防火牆規則
透過集合功能整理內容
你可以依據偏好儲存及分類內容。
Google Cloud 負載平衡器通常需要一或多個防火牆規則,確保來自用戶端的流量能抵達後端。
大多數負載平衡器都必須為後端執行個體指定健康狀態檢查。如要讓健康狀態檢查探測器連線至後端,您必須建立輸入允許防火牆規則,允許健康狀態檢查探測器連線至後端執行個體。
以 Google Front End (GFE) 為基礎的負載平衡器需要輸入允許防火牆規則,允許流量從 GFE Proxy 傳送至後端執行個體。在大多數情況下,GFE 代理伺服器會使用與健康狀態檢查探針相同的來源 IP 範圍,因此不需要個別的防火牆規則。下表列出例外情況。
以開放原始碼 Envoy Proxy 為基礎的負載平衡器,需要允許輸入的防火牆規則,允許流量從僅限 Proxy 的子網路傳送至後端執行個體。這類負載平衡器會終止連入的連線,然後從僅限 Proxy 子網路中的 IP 位址,將負載平衡器到後端的流量傳送出去。
下表摘要列出每種負載平衡器類型所需的最低防火牆規則。
| 負載平衡器類型 |
允許輸入流量的最低必要防火牆規則 |
總覽 |
範例 |
| 全域外部應用程式負載平衡器
|
-
健康狀態檢查範圍:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
如要將 IPv6 流量傳送至後端:
2600:2d00:1:1::/642600:2d00:1:b029::/64
- GFE Proxy 範圍:
- 如果後端是執行個體群組、區域性 NEG (
GCE_VM_IP_PORT) 或混合式連線 NEG (NON_GCP_PRIVATE_IP_PORT),則與健康狀態檢查範圍相同
- DNS TXT 記錄中列出的 IP 位址範圍。
_cloud-eoips.googleusercontent.com
您可以在 Linux 系統上使用下列範例指令,擷取全域網際網路 NEG 後端的來源 IP 位址:
dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
|
總覽
|
範例
|
| 傳統版應用程式負載平衡器 |
-
健康狀態檢查範圍:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
- GFE Proxy 範圍:
- 如果後端是執行個體群組、區域性 NEG (
GCE_VM_IP_PORT) 或混合式連線 NEG (NON_GCP_PRIVATE_IP_PORT),則與健康狀態檢查範圍相同
- DNS TXT 記錄中列出的 IP 位址範圍。
_cloud-eoips.googleusercontent.com
您可以在 Linux 系統上使用下列範例指令,擷取全域網際網路 NEG 後端的來源 IP 位址:
dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
|
總覽
|
範例
|
| 區域性外部應用程式負載平衡器
|
-
健康狀態檢查範圍 1、2:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
如要將 IPv6 流量傳送至後端:
- 僅限 Proxy 的子網路 2
|
總覽
|
範例
|
| 跨區域內部應用程式負載平衡器 |
-
健康狀態檢查範圍 1、2:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
如要將 IPv6 流量傳送至後端:
- 僅限 Proxy 的子網路 2
|
總覽
|
範例
|
| 區域性內部應用程式負載平衡器 |
-
健康狀態檢查範圍 1、2:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
如要將 IPv6 流量傳送至後端:
- 僅限 Proxy 的子網路 2
|
總覽
|
範例
|
| 全域外部 Proxy 網路負載平衡器 |
-
健康狀態檢查範圍:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
如要將 IPv6 流量傳送至後端:
2600:2d00:1:1::/642600:2d00:1:b029::/64
- GFE Proxy 範圍:與健康狀態檢查範圍相同
|
總覽
|
範例
|
| 傳統版 Proxy 網路負載平衡器 |
-
健康狀態檢查範圍:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
- GFE Proxy 範圍:與健康狀態檢查範圍相同
|
總覽
|
範例
|
| 區域性外部 Proxy 網路負載平衡器
|
-
健康狀態檢查範圍 1、2:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
如要將 IPv6 流量傳送至後端:
- 僅限 Proxy 的子網路 2
|
總覽
|
範例
|
| 區域性內部 Proxy 網路負載平衡器
|
-
健康狀態檢查範圍 1、2:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
如要將 IPv6 流量傳送至後端:
- 僅限 Proxy 的子網路 2
|
總覽
|
範例
|
| 跨區域內部 Proxy 網路負載平衡器 |
-
健康狀態檢查範圍 1、2:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
如要將 IPv6 流量傳送至後端:
- 僅限 Proxy 的子網路 2
|
總覽
|
範例
|
| 區域性外部直通式網路負載平衡器
|
-
健康狀態檢查範圍:
後端的 IPv4 流量:
35.191.0.0/16209.85.152.0/22209.85.204.0/22
如要將 IPv6 流量傳送至後端:
網際網路上用戶端的外部來源 IP 位址。
舉例來說,可以是 0.0.0.0/0 (所有 IPv4 用戶端) 或
::/0 (所有 IPv6 用戶端),也可以是特定 IP 位址範圍。
目標集區型負載平衡器可能會透過中繼資料伺服器,將健康狀態檢查設為 Proxy。在這種情況下,健康狀態檢查探測來源會與中繼資料伺服器的 IP 位址相符:169.254.169.254。不過,來自中繼資料伺服器的流量一律可傳輸至 VM。不需要防火牆規則。
|
總覽
|
示例
|
| 內部直通式網路負載平衡器
|
-
健康狀態檢查範圍:
後端的 IPv4 流量:
35.191.0.0/16130.211.0.0/22
如要將 IPv6 流量傳送至後端:
- 用戶端的內部來源 IP 位址
|
總覽
|
單一堆疊
雙堆疊
|
1
混合式 NEG 不需要允許來自 Google 健康狀態檢查探測範圍的流量。不過,如果您在單一後端服務中同時使用混合式和區域 NEG,則必須允許區域 NEG 接收來自 Google 健康狀態檢查探測範圍的流量。
2
區域性網際網路 NEG 的健康狀態檢查為選用功能。使用區域網際網路 NEG 的負載平衡器流量,會來自僅限 Proxy 的子網路,然後透過 Cloud NAT 轉譯為 NAT IP 位址 (手動或自動分配)。這類流量包括健康狀態檢查探測,以及負載平衡器傳送至後端的使用者要求。詳情請參閱「區域 NEG:使用 Cloud NAT 閘道」。
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2026-04-25 (世界標準時間)。
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["難以理解","hardToUnderstand","thumb-down"],["資訊或程式碼範例有誤","incorrectInformationOrSampleCode","thumb-down"],["缺少我需要的資訊/範例","missingTheInformationSamplesINeed","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2026-04-25 (世界標準時間)。"],[],[]]
