轉送規則會指定如何將網路流量轉送至負載平衡器的後端服務。轉送規則包含 IP 位址、IP 通訊協定,以及負載平衡器接收流量的一或多個通訊埠。有些Trusted Cloud by S3NS 負載平衡器會限制您使用一組預先定義的通訊埠,而其他負載平衡器則可讓您指定任意通訊埠。
轉送規則及其對應的 IP 位址代表 Trusted Cloud by S3NS 負載平衡器的前端設定。
視負載平衡器類型而定,以下情況可能成立:
此外,地區轉送規則也可以是指定為 App Hub 應用程式中服務的資源。
內部轉送規則
內部轉送規則會轉送源自 Trusted Cloud 網路內部的流量。用戶端可與後端位於相同的虛擬私有雲 (VPC) 網路中,或是位於連線的網路中。
下列負載平衡器會使用內部轉送規則: Trusted Cloud
- 內部應用程式負載平衡器
- 內部 Proxy 網路負載平衡器
- 內部直通式網路負載平衡器
內部應用程式負載平衡器
內部應用程式負載平衡器支援使用 HTTP、HTTPS 或 HTTP/2 通訊協定的 IPv4 流量。
轉送規則的範圍取決於負載平衡器的類型:
- 每個區域性內部應用程式負載平衡器都至少有一個區域性內部轉送規則。地區性內部轉送規則會指向負載平衡器的地區性目標 HTTP 或 HTTPS Proxy。轉送規則與地區內部 IP 位址相關聯。
連線至目標 HTTP(S) Proxy 的內部受管理轉送規則支援介於 1 至 65535 之間的任何通訊埠編號 (含首尾)。
舉例來說,下圖顯示轉送規則在區域內部應用程式負載平衡器架構中的位置。
如要進一步瞭解內部應用程式負載平衡器,請參閱下列頁面:
內部 Proxy 網路負載平衡器
使用內部 Proxy 網路負載平衡器時,支援的流量類型為 IPv4,支援的通訊協定為 TCP。
轉送規則的範圍取決於負載平衡器的類型:
- 每個區域性內部 Proxy 網路負載平衡器都至少有一個區域性內部轉送規則。轉送規則會指定內部 IP 位址、通訊埠和區域目標 TCP Proxy。用戶端會使用 IP 位址和通訊埠連線至負載平衡器的 Envoy Proxy,而轉送規則的 IP 位址就是負載平衡器的 IP 位址 (有時稱為虛擬 IP 位址或 VIP)。
與目標 TCP Proxy 連線的內部受管理轉送規則,支援介於 1 至 65535 之間的任何通訊埠編號 (含首尾)。
下圖顯示轉送規則在區域內部 Proxy 網路負載平衡器架構中的位置。
如要進一步瞭解內部 Proxy 網路負載平衡器,請參閱下列頁面:
內部直通式網路負載平衡器
使用內部直通式網路負載平衡器時,支援的流量類型為 IPv4 或 IPv6。如要瞭解支援的通訊協定,請參閱轉送規則通訊協定。
每個內部直通式網路負載平衡器都至少有一個區域性內部轉送規則。地區性內部轉送規則指向負載平衡器的地區性內部後端服務。下圖顯示轉送規則在內部直通式網路負載平衡器架構中的位置。
下圖顯示負載平衡器元件在子網路和地區中的位置。
內部轉送規則必須在地區和子網路中定義。後端服務只需對應該地區即可。
如要進一步瞭解內部直通式網路負載平衡器,請參閱下列頁面:
外部轉送規則
外部轉送規則會接受來自可存取網際網路的用戶端系統流量,包括:
- Trusted Cloud以外的用戶端
- 具有外部 IP 位址的 VM Trusted Cloud
- Trusted Cloud 沒有外部 IP 位址的 VM,使用 Cloud NAT 或執行個體型 NAT 系統
下列 Trusted Cloud 負載平衡器類型會使用外部轉送規則:
- 外部應用程式負載平衡器
- 外部 Proxy 網路負載平衡器
- 外部直通式網路負載平衡器
外部應用程式負載平衡器
如果是外部應用程式負載平衡器,轉送規則和 IP 位址取決於負載平衡器模式,以及您為負載平衡器選取的網路服務等級。
在外部應用程式負載平衡器中,轉送規則會指向目標 HTTP(S) Proxy。連結至目標 HTTP(S) Proxy 的外部轉送規則支援介於 1 至 65535 之間的任何通訊埠編號 (含首尾)。
區域性外部應用程式負載平衡器使用區域性外部 IPv4 位址和區域性外部轉送規則。
