Eine Weiterleitungsregel gibt an, wie Netzwerktraffic an die Backend-Dienste eines Load Balancers weitergeleitet wird. Eine Weiterleitungsregel umfasst eine IP-Adresse, ein IP-Protokoll und einen oder mehrere Ports, an denen der Load Balancer Traffic annimmt. EinigeTrusted Cloud by S3NS -Load-Balancer sind auf eine vordefinierte Gruppe von Ports beschränkt; andere ermöglichen die Angabe beliebiger Ports.
Die Frontend-Konfiguration eines Trusted Cloud by S3NS Load-Balancers besteht aus einer Weiterleitungsregel und der zugehörigen IP-Adresse.
Je nach Load-Balancer-Typ gilt Folgendes:
- Weiterleitungsregeln geben entweder einen Backend-Dienst, Ziel-Proxy oder Zielpool an.
- Weiterleitungsregeln und die zugehörigen IP-Adressen können intern oder extern sein.
- Weiterleitungsregeln sind regional.
Außerdem kann eine regionale Weiterleitungsregel eine Ressource sein, die in App Hub-Anwendungen als Dienst festgelegt ist.
Interne Weiterleitungsregeln
Interne Weiterleitungsregeln leiten Traffic weiter, der aus einem Trusted Cloud Netzwerk stammt. Die Clients können sich entweder im selben VPC-Netzwerk (Virtual Private Cloud) wie die Back-Ends oder aber in einem verbundenen Netzwerk befinden.
Interne Weiterleitungsregeln werden von den folgenden Trusted Cloud Load-Balancern verwendet:
- Interner Application Load Balancer
- Interner Proxy-Network Load Balancer
- Interner Passthrough-Network Load Balancer
Interner Application Load Balancer
Der interne Application Load Balancer unterstützt IPv4-Traffic mit den Protokollen HTTP, HTTPS oder HTTP/2.
Der Bereich der Weiterleitungsregel hängt vom Typ des Load Balancers ab:
- Jeder regionale interne Application Load Balancer hat mindestens eine regionale interne Weiterleitungsregel. Die regionale Weiterleitungsregel verweist auf den regionalen HTTP- oder HTTPS-Zielproxy des Load-Balancers. Die Weiterleitungsregel ist einer regionalen internen IP-Adresse zugeordnet.
Interne verwaltete Weiterleitungsregeln, die mit einem HTTP(S)-Zielproxy verbunden sind, unterstützen jede Portnummer zwischen 1 und 65535 (einschließlich).
Das folgende Diagramm zeigt beispielsweise, wie eine Weiterleitungsregel in die regionale interne Application-Load-Balancer-Architektur passt.
Weitere Informationen zu internen Application Load Balancern finden Sie auf den folgenden Seiten:
- Übersicht über internen Application Load Balancer
- Internen Application Load Balancer einrichten
- Interne Application Load Balancer und verbundene Netzwerke
Interner Proxy-Network Load Balancer
Bei einem regionalen internen Proxy-Network Load Balancer ist der unterstützte Traffictyp IPv4 und das unterstützte Protokoll ist TCP.
Der Bereich der Weiterleitungsregel hängt vom Typ des Load Balancers ab:
- Jeder regionale interne Proxy-Network Load Balancer hat mindestens eine regionale interne Weiterleitungsregel. Die Weiterleitungsregel gibt eine interne IP-Adresse, einen Port und einen regionalen TCP-Proxy an. Clients verwenden die IP-Adresse und den Port, um eine Verbindung zu den Envoy-Proxys des Load Balancers herzustellen. Die IP-Adresse der Weiterleitungsregel ist die IP-Adresse des Load Balancers (manchmal auch virtuelle IP-Adresse oder VIP genannt).
Intern verwaltete Weiterleitungsregeln, die mit einem Ziel-TCP-Proxy verbunden sind, unterstützen jede Portnummer zwischen 1 und 65535 (einschließlich).
Das folgende Diagramm zeigt, wie eine Weiterleitungsregel in die Architektur des regionalen internen Proxy-Network Load Balancers eingebunden wird.
