Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Balanceadores de carga de rede de encaminhamento interno e redes ligadas

Esta página descreve cenários de acesso a um equilibrador de carga interno na sua rede da nuvem virtual privada (VPC) a partir de uma rede ligada. Antes de rever as informações nesta página, já deve estar familiarizado com os conceitos no seguinte guia:

Vista geral do balanceador de carga de rede de encaminhamento interno

Use o intercâmbio da rede da VPC

Quando usa o VPC Network Peering para ligar a sua rede VPC a outra rede, Trusted Cloud by S3NS partilha rotas de sub-redes entre as redes. Os encaminhamentos de sub-rede permitem que o tráfego da rede de pares alcance os balanceadores de carga internos na sua rede. O acesso é permitido se o seguinte for verdadeiro:

Cria regras de firewall de entrada para permitir o tráfego de VMs de cliente na rede de pares. Trusted Cloud As regras de firewall não são partilhadas entre redes quando usa o peering de redes VPC.
Para balanceadores de carga de aplicações internos regionais, as instâncias de máquinas virtuais (VMs) do cliente na rede interligada têm de estar localizadas na mesma região que o seu balanceador de carga interno. Esta restrição é dispensada se configurar o acesso global.

Não pode partilhar seletivamente apenas alguns balanceadores de carga de rede de encaminhamento interno, balanceadores de carga de rede de proxy interno regionais ou balanceadores de carga de aplicações internos através do intercâmbio da rede da VPC. Todos os balanceadores de carga internos são partilhados automaticamente. Pode limitar o acesso aos back-ends do equilibrador de carga através de regras de firewall de entrada aplicáveis às instâncias de VM de back-end.

Use o Cloud VPN e o Cloud Interconnect

Pode aceder a um balanceador de carga interno a partir de uma rede de pares ligada através de um túnel do Cloud VPN ou de uma associação de VLAN para uma ligação Dedicated Interconnect ou Partner Interconnect. A rede de pares pode ser uma rede nas instalações, outra rede VPC ou uma rede virtual alojada por um fornecedor de nuvem diferente. Trusted Cloud

Acesso através de túneis do Cloud VPN

Pode aceder a um balanceador de carga interno através de um túnel de Cloud VPN quando todas as seguintes condições forem cumpridas.

Na rede do balanceador de carga interno

O gateway e os túneis da Cloud VPN têm de estar localizados na mesma região que o balanceador de carga quando o acesso global está desativado. Se o acesso global estiver ativado na regra de encaminhamento do balanceador de carga, esta restrição é dispensada.

As rotas têm de fornecer caminhos de resposta dos back-ends do equilibrador de carga para a rede local ou de pares onde o cliente está localizado. Se estiver a usar túneis de VPN na nuvem com encaminhamento dinâmico, considere o modo de encaminhamento dinâmico da rede de VPN na nuvem do balanceador de carga. O modo de encaminhamento dinâmico determina que rotas dinâmicas personalizadas estão disponíveis para os back-ends do balanceador de carga.
Tem de configurar regras de firewall de permissão de entrada com intervalos de endereços IP de origem no local para que os clientes no local possam enviar pacotes para o balanceador de carga. Os destinos destas regras de firewall têm de incluir os back-ends do balanceador de carga. Consulte o artigo Destinos e endereços IP para ver detalhes.

Na rede ponto a ponto

A rede de pares tem de ter, pelo menos, um túnel de VPN do Google Cloud com rotas para a sub-rede onde o balanceador de carga interno está definido.

Se a rede de pares for outra Trusted Cloud rede de VPC:

O gateway e os túneis da Cloud VPN da rede de intercâmbio podem estar localizados em qualquer região.
Para túneis da Cloud VPN que usam o encaminhamento dinâmico, o modo de encaminhamento dinâmico da rede VPC determina que rotas estão disponíveis para os clientes em cada região. Para fornecer um conjunto consistente de rotas dinâmicas personalizadas aos clientes em todas as regiões, use o modo de encaminhamento dinâmico global.
Certifique-se de que as firewalls no local ou da rede ponto a ponto permitem pacotes enviados para o endereço IP da regra de encaminhamento do balanceador de carga. Certifique-se de que as firewalls no local ou de rede par a par permitem pacotes de resposta recebidos do endereço IP da regra de encaminhamento do balanceador de carga.

O diagrama seguinte realça os conceitos principais quando acede a um balanceador de carga interno através de um gateway de VPN do Google Cloud e do respetivo túnel associado. O Cloud VPN liga em segurança a sua rede no local à sua Trusted Cloud rede VPC através de túneis do Cloud VPN.

Balanceamento de carga interno e Cloud VPN. — Balanceamento de carga interno e Cloud VPN (clique para aumentar).

Tenha em atenção os seguintes elementos de configuração associados a este exemplo:

No lb-network, foi configurado um túnel do Cloud VPN que usa o encaminhamento dinâmico. O túnel de VPN, o gateway e o Cloud Router estão todos localizados em REGION_A, a mesma região onde se encontram os componentes do balanceador de carga interno.
As regras de firewall de permissão de entrada foram configuradas para aplicação às VMs de back-end nos grupos de instâncias A e B, para que possam receber tráfego de endereços IP na rede VPC e na rede no local, 10.1.2.0/24 e 192.168.1.0/24. Não foram criadas regras de firewall de recusa de saída, pelo que se aplica a regra de saída de permissão implícita.
Os pacotes enviados de clientes nas redes no local, incluindo de 192.168.1.0/24, para o endereço IP do balanceador de carga interno, 10.1.2.99, são entregues diretamente a uma VM de back-end em bom estado, como vm-a2, de acordo com a afinidade de sessão configurada.
As respostas enviadas a partir das VMs de back-end (como vm-a2) são entregues através do túnel de VPN aos clientes no local.

