Regole firewall

Per la maggior parte dei bilanciatori del carico è necessario specificare un controllo di integrità per le istanze di backend. Affinché i probe del controllo di integrità raggiungano i backend, devi creare una regola firewall di autorizzazione in entrata che consenta al traffico di raggiungere le istanze.

Inoltre, i bilanciatori del carico a livello di area geografica basati sul proxy open source Envoy richiedono una regola firewall di autorizzazione in entrata che consenta al traffico della subnet solo proxy di raggiungere le istanze di backend. Questi bilanciatori del carico interrompono le connessioni in entrata e il traffico dal bilanciatore del carico ai backend viene quindi inviato dagli indirizzi IP nella subnet solo proxy.

La tabella seguente riepiloga le regole minime richieste per il bilanciatore del carico.

Tipo di bilanciatore del carico Regole firewall minime consentite per le richieste in entrata Panoramica Esempio
Bilanciatore del carico HTTP(S) esterno globale
  • Intervalli del controllo di integrità
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalli proxy GFE: stessi intervalli di controllo di integrità
Panoramica Esempio
Bilanciatore del carico HTTP(S) esterno globale (versione classica)
  • Intervalli del controllo di integrità
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalli proxy GFE
    • Uguale agli intervalli del controllo di integrità se i backend sono gruppi di istanze, NEG di zona (GCE_VM_IP_PORT) o NEG di connettività ibrida (NON_GCP_PRIVATE_IP_PORT)
    • 34.96.0.0/20 e 34.127.192.0/18 per i backend NEG Internet (INTERNET_FQDN_PORT e INTERNET_IP_PORT)
Panoramica Esempio
Bilanciatore del carico HTTP(S) esterno a livello di area geografica
  • Intervalli del controllo di integrità
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalli proxy GFE: stessi intervalli di controllo di integrità
  • Subnet solo proxy
Panoramica Esempio
Bilanciamento del carico HTTP(S) interno
  • Intervalli del controllo di integrità
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subnet solo proxy
Panoramica Esempio
Bilanciamento del carico TCP/UDP interno
  • Intervalli del controllo di integrità
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Indirizzi IP di origine interna dei client
Panoramica Esempio
Bilanciamento del carico del proxy SSL
  • Intervalli del controllo di integrità
    • 35.191.0.0/16
    • 130.211.0.0/22
Panoramica Esempio
Bilanciamento del carico del proxy TCP
  • Intervalli del controllo di integrità
    • 35.191.0.0/16
    • 130.211.0.0/22
Panoramica Esempio
Bilanciamento del carico di rete
  • Intervalli del controllo di integrità

    Per il traffico IPv4 verso i backend:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    Per il traffico IPv6 verso i backend:

    • 2600:1901:8001::/48
  • Indirizzi IP di origine esterna dei client su Internet.
    Ad esempio, 0.0.0.0/0 (tutti i client IPv4) o ::/0 (tutti i client IPv6) o un insieme specifico di intervalli di indirizzi IP.
Panoramica
Esempi