Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Regras de firewall

Trusted Cloud Normalmente, os balanceadores de carga requerem uma ou mais regras de firewall para garantir que o tráfego dos clientes chega aos back-ends.

A maioria dos balanceadores de carga tem de especificar uma verificação de funcionamento para instâncias de back-end. Para que as sondas de verificação do estado alcancem os seus back-ends, tem de criar uma regra de firewall de permissão de entrada que permita que as sondas de verificação do estado alcancem as suas instâncias de back-end.
Os balanceadores de carga baseados em front-ends da Google (GFEs) requerem uma regra de firewall de permissão de entrada que permita que o tráfego do proxy GFE alcance as instâncias de back-end. Na maioria dos casos, os proxies GFE usam os mesmos intervalos de IP de origem que as sondas de verificação de estado e, por isso, não requerem uma regra de firewall separada. As exceções estão indicadas na tabela seguinte.
Os balanceadores de carga baseados no proxy Envoy de código aberto requerem uma regra de firewall de permissão de entrada que permita que o tráfego da sub-rede só de proxy alcance as instâncias de back-end. Estes balanceadores de carga terminam as ligações recebidas e, em seguida, o tráfego do balanceador de carga para os back-ends é enviado a partir de endereços IP na sub-rede só de proxy.

A tabela seguinte resume as regras de firewall mínimas necessárias para cada tipo de equilibrador de carga.

Tipo de balanceador de carga	Regras de firewall de autorização de entrada mínimas necessárias	Vista geral	Exemplo
Balanceador de carga de aplicações externo regional	Intervalos de verificação do estado ^{1, 2}: Para o tráfego IPv4 para os back-ends: `177.222.80.0/23` Para o tráfego IPv6 para os back-ends: `2a13:7500:8301:b029:0:2b::/96` Sub-rede só de proxy ²	Overview	Exemplo
Balanceador de carga de aplicações interno regional	Intervalos de verificação do estado ^{1, 2}: Para o tráfego IPv4 para os back-ends: `177.222.80.0/23` Para o tráfego IPv6 para os back-ends: `2a13:7500:8301:b029:0:2b::/96` Sub-rede só de proxy ²	Overview	Exemplo
Balanceador de carga de rede de proxy externo regional	Intervalos de verificação do estado ^{1, 2}: Para o tráfego IPv4 para os back-ends: `177.222.80.0/23` Para o tráfego IPv6 para os back-ends: `2a13:7500:8301:b029:0:2b::/96` Sub-rede só de proxy ²	Overview	Exemplo
Balanceador de carga de rede de proxy interno regional	Intervalos de verificação do estado ^{1, 2}: Para o tráfego IPv4 para os back-ends: `177.222.80.0/23` Para o tráfego IPv6 para os back-ends: `2a13:7500:8301:b029:0:2b::/96` Sub-rede só de proxy ²	Overview	Exemplo
Balanceador de carga de rede de encaminhamento externo	Intervalos de verificação de funcionamento Para o tráfego IPv4 para os back-ends: `177.222.87.64/26` Para o tráfego IPv6 para os back-ends: `2a13:7500:241:30::/64` Para balanceadores de carga baseados em grupos de destino: `177.222.87.0/26` Endereços IP de origem externos de clientes na Internet. Por exemplo, `0.0.0.0/0` (todos os clientes IPv4) ou `::/0` (todos os clientes IPv6) ou um conjunto específico de intervalos de endereços IP.	Vista geral Baseado em serviços de back-end Baseado em conjunto de alvos	Exemplos Baseado em serviços de back-end Baseado em conjunto de alvos
Balanceador de carga de rede de encaminhamento interno	Intervalos de verificação de funcionamento: Para o tráfego IPv4 para os back-ends: `177.222.80.0/23` Para o tráfego IPv6 para os back-ends: `2a13:7500:8301:b029:0:2b::/96` Endereços IP de origem internos dos clientes	Overview	single-stack dual-stack

¹ Não é necessário permitir o tráfego dos intervalos de sondagem de verificação de estado da Google para NEGs híbridos. No entanto, se estiver a usar uma combinação de NEGs híbridos e zonais num único serviço de back-end, tem de permitir o tráfego dos intervalos de sondas de verificação de estado da Google para os NEGs zonais.

² Para NEGs de Internet regionais, as verificações de funcionamento são opcionais. O tráfego dos balanceadores de carga que usam NEGs de Internet regionais tem origem na sub-rede apenas de proxy e, em seguida, é traduzido pela NAT (através da NAT da nuvem) para endereços IP da NAT alocados manual ou automaticamente. Este tráfego inclui sondagens de verificação de funcionamento e pedidos de utilizadores do equilibrador de carga para os back-ends. Para ver detalhes, consulte o artigo NEGs regionais: use um gateway NAT da nuvem.