Weitere Informationen zu regionalen internen Proxy-Network Load Balancern finden Sie auf den folgenden Seiten:
- Interner Proxy-Netzwerk-Load-Balancer
- Regionaler interner Proxy-Network Load Balancer und verbundene Netzwerke
Interner Passthrough-Network Load Balancer
Bei einem internen Passthrough-Netzwerk-Load-Balancer sind die unterstützten Traffictypen entweder IPv4 oder IPv6. Informationen zu den unterstützten Protokollen finden Sie unter Weiterleitungsregelprotokolle.
Jeder interne Passthrough-Network Load Balancer hat mindestens eine regionale interne Weiterleitungsregel. Regionale interne Weiterleitungsregeln verweisen auf den regionalen internen Backend-Dienst des Load-Balancers. Das folgende Diagramm zeigt, wie eine Weiterleitungsregel in die Architektur des internen Passthrough-Network Load Balancers eingebunden wird.
Das folgende Diagramm zeigt, wie die Komponenten des Load-Balancers in ein Subnetz und eine Region eingebunden werden.
Die interne Weiterleitungsregel muss in einer Region und in einem Subnetz definiert werden. Der Backend-Dienst muss nur dieser Region entsprechen.
Weitere Informationen zu internen Passthrough-Network Load Balancern finden Sie auf den folgenden Seiten:
- Übersicht über den internen Network Load Balancer
- Internen Passthrough-Network-Load-Balancer einrichten
- Interne Passthrough-Network-Load-Balancer und verbundene Netzwerke
Externe Weiterleitungsregeln
Externe Weiterleitungsregeln akzeptieren Traffic von Clientsystemen mit Internetzugriff. Dazu gehören:
- Ein Client außerhalb von Trusted Cloud
- Eine Trusted Cloud VM mit einer externen IP-Adresse
- Eine Trusted Cloud VM ohne externe IP-Adresse mit Cloud NAT oder einem instanzbasierten NAT-System
Externe Weiterleitungsregeln werden von den folgenden Trusted Cloud Load-Balancer-Typen verwendet:
- Externer Application Load Balancer
- Externer Proxy-Network Load Balancer
- Externer Passthrough-Network Load Balancer
Externer Application Load Balancer
Bei externen Application Load Balancern hängen die Weiterleitungsregel und die IP-Adresse vom Load Balancer-Modus und den Netzwerkdienststufen ab, die Sie für den Load Balancer auswählen.
In einem externen Application Load Balancer verweist eine Weiterleitungsregel auf einen HTTP(S)-Ziel-Proxy. Externe Weiterleitungsregeln, die mit einem HTTP(S)-Zielproxy verbunden sind, unterstützen jede Portnummer zwischen 1 und 65535 (einschließlich).
Regionale externe Application Load Balancer verwenden eine regionale externe IPv4-Adresse und eine regionale externe Weiterleitungsregel.
Das folgende Diagramm zeigt, wie eine regionale Weiterleitungsregel in die Architektur eines regionalen externen Application Load Balancer passt.
Weitere Informationen zu externen Application Load Balancern finden Sie in der Übersicht über externe Application Load Balancer.
Externer Proxy-Network Load Balancer
Ein externer Proxy-Network Load Balancer bietet TCP-Proxy-Funktionen. Diese Load-Balancer ähneln externen Application Load Balancern, da sie TCP-Sitzungen beenden können. Diese Load Balancer unterstützen jedoch keine pfadbasierte Weiterleitung wie externe Application Load Balancer.
In einem externen Proxy-Network Load Balancer verweist eine Weiterleitungsregel auf einen TCP-Zielproxy. Externe Weiterleitungsregeln, die mit einem Ziel-TCP-Proxy verbunden sind, unterstützen jede Portnummer zwischen 1 und 65535 (einschließlich).
Das folgende Diagramm zeigt, wie eine Weiterleitungsregel in die Architektur des externen Proxy-Network Load Balancers eingebunden wird.
