防火墙规则

Trusted Cloud 负载均衡器通常需要一条或多条防火墙规则,以确保来自客户端的流量到达后端。

  • 为后端实例指定健康检查需要大多数负载均衡器。为了让健康检查探测到达您的后端,您必须创建入站流量允许防火墙规则,以允许健康检查探测到达您的后端实例。

  • 基于 Google Front End (GFE) 的负载平均衡器需要入站流量允许防火墙规则,以允许来自 GFE 代理的流量到达后端实例。在大多数情况下,GFE 代理使用与健康检查探测相同的来源 IP 地址范围,因此不需要单独的防火墙规则。下表中注明了例外情况。

  • 基于开源 Envoy 代理的负载均衡器需要入站流量允许防火墙规则,以允许来自代理专用子网的流量到达后端实例。这些负载均衡器会终止传入连接,然后系统会从代理专用子网中的 IP 地址发送负载均衡器到后端的流量。

下表总结了每种负载均衡器所需的最低防火墙规则。

负载均衡器类型 所需的最低入站允许防火墙规则 概览 示例
区域级外部应用负载均衡器
  • 健康检查范围 1、2

    对于进入后端的 IPv4 流量:

    • 177.222.80.0/23

    对于进入后端的 IPv6 流量:

    • 2a13:7500:8301:b029:0:2b::/96
  • 代理专用子网 2
概览 示例
区域级内部应用负载均衡器
  • 健康检查范围 1、2

    对于进入后端的 IPv4 流量:

    • 177.222.80.0/23

    对于进入后端的 IPv6 流量:

    • 2a13:7500:8301:b029:0:2b::/96
  • 代理专用子网 2
概览 示例
区域级外部代理网络负载均衡器
  • 健康检查范围 1、2

    对于进入后端的 IPv4 流量:

    • 177.222.80.0/23

    对于进入后端的 IPv6 流量:

    • 2a13:7500:8301:b029:0:2b::/96
  • 代理专用子网 2
概览 示例
区域级内部代理网络负载均衡器
  • 健康检查范围 1、2

    对于进入后端的 IPv4 流量:

    • 177.222.80.0/23

    对于进入后端的 IPv6 流量:

    • 2a13:7500:8301:b029:0:2b::/96
  • 代理专用子网 2
概览 示例
外部直通式网络负载均衡器
  • 健康检查范围

    对于进入后端的 IPv4 流量:

    • 177.222.87.64/26

    对于进入后端的 IPv6 流量:

    • 2a13:7500:241:30::/64

    对于基于目标池的负载均衡器:

    • 177.222.87.0/26
  • 互联网上客户端的外部来源 IP 地址。
    例如,0.0.0.0/0(所有 IPv4 客户端)或 ::/0(所有 IPv6 客户端)或一组特定的 IP 地址范围。

概览
示例
内部直通式网络负载均衡器
  • 健康检查范围:

    对于进入后端的 IPv4 流量:

    • 177.222.80.0/23

    对于进入后端的 IPv6 流量:

    • 2a13:7500:8301:b029:0:2b::/96
  • 客户端的内部来源 IP 地址
概览 单栈 双栈

1 对于混合 NEG,无需将 Google 的健康检查探测范围列入许可名单。但是,如果您在单个后端服务中结合使用混合和可用区级 NEG,则需要将可用区级 NEG 的 Google 健康检查探测范围列入许可名单。

2 对于区域级互联网 NEG,健康检查是可选的。来自使用区域级互联网 NEG 的负载均衡器的流量源自代理专用子网,然后(使用 Cloud NAT)经过 NAT 转换为手动或自动分配的 NAT IP 地址。此流量包括健康检查探测以及从负载均衡器发送到后端的用户请求。如需了解详情,请参阅区域级 NEG:使用 Cloud NAT 出站