방화벽 규칙

Google Cloud 부하 분산기에는 일반적으로 클라이언트의 트래픽이 백엔드에 도달하도록 하는 데 하나 이상의 방화벽 규칙이 필요합니다.

  • 대부분의 부하 분산기에서 백엔드 인스턴스의 상태 점검을 지정해야 합니다. 상태 점검 프로브가 백엔드에 도달하려면 상태 점검 프로브가 백엔드 인스턴스에 도달할 수 있도록 인그레스 허용 방화벽 규칙을 만들어야 합니다.

  • Google 프런트엔드(GFE)를 기반으로 하는 부하 분산기에는 GFE 프록시의 트래픽이 백엔드 인스턴스에 도달하도록 허용하는 인그레스 허용 방화벽 규칙이 필요합니다. 대부분의 경우 GFE 프록시는 상태 점검 프로브와 동일한 소스 IP 범위를 사용하므로 별도의 방화벽 규칙이 필요하지 않습니다. 예외는 다음 표에 표시되어 있습니다.

  • 오픈소스 Envoy 프록시를 기반으로 하는 부하 분산기에서는 프록시 전용 서브넷의 트래픽이 백엔드 인스턴스에 도달하도록 허용하는 인그레스 허용 방화벽 규칙이 필요합니다. 이러한 부하 분산기는 수신 연결을 종료하며 이후 부하 분산기에서 백엔드로 전송되는 트래픽이 프록시 전용 서브넷의 IP 주소에서 전송됩니다.

다음 표에는 각 부하 분산기 유형에 필요한 최소 필요 방화벽 규칙이 요약되어 있습니다.

부하 분산기 유형 최소 필수 인그레스 허용 방화벽 규칙 개요
전역 외부 애플리케이션 부하 분산기
  • 상태 점검 범위
    • 35.191.0.0/16
    • 130.211.0.0/22

    백엔드로 들어오는 IPv6 트래픽:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • GFE 프록시 범위:
    • 백엔드가 인스턴스 그룹, 영역별 NEG(GCE_VM_IP_PORT) 또는 하이브리드 연결 NEG(NON_GCP_PRIVATE_IP_PORT)인 경우 상태 점검 범위와 동일합니다.
    • _cloud-eoips.googleusercontent.com DNS TXT 레코드에 나열된 IP 주소 범위 Linux 시스템에서 다음 예시 명령어를 사용하여 전역 인터넷 NEG 백엔드의 소스 IP 주소를 추출할 수 있습니다. dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
개요 예시
기본 애플리케이션 부하 분산기
  • 상태 점검 범위
    • 35.191.0.0/16
    • 130.211.0.0/22
  • GFE 프록시 범위:
    • 백엔드가 인스턴스 그룹, 영역별 NEG(GCE_VM_IP_PORT) 또는 하이브리드 연결 NEG(NON_GCP_PRIVATE_IP_PORT)인 경우 상태 점검 범위와 동일합니다.
    • _cloud-eoips.googleusercontent.com DNS TXT 레코드에 나열된 IP 주소 범위 Linux 시스템에서 다음 예시 명령어를 사용하여 전역 인터넷 NEG 백엔드의 소스 IP 주소를 추출할 수 있습니다. dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
개요 예시
리전 외부 애플리케이션 부하 분산기
  • 상태 점검 범위 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 프록시 전용 서브넷 2
개요 예시
리전 간 내부 애플리케이션 부하 분산기
  • 상태 점검 범위 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 프록시 전용 서브넷 2
개요 예시
리전 내부 애플리케이션 부하 분산기
  • 상태 점검 범위 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 프록시 전용 서브넷 2
개요 예시
전역 외부 프록시 네트워크 부하 분산기
  • 상태 점검 범위
    • 35.191.0.0/16
    • 130.211.0.0/22

    백엔드로 들어오는 IPv6 트래픽:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • GFE 프록시 범위: 상태 점검 범위와 동일
개요 예시
기본 프록시 네트워크 부하 분산기
  • 상태 점검 범위
    • 35.191.0.0/16
    • 130.211.0.0/22
  • GFE 프록시 범위: 상태 점검 범위와 동일
개요 예시
리전 외부 프록시 네트워크 부하 분산기
  • 상태 점검 범위 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 프록시 전용 서브넷 2
개요 예시
리전 내부 프록시 네트워크 부하 분산기
  • 상태 점검 범위 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 프록시 전용 서브넷 2
개요 예시
리전 간 내부 프록시 네트워크 부하 분산기
  • 상태 점검 범위 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 프록시 전용 서브넷 2
개요 예시
외부 패스 스루 네트워크 부하 분산기
  • 상태 점검 범위

    백엔드로 들어오는 IPv4 트래픽:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    백엔드로 들어오는 IPv6 트래픽:

    • 2600:1901:8001::/48
  • 인터넷의 클라이언트 외부 소스 IP 주소입니다.
    예를 들어 0.0.0.0/0(모든 IPv4 클라이언트), ::/0(모든 IPv6 클라이언트) 또는 특정 IP 주소 범위 집합입니다.

    대상 풀 기반 부하 분산기는 메타데이터 서버를 통해 상태 점검을 프록시할 수 있습니다. 이 경우 상태 점검 프로브 소스는 메타데이터 서버의 IP 주소 169.254.169.254와 일치합니다. 하지만 메타데이터 서버의 트래픽은 항상 VM에 도달할 수 있습니다. 방화벽 규칙은 필요하지 않습니다.

개요
예시
내부 패스 스루 네트워크 부하 분산기
  • 상태 점검 범위

    백엔드로 들어오는 IPv4 트래픽:

    • 35.191.0.0/16
    • 130.211.0.0/22

    백엔드로 들어오는 IPv6 트래픽:

    • 2600:2d00:1:b029::/64
  • 클라이언트의 내부 소스 IP 주소
개요 단일 스택 이중 스택

1 Google의 상태 점검 프로브 범위를 하이브리드 NEG의 허용 목록에 추가할 필요가 없습니다. 하지만 단일 백엔드 서비스에서 하이브리드 및 영역 NEG 조합을 사용하는 경우에는 Google 상태 점검 프로브 범위를 영역 NEG의 허용 목록에 추가해야 합니다.

2 리전 인터넷 NEG의 경우 상태 점검은 선택사항입니다. 리전 인터넷 NEG를 사용하는 부하 분산기의 트래픽은 프록시 전용 서브넷에서 시작되며 수동 또는 자동 할당된 NAT IP 주소로 NAT 변환됩니다(Cloud NAT 사용). 이 트래픽에는 상태 점검 프로브와 부하 분산기에서 백엔드로의 사용자 요청이 포함됩니다. 자세한 내용은 리전 NEG: 이그레스 Cloud NAT 사용을 참조하세요.