Regras de firewall

Google Cloud Normalmente, os balanceadores de carga requerem uma ou mais regras de firewall para garantir que o tráfego dos clientes chega aos back-ends.

  • A maioria dos balanceadores de carga tem de especificar uma verificação de funcionamento para instâncias de back-end. Para que as sondas de verificação do estado alcancem os seus back-ends, tem de criar uma regra de firewall de permissão de entrada que permita que as sondas de verificação do estado alcancem as suas instâncias de back-end.

  • Os balanceadores de carga baseados em front-ends da Google (GFEs) requerem uma regra de firewall de permissão de entrada que permita que o tráfego do proxy GFE alcance as instâncias de back-end. Na maioria dos casos, os proxies GFE usam os mesmos intervalos de IP de origem que as sondas de verificação de estado e, por isso, não requerem uma regra de firewall separada. As exceções estão indicadas na tabela seguinte.

  • Os balanceadores de carga baseados no proxy Envoy de código aberto requerem uma regra de firewall de permissão de entrada que permita que o tráfego da sub-rede só de proxy alcance as instâncias de back-end. Estes balanceadores de carga terminam as ligações recebidas e, em seguida, o tráfego do balanceador de carga para os back-ends é enviado a partir de endereços IP na sub-rede só de proxy.

A tabela seguinte resume as regras de firewall mínimas necessárias para cada tipo de equilibrador de carga.

Tipo de balanceador de carga Regras de firewall de autorização de entrada mínimas necessárias Vista geral Exemplo
Balanceador de carga de aplicações externo global
  • Intervalos de verificação de funcionamento:
    • 35.191.0.0/16
    • 130.211.0.0/22

    Para o tráfego IPv6 para os back-ends:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Intervalos de proxies do GFE:
    • Igual aos intervalos de verificação de estado se os back-ends forem grupos de instâncias, NEGs zonais (GCE_VM_IP_PORT) ou NEGs de conetividade híbrida (NON_GCP_PRIVATE_IP_PORT)
    • Intervalos de endereços IP indicados no _cloud-eoips.googleusercontent.com registo TXT do DNS. Pode extrair os endereços IP de origem para back-ends NEG da Internet global usando o seguinte comando de exemplo num sistema Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Overview Exemplo
Balanceador de carga de aplicações clássico
  • Intervalos de verificação de funcionamento:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalos de proxies do GFE:
    • Igual aos intervalos de verificação de estado se os back-ends forem grupos de instâncias, NEGs zonais (GCE_VM_IP_PORT) ou NEGs de conetividade híbrida (NON_GCP_PRIVATE_IP_PORT)
    • Intervalos de endereços IP indicados no _cloud-eoips.googleusercontent.com registo TXT do DNS. Pode extrair os endereços IP de origem para back-ends NEG da Internet global usando o seguinte comando de exemplo num sistema Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Overview Exemplo
Balanceador de carga de aplicações externo regional
  • Intervalos de verificação do estado 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede só de proxy 2
 Overview Exemplo
Balanceador de carga de aplicações interno entre regiões
  • Intervalos de verificação do estado 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede só de proxy 2
 Overview Exemplo
Balanceador de carga de aplicações interno regional
  • Intervalos de verificação do estado 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede só de proxy 2
 Overview Exemplo
Balanceador de carga de rede de proxy externo global
  • Intervalos de verificação de funcionamento:
    • 35.191.0.0/16
    • 130.211.0.0/22

    Para o tráfego IPv6 para os back-ends:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Intervalos de proxy do GFE: igual aos intervalos de verificação de funcionamento
 Overview Exemplo
Balanceador de carga de rede de proxy clássico
  • Intervalos de verificação de funcionamento:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalos de proxy do GFE: igual aos intervalos de verificação de funcionamento
 Overview Exemplo
Balanceador de carga de rede de proxy externo regional
  • Intervalos de verificação do estado 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede só de proxy 2
 Overview Exemplo
Balanceador de carga de rede de proxy interno regional
  • Intervalos de verificação do estado 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede só de proxy 2
 Overview Exemplo
Balanceador de carga de rede de proxy interno entre regiões
  • Intervalos de verificação do estado 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Sub-rede só de proxy 2
 Overview Exemplo
Balanceador de carga de rede de encaminhamento externo
  • Intervalos de verificação de funcionamento

    Para o tráfego IPv4 para os back-ends:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    Para o tráfego IPv6 para os back-ends:

    • 2600:1901:8001::/48

  • Endereços IP de origem externos de clientes na Internet.
    Por exemplo, 0.0.0.0/0 (todos os clientes IPv4) ou ::/0 (todos os clientes IPv6) ou um conjunto específico de intervalos de endereços IP.

    Os equilibradores de carga baseados em pools de destino podem encaminhar verificações de estado através do servidor de metadados. Neste caso, as sondas de verificação de funcionamento têm origens que correspondem ao endereço IP do servidor de metadados: 169.254.169.254. No entanto, o tráfego do servidor de metadados é sempre permitido para alcançar as VMs. Não é necessária nenhuma regra de firewall.

 Vista geral
 Exemplos
Balanceador de carga de rede de encaminhamento interno
  • Intervalos de verificação de funcionamento:

    Para o tráfego IPv4 para os back-ends:

    • 35.191.0.0/16
    • 130.211.0.0/22

    Para o tráfego IPv6 para os back-ends:

    • 2600:2d00:1:b029::/64
  • Endereços IP de origem internos dos clientes
 Overview single-stack dual-stack

1 Não é necessário permitir o tráfego dos intervalos de sondagem de verificação de estado da Google para NEGs híbridos. No entanto, se estiver a usar uma combinação de NEGs híbridos e zonais num único serviço de back-end, tem de permitir o tráfego dos intervalos de sondas de verificação de estado da Google para os NEGs zonais.

2 Para NEGs de Internet regionais, as verificações de funcionamento são opcionais. O tráfego dos balanceadores de carga que usam NEGs de Internet regionais tem origem na sub-rede apenas de proxy e, em seguida, é traduzido pela NAT (através da NAT da nuvem) para endereços IP da NAT alocados manual ou automaticamente. Este tráfego inclui sondagens de verificação de funcionamento e pedidos de utilizadores do equilibrador de carga para os back-ends. Para ver detalhes, consulte o artigo NEGs regionais: use um gateway NAT da nuvem.