Una regola di forwarding specifica come instradare il traffico di rete ai servizi di backend di un bilanciatore del carico. Una regola di forwarding include un indirizzo IP, un protocollo IP e una o più porte su cui il bilanciatore del carico accetta il traffico. Alcuni bilanciatori del caricoTrusted Cloud by S3NS ti limitano a un insieme predefinito di porte, mentre altri ti consentono di specificare porte arbitrarie.
Una regola di forwarding e il relativo indirizzo IP rappresentano la configurazione del frontend di un bilanciatore del carico Trusted Cloud by S3NS .
A seconda del tipo di bilanciatore del carico, vale quanto segue:
- Le regole di forwarding specificano un servizio di backend, un proxy di destinazione o un pool di destinazione.
- Le regole di forwarding e i relativi indirizzi IP sono interni o esterni.
- Le regole di forwarding sono regionali.
Inoltre, una regola di forwarding regionale può essere una risorsa designata come servizio nelle applicazioni App Hub.
Trusted CloudRegole di forwarding interno
Le regole di forwarding interno inoltrano il traffico che ha origine all'interno di una rete Trusted Cloud . I client possono trovarsi nella stessa rete Virtual Private Cloud (VPC) dei backend oppure in una rete connessa.
Le regole di forwarding interno vengono utilizzate dai seguenti bilanciatori del carico Trusted Cloud :
- Bilanciatore del carico delle applicazioni interno
- Bilanciatore del carico di rete proxy interno
- Bilanciatore del carico di rete passthrough interno
Bilanciatore del carico delle applicazioni interno
Il bilanciatore del carico delle applicazioni interno supporta il traffico IPv4 utilizzando i protocolli HTTP, HTTPS o HTTP/2.
L'ambito della regola di forwarding dipende dal tipo di bilanciatore del carico:
- Ogni bilanciatore del carico delle applicazioni interno regionale ha almeno una regola di forwarding interno regionale. La regola di forwarding interna regionale punta al proxy HTTP o HTTPS di destinazione regionale del bilanciatore del carico. La regola di forwarding è associata a un indirizzo IP interno regionale.
Le regole di forwarding gestite interne connesse a un proxy HTTP(S) di destinazione supportano qualsiasi numero di porta compreso tra 1 e 65535 inclusi.
Ad esempio, il seguente diagramma mostra come una regola di forwarding si inserisce nell'architettura del bilanciatore del carico delle applicazioni interno regionale.
Per saperne di più sui bilanciatori del carico delle applicazioni interni, consulta le seguenti pagine:
- Panoramica del bilanciatore del carico delle applicazioni interno
- Configura un bilanciatore del carico delle applicazioni interno
- Bilanciatori del carico delle applicazioni interni e reti connesse
Bilanciatore del carico di rete proxy interno
Con un bilanciatore del carico di rete proxy interno, il tipo di traffico supportato è IPv4 e il protocollo supportato è TCP.
L'ambito della regola di forwarding dipende dal tipo di bilanciatore del carico:
- Ogni bilanciatore del carico di rete proxy interno regionale ha almeno una regola di forwarding interno regionale. La regola di forwarding specifica un indirizzo IP interno, una porta e un proxy TCP di destinazione regionale. I client utilizzano l'indirizzo IP e la porta per connettersi ai proxy Envoy del bilanciatore del carico. L'indirizzo IP della regola di forwarding è l'indirizzo IP del bilanciatore del carico (a volte chiamato indirizzo IP virtuale o VIP).
Le regole di forwarding gestite interne connesse a un proxy TCP di destinazione supportano qualsiasi numero di porta compreso tra 1 e 65535 inclusi.
Il seguente diagramma mostra come una regola di forwarding si inserisce nell'architettura del bilanciatore del carico di rete proxy interno regionale.
Per ulteriori dettagli sui bilanciatori del carico di rete proxy interni, consulta le seguenti pagine:
- Panoramica del bilanciatore del carico di rete proxy interno
- Bilanciatore del carico di rete proxy interno e reti connesse
Bilanciatore del carico di rete passthrough interno
Con un bilanciatore del carico di rete passthrough interno, i tipi di traffico supportati sono IPv4 o IPv6. Per informazioni sui protocolli supportati, vedi Protocolli delle regole di forwarding.
Ogni bilanciatore del carico di rete passthrough interno ha almeno una regola di forwarding interna regionale. Le regole di forwarding interno a livello di regione puntano al servizio di backend interno a livello di regione del bilanciatore del carico. Il seguente diagramma mostra come una regola di forwarding si inserisce nell'architettura del bilanciatore del carico di rete passthrough interno.
