oogle在昨天(2/1)公布 HTTP(S) Load Balancing, SSL Proxy和Network Load Balancing 有新的網段加入。
想必在使用GCP的各位一定都有收到這則消息吧?別慌忙,以下是我們的建議提供給您參考!(以下內容不是逐字翻譯)
Google在昨天(2/1)公布 HTTP(S) Load Balancing, SSL Proxy和Network Load Balancing 有新的網段加入。
Google請各位留意,若使用以下敘述的新網段,必須要照著步驟以新增防火牆規則來開通。整篇主要重點在health check開通,因為會直接影響LB後面的backend services的healthy/unhealthy的判定。
若您使用HTTP(S) LB 或者 SSL Proxy
- • 現況: health check來源IP源自130.211.0.0/22網段內
- • 必要行動: Google提供了一段新的health check來源 35.191.0.0/16 。若要使用,您必須要更新防火牆規則,並允許來自這兩段的流量。
若您使用Network Load Balancing
- • 現況: 現在仍不允許新增防火牆規則至health check (原本來源IP就是169.254.169.254)
- • 必要行動: Google新提供了三個新網段給health check,分別是: 209.85.152.0/22, 209.85.204.0/22及35.191.0.0/16。您必須保證您的防火牆允許以上這幾個網段開通,以確保health check的運作。
*若您是使用GKE,重新佈署時會更新防火牆規則,請留意。
最後您也可以將以上這幾個新網段(包含130.211.0.0/22)都加進防火牆白名單,原本是允許 0.0.0.0 則不需要更動。