Una regla de reenvío especifica cómo enrutar el tráfico de red a los servicios de backend de un balanceador de cargas. Una regla de reenvío incluye una dirección IP, un protocolo IP y uno o más puertos en los que el balanceador de cargas acepta tráfico. Algunos balanceadores de cargas deTrusted Cloud by S3NS te limitan a un conjunto predefinido de puertos, mientras que otros te permiten especificar puertos arbitrarios.
Una regla de reenvío y su dirección IP correspondiente representan la configuración de frontend de un Trusted Cloud by S3NS balanceador de cargas.
Según el tipo de balanceador de cargas, sucede lo siguiente:
- Las reglas de reenvío especifican un servicio de backend, un proxy de destino o un grupo de destino.
- Las reglas de reenvío y sus direcciones IP son internas o externas.
- Las reglas de reenvío son regionales.
Además, una regla de reenvío regional puede ser un recurso que se designa como un servicio en aplicaciones de App Hub.
Reglas de reenvío internas
Las reglas de reenvío internas reenvían el tráfico que se origina dentro de una red de Trusted Cloud . Los clientes pueden estar en la misma red de nube privada virtual (VPC) que los backends o en una red conectada.
Los siguientes balanceadores de cargas usan reglas de reenvío internas: Trusted Cloud
- Balanceador de cargas de aplicaciones interno
- Balanceador de cargas de red del proxy interno
- Balanceador de cargas de red de transferencia interno
Balanceador de cargas de aplicaciones interno
El balanceador de cargas de aplicaciones interno admite tráfico IPv4 con los protocolos HTTP, HTTPS o HTTP/2.
El alcance de la regla de reenvío depende del tipo de balanceador de cargas:
- Cada balanceador de cargas de aplicaciones interno regional tiene al menos una regla de reenvío interna regional. Esta regla de reenvío regional interno apunta al proxy HTTPS o HTTP de destino regional del balanceador de cargas. La regla de reenvío está asociada a una dirección IP interna regional.
Las reglas de reenvío administradas de forma interna y conectadas a un proxy HTTP(S) de destino admiten cualquier número de puerto entre 1 y 65535 inclusive.
Como ejemplo, en el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceador de cargas de aplicaciones interno regional.
Para obtener más información sobre los balanceadores de cargas de aplicaciones internos, consulta las siguientes páginas:
- Descripción general del balanceador de cargas interno de aplicaciones
- Configura un balanceador de cargas de aplicaciones interno
- Balanceadores de cargas de aplicaciones internos y redes conectadas
Balanceador de cargas de red del proxy interno
Con un balanceador de cargas de red de proxy interno, el tipo de tráfico que se admite es IPv4, y el protocolo es TCP.
El alcance de la regla de reenvío depende del tipo de balanceador de cargas:
- Cada balanceador de cargas de red interno de proxy regional tiene al menos una regla de reenvío interna regional. La regla de reenvío especifica una dirección IP interna, un puerto y un proxy TCP de destino regional. Los clientes usan la dirección IP y el puerto para conectarse a los proxies de Envoy del balanceador de cargas; la dirección IP de la regla de reenvío es la dirección IP del balanceador de cargas (a veces denominada dirección IP virtual o VIP).
Las reglas de reenvío administradas de forma interna conectadas a un proxy TCP de destino admiten cualquier número de puerto entre 1 y 65535 inclusive.
En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceador de cargas de red del proxy interno regional.
Para obtener más detalles sobre los balanceadores de cargas de red de proxy internos, consulta las siguientes páginas:
- Descripción general del balanceador de cargas de red de proxy interno
- Balanceador de cargas de red del proxy interno y redes conectadas
Balanceador de cargas de red de transferencia interno
Con un balanceador de cargas de red de transferencia interna, los tipos de tráfico compatibles son IPv4 o IPv6. Para obtener información sobre los protocolos compatibles, consulta Protocolos de reglas de reenvío.
Cada balanceador de cargas de red interno de transferencia tiene al menos una regla de reenvío interna regional. Este tipo de regla hace referencia al servicio de backend interno regional del balanceador de cargas. En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceador de cargas de red interno de transferencia.
En el siguiente diagrama, se muestra cómo se ajustan los componentes del balanceador de cargas dentro de una subred y una región.
