防火墙规则

Google Cloud 负载均衡器通常需要一条或多条防火墙规则,以确保来自客户端的流量到达后端。

  • 为后端实例指定健康检查需要大多数负载均衡器。为了让健康检查探测到达您的后端,您必须创建入站流量允许防火墙规则,以允许健康检查探测到达您的后端实例。

  • 基于 Google Front End (GFE) 的负载平均衡器需要入站流量允许防火墙规则,以允许来自 GFE 代理的流量到达后端实例。在大多数情况下,GFE 代理使用与健康检查探测相同的来源 IP 地址范围,因此不需要单独的防火墙规则。下表中注明了例外情况。

  • 基于开源 Envoy 代理的负载均衡器需要入站流量允许防火墙规则,以允许来自代理专用子网的流量到达后端实例。这些负载均衡器会终止传入连接,然后系统会从代理专用子网中的 IP 地址发送负载均衡器到后端的流量。

下表总结了每种负载均衡器所需的最低防火墙规则。

负载均衡器类型 所需的最低入站允许防火墙规则 概览 示例
全球外部应用负载均衡器
  • 健康检查范围:
    • 35.191.0.0/16
    • 130.211.0.0/22

    对于进入后端的 IPv6 流量:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • GFE 代理范围:
    • 如果后端是实例组、区域级 NEG (GCE_VM_IP_PORT) 或混合连接 NEG (NON_GCP_PRIVATE_IP_PORT),则与健康检查范围相同
    • _cloud-eoips.googleusercontent.com DNS TXT 记录中列出的 IP 地址范围。您可以在 Linux 系统上使用以下示例命令提取全球互联网 NEG 后端的来源 IP 地址:dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
概览 示例
传统应用负载均衡器
  • 健康检查范围:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • GFE 代理范围:
    • 如果后端是实例组、可用区级 NEG (GCE_VM_IP_PORT) 或混合连接 NEG (NON_GCP_PRIVATE_IP_PORT),则与健康检查范围相同
    • _cloud-eoips.googleusercontent.com DNS TXT 记录中列出的 IP 地址范围。您可以在 Linux 系统上使用以下示例命令提取全球互联网 NEG 后端的来源 IP 地址:dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
概览 示例
区域级外部应用负载均衡器
  • 健康检查范围 1, 2
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 代理专用子网 2
概览 示例
跨区域内部应用负载均衡器
  • 健康检查范围 1, 2
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 代理专用子网 2
概览 示例
区域级内部应用负载均衡器
  • 健康检查范围 1, 2
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 代理专用子网 2
概览 示例
全局外部代理网络负载均衡器
  • 健康检查范围:
    • 35.191.0.0/16
    • 130.211.0.0/22

    对于进入后端的 IPv6 流量:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • GFE 代理范围:与健康检查范围相同
概览 示例
传统代理网络负载均衡器
  • 健康检查范围:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • GFE 代理范围:与健康检查范围相同
概览 示例
区域级外部代理网络负载均衡器
  • 健康检查范围 1, 2
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 代理专用子网 2
概览 示例
区域级内部代理网络负载均衡器
  • 健康检查范围 1, 2
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 代理专用子网 2
概览 示例
跨区域内部代理网络负载均衡器
  • 健康检查范围 1, 2
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 代理专用子网 2
概览 示例
外部直通式网络负载均衡器
  • 健康检查范围

    对于进入后端的 IPv4 流量:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    对于进入后端的 IPv6 流量:

    • 2600:1901:8001::/48
  • 互联网上客户端的外部来源 IP 地址。
    例如,0.0.0.0/0(所有 IPv4 客户端)或 ::/0(所有 IPv6 客户端)或一组特定的 IP 地址范围。

    基于目标池的负载均衡器可以通过元数据服务器代理运行健康检查。在此示例中,健康检查会探测数据包源是否与元数据服务器的 IP 地址匹配:169.254.169.254。但是,来自元数据服务器的流量始终允许到达虚拟机。不需要防火墙规则。

概览
示例
内部直通式网络负载均衡器
  • 健康检查范围:

    对于进入后端的 IPv4 流量:

    • 35.191.0.0/16
    • 130.211.0.0/22

    对于进入后端的 IPv6 流量:

    • 2600:2d00:1:b029::/64
  • 客户端的内部来源 IP 地址
概览 单栈 双栈

1 对于混合 NEG,无需将 Google 的健康检查探测范围列入许可名单。但是,如果您在单个后端服务中结合使用混合和可用区级 NEG,则需要将可用区级 NEG 的 Google 健康检查探测范围列入许可名单。

2 对于区域级互联网 NEG,健康检查是可选的。来自使用区域级互联网 NEG 的负载均衡器的流量源自代理专用子网,然后(使用 Cloud NAT)经过 NAT 转换为手动或自动分配的 NAT IP 地址。此流量包括健康检查探测以及从负载均衡器发送到后端的用户请求。如需了解详情,请参阅区域级 NEG:使用 Cloud NAT 出站