Weiterleitungsregeln – Übersicht

Die Front-End-Konfiguration eines Load-Balancers von Google Cloud besteht aus einer Weiterleitungsregel und der zugehörigen IP-Adresse.

Jede Weiterleitungsregel verweist auf eine IP-Adresse und einen oder mehrere Ports, an denen der Load-Balancer den Traffic annimmt. Einige Google Cloud-Load-Balancer sind auf eine vordefinierte Gruppe von Ports beschränkt; andere ermöglichen die Angabe beliebiger Ports.

Die Weiterleitungsregel gibt auch ein IP-Protokoll an. Bei Google Cloud-Load-Balancern ist das IP-Protokoll immer entweder TCP oder UDP.

Je nach Load-Balancer-Typ gilt Folgendes:

  • Eine Weiterleitungsregel gibt einen Back-End-Dienst, Ziel-Proxy oder Zielpool an.
  • Eine Weiterleitungsregel und die zugehörige IP-Adresse können intern oder extern sein.

Ebenfalls abhängig vom Load-Balancer und dessen Stufe ist eine Weiterleitungsregel entweder global oder regional.

Interne Weiterleitungsregeln

Mit internen Weiterleitungsregeln wird Traffic weitergeleitet, der aus einem Google Cloud-Netzwerk stammt. Die Clients können sich entweder im selben VPC-Netzwerk (Virtual Private Cloud) wie die Back-Ends oder aber in einem verbundenen Netzwerk befinden.

Interne Weiterleitungsregeln werden von zwei Arten von Google Cloud-Load-Balancern verwendet:

  • Interne TCP/UDP-Load-Balancer
  • Interne HTTP(S)-Load-Balancer

Interne TCP/UDP-Load-Balancer

Interne TCP/UDP-Load-Balancer unterstützen IPv4 als Traffictyp. Das unterstützte Protokoll ist entweder TCP oder UDP (aber nicht beide).

Jeder interne TCP/UDP-Load-Balancer hat mindestens eine regionale interne Weiterleitungsregel. Regionale interne Weiterleitungsregeln verweisen auf den regionalen internen Back-End-Dienst des Load-Balancers. Das folgende Diagramm zeigt, wie eine Weiterleitungsregel in die Architektur des internen TCP/UDP-Load-Balancing eingebunden wird.

Interne Weiterleitungsregel für das TCP/UDP-Load-Balancing (zum Vergrößern anklicken)
Interne Weiterleitungsregel für das TCP/UDP-Load-Balancing (zum Vergrößern anklicken)

Das folgende Diagramm zeigt, wie die Komponenten des Load-Balancers in ein Subnetz und eine Region eingebunden werden.

Die interne Weiterleitungsregel muss sich in einer Region und in einem Subnetz befinden. Der Back-End-Dienst muss sich nur in der Region befinden.

Allgemeines Beispiel für einen internen TCP/UDP-Load-Balancer (zum Vergrößern klicken)
Allgemeines Beispiel für einen internen TCP/UDP-Load-Balancer (zum Vergrößern anklicken)

Weitere Informationen zu internen TCP/UDP-Load-Balancern finden Sie in der Übersicht über das interne TCP/UDP-Load-Balancing. Informationen zum Konfigurieren interner TCP/UDP-Load-Balancer finden Sie unter Internes TCP/UDP-Load-Balancing einrichten.

Interne HTTP(S)-Load-Balancer

Bei einem internen HTTP(S)-Load-Balancer wird IPv4 als Traffictyp unterstützt. Das unterstützte Protokoll ist entweder HTTP, HTTPS oder HTTP/2.

Jeder interne HTTP-S-Load-Balancer hat genau eine regionale interne Weiterleitungsregel. Die regionale Weiterleitungsregel verweist auf den regionalen HTTP- oder HTTPS-Zielproxy des Load-Balancers. Das folgende Diagramm zeigt, wie eine Weiterleitungsregel in die Architektur des internen HTTP(S)-Load-Balancing eingebunden wird.

Weiterleitungsregel des internen HTTP(S)-Load-Balancing (zum Vergrößern anklicken)
Interne HTTP(S)-Load-Balancing-Weiterleitungsregel (zum Vergrößern anklicken)

Weitere Informationen zu internen HTTP(S)-Load-Balancern finden Sie unter Übersicht über das interne HTTP(S)-Load-Balancing. Informationen zum Konfigurieren von internen HTTP(S)-Load-Balancern finden Sie unter Vorbereitung für die Einrichtung des internen HTTP(S)-Load-Balancing.

Externe Weiterleitungsregeln

Externe Weiterleitungsregeln leiten aus dem Internet, also von außerhalb Ihres Netzwerks stammenden Traffic weiter.

