GCP -全局负载均衡器没有标记

Question

在我的GCP帐户中，我创建了一个自定义VPC和一个子网。我正在子网中运行3个实例。

• 所有实例都只有私有IP。无公共知识产权
• 所有运行nginx的实例。暴露端口80

如何以只允许来自全局负载平衡器的请求的方式更新防火墙规则。？有趣的是，GCP LoadBalancer似乎不支持标记。因此，我看不到创建防火墙规则的选项。

在AWS中，LoadBalancers可以与SecurityGroups (例如SG1)连接。它使我们能够更新附加到VM的其他安全组(比如SG2)，以允许来自SG1的通信。

Answer 1

根据@John的建议，您可以创建一个VPC防火墙规则，允许连接到后端的谷歌的前端 (35.191.0.0/16和130.211.0.0/22)的流量。但这可能没有必要，因为您的实例没有公开的IP。目前，这是唯一可能的在负载均衡器的转发规则上设置标签，但这仍然是它的测试阶段。

示例：

gcloud compute forwarding-rules update my-ilb --update-labels=key=value

对负载均衡器中的网络标记提出了一个功能请求。请参考这个链接，点击页面左上角的star icon和右上角的+1 button，这样您就可以跟踪这个特性请求的发展了。如果你想增加更多的信息，请随时编辑这篇文章。