La regla de reenvío interno debe definirse en una región y una subred. El servicio de backend solo debe corresponder a esa región.
Para obtener más información sobre los balanceadores de cargas de red de transferencia interna, consulta las siguientes páginas:
- Descripción general del balanceador de cargas de red de transferencia interna
- Configura un balanceador de cargas de red de transferencia interno
- Balanceadores de cargas de red de transferencia internos y redes conectadas
Reglas de reenvío externas
Las reglas de reenvío externas aceptan tráfico de sistemas cliente que tienen acceso a Internet, incluidas las siguientes opciones:
- Un cliente fuera de Trusted Cloud
- Una VM Trusted Cloud con una dirección IP externa
- Una VM Trusted Cloud sin una dirección IP externa que usa Cloud NAT o un sistema NAT basado en instancias
Los siguientes tipos de balanceadores de cargas usan reglas de reenvío externas: Trusted Cloud
- Balanceador de cargas de aplicaciones externo
- Balanceador de cargas de red del proxy externo
- Balanceador de cargas de red de transferencia externo
Balanceador de cargas de aplicaciones externo
Para los balanceadores de cargas de aplicaciones externos, la regla de reenvío y la dirección IP dependen del modo de balanceador de cargas y los niveles de servicio de red que seleccionas para el balanceador de cargas.
En un balanceador de cargas de aplicaciones externo, una regla de reenvío apunta a un proxy HTTP(S) de destino. Las reglas de reenvío externas conectadas a un proxy HTTP(S) de destino admiten cualquier número de puerto entre 1 y 65535 inclusive.
Los balanceadores de cargas de aplicaciones externos regionales usan una dirección IPv4 externa regional y una regla de reenvío externa regional.
En el siguiente diagrama, se muestra cómo una regla de reenvío regional se ajusta a la arquitectura de un balanceador de cargas de aplicaciones global externo regional.
Para obtener más información sobre los balanceadores de cargas de aplicaciones externos, consulta Descripción general de los balanceadores de cargas de aplicaciones externos.
Balanceador de cargas de red del proxy externo
Un balanceador de cargas de red de proxy externo ofrece capacidad de proxy TCP. Estos balanceadores de cargas son similares a los balanceadores de cargas de aplicaciones externos porque pueden finalizar sesiones de TCP. Sin embargo, estos balanceadores de cargas no admiten el redireccionamiento basado en rutas como los balanceadores de cargas de aplicaciones externos.
En un balanceador de cargas de red de proxy externo, una regla de reenvío apunta a un proxy TCP de destino. Las reglas de reenvío externas conectadas a un proxy TCP de destino admiten cualquier número de puerto entre 1 y 65535 inclusive.
En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceador de cargas de red del proxy interno regional.
Para obtener más información sobre los balanceadores de cargas de red de proxy externos, consulta Descripción general del balanceador de cargas de red de proxy externo. Para obtener información sobre cómo configurar los balanceadores de cargas de red de proxy externos, consulta Configura un balanceador de cargas de red de proxy externo.
Balanceador de cargas de red de transferencia externa
Los balanceadores de cargas de red externos de paso son un balanceador de cargas de paso que distribuye el tráfico entre instancias de backend en una sola región. Un balanceador de cargas de red de paso externo usa una regla de reenvío externa regional y una dirección IP externa regional. Se puede acceder a la dirección IP externa regional desde cualquier lugar de Internet y mediante las VMs de Trusted Cloud con acceso a Internet.
Para los balanceadores de cargas de red de transferencia externos basados en servicios de backend, la regla de reenvío externa regional apunta a un servicio de backend. Los balanceadores de cargas de red de paso externo basados en servicios de backend admiten tráfico de TCP, UDP, ESP, GRE, ICMP y ICMPv6. Si deseas obtener detalles, consulta Protocolos de reglas de reenvío para balanceadores de cargas de red externos basados en servicios de backend. Las reglas de reenvío para los balanceadores de cargas basados en servicios de backend se pueden configurar con direcciones IPv4 o IPv6. Las reglas de reenvío para balanceadores de cargas de red externos basados en servicios de backend admiten las siguientes funciones avanzadas:
- Tráfico directo que proviene de un rango específico de direcciones IP de origen a un servicio de backend específico. Para obtener más información, consulta Direccionamiento del tráfico.