Il seguente diagramma mostra come i componenti del bilanciatore del carico si inseriscono in una subnet e in una regione.
La regola di forwarding interna deve essere definita in una regione e in una subnet. Il servizio di backend deve corrispondere solo a quella regione.
Per saperne di più sui bilanciatori del carico di rete passthrough interni, consulta le seguenti pagine:
- Panoramica del bilanciatore del carico di rete passthrough interno
- Configura un bilanciatore del carico di rete passthrough interno
- Bilanciatori del carico di rete passthrough interni e reti connesse
Regole di forwarding esterno
Le regole di forwarding esterno accettano il traffico dai sistemi client che hanno accesso a internet, tra cui:
- Un cliente al di fuori di Trusted Cloud
- Una VM Trusted Cloud con un indirizzo IP esterno
- Una VM Trusted Cloud senza un indirizzo IP esterno che utilizza Cloud NAT o un sistema NAT basato su istanza
Le regole di forwarding esterne vengono utilizzate dai seguenti tipi di bilanciatori del carico Trusted Cloud :
- Application Load Balancer esterno
- Bilanciatore del carico di rete proxy esterno
- Bilanciatore del carico di rete passthrough esterno
Application Load Balancer esterno
Per i bilanciatori del carico delle applicazioni esterni, la regola di forwarding e l'indirizzo IP dipendono dalla modalità del bilanciatore del carico e dai Network Service Tiers selezionati per il bilanciatore del carico.
In un bilanciatore del carico delle applicazioni esterno, una regola di forwarding punta a un proxy HTTP(S) di destinazione. Le regole di forwarding esterne connesse a un proxy HTTP(S) di destinazione supportano qualsiasi numero di porta compreso tra 1 e 65535 inclusi.
I bilanciatori del carico delle applicazioni esterni regionali utilizzano un indirizzo IPv4 esterno regionale e una regola di forwarding esterno regionale.
Il seguente diagramma mostra come una regola di forwarding regionale si inserisce nell'architettura di un bilanciatore del carico delle applicazioni esterno regionale.
Per saperne di più sui bilanciatori del carico delle applicazioni esterni, consulta la panoramica del bilanciatore del carico delle applicazioni esterno.
Bilanciatore del carico di rete proxy esterno
Un bilanciatore del carico di rete proxy esterno offre la funzionalità di proxy TCP. Questi bilanciatori del carico sono simili ai bilanciatori del carico delle applicazioni esterni perché possono terminare le sessioni TCP. Tuttavia, questi bilanciatori del carico non supportano il reindirizzamento basato sul percorso come i bilanciatori del carico delle applicazioni esterni.
In un bilanciatore del carico di rete proxy esterno, una regola di forwarding punta a un proxy TCP di destinazione. Le regole di forwarding esterno connesse a un proxy TCP di destinazione supportano qualsiasi numero di porta compreso tra 1 e 65535 inclusi.
Il seguente diagramma mostra come una regola di forwarding si inserisce nell'architettura del bilanciatore del carico di rete proxy esterno regionale.
Per ulteriori informazioni sui bilanciatori del carico di rete proxy esterni, consulta la Panoramica del bilanciatore del carico di rete proxy esterno. Per informazioni sulla configurazione dei bilanciatori del carico di rete proxy esterni, consulta Configura un bilanciatore del carico di rete proxy esterno.
Bilanciatore del carico di rete passthrough esterno
I bilanciatori del carico di rete passthrough esterni sono bilanciatori del carico passthrough che distribuiscono il traffico tra le istanze di backend in una singola regione. Un bilanciatore del carico di rete passthrough esterno utilizza una regola di forwarding esterna regionale e un indirizzo IP esterno regionale. L'indirizzo IP esterno regionale è accessibile da qualsiasi punto di internet e dalle VM con accesso a internet. Trusted Cloud
Per i bilanciatori del carico di rete passthrough esterni basati su servizi di backend, la regola di forwarding esterno regionale punta a un servizio di backend. I bilanciatori del carico di rete passthrough esterni basati sul servizio di backend supportano il traffico TCP, UDP, ESP, GRE, ICMP e ICMPv6. Per i dettagli, consulta Protocolli delle regole di forwarding per i bilanciatori del carico di rete passthrough esterni basati sui servizi di backend. Le regole di forwarding per i bilanciatori del carico basati sui servizio di backend possono essere configurate con indirizzi IPv4 o IPv6. Le regole di forwarding per i bilanciatori del carico di rete passthrough esterni basati sui servizio di backend supportano le seguenti funzionalità avanzate:
- Indirizzare il traffico proveniente da un intervallo specifico di indirizzi IP di origine a un servizio di backend specifico. Per saperne di più, consulta Steering del traffico.
