Regole del firewall

In genere, i bilanciatori del carico Google Cloud richiedono una o più regole firewall per garantire che il traffico proveniente dai client raggiunga i backend.

  • La maggior parte dei bilanciatori del carico è tenuta a specificare un controllo di integrità per le istanze di backend. Affinché i probe del controllo di integrità raggiungano i tuoi backend, devi creare una regola firewall di autorizzazione in entrata che consenta ai probe del controllo di integrità di raggiungere le istanze di backend.

  • I bilanciatori del carico basati su Google Front End (GFE) richiedono una regola firewall di autorizzazione in entrata che consenta al traffico proveniente dal proxy GFE di raggiungere le istanze di backend. Nella maggior parte dei casi, i proxy GFE utilizzano gli stessi intervalli IP di origine dei probe del controllo di integrità e pertanto non richiedono una regola firewall separata. Le eccezioni sono indicate nella tabella seguente.

  • I bilanciatori del carico basati sul proxy Envoy open source richiedono una regola firewall di autorizzazione in entrata che consenta al traffico dalla subnet solo proxy di raggiungere le istanze di backend. Questi bilanciatori del carico terminano le connessioni in entrata e il traffico proveniente dal bilanciatore del carico verso i backend viene quindi inviato dagli indirizzi IP nella subnet solo proxy.

La seguente tabella riassume le regole firewall minime richieste per ciascun tipo di bilanciatore del carico.

Tipo di bilanciatore del carico Regole firewall di autorizzazione in entrata minime richieste Panoramica Esempio
Bilanciatore del carico delle applicazioni esterno globale
  • Intervalli del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalli proxy GFE:
    • Uguali agli intervalli di controllo di integrità se i backend sono gruppi di istanze, NEG di zona (GCE_VM_IP_PORT) o NEG di connettività ibrida (NON_GCP_PRIVATE_IP_PORT)
    • Intervalli di indirizzi IP elencati nel record TXT DNS _cloud-eoips.googleusercontent.com. Puoi estrarre gli indirizzi IP di origine per i backend di NEG internet globali utilizzando il seguente comando di esempio su un sistema Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Panoramica Esempio
Bilanciatore del carico delle applicazioni classico
  • Intervalli del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalli proxy GFE:
    • Uguali agli intervalli di controllo di integrità se i backend sono gruppi di istanze, NEG di zona (GCE_VM_IP_PORT) o NEG di connettività ibrida (NON_GCP_PRIVATE_IP_PORT)
    • Intervalli di indirizzi IP elencati nel record TXT DNS _cloud-eoips.googleusercontent.com. Puoi estrarre gli indirizzi IP di origine per i backend di NEG internet globali utilizzando il seguente comando di esempio su un sistema Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Panoramica Esempio
Bilanciatore del carico delle applicazioni esterno regionale
  • Intervalli del controllo di integrità 1 e 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy2
 Panoramica Esempio
Bilanciatore del carico delle applicazioni interno tra regioni
  • Intervalli del controllo di integrità 1 e 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy2
 Panoramica Esempio
Bilanciatore del carico delle applicazioni interno regionale
  • Intervalli del controllo di integrità 1 e 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy2
 Panoramica Esempio
Bilanciatore del carico di rete proxy esterno globale
  • Intervalli del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalli proxy GFE: uguali agli intervalli di controllo di integrità
 Panoramica Esempio
Bilanciatore del carico di rete proxy classico
  • Intervalli del controllo di integrità:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalli proxy GFE: uguali agli intervalli di controllo di integrità
 Panoramica Esempio
Bilanciatore del carico di rete proxy esterno regionale
  • Intervalli del controllo di integrità 1 e 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy2
 Panoramica Esempio
Bilanciatore del carico di rete proxy interno regionale
  • Intervalli del controllo di integrità 1 e 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy2
 Panoramica Esempio
Bilanciatore del carico di rete proxy interno tra regioni
  • Intervalli del controllo di integrità 1 e 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy2
 Panoramica Esempio
Bilanciatore del carico di rete passthrough esterno
  • Intervalli del controllo di integrità

    Per il traffico IPv4 verso i backend:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    Per il traffico IPv6 verso i backend:

    • 2600:1901:8001::/48

  • Indirizzi IP di origine esterni dei client su internet.
    Ad esempio, 0.0.0.0/0 (tutti i client IPv4) o ::/0 (tutti i client IPv6) oppure un insieme specifico di intervalli di indirizzi IP.

    I bilanciatori del carico basati su pool di destinazione potrebbero eseguire il proxy dei controlli di integrità tramite il server dei metadati. In questo caso, le origini dei probe del controllo di integrità corrispondono all'indirizzo IP del server dei metadati: 169.254.169.254. Tuttavia, il traffico proveniente dal server dei metadati è sempre autorizzato a raggiungere le VM. Non è necessaria alcuna regola firewall.

 Panoramica
 Esempi
Bilanciatore del carico di rete passthrough interno
  • Intervalli del controllo di integrità:

    Per il traffico IPv4 verso i backend:

    • 35.191.0.0/16
    • 130.211.0.0/22

    Per il traffico IPv6 verso i backend:

    • 2600:2d00:1:b029::/64
  • Indirizzi IP di origine interni dei client
 Panoramica stack singolo doppio

1 Non è necessario inserire nella lista consentita gli intervalli di probe del controllo di integrità di Google per i NEG ibridi. Tuttavia, se utilizzi una combinazione di NEG ibridi e di zona in un unico servizio di backend, devi inserire nella lista consentita gli intervalli del probe del controllo di integrità di Google per i NEG di zona.

2 Per i NEG internet a livello di regione, i controlli di integrità sono facoltativi. Il traffico proveniente da bilanciatori del carico che utilizzano NEG internet a livello di regione ha origine dalla subnet solo proxy e viene quindi tradotto (utilizzando Cloud NAT) in indirizzi IP NAT manuali o allocati automaticamente. Questo traffico include sia i probe di controllo di integrità sia le richieste degli utenti dal bilanciatore del carico ai backend. Per maggiori dettagli, consulta NEG regionali: utilizzare Cloud NAT per il traffico in uscita.