Uma regra de encaminhamento específica como rotear o tráfego de rede para os serviços de back-end de um balanceador de carga. Uma regra de encaminhamento inclui um endereço IP, um protocolo IP e uma ou mais portas em que o balanceador de carga aceita tráfego. Alguns balanceadores de carga doTrusted Cloud by S3NS limitam você a um conjunto predefinido de portas. Já outros permitem especificar portas arbitrárias.
Uma regra de encaminhamento e seu respectivo endereço IP representam a configuração de front-end de um Trusted Cloud by S3NS balanceador de carga.
Dependendo do tipo de balanceador de carga, as seguintes condições ocorrem:
- As regras de encaminhamento especificam um serviço de back-end, um proxy de destino ou um pool de destino.
- As regras de encaminhamento e os respectivos endereços IP são internos ou externos.
- As regras de encaminhamento são regionais.
Além disso, uma regra de encaminhamento regional pode ser um recurso designado como um serviço nos aplicativos do App Hub.
Regras de encaminhamento interno
As regras de encaminhamento interno direcionam o tráfego proveniente de uma rede Trusted Cloud . Os clientes podem estar na mesma rede de nuvem privada virtual (VPC, na sigla em inglês) dos back-ends ou em uma rede conectada.
Elas são usadas por estes balanceadores de carga: Trusted Cloud
- Balanceador de carga de aplicativo interno
- Balanceador de carga de rede de proxy interno
- Balanceador de carga de rede de passagem interna
Balanceador de carga de aplicativo interno
O balanceador de carga de aplicativo interno aceita tráfego IPv4 usando os protocolos HTTP, HTTPS ou HTTP/2.
O escopo da regra de encaminhamento depende do tipo de balanceador de carga:
- Cada balanceador de carga de aplicativo interno regional tem pelo menos uma regra de encaminhamento interna regional. A regra de encaminhamento interna regional aponta para o proxy HTTP ou HTTPS de destino regional do balanceador de carga. A regra de encaminhamento está associada a um endereço IP interno regional.
As regras de encaminhamento gerenciadas internas conectadas a um proxy HTTP(S) de destino aceitam qualquer número de porta entre 1 e 65535.
Como exemplo, o diagrama a seguir mostra como uma regra de encaminhamento se ajusta à arquitetura de um balanceador de carga de aplicativo interno regional.
Para mais informações sobre balanceadores de carga de aplicativo interno, consulte as seguintes páginas:
- Visão geral do balanceador de carga interno do aplicativo
- Configurar um balanceador de carga interno do aplicativo
- Balanceadores de carga de aplicativos internos e redes conectadas
Balanceador de carga de rede de proxy interno
Com um balanceador de carga de rede de proxy interno, o tipo de tráfego aceito é IPv4, e o protocolo aceito é TCP.
O escopo da regra de encaminhamento depende do tipo de balanceador de carga:
- Cada balanceador de carga de rede do proxy interno regional tem pelo menos uma regra de encaminhamento interno regional. A regra de encaminhamento especifica um endereço IP interno, uma porta e um proxy TCP de destino regional. Os clientes usam o endereço IP e a porta para se conectar aos proxies do Envoy relativos ao balanceador de carga. O endereço IP da regra de encaminhamento é o endereço IP do balanceador de carga, que é chamado frequentemente de endereço IP virtual ou VIP.
As regras de encaminhamento gerenciadas internas conectadas a um proxy TCP de destino aceitam qualquer número de porta entre 1 e 65535.
O diagrama a seguir mostra como uma regra de encaminhamento se ajusta à arquitetura do balanceador de carga de rede do proxy interno regional.
Para mais detalhes sobre os balanceadores de carga de rede de proxy interno, consulte as seguintes páginas:
- Visão geral do balanceador de carga de rede de proxy interno
- Balanceador de carga de rede de proxy interno regional e redes conectadas
Balanceador de carga de rede de passagem interna
Com um balanceador de carga de rede de passagem interna, os tipos de tráfego compatíveis são IPv4 ou IPv6. Para mais informações sobre os protocolos compatíveis, consulte Protocolos de regra de encaminhamento.