- Distribuisci il traffico tra le istanze di backend del bilanciatore del carico in base ai pesi segnalati da un controllo di integrità HTTP utilizzando il bilanciamento del carico ponderato.
Per i bilanciatori del carico di rete passthrough esterni basati su pool di destinazione, la regola di forwarding punta a un pool di destinazione. Un bilanciatore del carico di rete passthrough esterno basato su pool di destinazione supporta solo il traffico TCP o UDP. Le regole di forwarding per il bilanciatore del carico di rete passthrough esterno basato su pool di destinazione supportano solo gli indirizzi IPv4.
Per supportare le istanze di backend in più di una regione, devi creare un bilanciatore del carico di rete passthrough esterno in ogni regione.
La figura seguente mostra un bilanciatore del carico di rete passthrough esterno con una regola di forwarding esterno regionale con l'indirizzo IP 120.1.1.1. Il bilanciatore del carico gestisce
le richieste dai backend nella regione us-central1.
Per saperne di più sui bilanciatori del carico di rete passthrough esterni, consulta la Panoramica del bilanciatore del carico di rete passthrough esterno. Per informazioni sulla configurazione dei bilanciatori del carico di rete passthrough esterni, consulta una delle seguenti risorse:
- Configurazione di un bilanciatore del carico di rete passthrough esterno con un servizio di backend (solo traffico TCP o UDP)
- Configurazione di un bilanciatore del carico di rete passthrough esterno con un servizio di backend (più protocolli)
- Configurazione di un bilanciatore del carico di rete passthrough esterno con un pool di destinazione
Specifiche del protocollo IP
Ogni regola di forwarding ha un protocollo IP associato che verrà utilizzato dalla regola.
Il valore predefinito del protocollo è TCP.
| Prodotto | Schema di bilanciamento del carico | Opzioni del protocollo IP |
|---|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale | EXTERNAL_MANAGED | TCP |
| Bilanciatore del carico delle applicazioni interno regionale | INTERNAL_MANAGED | TCP |
| Bilanciatore del carico di rete proxy esterno regionale | EXTERNAL_MANAGED | TCP |
| Bilanciatore del carico di rete proxy interno regionale | INTERNAL_MANAGED | TCP |
| Bilanciatore del carico di rete passthrough esterno | EXTERNAL | TCP, UDP o L3_DEFAULT |
| Bilanciatore del carico di rete passthrough interno | INTERNAL | TCP, UDP o L3_DEFAULT |
| Cloud Service Mesh | INTERNAL_SELF_MANAGED | TCP |
Specifiche dell'indirizzo IP
La regola di forwarding deve avere un indirizzo IP che i tuoi clienti utilizzano per raggiungere il bilanciatore del carico. L'indirizzo IP può essere statico o temporaneo.
Un indirizzo IP statico fornisce un unico indirizzo IP riservato a cui puoi indirizzare il tuo dominio. Se devi eliminare la regola di forwarding e aggiungerla di nuovo, puoi continuare a utilizzare lo stesso indirizzo IP riservato.
Un indirizzo IP temporaneo rimane costante finché esiste la regola di forwarding. Quando scegli un indirizzo IP temporaneo, Trusted Cloud associa un indirizzo IP alla regola di forwarding del bilanciatore del carico. Se devi eliminare la regola di forwarding e aggiungerla di nuovo, la regola di forwarding potrebbe ricevere un nuovo indirizzo IP.
A seconda del tipo di bilanciatore del carico, l'indirizzo IP può avere vari attributi. La seguente tabella riepiloga le configurazioni di indirizzi IP validi, in base allo schema di bilanciamento del carico e alla destinazione della regola di forwarding.
