GCP中的防火墙规则和外部TCP负载平衡器

Question

我有一个未托管的实例组，其中包含2个VM实例，其中包含一个外部IP地址，例如1.2.3.4和1.2.3.5。之后，我为此实例组创建了一个外部TCP LoadBalancer （作为后端服务）。创建此负载均衡器后，我收到了该加载Balancer的前端IP地址（我认为这是转发规则的IP地址），假设此IP地址是5.6.7.8。现在，当我们创建一个负载结局时，我们需要创建健康检查并创​​建防火墙规则，以允许健康检查与每个VM进行通信。因此，我创建了一个防火墙规则，入口，允许，允许移植80（顺便说一句，顺便说一下这是端口80 ...这是我使用的唯一端口），源IPv4范围为209.85.204.0/22 209.85.152.0/22 35.191.0.0/ 16（端口80）这些IPv4范围在Google的文档页面中可用。

现在，负载平衡器宣布后端服务很健康。因此，我想为我的VM（实例组）制定防火墙规则，该规则仅允许从加载平衡器的前端IP中进出，即入口，允许，源IPv4范围5.6.7.8/32（再次端口80）到我的VM，以为它会起作用。但是，当我在浏览器中输入IP地址时，它不会“重定向”到相应的VM（即1.2.3.4和1.2.3.5）。它仅在我将0.0.0.0/0作为源IPv4的情况下起作用。因此，拥有两个防火墙（一个用于转发规则的HealthChecks）有点没用。

我要这样做的原因是因为我只希望我的VM从负载平衡器前端IP地址接收传入的入口，因此，如果我放置1.2.3.4或1.2.3.3.5 在我的浏览器中它不会连接。它在且仅当我放置5.6.7.8时连接。

这是可以实现的吗？

先感谢您！！

编辑：所有资源都位于同一区域和区域！

Answer 1

根据 doc ，防火墙规则必须允许以下来源范围：

• 130.211.0.0/22
• 35.191.0.0/16

此外，您还可以阅读此 doc 。 IP 5.6.7.8不是从LB发送给您的后端的源IP。发送给您的后端的LB来自健康检查所使用的相同范围：
35.191.0.0/16 130.211.0.0/22。

建议：

您可以使用tcpdump查看IP发送给您的VM的信息。

---

标记后端实例“应用程序”，并使用目标标签“应用程序”以及允许客户端和Google健康检查IP范围的源IP范围创建防火墙规则。