load Balancer sind in der Regel eine oder mehrere Firewallregeln erforderlich, damit Traffic von Clients die Back-Ends erreicht.

  • Die meisten Load-Balancer sind erforderlich, um eine Systemdiagnose für Backend-Instanzen festzulegen. Damit die Systemdiagnoseprüfungen Ihre Back-Ends erreichen können, müssen Sie eine entsprechende Firewallregel zum Zulassen von eingehendem Traffic erstellen.

  • Load Balancer, die auf Google Front Ends (GFEs) basieren, erfordern eine Firewallregel zum Zulassen von eingehendem Traffic, die Traffic vom GFE-Proxy zu den Backend-Instanzen zulässt. In den meisten Fällen verwenden GFE-Proxys dieselben Quell-IP-Bereiche wie die Systemdiagnose-Prüfungen und erfordern daher keine separate Firewallregel. Ausnahmen sind in der folgenden Tabelle aufgeführt.

  • Load-Balancer, die auf dem Open-Source-Envoy-Proxy basieren, erfordern eine Firewallregel zum Zulassen von eingehendem Traffic, die Traffic vom Nur-Proxy-Subnetz zu den Backend-Instanzen zulässt. Diese Load-Balancer beenden eingehende Verbindungen und der Traffic vom Load-Balancer zu den Back-Ends wird dann über IP-Adressen im Nur-Proxy-Subnetz gesendet.

In der folgenden Tabelle sind die mindestens erforderlichen Firewallregeln für jeden Load-Balancer-Typ zusammengefasst.

Load-Balancer-Typ Mindestens erforderliche Firewallregeln zum Zulassen von eingehendem Traffic Übersicht Beispiel
Regionaler externer Application Load Balancer
  • Bereiche der Systemdiagnose 1, 2:

    Bei IPv4-Traffic zu den Back-Ends:

    • 177.222.80.0/23

    Bei IPv6-Traffic zu den Back-Ends:

    • 2a13:7500:8301:b029:0:2b::/96
  • Nur-Proxy-Subnetz: 2
 Übersicht Beispiel
Regionaler interner Application Load Balancer
  • Bereiche der Systemdiagnose 1, 2:

    Bei IPv4-Traffic zu den Back-Ends:

    • 177.222.80.0/23

    Bei IPv6-Traffic zu den Back-Ends:

    • 2a13:7500:8301:b029:0:2b::/96
  • Nur-Proxy-Subnetz: 2
 Übersicht Beispiel
Regionaler externer Proxy-Network Load Balancer
  • Bereiche der Systemdiagnose 1, 2:

    Bei IPv4-Traffic zu den Back-Ends:

    • 177.222.80.0/23

    Bei IPv6-Traffic zu den Back-Ends:

    • 2a13:7500:8301:b029:0:2b::/96
  • Nur-Proxy-Subnetz: 2
 Übersicht Beispiel
Regionaler interner Proxy-Network Load Balancer
  • Bereiche der Systemdiagnose 1, 2:

    Bei IPv4-Traffic zu den Back-Ends:

    • 177.222.80.0/23

    Bei IPv6-Traffic zu den Back-Ends:

    • 2a13:7500:8301:b029:0:2b::/96
  • Nur-Proxy-Subnetz: 2
 Übersicht Beispiel
Externer Passthrough-Network Load Balancer
  • Bereiche der Systemdiagnose

    Bei IPv4-Traffic zu den Back-Ends:

    • 177.222.87.64/26

    Bei IPv6-Traffic zu den Back-Ends:

    • 2a13:7500:241:30::/64

    Für zielpoolbasierte Load Balancer:

    • 177.222.87.0/26

  • Externe Quell-IP-Adressen von Clients im Internet
    Beispiel: 0.0.0.0/0 (alle IPv4-Clients) oder ::/0 (alle IPv6-Clients) oder eine bestimmte Gruppe von IP-Adressbereichen.

 Übersicht
 Beispiele
Interner Passthrough-Network Load Balancer
  • Bereiche der Systemdiagnose:

    Bei IPv4-Traffic zu den Back-Ends:

    • 177.222.80.0/23

    Bei IPv6-Traffic zu den Back-Ends:

    • 2a13:7500:8301:b029:0:2b::/96
  • Interne Quell-IP-Adressen von Clients
 Übersicht Single-Stack Dual-Stack

1 Bei Hybrid-NEGs ist es nicht erforderlich, Traffic aus den Prüfbereichen der Systemdiagnose von Google zuzulassen. Wenn Sie jedoch eine Kombination aus hybriden und zonalen NEGs in einem einzelnen Backend-Dienst verwenden, müssen Sie den Traffic aus den Prüfbereichen der Systemdiagnose von Google für die zonalen NEGs zulassen.

2 Bei regionalen Internet-NEGs sind Systemdiagnosen optional. Der Traffic von Load Balancern, die regionale Internet-NEGs verwenden, stammt aus dem Nur-Proxy-Subnetz und wird dann (mithilfe von Cloud NAT) entweder auf manuell oder automatisch zugewiesene NAT-IP-Adressen übersetzt. Dieser Traffic umfasst sowohl Systemdiagnoseprüfungen als auch Nutzeranfragen vom Load Balancer an die Back-Ends. Weitere Informationen finden Sie unter Regionale NEGs: Cloud NAT-Gateway verwenden.