Firewallregeln

Die meisten Load-Balancer sind erforderlich, um eine Systemdiagnose für Back-End-Instanzen festzulegen. Damit die Systemdiagnoseprüfungen Ihre Back-Ends erreichen können, müssen Sie eine Firewallregel für eingehenden Traffic erstellen, die den Traffic zu Ihren Instanzen zulässt.

Darüber hinaus erfordern regionale Load-Balancer, die auf dem Open-Source-Envoy-Proxy basieren, eine Firewallregel zum Zulassen von eingehendem Traffic, die Traffic vom Nur-Proxy-Subnetz zu den Back-End-Instanzen zulässt. Diese Load-Balancer beenden eingehende Verbindungen und der Traffic vom Load-Balancer zu den Back-Ends wird dann über IP-Adressen im Nur-Proxy-Subnetz gesendet.

In der folgenden Tabelle sind die mindestens erforderlichen Firewallregeln für jeden Load-Balancer zusammengefasst.

Load-Balancer-Typ Mindestens erforderliche Firewallregeln zum Zulassen von eingehendem Traffic Übersicht Beispiel
Globaler externer HTTP(S)-Load-Balancer
  • Bereiche der Systemdiagnose
    • 35.191.0.0/16
    • 130.211.0.0/22
  • GFE-Proxybereiche: Wie Systemdiagnosebereiche
Überblick Beispiel
Globaler externer HTTP(S)-Load-Balancer (klassisch)
  • Bereiche der Systemdiagnose
    • 35.191.0.0/16
    • 130.211.0.0/22
  • GFE-Proxybereiche
    • Entspricht identischen Systemdiagnosebereichen, wenn die Back-Ends Instanzgruppen, zonale NEGs (GCE_VM_IP_PORT) oder Hybridkonnektivitäts-NEGs (NON_GCP_PRIVATE_IP_PORT) sind
    • 34.96.0.0/20 und 34.127.192.0/18 für Internet-NEG-Back-Ends (INTERNET_FQDN_PORT und INTERNET_IP_PORT)
Überblick Beispiel
Regionaler externer HTTP(S)-Load-Balancer
  • Bereiche der Systemdiagnose
    • 35.191.0.0/16
    • 130.211.0.0/22
  • GFE-Proxybereiche: Wie Systemdiagnosebereiche
  • Nur-Proxy-Subnetz
Übersicht Beispiel
Internes HTTP(S)-Load-Balancing
  • Bereiche der Systemdiagnose
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Nur-Proxy-Subnetz
Übersicht Beispiel
Internes TCP/UDP-Load-Balancing
  • Bereiche der Systemdiagnose
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Interne Quell-IP-Adressen von Clients
Übersicht Beispiel
SSL-Proxy-Load-Balancing
  • Bereiche der Systemdiagnose
    • 35.191.0.0/16
    • 130.211.0.0/22
Überblick Beispiel
TCP-Proxy-Load-Balancing
  • Bereiche der Systemdiagnose
    • 35.191.0.0/16
    • 130.211.0.0/22
Überblick Beispiel
Netzwerk-Load-Balancing
  • Bereiche der Systemdiagnose

    Bei IPv4-Traffic zu den Back-Ends:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    Bei IPv6-Traffic zu den Back-Ends:

    • 2600:1901:8001::/48
  • Externe Quell-IP-Adressen von Clients im Internet
    Beispiel: 0.0.0.0/0 (alle IPv4-Clients) oder ::/0 (alle IPv6-Clients) oder eine bestimmte Gruppe von IP-Adressbereichen.
Übersicht
Beispiele