Para resolver problemas do Cloud VPN, consulte o artigo Resolução de problemas do Cloud VPN.

Acesso através do Cloud Interconnect

Pode aceder a um balanceador de carga interno a partir de uma rede paritária no local que esteja ligada à rede VPC do balanceador de carga quando todas as seguintes condições forem cumpridas na rede do balanceador de carga interno:

O anexo de VLAN e o Cloud Router têm de estar localizados na mesma região que o balanceador de carga quando o acesso global está desativado. Se o acesso global estiver ativado na regra de encaminhamento do balanceador de carga, esta restrição é dispensada.
Os routers no local têm de fornecer caminhos de resposta dos back-ends do balanceador de carga para a rede no local. Os anexos de VLAN para o Dedicated Interconnect e o Partner Interconnect têm de usar routers na nuvem. Por conseguinte, as rotas dinâmicas personalizadas fornecem caminhos de resposta. O conjunto de rotas dinâmicas que aprendem depende do modo de encaminhamento dinâmico da rede do equilibrador de carga.
Certifique-se de que as firewalls no local permitem pacotes enviados para o endereço IP da regra de encaminhamento do balanceador de carga. Certifique-se de que as firewalls no local permitem pacotes de resposta recebidos do endereço IP da regra de encaminhamento do balanceador de carga.

Tem de configurar regras de firewall de permissão de entrada com intervalos de endereços IP de origem no local para que os clientes no local possam enviar pacotes para o balanceador de carga. Os destinos destas regras de firewall têm de ser os back-ends do balanceador de carga. Consulte o artigo Destinos e endereços IP para ver detalhes.

Use o acesso global com o Cloud VPN e o Cloud Interconnect

Por predefinição, os clientes têm de estar na mesma rede ou numa rede VPC ligada através da interligação de redes VPC. Pode ativar o acesso global para permitir que os clientes de qualquer região acedam ao seu equilibrador de carga.

Quando ativa o acesso global, os seguintes recursos podem estar localizados em qualquer região:

Cloud Routers
Gateways e túneis do Cloud VPN
Associações VLAN

No diagrama:

O front-end e os back-ends do balanceador de carga estão na região REGION_A.
O Cloud Router está na região REGION_B.
O Cloud Router estabelece uma relação de intercâmbio com o router VPN no local.
A sessão de intercâmbio do Border Gateway Protocol (BGP) pode ser através do Cloud VPN ou do Cloud Interconnect com intercâmbio direto ou Partner Interconnect.

Balanceamento de carga interno com acesso global. — Balanceamento de carga interno com acesso global (clique para aumentar).

O modo de encaminhamento dinâmico da rede VPC está definido como global para ativar o Cloud Router em REGION_B de modo a anunciar os trajetos de sub-rede para sub-redes em qualquer região da rede VPC do balanceador de carga.

Vários caminhos de saída

Em ambientes de produção, deve usar vários túneis do Cloud VPN ou anexos de VLAN para redundância. Esta secção aborda os requisitos quando usa vários túneis ou anexos de VLAN.

No diagrama seguinte, dois túneis de VPN na nuvem ligam-se a uma rede nas instalações.lb-network Embora sejam usados túneis de Cloud VPN aqui, os mesmos princípios aplicam-se ao Cloud Interconnect.

Balanceamento de carga interno e vários túneis de VPN na nuvem. — Balanceamento de carga interno e vários túneis do Cloud VPN (clique para aumentar).

Tem de configurar cada túnel ou cada anexo de VLAN na mesma região que o balanceador de carga interno. Este requisito é dispensado se tiver ativado o acesso global.

Vários túneis ou anexos de VLAN podem fornecer largura de banda adicional ou servir como caminhos de espera para redundância.

Tenha em atenção os seguintes pontos:

Se a rede no local tiver duas rotas com as mesmas prioridades, cada uma com um destino de 10.1.2.0/24 e um próximo salto correspondente a um túnel de VPN diferente na mesma região que o balanceador de carga interno, o tráfego pode ser enviado da rede no local (192.168.1.0/24) para o balanceador de carga através do multipath de custo igual (ECMP).
Depois de os pacotes serem entregues à rede da VPC, o balanceador de carga interno distribui-os às VMs de back-end de acordo com a afinidade de sessão configurada.
Se o lb-network tiver duas rotas, cada uma com o destino 192.168.1.0/24 e um próximo salto correspondente a túneis de VPN diferentes, as respostas das VMs de back-end podem ser enviadas através de cada túnel de acordo com a prioridade das rotas na rede. Se forem usadas diferentes prioridades de trajeto, um túnel pode servir como alternativa para o outro. Se forem usadas as mesmas prioridades, as respostas são fornecidas através do ECMP.
As respostas enviadas a partir das VMs de back-end (como vm-a2) são entregues diretamente aos clientes no local através do túnel adequado. Do ponto de vista da lb-network, se os trajetos ou os túneis VPN mudarem, o tráfego pode sair através de um túnel diferente. Isto pode resultar em reposições da sessão TCP se uma ligação em curso for interrompida.

O que se segue?

Para configurar e testar um Network Load Balancer de encaminhamento interno, configure um Network Load Balancer de encaminhamento interno.