Trusted Cloud 负载均衡器通常需要一条或多条防火墙规则,以确保来自客户端的流量到达后端。
为后端实例指定健康检查需要大多数负载均衡器。为了让健康检查探测到达您的后端,您必须创建入站流量允许防火墙规则,以允许健康检查探测到达您的后端实例。
基于 Google Front End (GFE) 的负载平均衡器需要入站流量允许防火墙规则,以允许来自 GFE 代理的流量到达后端实例。在大多数情况下,GFE 代理使用与健康检查探测相同的来源 IP 地址范围,因此不需要单独的防火墙规则。下表中注明了例外情况。
基于开源 Envoy 代理的负载均衡器需要入站流量允许防火墙规则,以允许来自代理专用子网的流量到达后端实例。这些负载均衡器会终止传入连接,然后系统会从代理专用子网中的 IP 地址发送负载均衡器到后端的流量。
下表总结了每种负载均衡器所需的最低防火墙规则。
负载均衡器类型 | 所需的最低入站允许防火墙规则 | 概览 | 示例 |
---|---|---|---|
区域级外部应用负载均衡器 |
|
概览 | 示例 |
区域级内部应用负载均衡器 |
|
概览 | 示例 |
区域级外部代理网络负载均衡器 |
|
概览 | 示例 |
区域级内部代理网络负载均衡器 |
|
概览 | 示例 |
外部直通式网络负载均衡器 |
|
概览 |
示例 |
内部直通式网络负载均衡器 |
|
概览 | 单栈 双栈 |
1 对于混合 NEG,无需将 Google 的健康检查探测范围列入许可名单。但是,如果您在单个后端服务中结合使用混合和可用区级 NEG,则需要将可用区级 NEG 的 Google 健康检查探测范围列入许可名单。
2 对于区域级互联网 NEG,健康检查是可选的。来自使用区域级互联网 NEG 的负载均衡器的流量源自代理专用子网,然后(使用 Cloud NAT)经过 NAT 转换为手动或自动分配的 NAT IP 地址。此流量包括健康检查探测以及从负载均衡器发送到后端的用户请求。如需了解详情,请参阅区域级 NEG:使用 Cloud NAT 出站。