כללי חומת אש

Google Cloud בדרך כלל נדרש כלל אחד או יותר בחומת האש כדי להבטיח שהתנועה מהלקוחות תגיע לשרתי הקצה העורפיים.

  • ברוב מאזני העומסים צריך לציין בדיקת תקינות למופעי קצה עורפיים. כדי שבודקי תקינות יוכלו להגיע לשרתים העורפיים, צריך ליצור כלל חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) של בודקי תקינות לשרתים העורפיים.

  • מאזני עומסים שמבוססים על ממשקי קצה של Google‏ (GFE) מחייבים כלל חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) כדי לאפשר לתעבורה משרת ה-proxy של GFE להגיע לשרתים העורפיים (backend instance). ברוב המקרים, פרוקסי GFE משתמשים באותם טווחי כתובות IP של המקור כמו בדיקות תקינות, ולכן לא נדרש כלל חומת אש נפרדת. החריגים מפורטים בטבלה הבאה.

  • מאזני עומסים שמבוססים על שרת ה-proxy של Envoy בקוד פתוח דורשים כלל חומת אש שמאפשר תעבורת נתונים נכנסת (ingress) מתת-רשת של שרת proxy בלבד לשרתים העורפיים (backend instance). מאזני העומסים האלה מסיימים את החיבורים הנכנסים, ותעבורת הנתונים ממאזן העומסים לשרתים העורפיים נשלחת מכתובות IP בתת-הרשת של שרת proxy בלבד.

בטבלה הבאה מפורטים כללי חומת האש המינימליים שנדרשים לכל סוג של איזון עומסים.

סוג מאזן העומסים כללי חומת האש המינימליים שנדרשים כדי לאפשר תעבורה נכנסת סקירה כללית דוגמה
מאזן עומסים גלובלי חיצוני של אפליקציות (ALB)
  • טווחים של בדיקת תקינות:
    • 35.191.0.0/16
    • 130.211.0.0/22

    לתנועת IPv6 אל השרתים העורפיים:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • טווחי שרתי proxy של GFE:
    • זהה לטווחים של בדיקת תקינות אם השרתים העורפיים הם קבוצות של מופעים, קבוצות אזוריות של נקודות קצה ברשת (GCE_VM_IP_PORT) או קבוצות של נקודות קצה ברשת עם קישוריות היברידית (NON_GCP_PRIVATE_IP_PORT)
    • טווחי כתובות ה-IP שמופיעים ברשומת ה-TXT של ה-DNS‏ _cloud-eoips.googleusercontent.com. אפשר לחלץ את כתובות ה-IP של המקור עבור קצה עורפי של NEG באינטרנט הגלובלי באמצעות פקודת הדוגמה הבאה במערכת Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 סקירה כללית דוגמה
מאזן עומסים קלאסי של אפליקציות (ALB)
  • טווחים של בדיקת תקינות:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • טווחי שרתי proxy של GFE:
    • זהה לטווחים של בדיקת תקינות אם השרתים העורפיים הם קבוצות של מופעים, קבוצות NEGs אזוריות (GCE_VM_IP_PORT) או קבוצות NEGs של קישוריות היברידית (NON_GCP_PRIVATE_IP_PORT)
    • טווחי כתובות ה-IP שמופיעים ברשומת ה-TXT של ה-DNS‏ _cloud-eoips.googleusercontent.com. אפשר לחלץ את כתובות ה-IP של המקור עבור קצה עורפי של NEG באינטרנט הגלובלי באמצעות פקודת הדוגמה הבאה במערכת Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 סקירה כללית דוגמה
מאזן עומסים חיצוני אזורי של אפליקציות (ALB)
  • טווחי בדיקת התקינות 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • תת-רשת 2 רק לשרתי proxy
 סקירה כללית דוגמה
מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים
  • טווחי בדיקת התקינות 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • תת-רשת 2 רק לשרתי proxy
 סקירה כללית דוגמה
מאזן עומסים פנימי אזורי של אפליקציות (ALB)
  • טווחי בדיקת התקינות 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • תת-רשת 2 רק לשרתי proxy
 סקירה כללית דוגמה
מאזן עומסי רשת גלובלי חיצוני בשרת proxy
  • טווחים של בדיקת תקינות:
    • 35.191.0.0/16
    • 130.211.0.0/22

