Règles de pare-feu

Les équilibreurs de charge Google Cloud nécessitent généralement une ou plusieurs règles de pare-feu pour garantir que le trafic des clients atteint les backends.

  • La plupart des équilibreurs de charge sont nécessaires pour spécifier une vérification d'état pour les instances backend. Pour que les vérifications d'état puissent atteindre vos backends, vous devez créer une règle de pare-feu autorisant le trafic entrant qui permet aux vérifications d'état d'atteindre vos instances backend.

  • Les équilibreurs de charge basés sur Google Front End (GFE) nécessitent une règle de pare-feu autorisant le trafic entrant et permettant au trafic provenant du proxy GFE d'accéder aux instances backend. Dans la plupart des cas, les proxys GFE utilisent les mêmes plages d'adresses IP sources que les vérifications d'état et ne nécessitent donc pas de règle de pare-feu distincte. Les exceptions sont indiquées dans le tableau suivant.

  • Les équilibreurs de charge basés sur le proxy Envoy Open Source requièrent une règle de pare-feu autorisant les entrées qui autorise le trafic provenant du sous-réseau proxy réservé à accéder aux instances backend. Ces équilibreurs de charge interrompent les connexions entrantes, et le trafic de l'équilibreur de charge vers les backends est ensuite envoyé depuis les adresses IP du sous-réseau proxy réservé.

Le tableau suivant récapitule les règles de pare-feu minimales requises pour chaque type d'équilibreur de charge.

Type d'équilibreur de charge Règles de pare-feu autorisant les entrées minimales requises Aperçu Exemple
Équilibreur de charge d'application externe global
  • Plages de vérification d'état :
    • 35.191.0.0/16
    • 130.211.0.0/22

    Pour le trafic IPv6 vers les backends :

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Plages de proxy GFE :
    • Identiques aux plages de vérifications d'état si les backends sont des groupes d'instances, des NEG zonaux (GCE_VM_IP_PORT) ou des NEG de connectivité hybride (NON_GCP_PRIVATE_IP_PORT).
    • Plages d'adresses IP répertoriées dans l'enregistrement TXT DNS _cloud-eoips.googleusercontent.com. Vous pouvez extraire les adresses IP sources des backends NEG Internet à l'aide de l'exemple de commande suivant sur un système Linux : dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
Présentation Exemple
Équilibreur de charge d'application classique
  • Plages de vérification d'état :
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Plages de proxy GFE :
    • Identiques aux plages de vérifications d'état si les backends sont des groupes d'instances, des NEG zonaux (GCE_VM_IP_PORT) ou des NEG de connectivité hybride (NON_GCP_PRIVATE_IP_PORT).
    • Plages d'adresses IP répertoriées dans l'enregistrement TXT DNS _cloud-eoips.googleusercontent.com. Vous pouvez extraire les adresses IP sources des backends NEG Internet à l'aide de l'exemple de commande suivant sur un système Linux : dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
Présentation Exemple
Équilibreur de charge d'application externe régional
  • Plages de vérification d'état1, 2 :
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sous-réseau proxy réservé2
Présentation Exemple
Équilibreur de charge d'application interne interrégional
  • Plages de vérification d'état1, 2 :
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sous-réseau proxy réservé2
Présentation Exemple
Équilibreur de charge d'application interne régional
  • Plages de vérification d'état1, 2 :
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sous-réseau proxy réservé2
Présentation Exemple
Équilibreur de charge réseau proxy externe global
  • Plages de vérification d'état :
    • 35.191.0.0/16
    • 130.211.0.0/22

    Pour le trafic IPv6 vers les backends :

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Plages de proxy GFE : identiques aux plages de vérification d'état
Présentation Exemple
Équilibreur de charge réseau proxy classique
  • Plages de vérification d'état :
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Plages de proxy GFE : identiques aux plages de vérification d'état
Présentation Exemple
Équilibreur de charge réseau proxy externe régional
  • Plages de vérification d'état1, 2 :
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sous-réseau proxy réservé2
Présentation Exemple
Équilibreur de charge réseau proxy interne régional
  • Plages de vérification d'état1, 2 :
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sous-réseau proxy réservé2
Présentation Exemple
Équilibreur de charge réseau proxy interne interrégional
  • Plages de vérification d'état1, 2 :
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sous-réseau proxy réservé2
Présentation Exemple
Équilibreur de charge réseau passthrough externe
  • Plages de vérification d'état

    Pour le trafic IPv4 vers les backends :

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    Pour le trafic IPv6 vers les backends :

    • 2600:1901:8001::/48
  • Adresses IP sources externes des clients sur Internet.
    Par exemple, 0.0.0.0/0 (tous les clients IPv4) ou ::/0 (tous les clients IPv6) ou un ensemble spécifique de plages d'adresses IP.

    Les équilibreurs de charge basés sur un pool cible peuvent relayer les vérifications d'état via le serveur de métadonnées. Dans ce cas, les sources des requêtes de vérification d'état correspondent à l'adresse IP du serveur de métadonnées : 169.254.169.254. Toutefois, le trafic en provenance du serveur de métadonnées est toujours autorisé à atteindre les VM. Aucune règle de pare-feu n'est requise.

Présentation
Exemples
Équilibreur de charge réseau passthrough interne
  • Plages de vérification d'état :

    Pour le trafic IPv4 vers les backends :

    • 35.191.0.0/16
    • 130.211.0.0/22

    Pour le trafic IPv6 vers les backends :

    • 2600:2d00:1:b029::/64
  • Adresses IP sources internes des clients
Présentation pile unique double pile

1 L'ajout de plages de vérification de l'état à la liste d'autorisation de Google n'est pas nécessaire pour les NEG hybrides. Toutefois, si vous utilisez à la fois des NEG hybrides et zonaux dans un service de backend, vous devez ajouter les plages de vérification d'état Google à la liste d'autorisation pour les NEG zonaux.

2 Pour les NEG Internet régionaux, les vérifications d'état sont facultatives. Le trafic provenant des équilibreurs de charge qui utilisent des NEG Internet régionaux provient du sous-réseau proxy réservé, puis est traduit par la NAT (à l'aide de Cloud NAT) en adresses IP NAT allouées manuellement ou automatiquement. Ce trafic inclut à la fois les vérifications d'état et les requêtes des utilisateurs depuis l'équilibreur de charge vers les backends. Pour en savoir plus, consultez la page NEG régionaux : utiliser Cloud NAT pour la sortie.