Weitere Informationen zu externen Network Load Balancern finden Sie unter Network Load Balancer für externen Proxy. Informationen zum Konfigurieren von externen Proxy-Network Load Balancern finden Sie unter Externen Proxy-Network Load Balancer einrichten.
Externer Passthrough-Network Load Balancer
Externe Passthrough-Network Load Balancer sind ein Passthrough-Network Load Balancer, der den Traffic auf Backend-Instanzen in einer einzelnen Region verteilt. Ein externer Passthrough-Network Load Balancer verwendet eine regionale externe Weiterleitungsregel und eine regionale externe IP-Adresse. Auf die regionale externe IP-Adresse kann von überall im Internet und von Trusted Cloud -VMs mit Internetzugang aus zugegriffen werden.
Bei Backend-Dienst-basierten externen Passthrough-Network Load Balancern verweist die regionale externe Weiterleitungsregel auf einen Backend-Dienst. Backend-Dienst-basierte externe Passthrough-Network Load Balancer unterstützen TCP-, UDP-, ESP-, GRE-, ICMP- und ICMPv6-Traffic. Weitere Informationen finden Sie unter Weiterleitungsregelprotokolle für Backend-Dienst-basierte externe Network Load Balancer. Weiterleitungsregeln für Backend-Dienst-basierte Load-Balancer können mit IPv4- oder IPv6-Adressen konfiguriert werden. Weiterleitungsregeln für Backend-Dienst-basierte externe Network Load Balancer unterstützen die folgenden erweiterten Features:
- Traffic aus einem bestimmten Bereich an Quell-IP-Adressen an einen bestimmten Backend-Dienst weiterleiten. Weitere Informationen finden Sie unter Traffi-Steuerung.
- Verteilen Sie den Traffic über gewichtetes Load-Balancing auf die Backend-Instanzen des Load-Balancers, basierend auf den von einer HTTP-Systemdiagnose gemeldeten Gewichtungen.
Bei zielpoolbasierten externen Passthrough-Network Load Balancern verweist die Weiterleitungsregel auf einen Zielpool. Ein auf einem Zielpool basierender externer Passthrough-Network Load Balancer unterstützt nur TCP- oder UDP-Traffic. Weiterleitungsregeln für den zielpoolbasierten externen Passthrough-Network Load Balancer unterstützen nur IPv4-Adressen.
Um Backend-Instanzen in mehr als einer Region zu unterstützen, müssen Sie in jeder Region einen Network Load Balancer erstellen.
Die folgende Abbildung zeigt einen externen Passthrough-Network Load Balancer, der eine regionale externe Weiterleitungsregel mit der IP-Adresse 120.1.1.1 hat. Der Load-Balancer verarbeitet Anfragen von Back-Ends in der Region us-central1.
Weitere Informationen zu externen Passthrough-Network Load Balancern finden Sie unter Network Load Balancer für externen Passthrough. Informationen zum Konfigurieren von externen Passthrough-Network Load Balancern finden Sie unter:
- Externen Passthrough-Network Load Balancer mit einem Backend-Dienst einrichten (nur TCP- oder UDP-Traffic)
- Externen Passthrough-Network Load Balancer mit einem Backend-Dienst einrichten (mehrere Protokolle)
- Externen Passthrough-Network Load Balancer mit einem Zielpool einrichten
IP-Protokollspezifikationen
Jeder Weiterleitungsregel ist ein IP-Protokoll zugeordnet, das von der Regel bereitgestellt wird.
Der Standardprotokollwert ist TCP.
| Produkt | Load-Balancing-Schema | IP-Protokolloptionen |
|---|---|---|
| Regionaler externer Application Load Balancer | EXTERNAL_MANAGED | TCP |
| Regionaler interner Application Load Balancer | INTERNAL_MANAGED | TCP |
| Regionaler externer Proxy-Network Load Balancer | EXTERNAL_MANAGED | TCP |
| Regionaler interner Proxy-Network Load Balancer | INTERNAL_MANAGED | TCP |
| Externer Passthrough-Network Load Balancer | EXTERN | TCP, UDP oder L3_DEFAULT |
| Interner Passthrough-Network Load Balancer | INTERN | TCP, UDP oder L3_DEFAULT |
| Cloud Service Mesh | INTERNAL_SELF_MANAGED | TCP |
Angabe von IP-Adressen
Die Weiterleitungsregel muss eine IP-Adresse haben, mit der Ihre Kunden Ihren Load-Balancer erreichen. Die IP-Adresse kann statisch oder sitzungsspezifisch sein.