下圖顯示區域轉送規則在區域外部應用程式負載平衡器架構中的位置。
如要進一步瞭解外部應用程式負載平衡器,請參閱「外部應用程式負載平衡器總覽」。
外部 Proxy 網路負載平衡器
外部 Proxy 網路負載平衡器提供 TCP Proxy 功能。這類負載平衡器與外部應用程式負載平衡器類似,因為兩者都能終止 TCP 工作階段。不過,這些負載平衡器不支援路徑型重新導向,這點與外部應用程式負載平衡器不同。
在外部 Proxy 網路負載平衡器中,轉送規則會指向目標 TCP Proxy。連結至目標 TCP Proxy 的外部轉送規則支援介於 1 至 65535 之間的任何通訊埠編號 (含首尾)。
下圖顯示轉送規則在區域外部 Proxy 網路負載平衡器架構中的位置。
如要進一步瞭解外部 Proxy 網路負載平衡器,請參閱「外部 Proxy 網路負載平衡器總覽」。如要瞭解如何設定外部 Proxy 網路負載平衡器,請參閱設定外部 Proxy 網路負載平衡器。
外部直通式網路負載平衡器
外部直通式網路負載平衡器是一種直通式負載平衡器,可將流量分配給單一區域中的後端執行個體。外部直通式網路負載平衡器使用區域外部轉送規則和區域外部 IP 位址。地區性外部 IP 位址可從網際網路上的任何位置存取,也可供有權存取網際網路的 VM 存取。 Trusted Cloud
如果是以後端服務為基礎的外部直通式網路負載平衡器,區域外部轉送規則會指向後端服務。以後端服務為基礎的外部直通式網路負載平衡器支援 TCP、UDP、ESP、GRE、ICMP 和 ICMPv6 流量。詳情請參閱後端服務型外部直通式網路負載平衡器的轉送規則通訊協定。 後端服務型負載平衡器的轉送規則可使用 IPv4 或 IPv6 位址設定。後端服務型外部直通式網路負載平衡器的轉送規則支援下列進階功能:
如果是以目標集區為基礎的外部直通式網路負載平衡器,轉送規則會指向目標集區。以目標集區為基礎的外部直通式網路負載平衡器僅支援 TCP 或 UDP 流量。以目標集區為基礎的外部直通式網路負載平衡器轉送規則僅支援 IPv4 位址。
如要支援多個區域的後端執行個體,您必須在每個區域建立外部直通網路負載平衡器。
下圖顯示外部直通式網路負載平衡器,該負載平衡器具有 IP 位址為 120.1.1.1 的區域性外部轉送規則。負載平衡器正在處理來自 us-central1 地區後端的要求。
如要進一步瞭解外部直通式網路負載平衡器,請參閱「外部直通式網路負載平衡器總覽」。如要瞭解如何設定外部直通式網路負載平衡器,請參閱下列其中一篇文章:
IP 通訊協定規格
每個轉送規則都有相關聯的 IP 通訊協定,規則會提供該通訊協定。預設通訊協定值為 TCP。
| 產品 | 負載平衡架構 | IP 通訊協定選項 |
|---|---|---|
| 區域性外部應用程式負載平衡器 | EXTERNAL_MANAGED | TCP |
| 區域性內部應用程式負載平衡器 | INTERNAL_MANAGED | TCP |
| 區域性外部 Proxy 網路負載平衡器 | EXTERNAL_MANAGED | TCP |
| 區域性內部 Proxy 網路負載平衡器 | INTERNAL_MANAGED | TCP |
| 外部直通式網路負載平衡器 | EXTERNAL | TCP、UDP 或 L3_DEFAULT |
| 內部直通式網路負載平衡器 | INTERNAL | TCP、UDP 或 L3_DEFAULT |
| Cloud Service Mesh | INTERNAL_SELF_MANAGED | TCP |
IP 位址規格
轉送規則必須有 IP 位址,供客戶連線至負載平衡器。IP 位址可以是靜態或臨時位址。
靜態 IP 位址提供單一保留的 IP 位址,可供您指向網域。如果需要刪除並重新新增轉送規則,您仍可繼續使用相同的保留 IP 位址。
只要轉送規則存在,臨時 IP 位址就會保持不變。選擇臨時 IP 位址時, Trusted Cloud 會將 IP 位址與負載平衡器的轉送規則建立關聯。如果您需要刪除並重新新增轉送規則,該規則可能會收到新的 IP 位址。