| Prodotto e schema | Target | Tipo di indirizzo IP | Ambito dell'indirizzo IP | Livello dell'indirizzo IP | Indirizzo IP prenotabile | Note |
|---|---|---|---|---|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale EXTERNAL_MANAGED |
Proxy HTTP di destinazione Proxy HTTPS di destinazione |
Esterno | Regionale | Livello Premium | Sì, facoltativo | IPv6 non disponibile |
| Bilanciatore del carico delle applicazioni interno regionale INTERNAL_MANAGED |
Proxy HTTP di destinazione Proxy HTTPS di destinazione |
Interno | Regionale | Livello Premium | Sì, facoltativo | L'indirizzo della regola di forwarding deve rientrare nell'intervallo di indirizzi IPv4 primari della subnet associata. |
| Bilanciatore del carico di rete proxy esterno regionale EXTERNAL_MANAGED |
Proxy TCP di destinazione | Esterno | Regionale | Livello Premium | Sì, facoltativo | IPv6 non disponibile |
| Bilanciatore del carico di rete proxy interno regionale INTERNAL_MANAGED |
Proxy TCP di destinazione | Interno | Regionale | Livello Premium | Sì, facoltativo | L'indirizzo della regola di forwarding deve rientrare nell'intervallo di indirizzi IPv4 principali della subnet associata |
| Bilanciatore del carico di rete passthrough esterno EXTERNAL |
Servizio di backend Pool di destinazione |
Esterno | Regionale | Premium (indirizzi IPv4 o IPv6) | Sì, facoltativo | Il supporto di IPv6 richiede un bilanciatore del carico di rete passthrough esterno basato su un servizio di backend. L'indirizzo IPv6 della regola di forwarding deve rientrare nell'intervallo di indirizzi IPv6 esterni di una subnet. L'indirizzo IPv6 esterno proviene dall'intervallo di indirizzi IPv6 esterni della subnet ed è quindi nel livello Premium. |
| Bilanciatore del carico di rete passthrough interno INTERNAL |
Servizio di backend | Interno | Regionale | Livello Premium | Sì, facoltativo | Per il traffico IPv4, la regola di forwarding deve fare riferimento a un indirizzo IPv4 dell'intervallo di subnet IPv4 primario. Per il traffico IPv6, la regola di forwarding deve fare riferimento a un intervallo di indirizzi IPv6 interni |
| VPN classica EXTERNAL |
Consulta la documentazione di VPN classica. | Esterno | Regionale | Cloud VPN non dispone di Network Service Tiers | Sì, obbligatorio | IPv6 non supportato |
EXTERNAL_MANAGED servizi di backend a
EXTERNAL regole di forwarding. Tuttavia, i servizi di backend EXTERNAL non possono essere collegati alle regole di forwarding EXTERNAL_MANAGED.
Per usufruire delle nuove funzionalità disponibili
solo con il bilanciatore del carico delle applicazioni esterno globale, ti
consigliamo di eseguire la migrazione delle risorse EXTERNAL esistenti a
EXTERNAL_MANAGED utilizzando la procedura di migrazione descritta in
Eseguire la migrazione
delle risorse dal bilanciatore del carico delle applicazioni esterno classico a quello globale.
Più regole di forwarding con un indirizzo IP comune
Due o più regole di forwarding con lo schema di bilanciamento del carico EXTERNAL o EXTERNAL_MANAGED (o una combinazione di entrambi) possono condividere lo stesso indirizzo IP se sono vere le seguenti condizioni:
- Le porte utilizzate da ogni regola di forwarding non si sovrappongono. Questo perché
ogni combinazione di
IP address + protocol + portdeve essere univoca. - I livelli di servizio di rete di ogni regola di forwarding corrispondono a Network Service Tiers dell'indirizzo IP esterno.
Esempi:
- Un bilanciatore del carico di rete passthrough esterno che accetta il traffico sulla porta TCP 79 e un altro bilanciatore del carico di rete passthrough esterno che accetta il traffico sulla porta TCP 80 possono condividere lo stesso indirizzo IP esterno regionale.
- Puoi utilizzare lo stesso indirizzo IP esterno globale per un bilanciatore del carico delle applicazioni esterno (HTTP e HTTPS).
Due o più regole di forwarding con lo schema di bilanciamento del carico INTERNAL o INTERNAL_MANAGED (o una combinazione di entrambi) possono condividere lo stesso indirizzo IP se:
- Le porte utilizzate da ogni regola di forwarding non si sovrappongono. Questo perché
ogni combinazione di
IP address + protocol + portdeve essere univoca.
Per ulteriori informazioni, consulta le seguenti risorse:
- Per i bilanciatori del carico di rete passthrough interni, consulta Regole di forwarding del bilanciatore del carico di rete passthrough interno che utilizzano un indirizzo IP comune.
- Per i bilanciatori del carico delle applicazioni interni, consulta Utilizzare un indirizzo IP comune tra più regole di forwarding interne.
- Per i bilanciatori del carico di rete proxy interni, vedi Regole di forwarding e indirizzi IP.
