Правило межсетевого экрана VPC между балансировщиком нагрузки и vms

Я добавил некоторые правила брандмауэра vpc, чтобы предотвратить доступ к моему балансировщику нагрузки, и разрешил только определенные IP-адреса. Похоже, правила блокируют трафик между балансировщиком нагрузки и виртуальными машинами. как я могу настроить правило, разрешающее весь трафик между балансировщиком нагрузки и vms? Я пробовал с внешним IP-адресом LB, но он не работает. Есть ли у балансировщика нагрузки внутренний IP? Где я могу найти его ? «внутреннее» правило по умолчанию здесь также не работает.

Вы не можете использовать брандмауэр VPC, чтобы заблокировать доступ к балансировщику нагрузки. Когда балансировщик нагрузки подключается к вашей виртуальной машине, брандмауэр VPC видит IP-адрес балансировщика нагрузки, а не IP-адрес клиента.IP-адрес клиента хранится в HTTP-заголовке X-Forwarded-For, и брандмауэры VPC не обрабатывают HTTP-заголовки.

Вы можете ограничить трафик на экземпляре ВМ, чтобы разрешить трафик только от балансировщика нагрузки и проверки работоспособности. Однако это не будет контролировать трафик от клиента к балансировщику нагрузки. Для управления клиентским трафиком необходимо добавить Cloud Armor в балансировщик нагрузки HTTP(S).

Серверные экземпляры должны разрешать подключения от балансировщика нагрузки. GFE/диапазоны проверки работоспособности. Это означает, что вы должны создать вход разрешить правило брандмауэра для трафика с 130.211.0.0/22 ​​и 35.191.0.0/16 к вашим серверным экземплярам или конечным точкам. Эти диапазоны IP-адресов используются в качестве источников для пакетов проверки работоспособности и для всех пакеты, отправленные на ваши серверные части.

Правила брандмауэра, разрешающие трафик балансировщика нагрузки