Regras de firewall

Os balanceadores de carga do Google Cloud normalmente exigem uma ou mais regras de firewall para garantir que o tráfego dos clientes chegue aos back-ends.

  • A maioria dos balanceadores de carga é necessária para especificar uma verificação de integridade para instâncias de back-end. Para que as sondagens de verificação de integridade alcancem seus back-ends, crie uma regra de firewall de permissão de entrada que permita que sondagens de verificação de integridade alcancem suas instâncias de back-end.

  • Os balanceadores de carga baseados em Google Front Ends (GFEs) exigem uma regra de firewall de permissão de entrada que permita que o tráfego do proxy do GFE alcance as instâncias de back-end. Na maioria dos casos, os proxies do GFE usam os mesmos intervalos de IP de origem que as sondagens da verificação de integridade. Portanto, não exigem uma regra de firewall separada. Confira as exceções na tabela a seguir.

  • Os balanceadores de carga com base no proxy de código aberto Envoy exigem uma regra de firewall de permissão de entrada que permita que o tráfego da sub-rede somente proxy alcance as instâncias de back-end. Esses balanceadores de carga encerram as conexões de entrada e o tráfego do balanceador de carga para os back-ends é enviado dos endereços IP na sub-rede somente proxy.

Na tabela a seguir, há um resumo das regras de firewall mínimas necessárias para cada tipo de balanceador de carga.

Tipo de balanceador de carga Regras de firewall de permissão de entrada mínima obrigatória Visão geral Exemplo
Balanceador de carga de aplicativo externo global
  • Intervalos de verificação de integridade
    • 35.191.0.0/16
    • 130.211.0.0/22

    Para tráfego IPv6 para os back-ends:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Intervalos de proxy GFE:
    • Os mesmos intervalos de verificação de integridade se os back-ends forem grupos de instâncias, NEGs zonais (GCE_VM_IP_PORT) ou NEGs híbridos de conectividade (NON_GCP_PRIVATE_IP_PORT).
    • Intervalos de endereços IP listados no registro TXT do DNS _cloud-eoips.googleusercontent.com. É possível extrair os endereços IP de origem para back-ends de NEG de Internet globais usando o seguinte comando de exemplo em um sistema Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
Visão geral Exemplo
Balanceador de carga de aplicativo clássico
  • Intervalos de verificação de integridade
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalos de proxy GFE:
    • Os mesmos intervalos de verificação de integridade se os back-ends forem grupos de instâncias, NEGs zonais (GCE_VM_IP_PORT) ou NEGs híbridos de conectividade (NON_GCP_PRIVATE_IP_PORT).
    • Intervalos de endereços IP listados no registro TXT do DNS _cloud-eoips.googleusercontent.com. É possível extrair os endereços IP de origem para back-ends de NEG de Internet globais usando o seguinte comando de exemplo em um sistema Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
Visão geral Exemplo
Balanceador de carga de aplicativo externo regional
  • Intervalos de verificação de integridade 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede somente proxy: 2
Visão geral Exemplo
Balanceador de carga de aplicativo interno entre regiões
  • Intervalos de verificação de integridade 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede somente proxy: 2
Visão geral Exemplo
Balanceador de carga de aplicativo interno regional
  • Intervalos de verificação de integridade 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede somente proxy: 2
Visão geral Exemplo
Balanceador de carga de rede de proxy externo global
  • Intervalos de verificação de integridade
    • 35.191.0.0/16
    • 130.211.0.0/22

    Para tráfego IPv6 para os back-ends:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Intervalos de proxy GFE: o mesmo que os intervalos de verificação de integridade
Visão geral Exemplo
Balanceador de carga de rede de proxy clássico
  • Intervalos de verificação de integridade
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalos de proxy GFE: o mesmo que os intervalos de verificação de integridade
Visão geral Exemplo
Balanceador de carga de rede de proxy externo regional
  • Intervalos de verificação de integridade 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede somente proxy: 2
Visão geral Exemplo
Balanceador de carga de rede de proxy interno regional
  • Intervalos de verificação de integridade 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede somente proxy: 2
Visão geral Exemplo
Balanceador de carga de rede de proxy interno entre regiões
  • Intervalos de verificação de integridade 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede somente proxy: 2
Visão geral Exemplo
Balanceador de carga de rede de passagem externa
  • Intervalos de verificação de integridade

    Para tráfego IPv4 para os back-ends:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    Para tráfego IPv6 para os back-ends:

    • 2600:1901:8001::/48
  • Endereços IP de origem externos de clientes na Internet.
    Por exemplo, 0.0.0.0/0 (todos os clientes IPv4) ou ::/0 (todos os clientes IPv6) ou um conjunto específico de intervalos de endereços IP.

    Os balanceadores de carga baseados em pool de destino podem fazer proxy das verificações de integridade por meio do servidor de metadados. Nesse caso, as origens da sondagem de verificação de integridade correspondem ao endereço IP do servidor de metadados: 169.254.169.254. No entanto, o tráfego do servidor de metadados sempre pode acessar as VMs. Nenhuma regra de firewall é necessária.

Visão geral
Exemplos
Balanceador de carga de rede de passagem interna
  • Intervalos de verificação de integridade:

    Para tráfego IPv4 para os back-ends:

    • 35.191.0.0/16
    • 130.211.0.0/22

    Para tráfego IPv6 para os back-ends:

    • 2600:2d00:1:b029::/64
  • Endereços IP de origem internos de clientes
Visão geral pilha única pilha dupla

1 Não é necessário colocar intervalos de sondagem de verificação de integridade do Google na lista de permissões para NEGs híbridos. No entanto, se você estiver usando uma combinação de NEGs híbridos e zonais em um único serviço de back-end, será necessário usar lista de permissões dos intervalos de sondagem de verificação de integridade do Google para NEGs zonais.

2 Para NEGs regionais da Internet, as verificações de integridade são opcionais. O tráfego de balanceadores de carga que usam NEGs regionais da Internet é proveniente da sub-rede somente proxy e, em seguida, é convertido por NAT (usando o Cloud NAT) para endereços IP NAT alocados automaticamente ou manualmente. Esse tráfego inclui sondagens de verificação de integridade e solicitações de usuários do balanceador de carga aos back-ends. Para detalhes, consulte NEGs regionais: usar o Cloud NAT para sair.