- Distribuye el tráfico en las instancias de backend del balanceador de cargas según las ponderaciones que informa una verificación de estado HTTP mediante el balanceo de cargas ponderado.
Para los balanceadores de cargas de red de transferencia externos basados en grupos de destino, la regla de reenvío apunta a un grupo de destino. Un balanceador de cargas de red de destino externo basado en grupos de destino solo admite tráfico de TCP o UDP. Las reglas de reenvío para el balanceador de cargas de red externo basado en grupos de destino solo admiten direcciones IPv4.
Para admitir instancias de backend en más de una región, debes crear un balanceador de cargas de red externo de transferencia en cada región.
En la siguiente figura, se muestra un balanceador de cargas de red de paso externo que tiene una regla de reenvío externa regional con la dirección IP, 120.1.1.1. El balanceador de cargas entrega solicitudes desde backends en la región us-central1.
Para obtener más información sobre los balanceadores de cargas de red de transferencia externas, consulta la descripción general del balanceador de cargas de red de transferencia externa. Para obtener información sobre la configuración de los balanceadores de cargas de red de transferencia externos, consulta una de las siguientes páginas:
- Configura un balanceador de cargas de red de transferencia externa con un servicio de backend (solo tráfico de TCP o UDP)
- Configura un balanceador de cargas de red de transferencia externo con un servicio de backend (varios protocolos)
- Configura un balanceador de cargas de red de transferencia externa con un grupo de destino
Especificaciones del protocolo IP
Cada regla de reenvío tiene un protocolo IP asociado que entregará la regla.
El valor predeterminado del protocolo es TCP.
| Producto | Esquema de balanceo de cargas | Opciones de protocolo IP |
|---|---|---|
| Balanceador de cargas de aplicaciones externo regional | EXTERNAL_MANAGED | TCP |
| Balanceador de cargas de aplicaciones interno regional | INTERNAL_MANAGED | TCP |
| Balanceador de cargas de red del proxy externo regional | EXTERNAL_MANAGED | TCP |
| Balanceador de cargas de red de proxy interno regional | INTERNAL_MANAGED | TCP |
| Balanceador de cargas de red de transferencia externo | EXTERNO | TCP, UDP o L3_DEFAULT |
| Balanceador de cargas de red de transferencia interna | INTERNAL | TCP, UDP o L3_DEFAULT |
| Cloud Service Mesh | INTERNAL_SELF_MANAGED | TCP |
Especificaciones de direcciones IP
La regla de reenvío debe tener una dirección IP que los clientes usen para acceder al balanceador de cargas. La dirección IP puede ser estática o efímera.
Una dirección IP estática proporciona una sola dirección IP reservada a la que puedes apuntar el dominio. Si alguna vez necesitas borrar la regla de reenvío y volver a agregarla, puedes seguir usando la misma dirección IP reservada.
Las direcciones IP efímeras permanecen constantes mientras exista la regla de reenvío. Cuando eliges una dirección IP efímera, Trusted Cloud asocia una dirección IP con la regla de reenvío del balanceador de cargas. Si necesitas borrar la regla de reenvío y volver a agregarla, esta podría recibir una dirección IP nueva.
Según el tipo de balanceador de cargas, la dirección IP puede tener varios atributos. En la siguiente tabla, se resumen los parámetros de configuración de direcciones IP válidas, según el esquema de balanceo de cargas y el destino de la regla de reenvío.