Cada balanceador de carga de rede de passagem interna tem pelo menos uma regra de encaminhamento interno regional. As regras de encaminhamento interno regionais apontam para o serviço de back-end interno regional do balanceador de carga. O diagrama a seguir mostra como uma regra de encaminhamento se ajusta à arquitetura do balanceador de carga de rede de passagem interna.
O diagrama a seguir mostra como os componentes do balanceador de carga se encaixam em uma sub-rede e região.
A regra de encaminhamento interno precisa ser definida em uma região e uma sub-rede. O serviço de back-end só precisa corresponder a essa região.
Para mais informações sobre balanceadores de carga de rede de passagem interna, consulte as seguintes páginas:
- Visão geral do balanceador de carga de rede de passagem interna
- Configurar um balanceador de carga de rede de passagem interna
- Balanceadores de carga de rede e redes conectadas de passagem
Regras de encaminhamento externo
As regras de encaminhamento externo aceitam tráfego de sistemas cliente que têm acesso à Internet, incluindo:
- Um cliente fora do Trusted Cloud
- Uma VM Trusted Cloud com um endereço IP externo
- Uma Trusted Cloud VM sem um endereço IP externo usando o Cloud NAT ou um sistema NAT baseado em instância
As regras de encaminhamento externo são usadas pelos seguintes tipos de balanceador de carga Trusted Cloud :
- Balanceador de carga de aplicativo externo
- Balanceador de carga de rede de proxy externo
- Balanceador de carga de rede de passagem externa
Balanceador de carga de aplicativo externo
Para balanceadores de carga de aplicativo externos, a regra de encaminhamento e o endereço IP dependem do modo do balanceador de carga e dos Níveis de serviço de rede selecionados para o balanceador de carga.
Em um balanceador de carga de aplicativo externo, uma regra de encaminhamento aponta para um proxy HTTP(S) de destino. As regras de encaminhamento externas conectadas a um proxy HTTP(S) de destino aceitam qualquer número de porta entre 1 e 65535 incluso.
Os balanceadores de carga de aplicativo externos regionais usam um endereço IPv4 externo regional e uma regra de encaminhamento externo regional.
O diagrama a seguir mostra como uma regra de encaminhamento regional se ajusta à arquitetura de um balanceador de carga de aplicativo externo regional.
Para mais informações sobre balanceadores de carga de aplicativo externos, consulte esta página de visão geral.
Balanceador de carga de rede de proxy externo
Um balanceador de carga de rede de proxy externo oferece o recurso de proxy TCP. Esses balanceadores de carga são semelhantes aos balanceadores de carga de aplicativo externos porque podem encerrar sessões TCP. No entanto, esses balanceadores de carga não aceitam redirecionamento baseado em caminho, como os balanceadores de carga de aplicativo externos.
Em um balanceador de carga de rede de proxy externo, uma regra de encaminhamento aponta para um proxy TCP de destino. As regras de encaminhamento externas conectadas a um proxy TCP de destino aceitam qualquer número de porta entre 1 e 65535 incluso.
O diagrama a seguir mostra como uma regra de encaminhamento se ajusta à arquitetura do balanceador de carga de rede de proxy externo regional.
Para mais informações sobre balanceadores de carga de rede de proxy externo, consulte esta página de visão geral. Para informações sobre como configurar balanceadores de carga de rede de proxy externo, consulte Configurar um balanceador de carga de rede de proxy externo.
Balanceador de carga de rede de passagem externa
Os balanceadores de carga de rede são de passagem que distribuem o tráfego entre instâncias de back-end em uma única região. Um balanceador de carga de rede de passagem externa usa uma regra de encaminhamento externo regional e um endereço IP externo regional. O endereço IP externo regional pode ser acessado de qualquer lugar na Internet e por VMs do Trusted Cloud com acesso à Internet.
Para balanceadores de carga de rede de passagem externa baseados em serviço de back-end, a regra de encaminhamento externo regional aponta para um serviço de back-end. Os balanceadores de carga de rede de passagem externa baseados em serviço de back-end aceitam tráfego TCP, UDP, ESP, GRE, ICMP e ICMPv6. Para detalhes, consulte Protocolos de regra de encaminhamento para balanceadores de carga de rede de passagem externa baseados em serviço de back-end. As regras de encaminhamento para balanceadores de carga baseados em serviço de back-end podem ser configuradas com endereços IPv4 ou IPv6. As regras de encaminhamento para balanceadores de carga de rede de passagem externa baseados em serviço de back-end são compatíveis com os seguintes recursos avançados:
- Tráfego direto proveniente de um intervalo específico de endereços IP de origem para um serviço de back-end específico. Para mais informações, consulte Direção do tráfego.