Externe Weiterleitungsregeln werden von den folgenden Google Cloud-Load-Balancern verwendet:

  • Externe HTTP(S)-Load-Balancer
  • SSL-Proxy-Load-Balancer
  • TCP-Proxy-Load-Balancer
  • Netzwerk-Load-Balancer

HTTP(S)-Load-Balancer

Die externen HTTP(S)-Load-Balancer unterstützen sowohl die Premiumstufe als auch die Standardstufe. Die Weiterleitungsregel und die IP-Adresse hängen von der Stufe ab, die Sie für den Load-Balancer auswählen.

In einem externen HTTP(S)-Load-Balancer verweist eine Weiterleitungsregel auf einen Zielproxy.

In der Premium-Stufe verwendet ein externer HTTP(S)-Load-Balancer eine globale externe IP-Adresse, die IPv4 oder IPv6 sein kann, und eine globale externe Weiterleitungsregel. Sie können eine global zugängliche Anwendung bereitstellen, die Endnutzer an Back-Ends in der nächstgelegenen Region weiterleitet und den Traffic auf mehrere Regionen verteilt. Da eine globale externe Weiterleitungsregel eine einzelne externe IP-Adresse verwendet, müssen Sie keine separaten DNS-Einträge in unterschiedlichen Regionen speichern oder warten, bis DNS-Änderungen weitergeleitet werden.

Sie können zwei verschiedene globale externe IP-Adressen verwenden, die auf denselben externen HTTP(S)-Load-Balancer verweisen. Beispiel: In der Premium-Stufe kann in einer ersten Weiterleitungsregel IPv4 für eine globale externe IP-Adresse verwendet werden und in einer zweiten Weiterleitungsregel IPv6. Beide Weiterleitungsregeln können auf denselben Zielproxy verweisen. Daher können Sie sowohl eine IPv4- als auch eine IPv6-Adresse für denselben externen HTTP(S)-Load-Balancer angeben. Weitere Informationen finden Sie in der Dokumentation IPv6-Beendigung.

In der Standardstufe verwendet ein externer HTTP(S)-Load-Balancer eine regionale externe IP-Adresse, die IPv4 sein muss, und eine regionale externe Weiterleitungsregel. Ein externer HTTP(S)-Load-Balancer in der Standardstufe kann Traffic nur an Back-Ends innerhalb einer einzelnen Region verteilen.

Das folgende Diagramm zeigt, wie eine Weiterleitungsregel in die Architektur des HTTP(S)-Load-Balancing eingebunden wird.

HTTP(S)-Load-Balancing-Weiterleitungsregel (zum Vergrößern anklicken)
HTTP(S)-Load-Balancing-Weiterleitungsregel (zum Vergrößern anklicken)

Weitere Informationen zu externen HTTP(S)-Load-Balancern finden Sie in der Übersicht über das HTTP(S)-Load-Balancing.

SSL-Proxy-Load-Balancer

Ein SSL-Proxy-Load-Balancer ähnelt einem externen HTTP(S)-Load-Balancer, da er SSL-(TLS-)Sitzungen beenden kann. SSL-Proxy-Load-Balancer unterstützen keine pfadbasierte Weiterleitung wie externe HTTP(S)-Load-Balancer. Daher eignen sie sich am besten für die Verarbeitung von SSL für andere Protokolle als HTTPS wie IMAP oder WebSockets über SSL. Weitere Informationen finden Sie in der SSL-FAQ.

In einem SSL-Proxy-Load-Balancer verweist eine Weiterleitungsregel auf einen Zielproxy.

SSL-Proxy-Load-Balancer unterstützen sowohl die Premium- als auch die Standardstufe. Die Weiterleitungsregel und die IP-Adresse hängen von der Stufe ab, die Sie für den Load-Balancer auswählen.

In der Premium-Stufe verwenden SSL-Proxy-Load-Balancer eine globale externe IP-Adresse, die IPv4 oder IPv6 sein muss, und eine globale externe Weiterleitungsregel. Sie können eine global zugängliche Anwendung bereitstellen, die Endnutzer an Back-Ends in der nächstgelegenen Region weiterleitet und den Traffic auf mehrere Regionen verteilt. Da eine globale externe Weiterleitungsregel eine einzelne externe IP-Adresse verwendet, müssen Sie keine separaten DNS-Einträge in verschiedenen Regionen verwalten oder warten, bis DNS-Änderungen wirksam werden.

