Regole firewall

In genere i bilanciatori del carico Google Cloud richiedono una o più regole firewall per garantire che il traffico dai client raggiunga i backend.

  • La maggior parte dei bilanciatori del carico è tenuta a specificare un controllo di integrità per le istanze di backend. Affinché i probe del controllo di integrità raggiungano i tuoi backend, devi creare una regola firewall di autorizzazione in entrata che ti consente probe del controllo di integrità per raggiungere le tue istanze di backend.

  • I bilanciatori del carico basati su Google Front End (GFE) richiedono un'autorizzazione in entrata regola firewall che consente al traffico dal proxy GFE di raggiungere il backend di Compute Engine. Nella maggior parte dei casi, i proxy GFE utilizzano gli stessi intervalli IP di origine dei probe di controllo dell'integrità e, pertanto, non richiedono una regola firewall separata. Le eccezioni sono indicate nella tabella seguente.

  • I bilanciatori del carico basati su proxy Envoy open source richiedono un'autorizzazione in entrata regola firewall che permette al traffico dalla subnet solo proxy di raggiungere di backend. Questi bilanciatori del carico il traffico proveniente dal bilanciatore del carico ai backend viene quindi inviato dagli indirizzi IP nella subnet solo proxy.

Nella tabella seguente sono riepilogate le regole firewall minime richieste per ogni di bilanciamento del carico.

Tipo di bilanciatore del carico Numero minimo di regole firewall di autorizzazione in entrata richieste Panoramica Esempio
Bilanciatore del carico delle applicazioni esterno globale
  • Intervalli del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22

    Per il traffico IPv6 verso i backend:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Intervalli proxy GFE:
    • Gli stessi intervalli di controllo dell'integrità se i backend sono gruppi di istanze, NEG a livello di zona (GCE_VM_IP_PORT) o NEG di connettività ibrida (NON_GCP_PRIVATE_IP_PORT)
    • Intervalli di indirizzi IP elencati nell'_cloud-eoips.googleusercontent.com Record TXT DNS. Puoi estrarre gli indirizzi IP di origine per i backend NEG internet globali utilizzando il seguente comando di esempio su un sistema Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Panoramica Esempio
Bilanciatore del carico delle applicazioni classico
  • Intervalli del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalli proxy GFE:
    • Gli stessi intervalli di controllo dell'integrità se i backend sono gruppi di istanze, NEG a livello di zona (GCE_VM_IP_PORT) o NEG di connettività ibrida (NON_GCP_PRIVATE_IP_PORT)
    • Intervalli di indirizzi IP elencati nel _cloud-eoips.googleusercontent.com record TXT DNS. Puoi estrarre gli indirizzi IP di origine per backend NEG internet utilizzando il seguente comando di esempio su Sistema Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Panoramica Esempio
Bilanciatore del carico delle applicazioni esterno regionale
  • Intervalli 1, 2 del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy 2
 Panoramica Esempio
Bilanciatore del carico delle applicazioni interno tra regioni
  • Fasce di controllo di integrità 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy 2
 Panoramica Esempio
Bilanciatore del carico delle applicazioni interno regionale
  • Intervalli 1, 2 del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy 2
 Panoramica Esempio
Bilanciatore del carico di rete proxy esterno globale
  • Intervalli del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22

    Per il traffico IPv6 verso i backend:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Intervalli proxy GFE: uguali agli intervalli di controllo di integrità
 Panoramica Esempio
Bilanciatore del carico di rete proxy classico
  • Intervalli del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalli proxy GFE: come gli intervalli del controllo di integrità
 Panoramica Esempio
Bilanciatore del carico di rete proxy esterno regionale
  • Fasce di controllo di integrità 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy 2
 Panoramica Esempio
Bilanciatore del carico di rete proxy interno regionale
  • Fasce di controllo di integrità 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy 2
 Panoramica Esempio
Bilanciatore del carico di rete proxy interno tra regioni
  • Intervalli 1, 2 del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy 2
 Panoramica Esempio
Bilanciatore del carico di rete passthrough esterno
  • Intervalli del controllo di integrità

    Per il traffico IPv4 verso i backend:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    Per il traffico IPv6 verso i backend:

    • 2600:1901:8001::/48

  • Indirizzi IP di origine esterni dei client su internet.
    Ad esempio, 0.0.0.0/0 (tutti i client IPv4) o ::/0 (tutti i client IPv6) o un un insieme specifico di intervalli di indirizzi IP.

    I bilanciatori del carico basati su pool di destinazione potrebbero eseguire il proxy dei controlli di integrità tramite il server di metadati. In questo caso, i probe del controllo di integrità corrispondono all'indirizzo IP del server di metadati: 169.254.169.254. Tuttavia, il traffico dal server dei metadati è sempre consentito per raggiungere le VM. Non è necessaria alcuna regola firewall.

 Panoramica
 Esempi
Bilanciatore del carico di rete passthrough interno
  • Intervalli del controllo di integrità:

    Per il traffico IPv4 verso i backend:

    • 35.191.0.0/16
    • 130.211.0.0/22

    Per il traffico IPv6 verso i backend:

    • 2600:2d00:1:b029::/64
  • Indirizzi IP di origine interni dei client
 Panoramica stack singolo stack doppio

1 L'inserimento nella lista consentita degli intervalli di probe di controllo di integrità di Google non è obbligatorio per i NEG ibridi. Tuttavia, se utilizzi una combinazione di NEG ibridi e zonali in un singolo servizio di backend, devi inserire nella lista consentita gli intervalli di sonde di controllo di integrità di Google per i NEG zonali.

2 Per i NEG internet regionali, i controlli di integrità sono facoltativi. Il traffico proveniente dai bilanciatori del carico che utilizzano NEG internet regionali ha origine dalla subnet solo proxy e viene poi sottoposto a traduzione NAT (utilizzando Cloud NAT) in indirizzi IP NAT manuali o allocati automaticamente. Questo traffico include sia i probe del controllo di integrità sia le richieste degli utenti dal bilanciatore del carico ai backend. Per maggiori dettagli, consulta la sezione A livello di regione NEG: utilizza Cloud NAT per il traffico in uscita.