使用非公共 HTTP 后端服务进行 HTTPS 负载平衡

使用非公共 HTTP 后端服务进行 HTTPS 负载平衡

我想要在 Google Compute Engine 上进行以下设置。

  • 终止 HTTPS 的 HTTPS 负载平衡
  • 后端服务是纯 HTTP
  • 后端服务对互联网不可见

我的理解如下。

  • 负载平衡是计算引擎网络之外的一项服务
  • 需要打开防火墙,以便负载均衡器可以将请求转发到后端服务实例。

基本上,我想要一种设置,其中仅允许来自负载均衡器的 HTTP 流量,并且阻止互联网流量。这有意义吗?是否可行?

免责声明:我知道始终使用 HTTPS 是更安全的选择。

答案1

是的,您可以通过使用防火墙规则来实现这一点。

我假设您当前已启用类似default-allow-http和的规则default-allow-https

创建另一个防火墙规则,命名它default-allow-http-from-lb,为 IP 范围 130.211.0.0/22 设置源过滤器,并使用目标标签http-server-behind-lb

然后编辑您的计算实例并删除标签http-serverhttps-server。添加http-server-behind-lb标签并保存更改。几秒钟后,您的服务器无法通过 HTTP 在其临时 IP 上访问,但可以通过负载均衡器连接。

来源:https://cloud.google.com/compute/docs/load-balancing/tcp-ssl/

相关内容