視負載平衡器類型而定,IP 位址可能具有各種屬性。下表根據負載平衡架構及轉送規則的目標,簡要敘述有效的 IP 位址設定。
| 產品和方案 | 目標 | IP 位址類型 | IP 位址範圍 | IP 位址層級 | 可保留的 IP 位址 | 附註 |
|---|---|---|---|---|---|---|
| 區域性外部應用程式負載平衡器 EXTERNAL_MANAGED |
目標 HTTP Proxy 目標 HTTPS Proxy |
外部 | 區域 | 進階級 | 有 (選用) | IPv6 無法使用 |
| 區域性內部應用程式負載平衡器 INTERNAL_MANAGED |
目標 HTTP Proxy 目標 HTTPS Proxy |
內部 | 區域 | 進階級 | 有 (選用) | 轉送規則位址必須位於相關聯子網路的主要 IPv4 位址範圍內。 |
| 區域性外部 Proxy 網路負載平衡器 EXTERNAL_MANAGED |
目標 TCP Proxy | 外部 | 區域 | 進階級 | 有 (選用) | IPv6 無法使用 |
| 區域性內部 Proxy 網路負載平衡器 INTERNAL_MANAGED |
目標 TCP Proxy | 內部 | 區域 | 進階級 | 有 (選用) | 轉送規則位址必須位於相關聯子網路的主要 IPv4 位址範圍內 |
| 外部直通式網路負載平衡器 外部 |
後端服務 目標集區 |
外部 | 區域 | 進階 (IPv4 或 IPv6 位址) | 有 (選用) | 如要支援 IPv6,必須使用後端服務型外部直通式網路負載平衡器。 轉送規則 IPv6 位址必須位於子網路的外部 IPv6 位址範圍內。外部 IPv6 位址來自子網路的外部 IPv6 位址範圍,因此屬於進階級。 |
| 內部直通式網路負載平衡器 INTERNAL |
後端服務 | 內部 | 區域 | 進階級 | 有 (選用) | 如果是 IPv4 流量,轉送規則必須參照主要 IPv4 子網路範圍的 IPv4 位址。 如果是 IPv6 流量,轉送規則必須參照雙重堆疊或單一堆疊 (僅限 IPv6) 子網路的 |
| 傳統版 VPN 外部 |
請參閱傳統版 VPN 說明文件 | 外部 | 區域 | Cloud VPN 沒有網路服務級別 | 有 (必要) | 不支援 IPv6 |
EXTERNAL_MANAGED後端服務附加至EXTERNAL轉送規則。不過,EXTERNAL後端服務無法附加至EXTERNAL_MANAGED轉送規則。如要使用全域外部應用程式負載平衡器專屬的新功能,建議您按照「從傳統版遷移至全域外部應用程式負載平衡器」一文所述的遷移程序,將現有的 EXTERNAL 資源遷移至 EXTERNAL_MANAGED。包含共用 IP 位址的多個轉送規則
如果符合下列條件,具有 EXTERNAL 或 EXTERNAL_MANAGED 負載平衡配置 (或兩者組合) 的兩個以上轉送規則可以共用相同的 IP 位址:
- 每項轉送規則使用的通訊埠不會重疊。這是因為每個
IP address + protocol + port組合都不得重複。 - 每個轉送規則的網路服務級別,都與外部 IP 位址的網路服務級別相符。
範例:
- 如果外部直通式網路負載平衡器接受 TCP 通訊埠 79 的流量,另一個外部直通式網路負載平衡器接受 TCP 通訊埠 80 的流量,則兩者可以共用同一個區域外部 IP 位址。
- 您可以為外部應用程式負載平衡器 (HTTP 和 HTTPS) 使用相同的全域外部 IP 位址。
如果符合下列條件,具有 INTERNAL 或 INTERNAL_MANAGED 負載平衡配置 (或兩者組合) 的兩個以上轉送規則可以共用相同的 IP 位址:
- 每項轉送規則使用的通訊埠不會重疊。這是因為每個
IP address + protocol + port組合都不得重複。
如要瞭解詳情,請參考下列資源:
- 如為內部直通式網路負載平衡器,請參閱使用通用 IP 位址的內部直通式網路負載平衡器轉送規則
