Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Regole firewall

I bilanciatori del caricoTrusted Cloud in genere richiedono una o più regole firewall per garantire che il traffico dai client raggiunga i backend.

La maggior parte dei bilanciatori del carico è tenuta a specificare un controllo di integrità per le istanze di backend. Affinché i probe del controllo di integrità raggiungano i backend, devi creare una regola firewall di autorizzazione in entrata che consenta ai probe del controllo di integrità di raggiungere le istanze di backend.
I bilanciatori del carico basati su Google Front End (GFE) richiedono una regola firewall di autorizzazione in entrata che consenta al traffico dal proxy GFE di raggiungere le istanze di backend. Nella maggior parte dei casi, i proxy GFE utilizzano gli stessi intervalli IP di origine dei probe di controllo dell'integrità e, pertanto, non richiedono una regola firewall separata. Le eccezioni sono indicate nella tabella seguente.
I bilanciatori del carico basati sul proxy Envoy open source richiedono una regola firewall di autorizzazione in entrata che consenta al traffico dalla subnet solo proxy di raggiungere le istanze di backend. Questi bilanciatori del carico terminano le connessioni in entrata e il traffico dal bilanciatore del carico ai backend viene inviato dagli indirizzi IP nella subnet solo proxy.

La tabella seguente riassume le regole del firewall minime richieste per ogni tipo di bilanciatore del carico.

Tipo di bilanciatore del carico	Regole firewall di autorizzazione in entrata minime richieste	Panoramica	Esempio
Bilanciatore del carico delle applicazioni esterno regionale	Fasce di controllo di integrità ^{1, 2}: Per il traffico IPv4 verso i backend: `177.222.80.0/23` Per il traffico IPv6 verso i backend: `2a13:7500:8301:b029:0:2b::/96` Subnet solo proxy ²	Panoramica	Esempio
Bilanciatore del carico delle applicazioni interno regionale	Fasce di controllo di integrità ^{1, 2}: Per il traffico IPv4 verso i backend: `177.222.80.0/23` Per il traffico IPv6 verso i backend: `2a13:7500:8301:b029:0:2b::/96` Subnet solo proxy ²	Panoramica	Esempio
Bilanciatore del carico di rete proxy esterno regionale	Fasce di controllo di integrità ^{1, 2}: Per il traffico IPv4 verso i backend: `177.222.80.0/23` Per il traffico IPv6 verso i backend: `2a13:7500:8301:b029:0:2b::/96` Subnet solo proxy ²	Panoramica	Esempio
Bilanciatore del carico di rete proxy interno regionale	Fasce di controllo di integrità ^{1, 2}: Per il traffico IPv4 verso i backend: `177.222.80.0/23` Per il traffico IPv6 verso i backend: `2a13:7500:8301:b029:0:2b::/96` Subnet solo proxy ²	Panoramica	Esempio
Bilanciatore del carico di rete passthrough esterno	Intervalli del controllo di integrità Per il traffico IPv4 verso i backend: `177.222.87.64/26` Per il traffico IPv6 verso i backend: `2a13:7500:241:30::/64` Per i bilanciatori del carico basati su pool di destinazione: `177.222.87.0/26` Indirizzi IP di origine esterni dei client su internet. Ad esempio, `0.0.0.0/0` (tutti i client IPv4) o `::/0` (tutti i client IPv6) o un insieme specifico di intervalli di indirizzi IP.	Panoramica Basata sul servizio di backend In base al pool di destinazione	Esempi In base al servizio di backend In base al pool di destinazione
Bilanciatore del carico di rete passthrough interno	Intervalli del controllo di integrità: Per il traffico IPv4 verso i backend: `177.222.80.0/23` Per il traffico IPv6 verso i backend: `2a13:7500:8301:b029:0:2b::/96` Indirizzi IP di origine interni dei client	Panoramica	single-stack dual-stack

¹ Per i NEG ibridi non è necessario consentire il traffico proveniente dagli intervalli di controllo di integrità di Google. Tuttavia, se utilizzi una combinazione di NEG ibridi e zonali in un singolo servizio di backend, devi consentire il traffico dagli intervalli di sonde di controllo di integrità di Google per i NEG zonali.

² Per i NEG internet a livello di regione, i controlli di integrità sono facoltativi. Il traffico proveniente dai bilanciatori del carico che utilizzano NEG internet a livello di regione ha origine dalla subnet solo proxy e viene poi sottoposto a traduzione NAT (utilizzando Cloud NAT) in indirizzi IP NAT allocati manualmente o automaticamente. Questo traffico include sia i probe del controllo di integrità sia le richieste degli utenti dal bilanciatore del carico ai backend. Per informazioni dettagliate, consulta NEG regionali: utilizzare un gateway Cloud NAT.