In genere i bilanciatori del carico Google Cloud richiedono una o più regole firewall per garantire che il traffico dai client raggiunga i backend.
La maggior parte dei bilanciatori del carico deve specificare un controllo di integrità per il backend di Compute Engine. Affinché i probe del controllo di integrità raggiungano i tuoi backend, devi creare una regola firewall di autorizzazione in entrata che ti consente probe del controllo di integrità per raggiungere le tue istanze di backend.
I bilanciatori del carico basati su Google Front End (GFE) richiedono un'autorizzazione in entrata regola firewall che consente al traffico dal proxy GFE di raggiungere il backend di Compute Engine. Nella maggior parte dei casi, i proxy GFE utilizzano gli stessi intervalli IP di origine dei probe del controllo di integrità e pertanto non richiedono una regola firewall separata. Le eccezioni sono indicate nella tabella seguente.
I bilanciatori del carico basati su proxy Envoy open source richiedono un'autorizzazione in entrata regola firewall che permette al traffico dalla subnet solo proxy di raggiungere di backend. Questi bilanciatori del carico il traffico proveniente dal bilanciatore del carico ai backend viene quindi inviato dagli indirizzi IP nella subnet solo proxy.
La tabella seguente riassume le regole firewall minime richieste per ogni di bilanciamento del carico.
Tipo di bilanciatore del carico | Numero minimo di regole firewall di autorizzazione in entrata richieste | Panoramica | Esempio |
---|---|---|---|
Bilanciatore del carico delle applicazioni esterno globale |
|
Panoramica | Esempio |
Bilanciatore del carico delle applicazioni classico |
|
Panoramica | Esempio |
Bilanciatore del carico delle applicazioni esterno regionale |
|
Panoramica | Esempio |
Bilanciatore del carico delle applicazioni interno tra regioni |
|
Panoramica | Esempio |
Bilanciatore del carico delle applicazioni interno regionale |
|
Panoramica | Esempio |
Bilanciatore del carico di rete proxy esterno globale |
|
Panoramica | Esempio |
Bilanciatore del carico di rete proxy classico |
|
Panoramica | Esempio |
Bilanciatore del carico di rete proxy esterno regionale |
|
Panoramica | Esempio |
Bilanciatore del carico di rete proxy interno regionale |
|
Panoramica | Esempio |
Bilanciatore del carico di rete proxy interno tra regioni |
|
Panoramica | Esempio |
Bilanciatore del carico di rete passthrough esterno |
|
Panoramica |
Esempi |
Bilanciatore del carico di rete passthrough interno |
|
Panoramica | stack singolo stack doppio |
1 Non è necessario aggiungere gli intervalli di probe del controllo di integrità di Google a una lista consentita per gli ambienti ibridi NEG. Tuttavia, se utilizzi una combinazione di NEG ibridi e a livello di zona un unico servizio di backend, devi aggiungere la classe Google intervalli di probe del controllo di integrità a una lista consentita per i NEG a livello di zona.
2 Per i NEG internet a livello di regione, i controlli di integrità sono facoltativi. Traffico proveniente dal caricamento I bilanciatori che utilizzano NEG internet regionali provengono dalla subnet solo proxy e poi Tradotto da NAT (utilizzando Cloud NAT) in manuale o allocato automaticamente e gli indirizzi IP NAT. Questo traffico include sia probe del controllo di integrità che dal bilanciatore del carico ai backend. Per maggiori dettagli, consulta la sezione A livello di regione NEG: utilizza Cloud NAT per il traffico in uscita.