Règles de pare-feu
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Google Cloud Les équilibreurs de charge nécessitent généralement une ou plusieurs règles de pare-feu pour s'assurer que le trafic provenant des clients atteint les backends.
La plupart des équilibreurs de charge sont nécessaires pour spécifier une vérification d'état pour les instances backend. Pour que les vérifications d'état puissent atteindre vos backends, vous devez créer une règle de pare-feu autorisant le trafic entrant qui permet vérification de l'état d'état d'atteindre vos instances backend.
Les équilibreurs de charge basés sur Google Front End (GFE) nécessitent une règle de pare-feu autorisant le trafic entrant et permettant au trafic provenant du proxy GFE d'accéder aux instances backend. Dans la plupart des cas, les proxys GFE utilisent les mêmes plages d'adresses IP sources que les vérifications d'état. Ils ne nécessitent donc pas de règle de pare-feu distincte.
Les exceptions sont indiquées dans le tableau ci-dessous.
Les équilibreurs de charge basés sur le proxy Envoy Open Source requièrent une règle de pare-feu autorisant les entrées qui autorise le trafic provenant du sous-réseau proxy réservé à accéder aux instances backend. Ces équilibreurs de charge interrompent les connexions entrantes, et le trafic de l'équilibreur de charge vers les backends est ensuite envoyé depuis les adresses IP du sous-réseau proxy réservé.
Le tableau suivant récapitule les règles de pare-feu minimales requises pour chaque type d'équilibreur de charge.
Type d'équilibreur de charge
Règles de pare-feu autorisant les entrées minimales requises
Aperçu
Exemple
Équilibreur de charge d'application externe global
Plages de vérification d'état :
Pour le trafic IPv4 vers les backends :
35.191.0.0/16
130.211.0.0/22
Pour le trafic IPv6 vers les backends :
2600:2d00:1:1::/64
2600:2d00:1:b029::/64
Plages de proxy GFE :
Identiques aux plages de vérifications d'état si les backends sont des groupes d'instances, des NEG zonaux (GCE_VM_IP_PORT) ou des NEG de connectivité hybride (NON_GCP_PRIVATE_IP_PORT).
Plages d'adresses IP listées dans l'enregistrement TXT DNS _cloud-eoips.googleusercontent.com. Vous pouvez extraire les adresses IP sources des backends NEG Internet à l'aide de l'exemple de commande suivant sur un système Linux : dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
Identiques aux plages de vérifications d'état si les backends sont des groupes d'instances, des NEG zonaux (GCE_VM_IP_PORT) ou des NEG de connectivité hybride (NON_GCP_PRIVATE_IP_PORT).
Plages d'adresses IP listées dans l'enregistrement TXT DNS _cloud-eoips.googleusercontent.com. Vous pouvez extraire les adresses IP sources des backends NEG Internet à l'aide de l'exemple de commande suivant sur un système Linux : dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
Équilibreur de charge réseau passthrough externe régional
Plages de vérification d'état :
Pour le trafic IPv4 vers les backends :
35.191.0.0/16
209.85.152.0/22
209.85.204.0/22
Pour le trafic IPv6 vers les backends :
2600:1901:8001::/48
Adresses IP sources externes des clients sur Internet.
Par exemple, 0.0.0.0/0 (tous les clients IPv4) ou ::/0 (tous les clients IPv6) ou un ensemble spécifique de plages d'adresses IP.
Les équilibreurs de charge basés sur un pool cible peuvent relayer les vérifications d'état via le serveur de métadonnées. Dans ce cas, les sources des requêtes de vérification d'état correspondent à l'adresse IP du serveur de métadonnées : 169.254.169.254. Toutefois, le trafic en provenance du serveur de métadonnées est toujours autorisé à atteindre les VM. Aucune règle de pare-feu n'est requise.
1 Il n'est pas nécessaire d'autoriser le trafic provenant des plages de vérification de l'état d'état de Google pour les NEG hybrides. Toutefois, si vous utilisez à la fois des NEG hybrides et zonaux dans un service de backend, vous devez autoriser le trafic provenant des plages de vérification de l'état de l'état Google pour les NEG zonaux.
2
Pour les NEG Internet régionaux, les vérifications d'état sont facultatives. Le trafic provenant des équilibreurs de charge qui utilisent des NEG Internet régionaux provient du sous-réseau proxy réservé, puis est traduit par la NAT (à l'aide de Cloud NAT) en adresses IP NAT allouées manuellement ou automatiquement. Ce trafic inclut à la fois les vérifications d'état et les requêtes des utilisateurs depuis l'équilibreur de charge vers les backends. Pour en savoir plus, consultez la section NEG régionaux : utiliser une passerelle Cloud NAT.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2026/04/18 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2026/04/18 (UTC)."],[],[]]
