Проверка работоспособности балансировщика нагрузки Google Cloud HTTP без внешнего IP-адреса

Question

Сценарий: У меня есть экземпляр Google Compute Engine, представляющий веб-приложение через порт HTTP 80, и я могу получить к нему доступ напрямую, используя внешний IP-адрес.

Затем я добавил HTTPБалансировщик нагрузки с проверкой работоспособности, и после этого я мог без проблем получить доступ к веб-приложению через балансировщик нагрузки.

Теперь, если я удалю внешний IP-адрес экземпляра Compute, проверка работоспособности балансировщика нагрузкиначинает терпеть неудачу.Я прочитал [1] и добавил правило брандмауэра, чтобы разрешить зонды проверки работоспособности, поступающие с адресов в диапазонах 130.211.0.0/22 ​​и 35.191.0.0/16, но проверка работоспособности по-прежнему не удалась.

Если я добавлювнешний IP-адрес обратно к экземпляру вычислений, проверка работоспособности становится активной.Здесь мне нужно удалить публичный IP-адрес экземпляра вычислений и выставить в Интернет только IP-адрес балансировщика нагрузки.

Вопрос: Обязательно ли иметь внешний IP-адресна Google Cloud Compute Engine Экземпляры для маршрутизации трафика через балансировщик нагрузки HTTP Google Cloud?Если нет, могу ли я узнать, как маршрутизировать HTTP-трафик для вычисления экземпляров, используя балансировщик нагрузки HTTP, не имея внешнего IP-адреса в экземплярах вычислений?Цените ваши мысли по этому поводу.

[1] https://cloud.google.com/compute/docs/load-balancing/health-checks

Answer 1

Согласно общедоступной документации :

HTTP (S) балансировка нагрузки использует внутренние IP-адреса целей, а не их внешние IP-адреса.

Следовательно, вам НЕ нужен внешний IP .На самом деле этот раздел объясняет, как удалить внешние IP-адреса серверных частей за балансировщиком нагрузки, сохраняя хотя бы один экземпляр в той же сети с внешним IP-адресом.Это поможет вам SSH экземпляра с внешним IP, а затем SSH из этого экземпляра к экземплярам с балансировкой нагрузки через его внутренний IP.

Этот сценарий должен работать с балансировщиком нагрузки HTTP (S) (уровень 7).Если вы используете сетевой балансировщик нагрузки (уровень 3), то вам нужен внешний IP-адрес, и вам нужно разрешить проверки работоспособности не только с 35.191.0.0/16, но также с 209.85.152.0/22 ​​и209.85.204.0/22, как объяснено здесь .

Answer 2

Виртуальным машинам за балансировщиком нагрузки не нужны публичные IP-адреса.У меня запущена установка без общедоступных IP-адресов в бэкэнде, и я открыл правила брандмауэра с адресов балансировщика нагрузки для проверки работоспособности.

Answer 3

Я связался с командой поддержки Google Cloud по этому вопросу и обнаружил, что для маршрутизации HTTP-трафика от балансировщика нагрузки HTTP к экземплярам Compute Engine требуются внешние IP-адреса.

Единственное возможное решение здесь может заключаться в применении правил брандмауэра и блокировании прямого доступа к виртуальным машинам в соответствии с текущим проектом.