    לתנועת IPv6 אל השרתים העורפיים:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • טווחים של שרתי proxy של GFE: זהים לטווחים של בדיקת התקינות
 סקירה כללית דוגמה
מאזן עומסי רשת קלאסי בשרת proxy
  • טווחים של בדיקת תקינות:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • טווחים של שרתי proxy של GFE: זהים לטווחים של בדיקת התקינות
 סקירה כללית דוגמה
מאזן עומסי רשת אזורי חיצוני בשרת proxy
  • טווחי בדיקת התקינות 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • תת-רשת 2 רק לשרתי proxy
 סקירה כללית דוגמה
מאזן עומסי רשת פנימי אזורי בשרת proxy
  • טווחי בדיקת התקינות 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • תת-רשת 2 רק לשרתי proxy
 סקירה כללית דוגמה
מאזן עומסי רשת פנימי בשרת proxy בין אזורים
  • טווחי בדיקת התקינות 1, 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • תת-רשת 2 רק לשרתי proxy
 סקירה כללית דוגמה
מאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי
  • טווחים של בדיקות תקינות

    לתנועת IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    לתנועת IPv6 אל השרתים העורפיים:

    • 2600:1901:8001::/48

  • כתובות ה-IP החיצוניות של לקוחות באינטרנט.
    לדוגמה, 0.0.0.0/0 (כל לקוחות IPv4) או ::/0 (כל לקוחות IPv6) או קבוצה ספציפית של טווחי כתובות IP.

    מאזני עומסים שמבוססים על מאגר כתובות יעד עשויים להעביר בדיקות תקינות דרך שרת המטא-נתונים. במקרה כזה, המקורות של בדיקות התקינות תואמים לכתובת ה-IP של שרת המטא-נתונים: 169.254.169.254. עם זאת, התעבורה משרת המטא-נתונים תמיד מורשית להגיע למכונות הווירטואליות. לא נדרש כלל חומת אש.

 סקירה כללית
 דוגמאות
מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי
  • טווחים של בדיקת תקינות:

    לתנועת IPv4 לשרתי הקצה העורפיים:

    • 35.191.0.0/16
    • 130.211.0.0/22

    לתנועת IPv6 אל השרתים העורפיים:

    • 2600:2d00:1:b029::/64
  • כתובות IP פנימיות של לקוחות
 סקירה כללית single-stack dual-stack

‫1 אין צורך לאפשר תנועה מטווחים של בדיקות תקינות של Google עבור קבוצות מעורבות של נקודות קצה ברשת (NEGs). עם זאת, אם אתם משתמשים בשילוב של NEGs היברידיים ואזוריים בשירות לקצה העורפי יחיד, אתם צריכים לאפשר תנועה מטווחים של בדיקות תקינות של Google עבור ה-NEGs האזוריים.

2 ב-NEGs אזוריים של אינטרנט, בדיקות התקינות הן אופציונליות. תעבורת נתונים ממאזני עומסים שמשתמשים ב-NEGs של אינטרנט אזורי מגיעה מרשת המשנה של שרת ה-proxy בלבד, ואז מתבצעת תרגום NAT (באמצעות Cloud NAT) לכתובות IP של NAT שהוקצו באופן ידני או אוטומטי. התנועה הזו כוללת גם בדיקות תקינות וגם בקשות של משתמשים ממאזן העומסים אל השרתים העורפיים. פרטים נוספים זמינים במאמר בנושא קבוצות אזוריות של נקודות קצה ברשת: שימוש בשער Cloud NAT.