כללי חומת אש

Google Cloud בדרך כלל נדרשים כללי חומת אש כדי לוודא שהתנועה מהלקוחות מגיעה לשרתים העורפיים.

  • ברוב מאזני העומסים צריך לציין בדיקת תקינות למופעי קצה עורפי. כדי שבדיקות התקינות יגיעו לשרתים העורפיים, צריך ליצור כלל חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) ושבאמצעותו בדיקות התקינות יגיעו לשרתים העורפיים.

  • מאזני עומסים שמבוססים על ממשקי קצה של Google‏ (GFE) דורשים כלל חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) ומאפשר לתעבורה משרת ה-proxy של GFE להגיע לשרתים העורפיים (backend instance). ברוב המקרים, פרוקסי GFE משתמשים באותם טווחי כתובות IP של המקור כמו בדיקות תקינות, ולכן לא נדרש כלל חומת אש נפרד. החריגים מפורטים בטבלה הבאה.

  • מאזני עומסים שמבוססים על שרת ה-proxy של Envoy בקוד פתוח דורשים כלל חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) מתת-רשת של שרת proxy בלבד לשרתים העורפיים (backend instance). מאזני העומסים האלה מסיימים את החיבורים הנכנסים, ותעבורת הנתונים ממאזן העומסים לשרתים העורפיים נשלחת מכתובות IP בתת-הרשת של שרת proxy בלבד.

בטבלה הבאה מפורטים כללי חומת האש המינימליים שנדרשים לכל סוג של איזון עומסים.

סוג מאזן העומסים כללי חומת האש המינימליים שנדרשים כדי לאפשר תעבורה נכנסת סקירה כללית דוגמה
מאזן עומסים גלובלי חיצוני של אפליקציות (ALB)
  • טווחים של בדיקת תקינות:

    לגבי בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16

    לגבי בדיקות תקינות של IPv6 לשרתי קצה עורפיים:

    • 2600:2d00:1:b029::/64
  • טווחי שרתי proxy של GFE:
    • אלה טווחי ה-proxy אם השרתים העורפיים הם קבוצות של מכונות וירטואליות, קבוצות NEG אזוריות (GCE_VM_IP_PORT) או קבוצות NEG של קישוריות היברידית (NON_GCP_PRIVATE_IP_PORT).
      • לתנועת IPv4:
        • 35.191.0.0/16
        • 130.211.0.0/22
      • לתנועת IPv6:
        • 2600:2d00:1:1::/64
    • טווחי כתובות ה-IP שמופיעים ברשומת ה-TXT של ה-DNS‏ _cloud-eoips.googleusercontent.com. אפשר לחלץ את כתובות ה-IP של המקור עבור קצה עורפי של NEG באינטרנט הגלובלי באמצעות פקודת הדוגמה הבאה במערכת Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
סקירה כללית דוגמה
מאזן עומסים קלאסי של אפליקציות (ALB)
  • טווחים של בדיקות תקינות:

    בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16
  • טווחי שרתי proxy של GFE:
    • אלה טווחי ה-proxy אם השרתים העורפיים הם קבוצות של מכונות וירטואליות, קבוצות NEG אזוריות (GCE_VM_IP_PORT) או קבוצות NEG של קישוריות היברידית (NON_GCP_PRIVATE_IP_PORT).
      • לתנועת IPv4:
        • 35.191.0.0/16
        • 130.211.0.0/22
      • לתנועת IPv6:
        • 2600:2d00:1:1::/64
    • טווחי כתובות ה-IP שמופיעים ברשומת ה-TXT של ה-DNS‏ _cloud-eoips.googleusercontent.com. אפשר לחלץ את כתובות ה-IP של המקור עבור קצה עורפי של NEG באינטרנט הגלובלי באמצעות פקודת הדוגמה הבאה במערכת Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
סקירה כללית דוגמה
מאזן עומסים חיצוני אזורי של אפליקציות (ALB)
  • טווחי בדיקת התקינות 1, 2:

    לגבי בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16

    לגבי בדיקות תקינות של IPv6 לשרתי קצה עורפיים:

    • 2600:2d00:1:b029::/64
  • תת-רשת 2 לשרת proxy בלבד
סקירה כללית דוגמה
מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים
  • טווחי בדיקת התקינות 1, 2:

    לגבי בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16

    לגבי בדיקות תקינות של IPv6 לשרתי קצה עורפיים:

    • 2600:2d00:1:b029::/64
  • תת-רשת 2 לשרת proxy בלבד
סקירה כללית דוגמה
מאזן עומסים פנימי אזורי של אפליקציות (ALB)
  • טווחי בדיקת התקינות 1, 2:

    לגבי בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16

    לגבי בדיקות תקינות של IPv6 לשרתי קצה עורפיים:

