Aturan firewall

Load balancer Google Cloud biasanya memerlukan satu atau beberapa aturan firewall untuk memastikan traffic dari klien mencapai backend.

  • Sebagian besar load balancer diperlukan untuk menentukan health check bagi instance backend. Agar pemeriksaan health check mencapai backend, Anda harus membuat aturan firewall ingress yang mengizinkan login yang memungkinkan pemeriksaan health check menjangkau instance backend Anda.

  • Load balancer yang didasarkan pada Google Front Ends (GFE) memerlukan aturan firewall masuk yang mengizinkan aturan firewall yang mengizinkan traffic dari proxy GFE untuk mencapai instance backend. Pada umumnya, proxy GFE menggunakan rentang IP sumber yang sama dengan pemeriksaan health check sehingga tidak memerlukan aturan firewall terpisah. Pengecualian tercantum dalam tabel berikut.

  • Load balancer yang didasarkan pada proxy Envoy open source memerlukan aturan firewall izinkan masuk yang mengizinkan traffic dari subnet khusus proxy untuk mencapai instance backend. Load balancer ini menghentikan koneksi masuk dan traffic masuk dari load balancer ke backend, kemudian dikirim dari alamat IP di subnet khusus proxy.

Tabel berikut meringkas aturan firewall minimum yang diperlukan untuk setiap jenis load balancer.

Jenis load balancer Aturan firewall izinkan masuk minimum yang diperlukan Ringkasan Contoh
Load Balancer Aplikasi eksternal global
  • Rentang health check:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Rentang proxy GFE:
    • Sama seperti rentang health check jika backend adalah grup instance, NEG zona (GCE_VM_IP_PORT), atau NEG konektivitas hybrid (NON_GCP_PRIVATE_IP_PORT)
    • Rentang alamat IP yang tercantum dalam data TXT DNS _cloud-eoips.googleusercontent.com. Anda dapat mengekstrak alamat IP sumber untuk backend NEG internet global menggunakan perintah contoh berikut di sistem Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Ringkasan Contoh
Load Balancer Aplikasi Klasik
  • Rentang health check:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Rentang proxy GFE:
    • Sama seperti rentang health check jika backend adalah grup instance, NEG zona (GCE_VM_IP_PORT), atau NEG konektivitas hybrid (NON_GCP_PRIVATE_IP_PORT)
    • Rentang alamat IP yang tercantum dalam data TXT DNS _cloud-eoips.googleusercontent.com. Anda dapat mengekstrak alamat IP sumber untuk backend NEG internet global menggunakan perintah contoh berikut di sistem Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Ringkasan Contoh
Load Balancer Aplikasi eksternal regional
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Aplikasi internal lintas region
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Aplikasi internal regional
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Jaringan proxy eksternal global
  • Rentang health check:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Rentang proxy GFE: Sama seperti rentang health check
 Ringkasan Contoh
Load Balancer Jaringan proxy klasik
  • Rentang health check:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Rentang proxy GFE: Sama seperti rentang health check
 Ringkasan Contoh
Load Balancer Jaringan proxy eksternal regional
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Jaringan proxy internal regional
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Jaringan proxy internal lintas region
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Jaringan passthrough eksternal
  • Rentang health check

    Untuk traffic IPv4 ke backend:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    Untuk traffic IPv6 ke backend:

    • 2600:1901:8001::/48

  • Alamat IP sumber eksternal klien di internet.
    Misalnya, 0.0.0.0/0 (semua klien IPv4) atau ::/0 (semua klien IPv6) atau serangkaian rentang alamat IP tertentu.

    Load balancer berbasis kumpulan target dapat melakukan proxy health check melalui server metadata. Dalam hal ini, sumber pemeriksaan health check cocok dengan alamat IP server metadata: 169.254.169.254. Namun, traffic dari server metadata selalu diizinkan untuk menjangkau VM. Tidak diperlukan aturan firewall.

 Ringkasan
 Contoh
Load Balancer Jaringan passthrough internal
  • Rentang health check:

    Untuk traffic IPv4 ke backend:

    • 35.191.0.0/16
    • 130.211.0.0/22

    Untuk traffic IPv6 ke backend:

    • 2600:2d00:1:b029::/64
  • Alamat IP sumber internal klien
 Ringkasan tumpukan tunggal tumpukan ganda

1 Pemberian rentang rentang pemeriksaan health check Google yang diizinkan tidak diperlukan untuk NEG hybrid. Namun, jika menggunakan kombinasi NEG campuran dan zona dalam satu layanan backend, Anda harus mengizinkan rentang pemeriksaan health check Google untuk NEG zona.

2 Untuk NEG internet regional, health check bersifat opsional. Traffic dari load balancer yang menggunakan NEG internet regional berasal dari subnet khusus proxy dan kemudian diterjemahkan NAT (dengan menggunakan Cloud NAT) ke alamat IP NAT yang dialokasikan secara manual atau otomatis. Traffic ini mencakup pemeriksaan health check dan permintaan pengguna dari load balancer ke backend. Untuk mengetahui detailnya, lihat NEG Regional: Gunakan Cloud NAT untuk keluar.