Regole firewall
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Google Cloud I bilanciatori del carico in genere richiedono una o più regole firewall
per garantire che il traffico dai client raggiunga i backend.
La maggior parte dei bilanciatori del carico richiede di specificare un controllo di integrità per le istanze di backend. Affinché i probe del controllo di integrità raggiungano i backend, devi creare una regola firewall di autorizzazione in entrata che consenta ai probe del controllo di integrità di raggiungere le istanze di backend.
I bilanciatori del carico basati su Google Front End (GFE) richiedono una regola firewall di autorizzazione in entrata che consenta al traffico dal proxy GFE di raggiungere le istanze di backend. Nella maggior parte dei casi, i proxy GFE utilizzano gli stessi intervalli IP di origine dei probe di controllo di integrità e pertanto non richiedono una regola firewall separata.
Le eccezioni sono indicate nella tabella seguente.
I bilanciatori del carico basati sul proxy Envoy open source richiedono una regola firewall di autorizzazione in entrata che consenta al traffico dalla subnet solo proxy di raggiungere le istanze di backend. Questi bilanciatori del carico terminano le connessioni in entrata e
il traffico dal bilanciatore del carico ai backend viene quindi inviato dagli indirizzi IP
nella subnet solo proxy.
La tabella seguente riassume le regole firewall minime richieste per ciascun
tipo di bilanciatore del carico.
Tipo di bilanciatore del carico
Regole firewall di autorizzazione in entrata minime richieste
Panoramica
Esempio
Bilanciatore del carico delle applicazioni esterno globale
Intervalli del controllo di integrità:
Per il traffico IPv4 verso i backend:
35.191.0.0/16
130.211.0.0/22
Per il traffico IPv6 ai backend:
2600:2d00:1:1::/64
2600:2d00:1:b029::/64
Intervalli proxy GFE:
Uguale agli intervalli di controllo di integrità se i backend sono gruppi di istanze, NEG a livello di zona (GCE_VM_IP_PORT) o NEG di connettività ibrida (NON_GCP_PRIVATE_IP_PORT)
Intervalli di indirizzi IP elencati nel record TXT DNS._cloud-eoips.googleusercontent.com Puoi estrarre gli indirizzi IP di origine per i backend NEG internet globali utilizzando il seguente comando di esempio su un sistema Linux:
dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
Bilanciatore del carico delle applicazioni classico
Intervalli del controllo di integrità:
Per il traffico IPv4 verso i backend:
35.191.0.0/16
130.211.0.0/22
Intervalli proxy GFE:
Uguale agli intervalli di controllo di integrità se i backend sono gruppi di istanze, NEG a livello di zona (GCE_VM_IP_PORT) o NEG di connettività ibrida (NON_GCP_PRIVATE_IP_PORT)
Intervalli di indirizzi IP elencati nel record TXT DNS _cloud-eoips.googleusercontent.com. Puoi estrarre gli indirizzi IP di origine per i backend NEG internet globali utilizzando il seguente comando di esempio su un sistema Linux:
dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
Bilanciatore del carico di rete passthrough esterno regionale
Intervalli del controllo di integrità:
Per il traffico IPv4 verso i backend:
35.191.0.0/16
209.85.152.0/22
209.85.204.0/22
Per il traffico IPv6 ai backend:
2600:1901:8001::/48
Indirizzi IP di origine esterni dei client su internet.
Ad esempio, 0.0.0.0/0 (tutti i client IPv4) o
::/0 (tutti i client IPv6) o un
insieme specifico di intervalli di indirizzi IP.
I bilanciatori del carico basati sui pool di destinazione potrebbero eseguire il proxy dei controlli di integrità
tramite il server dei metadati. In questo caso, le origini dei probe del controllo di integrità
corrispondono all'indirizzo IP del server dei metadati:
169.254.169.254. Tuttavia, il traffico dal server di metadati
può sempre raggiungere le VM. Non è necessaria alcuna regola firewall.
1
Non è necessario consentire il traffico proveniente dagli intervalli di probe di controllo di integrità di Google per i NEG ibridi. Tuttavia, se utilizzi una combinazione di NEG ibridi e zonali in
un unico servizio di backend, devi consentire il traffico dagli intervalli di probe di controllo di integrità
dell'integrità di Google per i NEG zonali.
2
Per i NEG internet a livello di regione, i controlli di integrità sono facoltativi. Il traffico proveniente dai bilanciatori del carico che utilizzano NEG internet regionali ha origine dalla subnet solo proxy e viene poi tradotto con NAT (utilizzando Cloud NAT) in indirizzi IP NAT allocati manualmente o automaticamente. Questo traffico include sia i probe del controllo di integrità sia le richieste degli utenti dal bilanciatore del carico ai backend. Per maggiori dettagli, consulta NEG regionali:
utilizza un gateway Cloud NAT.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2026-04-18 UTC."],[],[]]
