Reglas de cortafuegos

Google Cloud Los balanceadores de carga suelen requerir una o varias reglas de cortafuegos para asegurarse de que el tráfico de los clientes llegue a los back-ends.

  • La mayoría de los balanceadores de carga deben especificar una comprobación del estado de las instancias de backend. Para que las comprobaciones del estado lleguen a tus backends, debes crear una regla de cortafuegos de entrada que permita que las comprobaciones del estado lleguen a tus instancias de backend.

  • Los balanceadores de carga basados en Google Front Ends (GFEs) requieren una regla de cortafuegos que permita que el tráfico del proxy de GFE llegue a las instancias de backend. En la mayoría de los casos, los proxies de GFE usan los mismos intervalos de IPs de origen que las sondas de comprobación de estado, por lo que no requieren una regla de firewall independiente. Las excepciones se indican en la siguiente tabla.

  • Los balanceadores de carga basados en el proxy Envoy de código abierto requieren una regla de cortafuegos que permita que el tráfico de entrada de la subred de solo proxy llegue a las instancias de backend. Estos balanceadores de carga finalizan las conexiones entrantes y el tráfico del balanceador de carga a los backends se envía desde direcciones IP de la subred de solo proxy.

En la siguiente tabla se resumen las reglas de cortafuegos mínimas necesarias para cada tipo de balanceador de carga.

Tipo de balanceador de carga Reglas de cortafuegos de entrada mínimas necesarias Información general Ejemplo
Balanceador de carga de aplicación externo global
  • Intervalos de comprobación del estado:
    • 35.191.0.0/16
    • 130.211.0.0/22

    Para el tráfico IPv6 a los back-ends:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Intervalos de proxy de GFE:
    • Igual que los intervalos de comprobación de estado si los backends son grupos de instancias, NEGs de zona (GCE_VM_IP_PORT) o NEGs de conectividad híbrida (NON_GCP_PRIVATE_IP_PORT)
    • Intervalos de direcciones IP que figuran en el _cloud-eoips.googleusercontent.com registro TXT de DNS. Puedes extraer las direcciones IP de origen de los backends de NEG de Internet globales con el siguiente comando de ejemplo en un sistema Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Descripción general Ejemplo
Balanceador de carga de aplicación clásico
  • Intervalos de comprobación del estado:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalos de proxy de GFE:
    • Igual que los intervalos de comprobación de estado si los backends son grupos de instancias, NEGs de zona (GCE_VM_IP_PORT) o NEGs de conectividad híbrida (NON_GCP_PRIVATE_IP_PORT)
    • Intervalos de direcciones IP que figuran en el _cloud-eoips.googleusercontent.com registro TXT de DNS. Puedes extraer las direcciones IP de origen de los backends de NEG de Internet globales con el siguiente comando de ejemplo en un sistema Linux: dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2
 Descripción general Ejemplo
Balanceador de carga de aplicación externo regional
  • Intervalos de comprobación del estado 1 y 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subred de solo proxy 2
 Descripción general Ejemplo
Balanceador de carga de aplicación interno entre regiones
  • Intervalos de comprobación del estado 1 y 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subred de solo proxy 2
 Descripción general Ejemplo
Balanceador de carga de aplicación interno regional
  • Intervalos de comprobación del estado 1 y 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subred de solo proxy 2
 Descripción general Ejemplo
Balanceador de carga de red con proxy externo global
  • Intervalos de comprobación del estado:
    • 35.191.0.0/16
    • 130.211.0.0/22

    Para el tráfico IPv6 a los back-ends:

    • 2600:2d00:1:b029::/64
    • 2600:2d00:1:1::/64
  • Intervalos de proxy de GFE: son los mismos que los intervalos de comprobación del estado
 Descripción general Ejemplo
Balanceador de carga de red de proxy clásico
  • Intervalos de comprobación del estado:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Intervalos de proxy de GFE: son los mismos que los intervalos de comprobación del estado
 Descripción general Ejemplo
Balanceador de carga de red con proxy externo regional
  • Intervalos de comprobación del estado 1 y 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subred de solo proxy 2
 Descripción general Ejemplo
Balanceador de carga de red con proxy interno regional
  • Intervalos de comprobación del estado 1 y 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subred de solo proxy 2
 Descripción general Ejemplo
Balanceador de carga de red con proxy interno interregional
  • Intervalos de comprobación del estado 1 y 2:
    • 35.191.0.0/16
    • 130.211.0.0/22
  • Subred de solo proxy 2
 Descripción general Ejemplo
Balanceador de carga de red de paso a través externo
  • Intervalos de comprobación del estado

    Para el tráfico IPv4 a los backends:

    • 35.191.0.0/16
    • 209.85.152.0/22
    • 209.85.204.0/22

    Para el tráfico IPv6 a los back-ends:

    • 2600:1901:8001::/48

  • Direcciones IP de origen externas de los clientes en Internet.
    Por ejemplo, 0.0.0.0/0 (todos los clientes IPv4) o ::/0 (todos los clientes IPv6) o un conjunto específico de intervalos de direcciones IP.

    Los balanceadores de carga basados en grupos de destino pueden enviar comprobaciones de estado a través del servidor de metadatos. En este caso, las fuentes de las sondas de comprobación del estado coinciden con la dirección IP del servidor de metadatos: 169.254.169.254. Sin embargo, el tráfico del servidor de metadatos siempre puede llegar a las VMs. No se necesita ninguna regla de cortafuegos.

 Descripción general
 Ejemplos
Balanceador de carga de red de paso a través interno
  • Intervalos de comprobación del estado:

    Para el tráfico IPv4 a los backends:

    • 35.191.0.0/16
    • 130.211.0.0/22

    Para el tráfico IPv6 a los back-ends:

    • 2600:2d00:1:b029::/64
  • Direcciones IP de origen internas de los clientes
 Descripción general Pila única Pila dual

1 No es necesario permitir el tráfico de los intervalos de comprobación del estado de Google para los NEG híbridos. Sin embargo, si utilizas una combinación de NEGs híbridos y zonales en un mismo servicio de backend, debes permitir el tráfico de los intervalos de sondeo de comprobación de estado de Google para los NEGs zonales.

2 En el caso de los NEGs de Internet regionales, las comprobaciones del estado son opcionales. El tráfico de los balanceadores de carga que usan NEGs de Internet regionales procede de la subred solo de proxy y, a continuación, se traduce mediante NAT (con Cloud NAT) a direcciones IP de NAT asignadas de forma manual o automática. Este tráfico incluye tanto las comprobaciones del estado como las solicitudes de los usuarios del balanceador de carga a los backends. Para obtener más información, consulta NEGs regionales: usar una pasarela de Cloud NAT.