    • 2600:2d00:1:b029::/64
  • תת-רשת 2 לשרת proxy בלבד
סקירה כללית דוגמה
מאזן עומסי רשת גלובלי חיצוני בשרת proxy
  • טווחים של בדיקות תקינות:

    לגבי בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16

    לגבי בדיקות תקינות של IPv6 לשרתי קצה עורפיים:

    • 2600:2d00:1:b029::/64
  • טווחי שרתי proxy של GFE:
    • לתנועת IPv4:
      • 35.191.0.0/16
      • 130.211.0.0/22
    • לתנועת IPv6:
      • 2600:2d00:1:1::/64
סקירה כללית דוגמה
מאזן עומסי רשת קלאסי בשרת proxy
  • טווחים של בדיקות תקינות:

    לגבי בדיקות תקינות של IPv4 לשרתי קצה עורפיים:

    • 35.191.0.0/16
  • טווחי שרתי proxy של GFE:
    • לתנועת IPv4:
      • 35.191.0.0/16
      • 130.211.0.0/22
    • לתנועת IPv6:
      • 2600:2d00:1:1::/64
סקירה כללית דוגמה
מאזן עומסי רשת אזורי חיצוני בשרת proxy
  • טווחי בדיקת התקינות 1, 2:

    לגבי בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16

    לגבי בדיקות תקינות של IPv6 לשרתי קצה עורפיים:

    • 2600:2d00:1:b029::/64
  • תת-רשת 2 לשרת proxy בלבד
סקירה כללית דוגמה
מאזן עומסי רשת אזורי פנימי בשרת proxy
  • טווחי בדיקת התקינות 1, 2:

    לגבי בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16

    לגבי בדיקות תקינות של IPv6 לשרתי קצה עורפיים:

    • 2600:2d00:1:b029::/64
  • תת-רשת 2 לשרת proxy בלבד
סקירה כללית דוגמה
מאזן עומסי רשת פנימי בשרת proxy שפועל בכמה אזורים
  • טווחי בדיקת התקינות 1, 2:

    לגבי בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16

    לגבי בדיקות תקינות של IPv6 לשרתי קצה עורפיים:

    • 2600:2d00:1:b029::/64
  • תת-רשת 2 לשרת proxy בלבד
סקירה כללית דוגמה
מאזן עומסי רשת חיצוני אזורי להעברת סיגנל ללא שינוי
  • טווחים של בדיקת תקינות:

    בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16
    • 209.85.152.0/22 (למאגרי יעד)
    • 209.85.204.0/22

    לגבי בדיקות תקינות של IPv6 לשרתי קצה עורפיים:

    • 2600:1901:8001::/48
  • כתובות IP חיצוניות של לקוחות באינטרנט.
    לדוגמה, 0.0.0.0/0 (כל לקוחות IPv4) או ::/0 (כל לקוחות IPv6) או קבוצה ספציפית של טווחי כתובות IP.

    מאזני עומסים שמבוססים על מאגרי יעד עשויים להעביר בדיקות תקינות דרך שרת המטא-נתונים. במקרה כזה, המקורות של בדיקות התקינות תואמים לכתובת ה-IP של שרת המטא-נתונים: 169.254.169.254. עם זאת, תמיד מותר לתעבורה משרת המטא-נתונים להגיע למכונות וירטואליות. לא נדרש כלל חומת אש.

סקירה כללית
דוגמאות
מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי
  • טווחים של בדיקת תקינות:

    לגבי בדיקות תקינות של IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16

    לגבי בדיקות תקינות של IPv6 לשרתי קצה עורפיים:

    • 2600:2d00:1:b029::/64
  • כתובות IP פנימיות של לקוחות
סקירה כללית single-stack dual-stack

‫1 אין צורך לאפשר תנועה מטווחים של בדיקות תקינות של Google עבור קבוצות משולבות של נקודות קצה ברשת (NEGs). עם זאת, אם אתם משתמשים בשילוב של NEGs היברידיים ואזוריים בשירות קצה עורפי יחיד, אתם צריכים לאפשר תנועה מטווחים של בדיקות תקינות של Google עבור ה-NEGs האזוריים.

2 ב-NEGs אזוריים לאינטרנט, בדיקות התקינות הן אופציונליות. תעבורת נתונים ממאזני עומסים שמשתמשים ב-regional internet NEGs מגיעה מ-proxy-only subnet ואז עוברת תרגום NAT (באמצעות Cloud NAT) לכתובות IP של NAT שהוקצו באופן ידני או אוטומטי. התנועה הזו כוללת גם בדיקות תקינות וגם בקשות של משתמשים ממאזן העומסים לשרתי הקצה. פרטים נוספים זמינים במאמר בנושא NEGs אזוריים: שימוש בשער Cloud NAT.