Aturan firewall

Load balancer Google Cloud biasanya memerlukan satu atau beberapa aturan firewall untuk memastikan traffic dari klien mencapai backend.

  • Sebagian besar load balancer diwajibkan untuk menentukan health check untuk instance backend. Agar pemeriksaan health check dapat menjangkau backend, Anda harus membuat aturan firewall izinkan masuk yang memungkinkan pemeriksaan health check menjangkau instance backend.

  • Load balancer berdasarkan Google Front End (GFE) memerlukan aturan firewall izinkan masuk yang mengizinkan traffic dari proxy GFE untuk menjangkau instance backend. Pada umumnya, proxy GFE menggunakan rentang IP sumber yang sama dengan probe pemeriksaan kesehatan sehingga tidak memerlukan aturan firewall terpisah. Pengecualian dicatat dalam tabel berikut.

  • Load balancer berdasarkan proxy Envoy open source memerlukan aturan firewall izinkan masuk yang mengizinkan traffic dari subnet khusus proxy untuk menjangkau instance backend. Load balancer ini menghentikan koneksi masuk dan traffic dari load balancer ke backend kemudian dikirim dari alamat IP di subnet khusus proxy.

Tabel berikut merangkum aturan firewall minimum yang diperlukan untuk setiap jenis load balancer.

Jenis load balancer Aturan firewall izinkan masuk minimum yang diperlukan Ringkasan Contoh
Load Balancer Aplikasi eksternal global
  • Rentang health check:
    • 35.191.0.0/16
    • 130.211.0.0/22

    Untuk traffic IPv6 ke backend:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Rentang proxy GFE:
    • Sama dengan rentang pemeriksaan kesehatan jika backend adalah grup instance, NEG zona, atau NEG konektivitas hybridGCE_VM_IP_PORTNON_GCP_PRIVATE_IP_PORT
    • Rentang alamat IP yang tercantum dalam data TXT DNS _cloud-eoips.googleusercontent.com. Anda dapat mengekstrak alamat IP sumber untuk backend NEG internet global menggunakan contoh perintah berikut di sistem Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Ringkasan Contoh
Load Balancer Aplikasi Klasik
  • Rentang health check:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Rentang proxy GFE:
    • Sama dengan rentang pemeriksaan kesehatan jika backend adalah grup instance, NEG zona, atau NEG konektivitas hybridGCE_VM_IP_PORTNON_GCP_PRIVATE_IP_PORT
    • Rentang alamat IP yang tercantum dalam data TXT DNS _cloud-eoips.googleusercontent.com. Anda dapat mengekstrak alamat IP sumber untuk backend NEG internet global menggunakan contoh perintah berikut di sistem Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Ringkasan Contoh
Load Balancer Aplikasi eksternal regional
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Aplikasi internal lintas region
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Aplikasi internal regional
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Jaringan proxy eksternal global
  • Rentang health check:
    • 35.191.0.0/16
    • 130.211.0.0/22

    Untuk traffic IPv6 ke backend:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Rentang proxy GFE: Sama dengan rentang health check
 Ringkasan Contoh
Load Balancer Jaringan proxy klasik
  • Rentang health check:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Rentang proxy GFE: Sama dengan rentang health check
 Ringkasan Contoh
Load Balancer Jaringan proxy eksternal regional
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Jaringan proxy internal regional
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Jaringan proxy internal lintas region
  • Rentang health check 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet khusus proxy 2
 Ringkasan Contoh
Load Balancer Jaringan passthrough eksternal
  • Rentang health check

    Untuk traffic IPv4 ke backend:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    Untuk traffic IPv6 ke backend:

    • 2600:1901:8001::/48

  • Alamat IP sumber eksternal klien di internet.
    Misalnya, 0.0.0.0/0 (semua klien IPv4) atau ::/0 (semua klien IPv6) atau kumpulan rentang alamat IP tertentu.

    Load balancer berbasis kumpulan target dapat melakukan proxy health check melalui server metadata. Dalam hal ini, sumber pemeriksaan health check cocok dengan alamat IP server metadata: 169.254.169.254. Namun, traffic dari server metadata selalu diizinkan untuk menjangkau VM. Tidak diperlukan aturan firewall.

 Ringkasan
 Contoh
Load Balancer Network passthrough internal
  • Rentang health check:

    Untuk traffic IPv4 ke backend:

    • 35.191.0.0/16
    • 130.211.0.0/22

    Untuk traffic IPv6 ke backend:

    • 2600:2d00:1:b029::/64
  • Alamat IP sumber internal klien
 Ringkasan single-stack dual-stack

1 Menambahkan rentang probe health check Google ke daftar yang diizinkan tidak diperlukan untuk NEG hibrida. Namun, jika Anda menggunakan kombinasi NEG campuran dan zonal dalam satu layanan backend, Anda harus mengizinkan rentang probe pemeriksaan kesehatan Google untuk NEG zonal.

2 Untuk NEG internet regional, health check bersifat opsional. Traffic dari load balancer yang menggunakan NEG internet regional berasal dari subnet khusus proxy, lalu diterjemahkan NAT (dengan menggunakan Cloud NAT) ke alamat IP NAT yang dialokasikan secara manual atau otomatis. Traffic ini mencakup pemeriksaan health check dan permintaan pengguna dari load balancer ke backend. Untuk mengetahui detailnya, lihat NEG regional: Menggunakan Cloud NAT untuk keluar.