防火墙规则

为后端实例指定健康检查需要大多数负载均衡器。为了让健康检查探测到达您的后端,您必须创建入站允许防火墙规则,以允许流量到达您的实例。

此外,基于开源 Envoy 代理的区域负载均衡器需要入站允许防火墙规则,以允许来自代理专用子网的流量到达后端实例。这些负载均衡器会终止传入连接,然后系统会从代理专用子网中的 IP 地址发送负载均衡器到后端的流量。

下表总结了每个负载均衡器所需的最低防火墙规则。

负载均衡器类型 所需的最低入站允许防火墙规则 概览 示例
全球外部 HTTP(S) 负载均衡器
  • 运行状况检查范围
    • 35.191.0.0/16
    • 130.211.0.0/22
  • GFE 代理范围:与运行状况检查范围相同
概览 示例
全球外部 HTTP(S) 负载均衡器(经典版)
  • 运行状况检查范围
    • 35.191.0.0/16
    • 130.211.0.0/22
  • GFE 代理范围
    • 如果后端是实例组、可用区 NEG (GCE_VM_IP_PORT) 或混合连接 NEG (NON_GCP_PRIVATE_IP_PORT),则与运行状况检查范围相同
    • 适用于互联网 NEG 后端的 34.96.0.0/2034.127.192.0/18INTERNET_FQDN_PORTINTERNET_IP_PORT
概览 示例
区域级外部 HTTP(S) 负载均衡器
  • 运行状况检查范围
    • 35.191.0.0/16
    • 130.211.0.0/22
  • GFE 代理范围:与运行状况检查范围相同
  • 代理专用子网
概览 示例
内部 HTTP(S) 负载平衡
  • 运行状况检查范围
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 代理专用子网
概览 示例
内部 TCP/UDP 负载平衡
  • 运行状况检查范围
    • 35.191.0.0/16
    • 130.211.0.0/22
  • 客户端的内部来源 IP 地址
概览 示例
SSL 代理负载平衡
  • 运行状况检查范围
    • 35.191.0.0/16
    • 130.211.0.0/22
概览 示例
TCP 代理负载平衡
  • 运行状况检查范围
    • 35.191.0.0/16
    • 130.211.0.0/22
概览 示例
网络负载平衡
  • 健康检查范围

    对于进入后端的 IPv4 流量:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    对于进入后端的 IPv6 流量:

    • 2600:1901:8001::/48
  • 互联网上客户端的外部来源 IP 地址。
    例如,0.0.0.0/0(所有 IPv4 客户端)或 ::/0(所有 IPv6 客户端)或一组特定的 IP 地址范围。
概览
示例