我想要在 Google Compute Engine 上进行以下设置。
- 终止 HTTPS 的 HTTPS 负载平衡
- 后端服务是纯 HTTP
- 后端服务对互联网不可见
我的理解如下。
- 负载平衡是计算引擎网络之外的一项服务
- 需要打开防火墙,以便负载均衡器可以将请求转发到后端服务实例。
基本上,我想要一种设置,其中仅允许来自负载均衡器的 HTTP 流量,并且阻止互联网流量。这有意义吗?是否可行?
免责声明:我知道始终使用 HTTPS 是更安全的选择。
答案1
是的,您可以通过使用防火墙规则来实现这一点。
我假设您当前已启用类似default-allow-http
和的规则default-allow-https
。
创建另一个防火墙规则,命名它default-allow-http-from-lb
,为 IP 范围 130.211.0.0/22 设置源过滤器,并使用目标标签http-server-behind-lb
。
然后编辑您的计算实例并删除标签http-server
和https-server
。添加http-server-behind-lb
标签并保存更改。几秒钟后,您的服务器无法通过 HTTP 在其临时 IP 上访问,但可以通过负载均衡器连接。
来源:https://cloud.google.com/compute/docs/load-balancing/tcp-ssl/