Назад | Перейти на главную страницу

Как добавить ipv6 в правила брандмауэра Google Cloud

У меня есть брандмауэр, к которому я разрешаю доступ только определенным клиентам ipv4.

К сожалению, сеть Google не позволяет использовать IP-адреса IPv6 внутри сети.

Есть ли способ обойти это, чтобы я также мог разрешить адреса IPv6?

Не идеально, но я могу вообще отключить брандмауэр.

Все сети VPC используют протокол IPv4. Сети Compute Engine в настоящее время не поддерживают IPv6. Однако Google является основным сторонником IPv6, и это важное направление будущего.

Другими словами, IPv6 не поддерживается в Compute Engine, точка. Глобальные балансировщики нагрузки поддерживают подключение к клиентам по протоколу IPv6, но они будут взаимодействовать с вашими ресурсами Compute Engine только с использованием IPv4.

Это то, что соответствующая документация говорит:

Правила межсетевого экрана

Вы должны создать правило брандмауэра, которое разрешает трафику от 130.211.0.0/22 ​​и 35.191.0.0/16 достигать ваших экземпляров. Это правило разрешает трафик как от балансировщика нагрузки, так и от средства проверки работоспособности. Правило должно разрешать трафик через порт, для которого настроено ваше глобальное правило переадресации, и ваша программа проверки работоспособности должна быть настроена на использование того же порта. Если ваша программа проверки работоспособности использует другой порт, вы должны создать другое правило брандмауэра для этого порта.

Обратите внимание, что правила брандмауэра блокируют и разрешают трафик на уровне экземпляра, а не на краях сети. Они не могут предотвратить попадание трафика на сам балансировщик нагрузки.

Подключения из Интернета к балансировщику нагрузки HTTP / HTTPS могут быть IPv4 или IPv6 (при условии, что вы назначили адрес из каждого семейства для балансировщика нагрузки). В настоящее время подключения балансировщика нагрузки к виртуальным машинам осуществляются только по протоколу IPv4 и будут исходить из одного из диапазонов, упомянутых в документации. IP-адрес клиента отправляется в заголовке HTTP и может быть IPv4 или IPv6.

Брандмауэр будет видеть только IPv4-адрес балансировщика нагрузки, но не клиента. Если у ваших виртуальных машин есть внешние IP-адреса, и вы не хотите позволять клиентам обходить балансировщик нагрузки, вы можете использовать правила брандмауэра, чтобы разрешить HTTP / HTTPS-соединения только из диапазона IP-адресов, выделенного для балансировщиков нагрузки и проверок работоспособности.