- Distribua o tráfego entre as instâncias do back-end do balanceador de carga com base nos pesos informados por uma verificação de integridade HTTP usando o Balanceamento de carga ponderado.
Para balanceadores de carga de rede de passagem externa baseados em pool de destino, a regra de encaminhamento aponta para um pool de destino. Um balanceador de carga de rede de passagem externa baseado em pool de destino é compatível apenas com tráfego TCP ou UDP. As regras de encaminhamento para o balanceador de carga de rede de passagem externa baseada em pool de destino aceitam apenas endereços IPv4.
Para permitir instâncias de back-end em mais de uma região, é preciso criar um balanceador de carga de rede de passagem externa em cada região.
A figura a seguir mostra um balanceador de carga de rede de passagem externa que tem uma regra de encaminhamento externo regional com o endereço IP, 120.1.1.1. O balanceador de carga está atendendo
solicitações de back-ends na região us-central1.
Para mais informações sobre balanceadores de carga de rede de passagem externa, consulte esta página de visão geral. Para informações sobre como configurar balanceadores de carga de rede de passagem externa, consulte uma das seguintes opções:
- Como configurar um balanceador de carga de rede de passagem externa com um serviço de back-end (somente tráfego TCP ou UDP)
- Como configurar um balanceador de carga de rede de passagem externa com um serviço de back-end (vários protocolos)
- Como configurar um balanceador de carga de rede de passagem externa com um pool de destino
Especificações de protocolo IP
Cada regra de encaminhamento tem um protocolo IP associado que a regra veicula.
O valor do protocolo padrão é TCP.
| Produto | Esquema de balanceamento de carga | Opções de protocolo IP |
|---|---|---|
| Balanceador de carga de aplicativo externo regional | EXTERNAL_MANAGED | TCP |
| Balanceador de carga de aplicativo interno regional | INTERNAL_MANAGED | TCP |
| Balanceador de carga de rede de proxy externo regional | EXTERNAL_MANAGED | TCP |
| Balanceador de carga de rede de proxy interno regional | INTERNAL_MANAGED | TCP |
| Balanceador de carga de rede de passagem externa | EXTERNAL | TCP, UDP ou L3_DEFAULT |
| Balanceador de carga de rede de passagem interna | INTERNAL | TCP, UDP ou L3_DEFAULT |
| Cloud Service Mesh | INTERNAL_SELF_MANAGED | TCP |
Especificações de endereço IP
A regra de encaminhamento precisa ter um endereço IP que os clientes usem para acessar o balanceador de carga. O endereço IP pode ser estático ou temporário.
Um endereço IP estático fornece um único endereço IP reservado para apontar seu domínio. Se você precisar excluir sua regra de encaminhamento e adicioná-la novamente, poderá continuar usando o mesmo endereço IP reservado.
Um endereço IP temporário permanece constante enquanto a regra de encaminhamento existir. Quando você escolhe um endereço IP temporário,o Trusted Cloud associa um endereço IP à regra de encaminhamento do balanceador de carga. Se você precisar excluir a regra e adicioná-la novamente, ela poderá receber um novo endereço IP.
Dependendo do tipo de balanceador, o endereço IP pode ter vários atributos. A tabela a seguir resume as configurações de endereço IP válidas, com base no esquema de balanceamento de carga e no destino da regra.
