防火墙规则
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
Google Cloud 负载均衡器通常需要一条或多条防火墙规则,以确保来自客户端的流量到达后端。
为后端实例指定健康检查需要大多数负载均衡器。为了让健康检查探测到达您的后端,您必须创建入站流量允许防火墙规则,以允许健康检查探测到达您的后端实例。
基于 Google Front End (GFE) 的负载平均衡器需要入站流量允许防火墙规则,以允许来自 GFE 代理的流量到达后端实例。在大多数情况下,GFE 代理使用与健康检查探测相同的来源 IP 地址范围,因此不需要单独的防火墙规则。下表中注明了例外情况。
基于开源 Envoy 代理的负载均衡器需要入站流量允许防火墙规则,以允许来自代理专用子网的流量到达后端实例。这些负载均衡器会终止传入连接,然后系统会从代理专用子网中的 IP 地址发送负载均衡器到后端的流量。
下表总结了每种负载均衡器所需的最低防火墙规则。
| 负载均衡器类型 |
所需的最低入站允许防火墙规则 |
概览 |
示例 |
| 全球外部应用负载均衡器
|
- 健康检查范围:
35.191.0.0/16130.211.0.0/22
- GFE 代理范围:
- 如果后端是实例组、区域级 NEG (
GCE_VM_IP_PORT) 或混合连接 NEG (NON_GCP_PRIVATE_IP_PORT),则与健康检查范围相同
_cloud-eoips.googleusercontent.com DNS TXT 记录中列出的 IP 地址范围。您可以在 Linux 系统上使用以下示例命令提取全球互联网 NEG 后端的来源 IP 地址:dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
|
概览
|
示例 |
| 传统应用负载均衡器 |
- 健康检查范围:
35.191.0.0/16130.211.0.0/22
- GFE 代理范围:
- 如果后端是实例组、可用区级 NEG (
GCE_VM_IP_PORT) 或混合连接 NEG (NON_GCP_PRIVATE_IP_PORT),则与健康检查范围相同
_cloud-eoips.googleusercontent.com DNS TXT 记录中列出的 IP 地址范围。您可以在 Linux 系统上使用以下示例命令提取全球互联网 NEG 后端的来源 IP 地址:dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
|
概览
|
示例 |
| 区域级外部应用负载均衡器
|
- 健康检查范围 1, 2:
35.191.0.0/16130.211.0.0/22
- 代理专用子网 2
|
概览
|
示例
|
| 跨区域内部应用负载均衡器 |
- 健康检查范围 1, 2:
35.191.0.0/16130.211.0.0/22
- 代理专用子网 2
|
概览
|
示例
|
| 区域级内部应用负载均衡器 |
- 健康检查范围 1, 2:
35.191.0.0/16130.211.0.0/22
- 代理专用子网 2
|
概览
|
示例 |
| 全局外部代理网络负载均衡器 |
- 健康检查范围:
35.191.0.0/16130.211.0.0/22
- GFE 代理范围:与健康检查范围相同
|
概览 |
示例
|
| 传统代理网络负载均衡器 |
- 健康检查范围:
35.191.0.0/16130.211.0.0/22
- GFE 代理范围:与健康检查范围相同
|
概览 |
示例 |
| 区域级外部代理网络负载均衡器
|
- 健康检查范围 1, 2:
35.191.0.0/16130.211.0.0/22
- 代理专用子网 2
|
概览
|
示例 |
| 区域级内部代理网络负载均衡器
|
- 健康检查范围 1, 2:
35.191.0.0/16130.211.0.0/22
- 代理专用子网 2
|
概览
|
示例
|
| 跨区域内部代理网络负载均衡器 |
- 健康检查范围 1, 2:
35.191.0.0/16130.211.0.0/22
- 代理专用子网 2
|
概览
|
示例 |
| 外部直通式网络负载均衡器
|
|
概览
|
示例
|
| 内部直通式网络负载均衡器
|
- 健康检查范围:
对于进入后端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
对于进入后端的 IPv6 流量:
- 客户端的内部来源 IP 地址
|
概览 |
单栈
双栈
|
1
对于混合 NEG,无需将 Google 的健康检查探测范围列入许可名单。但是,如果您在单个后端服务中结合使用混合和可用区级 NEG,则需要将可用区级 NEG 的 Google 健康检查探测范围列入许可名单。
2 对于区域级互联网 NEG,健康检查是可选的。来自使用区域级互联网 NEG 的负载均衡器的流量源自代理专用子网,然后(使用 Cloud NAT)经过 NAT 转换为手动或自动分配的 NAT IP 地址。此流量包括健康检查探测以及从负载均衡器发送到后端的用户请求。如需了解详情,请参阅区域级 NEG:使用 Cloud NAT 出站。
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2024-04-23。
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"翻译问题"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"其他"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"易于理解"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"解决了我的问题"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"其他"
}]
