Я хочу иметь следующую настройку на Google Compute Engine.
Я понимаю следующее.
В основном мне нужна настройка, в которой HTTP-трафик разрешен только от балансировщика нагрузки, а интернет-трафик блокируется. Есть ли в этом смысл и возможно ли это?
Отказ от ответственности: я знаю, что использование HTTPS на всех этапах - лучший вариант для обеспечения безопасности.
Да, вы можете добиться этого, используя правила брандмауэра.
Я предполагаю, что в настоящее время у вас есть такие правила, как default-allow-http и default-allow-https включен.
Создайте другое правило брандмауэра, назовите его default-allow-http-from-lb, настройте фильтр источника для диапазона IP-адресов 130.211.0.0/22. и используйте целевой тег http-server-behind-lb.
Затем отредактируйте свой вычислительный экземпляр и удалите теги http-server и https-server. Добавить http-server-behind-lb пометить и сохранить изменения. Через несколько секунд ваш сервер станет недоступен по его эфемерному IP-адресу через HTTP, но может быть подключен через балансировщик нагрузки.
Источник: https://cloud.google.com/compute/docs/load-balancing/tcp-ssl/