| Producto y esquema | Objetivo | Tipo de dirección IP | Alcance de la dirección IP | Nivel de dirección IP | Dirección IP reservable | Notas |
|---|---|---|---|---|---|---|
| Balanceador de cargas de aplicaciones externo regional EXTERNAL_MANAGED |
Proxy HTTP de destino Proxy HTTPS de destino |
Externo | Regional | Nivel Premium | Sí, opcional | IPv6 no disponible |
| Balanceador de cargas de aplicaciones interno regional INTERNAL_MANAGED |
Proxy HTTP de destino Proxy HTTPS de destino |
Interno | Regional | Nivel Premium | Sí, opcional | La dirección de la regla de reenvío debe estar dentro del rango de direcciones IPv4 principal de la subred asociada. |
| Balanceador de cargas de red de proxy externo regional EXTERNAL_MANAGED |
Proxy TCP de destino | Externo | Regional | Nivel Premium | Sí, opcional | IPv6 no disponible |
| Balanceador de cargas de red del proxy interno regional INTERNAL_MANAGED |
Proxy TCP de destino | Interno | Regional | Nivel Premium | Sí, opcional | La dirección de la regla de reenvío debe estar dentro del rango de direcciones IPv4 principal de la subred asociada |
| Balanceador de cargas de red de transferencia externo EXTERNAL |
Servicio de backend Grupo de destino |
Externo | Regional | Premium (direcciones IPv4 o IPv6) | Sí, opcional | La compatibilidad con IPv6 requiere un balanceador de cargas de red de transferencia externo basado en servicios de backend. La dirección IPv6 de la regla de reenvío debe estar dentro del rango de direcciones IPv6 externas de una subred. La dirección IPv6 externa proviene del rango de direcciones IPv6 externas de la subred y, por lo tanto, está en el nivel Premium. |
| Balanceador de cargas de red de transferencia interno INTERNAL |
Servicio de backend | Interno | Regional | Nivel Premium | Sí, opcional | Para el tráfico IPv4, la regla de reenvío debe hacer referencia a una dirección IPv4 del rango de subred IPv4 principal. Para el tráfico IPv6, la regla de reenvío debe hacer referencia a un rango |
| VPN clásica EXTERNAL |
Consulta Documentación de la VPN clásica | Externo | Regional | Cloud VPN no tiene niveles de servicio de red | Sí, obligatoria | No se admite IPv6 |
EXTERNAL_MANAGED a reglas de reenvío EXTERNAL. Sin embargo, los servicios de backend EXTERNAL no se pueden adjuntar a las reglas de reenvío EXTERNAL_MANAGED.
Para aprovechar las nuevas funciones disponibles solo con el balanceador de cargas de aplicaciones externo global, te recomendamos que migres tus recursos EXTERNAL existentes a EXTERNAL_MANAGED con el proceso de migración que se describe en Migra recursos del balanceador de cargas de aplicaciones clásico al balanceador de cargas de aplicaciones externo global.
Varias reglas de reenvío con una dirección IP común
Dos o más reglas de reenvío con el esquema de balanceo de cargas EXTERNAL o EXTERNAL_MANAGED (o una combinación de ambos) pueden compartir la misma dirección IP si se cumple lo siguiente:
- Los puertos que usa cada regla de reenvío no se superponen. Esto se debe a que cada combinación de
IP address + protocol + portdebe ser única. - Los niveles de servicio de red de cada regla de reenvío coinciden con los niveles de servicio de red de la dirección IP externa.
Ejemplos:
- Un balanceador de cargas de red de transferencia externo que acepta tráfico en el puerto TCP 79 y otro balanceador de cargas de red de transferencia externo que acepta tráfico en el puerto TCP 80 pueden compartir la misma dirección IP externa regional.
- Puedes usar la misma dirección IP externa global para un balanceador de cargas de aplicaciones externo (HTTP y HTTPS).
Dos o más reglas de reenvío con el esquema de balanceo de cargas INTERNAL o INTERNAL_MANAGED (o una combinación de ambos) pueden compartir la misma dirección IP si se cumple lo siguiente:
- Los puertos que usa cada regla de reenvío no se superponen. Esto se debe a que cada combinación de
IP address + protocol + portdebe ser única.
Para obtener más información, consulta lo siguiente:
- Para los balanceadores de cargas de red de transferencia internos, consulta Reglas de reenvío de balanceador de cargas de red de transferencia interno que usan una dirección IP común
- Para los balanceadores de cargas de aplicaciones internos, consulta Usa una dirección IP común entre varias reglas de reenvío internas
- Para conocer los balanceadores de cargas de red del proxy internos, consulta Reglas de reenvío y direcciones
Especificaciones de puertos
En la siguiente tabla, se resumen las configuraciones válidas de puertos en función del esquema de balanceo de cargas y el destino de la regla de reenvío.
