Os balanceadores de carga do Google Cloud normalmente exigem uma ou mais regras de firewall para garantir que o tráfego dos clientes chegue aos back-ends.
A maioria dos balanceadores de carga é necessária para especificar uma verificação de integridade para instâncias de back-end. Para que as sondagens de verificação de integridade alcancem seus back-ends, crie uma regra de firewall de permissão de entrada que permita que sondagens de verificação de integridade alcancem suas instâncias de back-end.
Os balanceadores de carga baseados em Google Front Ends (GFEs) exigem uma regra de firewall de permissão de entrada que permita que o tráfego do proxy do GFE alcance as instâncias de back-end. Na maioria dos casos, os proxies do GFE usam os mesmos intervalos de IP de origem que as sondagens da verificação de integridade. Portanto, não exigem uma regra de firewall separada. Confira as exceções na tabela a seguir.
Os balanceadores de carga com base no proxy de código aberto Envoy exigem uma regra de firewall de permissão de entrada que permita que o tráfego da sub-rede somente proxy alcance as instâncias de back-end. Esses balanceadores de carga encerram as conexões de entrada e o tráfego do balanceador de carga para os back-ends é enviado dos endereços IP na sub-rede somente proxy.
Na tabela a seguir, há um resumo das regras de firewall mínimas necessárias para cada tipo de balanceador de carga.
Tipo de balanceador de carga | Regras de firewall de permissão de entrada mínima obrigatória | Visão geral | Exemplo |
---|---|---|---|
Balanceador de carga de aplicativo externo global |
|
Visão geral | Exemplo |
Balanceador de carga de aplicativo clássico |
|
Visão geral | Exemplo |
Balanceador de carga de aplicativo externo regional |
|
Visão geral | Exemplo |
Balanceador de carga de aplicativo interno entre regiões |
|
Visão geral | Exemplo |
Balanceador de carga de aplicativo interno regional |
|
Visão geral | Exemplo |
Balanceador de carga de rede de proxy externo global |
|
Visão geral | Exemplo |
Balanceador de carga de rede de proxy clássico |
|
Visão geral | Exemplo |
Balanceador de carga de rede de proxy externo regional |
|
Visão geral | Exemplo |
Balanceador de carga de rede de proxy interno regional |
|
Visão geral | Exemplo |
Balanceador de carga de rede de proxy interno entre regiões |
|
Visão geral | Exemplo |
Balanceador de carga de rede de passagem externa |
|
Visão geral |
Exemplos |
Balanceador de carga de rede de passagem interna |
|
Visão geral | pilha única pilha dupla |
1 Não é necessário colocar intervalos de sondagem de verificação de integridade do Google na lista de permissões para NEGs híbridos. No entanto, se você estiver usando uma combinação de NEGs híbridos e zonais em um único serviço de back-end, será necessário usar lista de permissões dos intervalos de sondagem de verificação de integridade do Google para NEGs zonais.
2 Para NEGs regionais da Internet, as verificações de integridade são opcionais. O tráfego de balanceadores de carga que usam NEGs regionais da Internet é proveniente da sub-rede somente proxy e, em seguida, é convertido por NAT (usando o Cloud NAT) para endereços IP NAT alocados automaticamente ou manualmente. Esse tráfego inclui sondagens de verificação de integridade e solicitações de usuários do balanceador de carga aos back-ends. Para detalhes, consulte NEGs regionais: usar o Cloud NAT para sair.