| Produto e esquema | Objetivo | Tipo de endereço IP | Escopo do endereço IP | Nível do endereço IP | Endereço IP reservável | Observações |
|---|---|---|---|---|---|---|
| Balanceador de carga de aplicativo externo regional EXTERNAL_MANAGED |
Proxy HTTP de destino Proxy HTTPS de destino |
Externos | Regional | Nível Premium | Sim, opcional | IPv6 não disponível |
| Balanceador de carga de aplicativo interno regional INTERNAL_MANAGED |
Proxy HTTP de destino Proxy HTTPS de destino |
Interno | Regional | Nível Premium | Sim, opcional | O endereço da regra de encaminhamento precisa estar dentro do intervalo de endereços IPv4 principal da sub-rede associada. |
| Balanceador de carga de rede de proxy externo regional EXTERNAL_MANAGED |
Proxy TCP de destino | Externos | Regional | Nível Premium | Sim, opcional | IPv6 não disponível |
| Balanceador de carga de rede de proxy interno regional INTERNAL_MANAGED |
Proxy TCP de destino | Interno | Regional | Nível Premium | Sim, opcional | O endereço da regra de encaminhamento precisa estar dentro do intervalo de endereços IPv4 principal da sub-rede associada. |
| Balanceador de carga de rede de passagem externa EXTERNAL |
Serviço de back-end Pool de destino |
Externos | Regional | Premium (endereços IPv4 ou IPv6) | Sim, opcional | O suporte a IPv6 requer um balanceador de carga de rede de passagem externa baseado em serviço de back-end. O endereço IPv6 da regra de encaminhamento precisa estar dentro do intervalo de endereços IPv6 externo de uma sub-rede. O endereço IPv6 externo é derivado do intervalo de endereços IPv6 externo da sub-rede e, portanto, está no nível Premium. |
| Balanceador de carga de rede de passagem interna INTERNO |
Serviço de back-end | Interno | Regional | Nível Premium | Sim, opcional | Para o tráfego IPv4, a regra de encaminhamento precisa fazer referência a um endereço IPv4 do intervalo de sub-rede IPv4 principal. Para tráfego IPv6, a regra de encaminhamento precisa fazer referência a um intervalo |
| VPN clássica EXTERNO |
Consulte a documentação da VPN clássica | Externo | Regional | O Cloud VPN não tem níveis de serviço de rede | Sim, obrigatório | IPv6 não compatível |
EXTERNAL_MANAGED serviços de back-end a
EXTERNAL regras de encaminhamento. No entanto, os serviços de back-end EXTERNAL não podem ser anexados a regras de encaminhamento EXTERNAL_MANAGED.
Para aproveitar os novos recursos disponíveis
apenas com o balanceador de carga de aplicativo externo global, recomendamos
migrar os recursos EXTERNAL atuais para
EXTERNAL_MANAGED usando o processo de migração descrito em
Migrar
recursos do balanceador de carga de aplicativo clássico para o externo global.
Várias regras de encaminhamento com um endereço IP comum
Duas ou mais regras de encaminhamento com o esquema de balanceamento de carga EXTERNAL ou EXTERNAL_MANAGED (ou uma combinação de ambos) poderão compartilhar o mesmo endereço IP se:
- As portas usadas por cada regra de encaminhamento não se sobrepõem. Isso porque
cada combinação de
IP address + protocol + portprecisa ser exclusiva. - os níveis de serviço de rede de cada regra de encaminhamento coincidirem com os do endereço IP externo.
Exemplos:
- Um balanceador de carga de rede de passagem externa que aceita tráfego na porta TCP 79 e outro que aceita tráfego na porta TCP 80 podem compartilhar o mesmo endereço IP externo regional.
- É possível usar o mesmo endereço IP externo global para um balanceador de carga de aplicativo externo (HTTP e HTTPS).
Duas ou mais regras de encaminhamento com o esquema de balanceamento de carga INTERNAL ou INTERNAL_MANAGED (ou uma combinação de ambos) poderão compartilhar o mesmo endereço IP se:
- As portas usadas por cada regra de encaminhamento não se sobrepõem. Isso porque
cada combinação de
IP address + protocol + portprecisa ser exclusiva.
Para ver mais informações, consulte os seguintes tópicos:
- Para balanceadores de carga de rede de passagem interna, consulte Regras de encaminhamento do balanceador de carga de rede de passagem interna que usam um endereço IP comum.
- Para balanceadores de carga de aplicativo internos, consulte Usar um endereço IP comum entre várias regras de encaminhamento interno.