Es ist möglich, zwei verschiedene globale externe IP-Adressen zu verwenden, die auf denselben SSL-Proxy-Load-Balancer verweisen. Beispiel: In der Premium-Stufe kann in einer ersten Weiterleitungsregel IPv4 für eine globale externe IP-Adresse verwendet werden und in einer zweiten Weiterleitungsregel IPv6. Beide Weiterleitungsregeln können auf denselben Zielproxy verweisen. Daher können Sie für denselben SSL-Proxy-Load-Balancer sowohl eine IPv4- als auch eine IPv6-Adresse angeben. Weitere Informationen finden Sie in der Dokumentation IPv6-Beendigung.

In der Standardstufe verwendet ein SSL-Proxy-Load-Balancer eine regionale externe IP-Adresse, die IPv4 sein muss, und eine regionale externe Weiterleitungsregel. Ein SSL-Proxy-Load-Balancer in der Standardstufe kann Traffic nur an Back-Ends innerhalb einer einzelnen Region verteilen.

Das folgende Diagramm zeigt, wie eine Weiterleitungsregel in die Architektur des SSL-Proxy-Load-Balancing eingebunden wird.

Weiterleitungsregel für SSL-Proxy-Load-Balancing (zum Vergrößern anklicken)
Weiterleitungsregel für das SSL-Proxy-Load-Balancing (zum Vergrößern anklicken)

Weitere Informationen zu SSL-Proxy-Load-Balancern finden Sie in der Übersicht über SSL-Proxy-Load-Balancing. Informationen zum Konfigurieren von SSL-Proxy-Load-Balancern finden Sie unter SSL-Proxy-Load-Balancing einrichten.

TCP-Proxy-Load-Balancer

Ein TCP-Proxy-Load-Balancer bietet die allgemeinen Funktionen eines TCP-Proxys, jedoch ohne SSL-Übertragung. TCP-Proxy-Load-Balancer unterstützen sowohl die Premium- als auch die Standardstufe. Die Weiterleitungsregel und die IP-Adresse hängen von der Stufe ab, die Sie für den Load-Balancer auswählen.

In einem TCP-Proxy-Load-Balancer verweist eine Weiterleitungsregel auf einen Zielproxy.

In der Premium-Stufe verwendet ein TCP-Proxy-Load-Balancer eine globale externe IP-Adresse, die entweder IPv4 oder IPv6 sein muss, und eine globale externe Weiterleitungsregel. Sie können eine global zugängliche Anwendung bereitstellen, die Endnutzer an Back-Ends in der nächstgelegenen Region weiterleitet und den Traffic auf mehrere Regionen verteilt. Da eine globale externe Weiterleitungsregel eine einzelne externe IP-Adresse verwendet, müssen Sie keine separaten DNS-Einträge in verschiedenen Regionen verwalten oder warten, bis DNS-Änderungen wirksam werden.

Es ist möglich, zwei verschiedene globale externe IP-Adressen zu verwenden, die auf denselben TCP-Proxy-Load-Balancer verweisen. Beispiel: In der Premium-Stufe kann in einer ersten Weiterleitungsregel IPv4 für eine globale externe IP-Adresse verwendet werden und in einer zweiten Weiterleitungsregel IPv6. Beide Weiterleitungsregeln können auf denselben Zielproxy verweisen. Daher können Sie für denselben TCP-Proxy-Load-Balancer sowohl eine IPv4- als auch eine IPv6-Adresse angeben. Weitere Informationen finden Sie in der Dokumentation IPv6-Beendigung.

In der Standardstufe verwendet ein TCP-Proxy-Load-Balancer eine regionale externe IP-Adresse, die IPv4 sein muss, und eine regionale externe Weiterleitungsregel. Ein TCP-Proxy-Load-Balancer in der Standardstufe kann Traffic nur an Back-Ends innerhalb einer einzelnen Region verteilen.

Das folgende Diagramm zeigt, wie eine Weiterleitungsregel in die Architektur des TCP-Proxy-Load-Balancing eingebunden wird.

Weiterleitungsregel für das TCP-Proxy-Load-Balancing (zum Vergrößern anklicken)
Weiterleitungsregel für das TCP-Proxy-Load-Balancing (zum Vergrößern anklicken)

Weitere Informationen zu TCP-Proxy-Load-Balancern finden Sie in der Übersicht über TCP-Proxy-Load-Balancing. Informationen zum Konfigurieren von TCP-Proxy-Load-Balancern finden Sie unter TCP-Proxy-Load-Balancing einrichten.

Netzwerk-Load-Balancer

Netzwerk-Load-Balancer verteilen entweder TCP- oder UDP-Traffic auf Back-Ends in einer einzelnen Region und unterstützen sowohl die Premium- als auch die Standardstufe. Ein Netzwerk-Load-Balancer verwendet eine regionale externe Weiterleitungsregel und eine regionale externe IPv4-Adresse (unabhängig von der Stufe). Auf die regionale externe IP-Adresse kann überall im Internet zugegriffen werden.