| Producto | Esquema de balanceo de cargas | Objetivo | Requisitos del puerto |
|---|---|---|---|
| externo regional | EXTERNAL_MANAGED | Proxy HTTP de destino Proxy HTTPS de destino |
Puede hacer referencia exactamente a un puerto de 1 a 65535. |
| Balanceador de cargas de aplicaciones interno regional | INTERNAL_MANAGED | Proxy HTTP de destino Proxy HTTPS de destino |
Puede hacer referencia exactamente a un puerto de 1 a 65535. |
| Balanceador de cargas de red del proxy externo regional | EXTERNAL_MANAGED | Proxy TCP de destino | Puede hacer referencia exactamente a un puerto de 1 a 65535. |
| Balanceador de cargas de red de proxy interno regional | INTERNAL_MANAGED | Proxy TCP de destino | Puede hacer referencia exactamente a un puerto de 1 a 65535. |
| Balanceador de cargas de red de transferencia externa | EXTERNO | Servicio de backend | Si el protocolo de reglas de reenvío es TCP o UDP, puedes configurar lo siguiente:
Si el protocolo de la regla de reenvío es L3_DEFAULT, debes configurar todos los puertos.
|
| Grupo de destino | Debe ser un rango de puertos único (contiguo) Especificar un puerto es opcional para las reglas de reenvío que se usan con balanceadores de cargas de red de transferencia externos basados en grupos de destino. Si no se especifica ningún puerto, se reenvía el tráfico de todos los puertos (1-65535). |
||
| Balanceador de cargas de red de transferencia interna | INTERNAL | Servicio de backend | Hasta cinco (contiguos o no contiguos) o puedes configurar todos los puertos mediante uno de estos métodos: configurar --ports=ALL con la herramienta de línea de comandos de gcloud o establecer allPorts en True con la API.
|
| VPN clásica | EXTERNO | Puerta de enlace VPN de destino | Puede hacer referencia exactamente a uno de los siguientes puertos: 500, 4500 |
Condiciones de IAM
Con las condiciones de Identity and Access Management (IAM), puedes establecer condiciones para controlar qué roles se otorgan a los principales. Esta función te permite otorgar permisos a los principales si se cumplen las condiciones configuradas.
Una condición de IAM verifica el esquema de balanceo de cargas (por ejemplo, INTERNAL o EXTERNAL) en la regla de reenvío y permite (o no) la creación de la regla de reenvío. Si un principal intenta crear una regla de reenvío sin permiso, aparecerá un mensaje de error.
Para obtener más información, consulta Condiciones de IAM.
Usar reglas de reenvío
Si usas la consola de Trusted Cloud para configurar un balanceador de cargas, la regla de reenvío se configura de forma implícita como parte de la configuración de frontend. Si usas Google Cloud CLI o las API, debes configurar el proxy de destino de forma explícita.
Después de crear una regla de reenvío, puedes realizarle cambios limitados. Por ejemplo, después de definir una regla de reenvío, no puedes cambiar su dirección IP, número de puerto ni protocolo. Sin embargo, puedes actualizar ciertas opciones de configuración para los proxies de destino si editas la configuración de frontend del balanceador de cargas con el que están asociados. Usa gcloud CLI o la API para realizar cualquier otro cambio.
Cambia la dirección IP de una regla de reenvío
No puedes cambiar la dirección IP de una regla de reenvío existente. Para actualizar la dirección IP de una regla de reenvío, debes borrar y volver a crear la regla de la siguiente manera:
Borra la regla de reenvío con el comando
gcloud compute forwarding-rules deleteo el métodoforwardingRules.delete.Vuelve a crear la regla de reenvío con el comando
gcloud compute forwarding-rules createo el métodoforwardingRules.insert.
API
Para obtener descripciones de las propiedades y los métodos disponibles cuando trabajas con reglas de reenvío a través de la API de REST, consulta lo siguiente:
- Regional: forwardingRules
Google Cloud CLI
Para ver la documentación de referencia de la gcloud CLI, consulta los siguientes temas:
gcloud compute forwarding-rules
- Regional:
--region=[REGION]
¿Qué sigue?
- Para obtener más información sobre el reenvío de protocolos, consulta Descripción general del reenvío de protocolos.