- Para balanceadores de carga de rede de proxy internos, consulte Regras de encaminhamento e endereços IP
Especificações de porta
A tabela a seguir resume as configurações de porta válidas com base no esquema de balanceamento de carga e no destino da regra de encaminhamento.
| Produto | Esquema de balanceamento de carga | Objetivo | Requisitos de porta |
|---|---|---|---|
| Balanceador de carga de aplicativo externo regional | EXTERNAL_MANAGED | Proxy HTTP de destino Proxy HTTPS de destino |
Pode referenciar exatamente uma porta de 1 a 65.535 |
| Balanceador de carga de aplicativo interno regional | INTERNAL_MANAGED | Proxy HTTP de destino Proxy HTTPS de destino |
Pode referenciar exatamente uma porta de 1 a 65.535 |
| Balanceador de carga de rede de proxy externo regional | EXTERNAL_MANAGED | Proxy TCP de destino | Pode referenciar exatamente uma porta de 1 a 65.535 |
| Balanceador de carga de rede de proxy interno regional | INTERNAL_MANAGED | Proxy TCP de destino | Pode referenciar exatamente uma porta de 1 a 65.535 |
| Balanceador de carga de rede de passagem externa | EXTERNAL | Serviço de back-end | Se o protocolo da regra de encaminhamento for TCP ou UDP,
configure:
Se o protocolo da regra de encaminhamento for L3_DEFAULT,
configure todas as portas.
|
| Pool de destino | Precisa ser um único intervalo de portas (contíguas) Especificar uma porta é opcional para regras de encaminhamento usadas com balanceadores de carga de rede de passagem externa baseados em pool de destino. Se nenhuma porta for especificada, o tráfego de todas as portas (1-65535) será encaminhado. |
||
| Balanceador de carga de rede de passagem interna | INTERNAL | Serviço de back-end | Até cinco portas (contíguas ou não contíguas) ou você pode configurar todas as portas
usando um destes métodos: definir --ports=ALL usando a ferramenta de linha de comando gcloud; oudefinir allPorts como True usando a API.
|
| VPN clássica | EXTERNAL | Gateway da VPN de destino | Pode referenciar exatamente uma das seguintes portas: 500, 4500 |
Condições do IAM
Com as condições do Identity and Access Management (IAM), é possível definir as condições para controlar os papéis que são concedidos aos principais. Esse recurso permite conceder permissões aos principais se as condições configuradas forem atendidas.
Uma condição do IAM verifica o esquema de balanceamento de carga (por exemplo, INTERNAL ou EXTERNAL) na regra de encaminhamento e permite (ou não) a criação da regra. Se um principal tentar criar uma regra
de encaminhamento sem permissão, será exibida uma mensagem de erro.
Para mais informações, consulte Condições do IAM.
Usar regras de encaminhamento
Se você estiver usando o console Trusted Cloud para configurar um balanceador de carga, a regra de encaminhamento será definida implicitamente como parte da configuração do front-end. Se você estiver usando a CLI do Google Cloud ou a API, será necessário configurar a regra de encaminhamento explicitamente.
Depois de criar uma regra de encaminhamento, é possível fazer alterações limitadas a ela. Por exemplo, depois que uma regra de encaminhamento é definida, não é possível alterar o endereço IP, número da porta ou protocolo. No entanto, é possível atualizar determinadas configurações para regras de encaminhamento editando a configuração de front-end do balanceador de carga a que estão associadas. Use a gcloud CLI ou a API para fazer outras alterações.
Alterar o endereço IP de uma regra de encaminhamento
Não é possível alterar o endereço IP de uma regra de encaminhamento atual. Para atualizar o endereço IP de uma regra de encaminhamento, exclua e recrie a regra da seguinte maneira:
Exclua a regra de encaminhamento usando o comando
gcloud compute forwarding-rules deleteou o métodoforwardingRules.delete.Crie novamente a regra de encaminhamento usando o comando
gcloud compute forwarding-rules createou o métodoforwardingRules.insert.
APIs
Para descrições das propriedades e dos métodos disponíveis ao trabalhar com regras de encaminhamento usando a API REST, consulte:
- Regional: forwardingRules
Google Cloud CLI
Para a documentação de referência da gcloud CLI, confira os seguintes tópicos:
gcloud compute forwarding-rules (em inglês)
- Regional:
--region=[REGION]
A seguir
- Para saber mais sobre encaminhamento de protocolos, confira Visão geral do encaminhamento de protocolo.