Firewallregeln
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Google Cloud Für Load Balancer sind in der Regel eine oder mehrere Firewallregeln erforderlich, damit Traffic von Clients die Back-Ends erreicht.
Die meisten Load-Balancer sind erforderlich, um eine Systemdiagnose für Backend-Instanzen festzulegen. Damit die Systemdiagnoseprüfungen Ihre Back-Ends erreichen können, müssen Sie eine entsprechende Firewallregel zum Zulassen von eingehendem Traffic erstellen.
Load-Balancer, die auf Google Front Ends (GFEs) basieren, erfordern eine Firewallregel zum Zulassen von eingehendem Traffic, die Traffic vom GFE-Proxy zu den Backend-Instanzen zulässt. In den meisten Fällen verwenden GFE-Proxys dieselben Quell-IP-Bereiche wie die Systemdiagnoseprüfungen und erfordern daher keine separate Firewallregel.
Ausnahmen sind in der folgenden Tabelle aufgeführt.
Load-Balancer, die auf dem Open-Source-Envoy-Proxy basieren, erfordern eine Firewallregel zum Zulassen von eingehendem Traffic, die Traffic vom Nur-Proxy-Subnetz zu den Backend-Instanzen zulässt. Diese Load-Balancer beenden eingehende Verbindungen und der Traffic vom Load-Balancer zu den Back-Ends wird dann über IP-Adressen im Nur-Proxy-Subnetz gesendet.
In der folgenden Tabelle sind die mindestens erforderlichen Firewallregeln für jeden Load-Balancer-Typ zusammengefasst.
Load-Balancer-Typ
Mindestens erforderliche Firewallregeln zum Zulassen von eingehendem Traffic
Übersicht
Beispiel
Globaler externer Application Load Balancer
Bereiche der Systemdiagnose:
Bei IPv4-Traffic zu den Back-Ends:
35.191.0.0/16
130.211.0.0/22
Bei IPv6-Traffic zu den Back-Ends:
2600:2d00:1:1::/64
2600:2d00:1:b029::/64
GFE-Proxybereiche:
Entspricht identischen Systemdiagnosebereichen, wenn die Back-Ends Instanzgruppen, zonale NEGs (GCE_VM_IP_PORT) oder Hybridkonnektivitäts-NEGs (NON_GCP_PRIVATE_IP_PORT) sind
IP-Adressbereiche, die im DNS-TXT-Eintrag _cloud-eoips.googleusercontent.com aufgeführt sind. Sie können die Quell-IP-Adressen für globale Internet-NEG-Back-Ends mit dem folgenden Beispielbefehl auf einem Linux-System extrahieren:
dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
Entspricht identischen Systemdiagnosebereichen, wenn die Back-Ends Instanzgruppen, zonale NEGs (GCE_VM_IP_PORT) oder Hybridkonnektivitäts-NEGs (NON_GCP_PRIVATE_IP_PORT) sind
IP-Adressbereiche, die im DNS-TXT-Eintrag _cloud-eoips.googleusercontent.com aufgeführt sind. Sie können die Quell-IP-Adressen für globale Internet-NEG-Back-Ends mit dem folgenden Beispielbefehl auf einem Linux-System extrahieren:
dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
Externe Quell-IP-Adressen von Clients im Internet
Beispiel: 0.0.0.0/0 (alle IPv4-Clients) oder ::/0 (alle IPv6-Clients) oder eine bestimmte Gruppe von IP-Adressbereichen.
Zielpoolbasierte Load-Balancer können Systemdiagnosen über den Metadatenserver weiterleiten. In diesem Fall stimmen die Quellen des Systemdiagnoseprügungen mit der IP-Adresse des Metadatenservers überein: 169.254.169.254. Traffic vom Metadatenserver darf jedoch immer VMs erreichen. Es ist keine Firewallregel erforderlich.
1
Traffic aus den Prüfbereichen der Systemdiagnose von Google muss bei Hybrid-NEGs nicht zugelassen werden. Wenn Sie jedoch eine Kombination aus hybriden und zonalen NEGs in einem einzelnen Backend-Dienst verwenden, müssen Sie Traffic aus den Prüfbereichen der Systemdiagnose von Google für die zonalen NEGs zulassen.
2
Bei regionalen Internet-NEGs sind Systemdiagnosen optional. Der Traffic von Load Balancern, die regionale Internet-NEGs verwenden, stammt aus dem Nur-Proxy-Subnetz und wird dann (mithilfe von Cloud NAT) entweder auf manuell oder automatisch zugewiesene NAT-IP-Adressen übersetzt. Dieser Traffic umfasst sowohl Systemdiagnoseprüfungen als auch Nutzeranfragen vom Load Balancer an die Back-Ends. Weitere Informationen finden Sie unter Regionale NEGs: Cloud NAT-Gateway verwenden.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2026-04-18 (UTC)."],[],[]]