Specifiche della porta
La seguente tabella riepiloga le configurazioni delle porte valide, in base allo schema di bilanciamento del carico e alla destinazione della regola di forwarding.
| Prodotto | Schema di bilanciamento del carico | Target | Requisiti per le porte |
|---|---|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale | EXTERNAL_MANAGED | Proxy HTTP di destinazione Proxy HTTPS di destinazione |
Può fare riferimento a una sola porta compresa tra 1 e 65535 |
| Bilanciatore del carico delle applicazioni interno regionale | INTERNAL_MANAGED | Proxy HTTP di destinazione Proxy HTTPS di destinazione |
Può fare riferimento a una sola porta compresa tra 1 e 65535 |
| Bilanciatore del carico di rete proxy esterno regionale | EXTERNAL_MANAGED | Proxy TCP di destinazione | Può fare riferimento a una sola porta compresa tra 1 e 65535 |
| Bilanciatore del carico di rete proxy interno regionale | INTERNAL_MANAGED | Proxy TCP di destinazione | Può fare riferimento a una sola porta compresa tra 1 e 65535 |
| Bilanciatore del carico di rete passthrough esterno | EXTERNAL | Servizio di backend | Se il protocollo della regola di forwarding è TCP o UDP,
puoi configurare:
Se il protocollo della regola di forwarding è L3_DEFAULT,
devi configurare tutte le porte.
|
| Pool di destinazione | Deve essere un singolo intervallo di porte (contiguo) La specifica di una porta è facoltativa per le regole di forwarding utilizzate con i bilanciatori del carico di rete passthrough esterni basati su pool di destinazione. Se non viene specificata alcuna porta, il traffico da tutte le porte (1-65535) viene inoltrato. |
||
| Bilanciatore del carico di rete passthrough interno | INTERNAL | Servizio di backend | Fino a cinque porte (contigue o non contigue) oppure puoi configurare tutte le porte utilizzando uno di questi metodi: imposta --ports=ALL utilizzando lo strumento a riga di comando gcloud oimposta allPorts su True utilizzando l'API.
|
| VPN classica | EXTERNAL | Gateway VPN di destinazione | Può fare riferimento esattamente a una delle seguenti porte: 500, 4500 |
Condizioni IAM
Con le condizioni IAM (Identity and Access Management), puoi impostare condizioni per controllare quali ruoli vengono concessi alle entità. Questa funzionalità consente di concedere autorizzazioni alle entità se vengono soddisfatte le condizioni configurate.
Una condizione IAM controlla lo schema di bilanciamento del carico (ad esempio,
INTERNAL o EXTERNAL) nella regola di forwarding e consente (o non consente)
la creazione della regola di forwarding. Se un'entità tenta di creare una regola di inoltro senza autorizzazione, viene visualizzato un messaggio di errore.
Per ulteriori informazioni, consulta la sezione Condizioni IAM.
Utilizzo delle regole di forwarding
Se utilizzi la console Trusted Cloud per configurare un bilanciatore del carico, la regola di forwarding viene configurata implicitamente nell'ambito della configurazione del frontend. Se utilizzi Google Cloud CLI o l'API, devi configurare la regola di forwarding in modo esplicito.
Dopo aver creato una regola di forwarding, puoi apportarvi modifiche limitate. Ad esempio, dopo aver definito una regola di forwarding, non puoi modificarne l'indirizzo IP, il numero di porta o il protocollo. Tuttavia, puoi aggiornare determinate impostazioni per le regole di inoltro modificando la configurazione frontend del bilanciatore del carico a cui sono associate. Utilizza gcloud CLI o l'API per apportare altre modifiche.
Modificare l'indirizzo IP di una regola di forwarding
Non puoi modificare l'indirizzo IP di una regola di forwarding esistente. Per aggiornare l'indirizzo IP di una regola di forwarding, devi eliminare e ricreare la regola nel seguente modo:
Elimina la regola di forwarding utilizzando il comando
gcloud compute forwarding-rules deleteo il metodoforwardingRules.delete.Ricrea la regola di forwarding utilizzando il comando
gcloud compute forwarding-rules createo il metodoforwardingRules.insert.
API
Per le descrizioni delle proprietà e dei metodi a tua disposizione quando lavori con le regole di inoltro tramite l'API REST, consulta quanto segue:
- Regionale: forwardingRules
Google Cloud CLI
Per la documentazione di riferimento di gcloud CLI, consulta quanto segue:
gcloud compute forwarding-rules
- Regionale:
--region=[REGION]
Passaggi successivi
- Per scoprire di più sul forwarding del protocollo, consulta la panoramica del forwarding del protocollo.