- 如果是內部應用程式負載平衡器,請參閱「在多個內部轉送規則之間使用通用 IP 位址」一文
- 如為內部 Proxy 網路負載平衡器,請參閱「轉送規則和 IP 位址」一文
通訊埠規格
下表根據負載平衡架構及轉送規則的目標,簡要敘述有效的通訊埠設定。
| 產品 | 負載平衡架構 | 目標 | 通訊埠需求 |
|---|---|---|---|
| 區域外部應用程式負載平衡器 | EXTERNAL_MANAGED | 目標 HTTP Proxy 目標 HTTPS Proxy |
可參照 1 至 65535 之間的單一通訊埠 |
| 區域性內部應用程式負載平衡器 | INTERNAL_MANAGED | 目標 HTTP Proxy 目標 HTTPS Proxy |
可參照 1 至 65535 之間的單一通訊埠 |
| 區域性外部 Proxy 網路負載平衡器 | EXTERNAL_MANAGED | 目標 TCP Proxy | 可參照 1 至 65535 之間的單一通訊埠 |
| 區域性內部 Proxy 網路負載平衡器 | INTERNAL_MANAGED | 目標 TCP Proxy | 可參照 1 至 65535 之間的單一通訊埠 |
| 外部直通式網路負載平衡器 | EXTERNAL | 後端服務 | 如果轉送規則通訊協定為 TCP 或 UDP,您可以設定:
如果轉送規則通訊協定為 L3_DEFAULT,您必須設定所有通訊埠。
|
| 目標集區 | 必須是單一埠範圍 (連續) 使用以目標集區為基礎的外部直通式網路負載平衡器時,轉送規則可選擇是否指定連接埠。如未指定通訊埠,系統會轉送所有通訊埠 (1-65535) 的流量。 |
||
| 內部直通式網路負載平衡器 | INTERNAL | 後端服務 | 最多五個 (連續或不連續) 連接埠,或使用下列其中一種方法設定所有連接埠: 使用 gcloud 指令列工具設定 --ports=ALL,或使用 API 將 allPorts 設為 True。
|
| 傳統版 VPN | EXTERNAL | 目標 VPN 閘道 | 可參照下列其中一個連接埠:500、4500 |
IAM 條件
您可以使用 Identity and Access Management (IAM) 條件設定條件,控管授予主體的角色。這項功能可讓您在符合設定條件時,將權限授予主體。
IAM 條件會檢查轉送規則中的負載平衡架構 (例如 INTERNAL 或 EXTERNAL),並允許 (或禁止) 建立轉送規則。如果主體嘗試建立轉送規則,但沒有相關權限,系統會顯示錯誤訊息。
詳情請參閱「IAM 條件」。
使用轉送規則
如果您使用 Trusted Cloud 控制台設定負載平衡器,系統會將轉送規則隱含地設為前端設定的一部分。如果您使用 Google Cloud CLI 或 API,則需要明確設定轉送規則。
建立轉送規則後,您只能進行有限的變更。舉例來說,定義轉送規則後,您就無法變更其 IP 位址、通訊埠號碼或通訊協定。不過,您可以編輯負載平衡器相關聯的前端設定,更新轉送規則的特定設定。如要進行其他變更,請使用 gcloud CLI 或 API。
變更轉送規則的 IP 位址
您無法變更現有轉送規則的 IP 位址。 如要更新轉送規則的 IP 位址,請按照下列步驟刪除並重新建立規則:
使用
gcloud compute forwarding-rules delete指令或forwardingRules.delete方法刪除轉送規則。使用
gcloud compute forwarding-rules create指令或forwardingRules.insert方法重新建立轉送規則。
API
如需透過 REST API 使用轉送規則時可用的屬性和方法說明,請參閱下列內容:
- 地區性:forwardingRules
Google Cloud CLI
如需 gcloud CLI 參考說明文件,請參閱下列內容:
gcloud compute forwarding-rules
- 地區性:
--region=[REGION]
後續步驟
- 如要進一步瞭解通訊協定轉送,請參閱通訊協定轉送總覽。