发送反馈
防火墙规则
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
Google Cloud 负载均衡器通常需要一条或多条防火墙规则,以确保来自客户端的流量到达后端。
为后端实例指定健康检查需要大多数负载均衡器。为了让健康检查探测到达您的后端,您必须创建入站流量允许防火墙规则 ,以允许健康检查探测到达您的后端实例。
基于 Google Front End (GFE) 的负载平均衡器需要入站流量允许防火墙规则,以允许来自 GFE 代理的流量到达后端实例。在大多数情况下,GFE 代理使用与健康检查探测相同的来源 IP 地址范围,因此不需要单独的防火墙规则。下表中注明了例外情况。
基于开源 Envoy 代理的负载均衡器需要入站流量允许防火墙规则,以允许来自代理专用子网 的流量到达后端实例。这些负载均衡器会终止传入连接,然后系统会从代理专用子网中的 IP 地址发送负载均衡器到后端的流量。
下表总结了每种负载均衡器所需的最低防火墙规则。
负载均衡器类型
所需的最低入站允许防火墙规则
概览
示例
全球外部应用负载均衡器
健康检查范围:
35.191.0.0/16
130.211.0.0/22
对于进入后端的 IPv6 流量:
2600:2d00:1:b029::/64
2600:2d00:1:1::/64
GFE 代理范围:
如果后端是实例组、区域级 NEG (GCE_VM_IP_PORT
) 或混合连接 NEG (NON_GCP_PRIVATE_IP_PORT
),则与健康检查范围相同
_cloud-eoips.googleusercontent.com
DNS TXT 记录中列出的 IP 地址范围。您可以在 Linux 系统上使用以下示例命令提取全球互联网 NEG 后端的来源 IP 地址:dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
概览
示例
传统应用负载均衡器
健康检查范围:
35.191.0.0/16
130.211.0.0/22
GFE 代理范围:
如果后端是实例组、可用区级 NEG (GCE_VM_IP_PORT
) 或混合连接 NEG (NON_GCP_PRIVATE_IP_PORT
),则与健康检查范围相同
_cloud-eoips.googleusercontent.com
DNS TXT 记录中列出的 IP 地址范围。您可以在 Linux 系统上使用以下示例命令提取全球互联网 NEG 后端的来源 IP 地址:dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
概览
示例
区域级外部应用负载均衡器
健康检查范围 1, 2 :
35.191.0.0/16
130.211.0.0/22
代理专用子网 2
概览
示例
跨区域内部应用负载均衡器
健康检查范围 1, 2 :
35.191.0.0/16
130.211.0.0/22
代理专用子网 2
概览
示例
区域级内部应用负载均衡器
健康检查范围 1, 2 :
35.191.0.0/16
130.211.0.0/22
代理专用子网 2
概览
示例
全局外部代理网络负载均衡器
健康检查范围:
35.191.0.0/16
130.211.0.0/22
对于进入后端的 IPv6 流量:
2600:2d00:1:b029::/64
2600:2d00:1:1::/64
GFE 代理范围:与健康检查范围相同
概览
示例
传统代理网络负载均衡器
健康检查范围:
35.191.0.0/16
130.211.0.0/22
GFE 代理范围:与健康检查范围相同
概览
示例
区域级外部代理网络负载均衡器
健康检查范围 1, 2 :
35.191.0.0/16
130.211.0.0/22
代理专用子网 2
概览
示例
区域级内部代理网络负载均衡器
健康检查范围 1, 2 :
35.191.0.0/16
130.211.0.0/22
代理专用子网 2
概览
示例
跨区域内部代理网络负载均衡器
健康检查范围 1, 2 :
35.191.0.0/16
130.211.0.0/22
代理专用子网 2
概览
示例
外部直通式网络负载均衡器
概览
示例
内部直通式网络负载均衡器
健康检查范围:
对于进入后端的 IPv4 流量:
35.191.0.0/16
130.211.0.0/22
对于进入后端的 IPv6 流量:
客户端的内部来源 IP 地址
概览
单栈
双栈
1
对于混合 NEG,无需将 Google 的健康检查探测范围列入许可名单。但是,如果您在单个后端服务中结合使用混合和可用区级 NEG,则需要将可用区级 NEG 的 Google 健康检查探测范围 列入许可名单。
2 对于区域级互联网 NEG,健康检查是可选的。来自使用 区域级互联网 NEG 的负载均衡器的流量源自代理专用子网 ,然后(使用 Cloud NAT)经过 NAT 转换为手动或自动分配的 NAT IP 地址。此流量包括健康检查探测以及从负载均衡器发送到后端的用户请求。如需了解详情,请参阅区域级 NEG:使用 Cloud NAT 出站 。
发送反馈
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可 获得了许可,并且代码示例已根据 Apache 2.0 许可 获得了许可。有关详情,请参阅 Google 开发者网站政策 。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2024-12-22。
需要向我们提供更多信息?
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2024-12-22。"],[],[]]