Eine statische IP-Adresse stellt eine einzelne reservierte IP-Adresse bereit, auf die Sie Ihre Domain verweisen können. Wenn Sie Ihre Weiterleitungsregel löschen und wieder hinzufügen müssen, können Sie weiterhin dieselbe reservierte IP-Adresse verwenden.
Eine sitzungsspezifische IP-Adresse bleibt so lange unverändert, wie die Weiterleitungsregel vorhanden ist. Wenn Sie eine sitzungsspezifische IP-Adresse auswählen,verknüpft Trusted Cloud eine IP-Adresse mit der Weiterleitungsregel Ihres Load-Balancers. Wenn Sie die Weiterleitungsregel löschen und wieder hinzufügen müssen, erhält die Weiterleitungsregel möglicherweise eine neue IP-Adresse.
Je nach Load-Balancer-Typ kann die IP-Adresse verschiedene Attribute haben. In der folgenden Tabelle finden Sie eine Übersicht über die gültigen IP-Adresskonfigurationen beruhend auf dem Load-Balancing-Schema und dem Ziel der Weiterleitungsregel.
| Produkt und Schema | Ziel | IP-Adresstyp | IP-Adressbereich | IP-Adressstufe | Reservierbare IP-Adresse | Hinweise |
|---|---|---|---|---|---|---|
| Regionaler externer Application Load Balancer EXTERNAL_MANAGED |
Ziel-HTTP-Proxy Ziel-HTTPS-Proxy |
Extern | Regional | Premium-Stufe | Ja, optional | IPv6 ist nicht verfügbar |
| Regionaler interner Application Load Balancer INTERNAL_MANAGED |
Ziel-HTTP-Proxy Ziel-HTTPS-Proxy |
Intern | Regional | Premium-Stufe | Ja, optional | Die Adresse der Weiterleitungsregel muss sich innerhalb des primären IPv4-Adressbereichs des zugehörigen Subnetzes befinden. |
| Regionaler externer Proxy-Network Load Balancer EXTERNAL_MANAGED |
Ziel-TCP-Proxy | Extern | Regional | Premium-Stufe | Ja, optional | IPv6 ist nicht verfügbar |
| Regionaler interner Proxy-Network Load Balancer INTERNAL_MANAGED |
Ziel-TCP-Proxy | Intern | Regional | Premium-Stufe | Ja, optional | Die Adresse der Weiterleitungsregel muss sich innerhalb des primären IPv4-Adressbereichs des zugehörigen Subnetzes befinden. |
| Externer Passthrough-Network Load Balancer EXTERNAL |
Backend-Dienst Zielpool |
Extern | Regional | Premium (IPv4- oder IPv6-Adressen) | Ja, optional | IPv6-Unterstützung erfordert einen Backend-Dienst-basierten externen Passthrough-Network-Load-Balancer. Die IPv6-Adresse der Weiterleitungsregel muss sich innerhalb des externen IPv6-Adressbereichs eines Subnetzes befinden. Die externe IPv6-Adresse stammt aus dem externen IPv6-Adressbereich des Subnetzes und befindet sich daher in der Premium-Stufe. |
| Interner Passthrough-Network Load Balancer INTERNAL |
Backend-Dienst | Intern | Regional | Premium-Stufe | Ja, optional | Bei IPv4-Traffic muss die Weiterleitungsregel auf eine IPv4-Adresse aus dem primären IPv4-Subnetzbereich verweisen. Bei IPv6-Traffic muss die Weiterleitungsregel auf einen |
| Klassisches VPN EXTERNAL |
Siehe Dokumentation zum klassischen VPN | Extern | Regional | Cloud VPN hat keine Netzwerkstufen. | Ja, erforderlich | IPv6 wird nicht unterstützt. |
EXTERNAL_MANAGED-Backend-Dienste an EXTERNAL-Weiterleitungsregeln anzuhängen. EXTERNAL-Backend-Dienste können jedoch nicht an EXTERNAL_MANAGED-Weiterleitungsregeln angehängt werden.
Wenn Sie die neuen Funktionen nutzen möchten, die nur mit dem globalen externen Application Load Balancer verfügbar sind, empfehlen wir, Ihre vorhandenen EXTERNAL-Ressourcen mit dem unter Ressourcen vom klassischen zum globalen externen Application Load Balancer migrieren beschriebenen Migrationsprozess zu EXTERNAL_MANAGED zu migrieren.
Mehrere Weiterleitungsregeln mit einer gemeinsamen IP-Adresse
Wenn die folgenden Bedingungen erfüllt sind, können sich zwei oder mehr Weiterleitungsregeln mit dem EXTERNAL- oder EXTERNAL_MANAGED-Load-Balancing-Schema (oder einer Kombination aus beiden) dieselbe IP-Adresse teilen:
- Die von jeder Weiterleitungsregel verwendeten Ports überschneiden sich nicht. Das liegt daran, dass jede Kombination aus
IP address + protocol + porteindeutig sein muss. - Die Netzwerkdienststufen jeder Weiterleitungsregel stimmen mit den Netzwerkdienststufen der externen IP-Adresse überein.
Beispiele:
- Ein externer Passthrough-Network Load Balancer, der Traffic an TCP-Port 79 akzeptiert, und ein anderer externer Passthrough-Network Load Balancer, der Traffic über TCP-Port 80 akzeptiert, können dieselbe regionale externe IP-Adresse gemeinsam nutzen.
- Sie können dieselbe globale externe IP-Adresse für einen externen Application Load Balancer (HTTP und HTTPS) verwenden.
Wenn die folgenden Bedingungen erfüllt sind, können sich zwei oder mehr Weiterleitungsregeln mit dem INTERNAL- oder INTERNAL_MANAGED-Load-Balancing-Schema (oder einer Kombination aus beiden) dieselbe IP-Adresse teilen:
- Die von jeder Weiterleitungsregel verwendeten Ports überschneiden sich nicht. Das liegt daran, dass jede Kombination aus
IP address + protocol + porteindeutig sein muss.
Hier finden Sie weitere Informationen:
- Informationen zu internen Passthrough-Network-Load-Balancern finden Sie unter Weiterleitungsregeln für interne Passthrough-Network-Load-Balancer, die eine gemeinsame IP-Adresse verwenden.
- Informationen zu internen Application Load Balancern finden Sie unter Gemeinsame IP-Adresse zwischen mehreren internen Weiterleitungsregeln verwenden.
- Informationen zu internen Proxy-Network Load Balancern finden Sie unter Weiterleitungsregeln und IP-Adressen.
Angabe von Ports
In der folgenden Tabelle finden Sie eine Übersicht über die gültigen Portkonfigurationen beruhend auf dem Load-Balancing-Schema und dem Ziel der Weiterleitungsregel.
| Produkt | Load-Balancing-Schema | Ziel | Port-Anforderungen |
|---|---|---|---|
| Regionaler externer Application Load Balancer | EXTERNAL_MANAGED | Ziel-HTTP-Proxy Ziel-HTTPS-Proxy |
Kann auf genau einen Port von 1–65535 verweisen |
| Regionaler interner Application Load Balancer | INTERNAL_MANAGED | Ziel-HTTP-Proxy Ziel-HTTPS-Proxy |
Kann auf genau einen Port von 1–65535 verweisen |
| Regionaler externer Proxy-Network Load Balancer | EXTERNAL_MANAGED | Ziel-TCP-Proxy | Kann auf genau einen Port von 1–65535 verweisen |
| Regionaler interner Proxy-Network Load Balancer | INTERNAL_MANAGED | Ziel-TCP-Proxy | Kann auf genau einen Port von 1–65535 verweisen |
| Externer Passthrough-Network Load Balancer | EXTERN | Backend-Dienst | Wenn das Protokoll der Weiterleitungsregel TCP oder UDP ist, können Sie Folgendes konfigurieren:
Wenn das Protokoll der Weiterleitungsregel L3_DEFAULT lautet, müssen Sie alle Ports konfigurieren.
|
| Zielpool | Muss ein einzelner Portbereich (fortlaufend) sein Die Angabe eines Ports ist für Weiterleitungsregeln, die mit zielpoolbasierten externen Passthrough-Network Load Balancern verwendet werden, optional. Wenn kein Port angegeben ist, wird Traffic von allen Ports (1–65535) weitergeleitet. |
||
| Interner Passthrough-Network Load Balancer | INTERN | Backend-Dienst | Kann bis zu fünf (fortlaufende oder nicht fortlaufende) Ports oder alle Ports mit einer der folgenden Methoden konfigurieren: Festlegen von --ports=ALL mit dem gcloud-Befehlszeilentool oder Festlegen von True für allPorts mit der API.
|
| Klassisches VPN | EXTERN | Ziel-VPN-Gateway | Kann genau auf einen der folgenden Ports verweisen: 500, 4500 |
IAM-Bedingungen
Mit IAM-Bedingungen (Identity and Access Management) können Sie Bedingungen festlegen, um zu bestimmen, welche Rollen Hauptkonten zugewiesen werden. Mit diesem Feature können Sie Hauptkonten Berechtigungen erteilen, wenn die konfigurierten Bedingungen erfüllt sind.
Eine IAM-Bedingung prüft das Load-Balancing-Schema (z. B. INTERNAL oder EXTERNAL) in der Weiterleitungsregel und lässt die Erstellung der Weiterleitungsregel zu (oder eben nicht). Wenn ein Hauptkonto versucht, ohne Berechtigung eine Weiterleitungsregel zu erstellen, wird eine Fehlermeldung angezeigt.
Weitere Informationen finden Sie unter IAM-Bedingungen.
Weiterleitungsregeln verwenden
Wenn Sie einen Load Balancer mit der Trusted Cloud Console einrichten, wird die Weiterleitungsregel implizit als Teil Ihrer Frontend-Konfiguration eingerichtet. Bei Verwendung der Google Cloud CLI oder der API muss die Weiterleitungsregel explizit konfiguriert werden.
Nachdem Sie eine Weiterleitungsregel erstellt haben, können Sie nur noch eingeschränkte Änderungen daran vornehmen. Nachdem Sie eine Weiterleitungsregel definiert haben, können Sie beispielsweise ihre IP-Adresse, Portnummer oder ihr Protokoll nicht mehr ändern. Sie können jedoch bestimmte Einstellungen für Weiterleitungsregeln aktualisieren, indem Sie die Frontend-Konfiguration des Load Balancers bearbeiten, dem sie zugeordnet sind. Verwenden Sie entweder die gcloud CLI oder die API, um weitere Änderungen vorzunehmen.
IP-Adresse einer Weiterleitungsregel ändern
Sie können die IP-Adresse einer bestehenden Weiterleitungsregel nicht ändern. Um die IP-Adresse einer Weiterleitungsregel zu aktualisieren, müssen Sie die Regel so löschen und neu erstellen:
Löschen Sie die Weiterleitungsregel mit dem Befehl
gcloud compute forwarding-rules deleteoder der MethodeforwardingRules.delete.Erstellen Sie die Weiterleitungsregel mit dem Befehl
gcloud compute forwarding-rules createoder der MethodeforwardingRules.insertneu.
APIs
Eine Beschreibung der Attribute und Methoden, die Sie für Weiterleitungsregeln über die REST API nutzen können, finden Sie unter:
- Regional: forwardingRules
Google Cloud CLI
Hier finden Sie die gcloud CLI-Referenzdokumentation:
gcloud compute forwarding-rules
- Regional:
--region=[REGION]
Nächste Schritte
- Weitere Informationen zur Protokollweiterleitung finden Sie unter Übersicht über die Protokollweiterleitung.