Eine regionale externe Weiterleitungsregel verweist auf den Zielpool des Load-Balancers.

Weiterleitungsregel für Netzwerk-Load-Balancing (zum Vergrößern anklicken)
Weiterleitungsregel für Netzwerk-Load-Balancing (zum Vergrößern anklicken)

Wenn Sie das Netzwerk-Load-Balancing in verschiedenen Regionen verwenden möchten, müssen Sie in jeder Region einen Netzwerk-Load-Balancer erstellen. Dies gilt unabhängig von der verwendeten Stufe. Die folgende Abbildung zeigt das Netzwerk-Load-Balancing mit drei Load-Balancern für drei unterschiedliche Regionen. Jeder Netzwerk-Load-Balancer verwendet eine eigene regionale externe Weiterleitungsregel und eine eigene regionale externe IPv4-Adresse.

Beispiel für Netzwerk-Load-Balancing (zum Vergrößern anklicken)
Beispiel für Netzwerk-Load-Balancing (zum Vergrößern anklicken)

Weitere Informationen zu Netzwerk-Load-Balancern finden Sie in der Übersicht zum Netzwerk-Load-Balancing. Informationen zum Konfigurieren von Netzwerk-Load-Balancern finden Sie unter Netzwerk-Load-Balancing einrichten.

Auswirkungen von Netzwerkstufen auf Load-Balancer

Bei Netzwerkdienststufen wird zwischen der Standardstufe und der Premium-Stufe unterschieden. Diese werden danach bestimmt, inwieweit der Traffic über das öffentliche Internet geleitet wird:

  • Standardstufe: Der Traffic wird so weit wie möglich vom Google-Rechenzentrum entfernt. Dies bedeutet, dass der Traffic in der Regel über eine längere Entfernung über das öffentliche Internet geleitet wird als bei der Premium-Stufe.

  • Premium-Stufe: Leitet den Traffic so weit wie möglich über das private Netzwerk von Google weiter, bevor er Google Cloud verlässt, um den Endnutzer zu erreichen.

Die internen Load-Balancer (HTTP(S) und TCP/UDP) müssen das private Netzwerk von Google verwenden und befinden sich daher immer in der Premium-Stufe. Das interne Load-Balancing erfolgt immer regional.

Nur die externen Load-Balancer (HTTP(S), TCP-Proxy, SSL-Proxy und TCP/UDP-Netzwerk) können über das öffentliche Internet geroutet werden. Sie können selbst entscheiden, ob sich Ihr externer Load-Balancer über das private Netzwerk von Google in der Premium-Stufe oder über das öffentliche Internet in der Standardstufe befindet.

Das Netzwerk-Load-Balancing ist unabhängig von der Stufe immer regional.

Mit der Premium-Stufe sind externe HTTP(S)-Load-Balancer, TCP-Proxy-Load-Balancer und SSL-Proxy-Load-Balancer global verfügbar. Die zugehörigen Weiterleitungsregeln, IP-Adressen und Back-End-Dienste sind ebenso global. In der Standardstufe sind diese Load-Balancer praktisch regional. Die zugehörigen Back-End-Dienste sind zwar ebenfalls global, die Weiterleitungsregeln und IP-Adressen jedoch regional.

Angabe von IP-Adressen

Die Weiterleitungsregel muss eine IP-Adresse haben, mit der Ihre Kunden Ihren Load-Balancer erreichen. Die IP-Adresse kann statisch oder sitzungsspezifisch sein.

Eine statische IP-Adresse stellt eine einzelne reservierte IP-Adresse bereit, auf die Sie Ihre Domain verweisen können. Wenn Sie Ihre Weiterleitungsregel löschen und wieder hinzufügen müssen, können Sie weiterhin dieselbe reservierte IP-Adresse verwenden.

Eine sitzungsspezifische IP-Adresse bleibt so lange unverändert, wie die Weiterleitungsregel vorhanden ist. Wenn Sie eine sitzungsspezifische IP-Adresse auswählen, verknüpft Google Cloud eine IP-Adresse mit der Weiterleitungsregel Ihres Load-Balancers. Wenn Sie die Weiterleitungsregel löschen und wieder hinzufügen müssen, erhält die Weiterleitungsregel möglicherweise eine neue IP-Adresse.

Je nach Load-Balancer-Typ kann die IP-Adresse verschiedene Attribute haben. In der folgenden Tabelle finden Sie eine Übersicht über die gültigen IP-Adresskonfigurationen beruhend auf dem Load-Balancing-Schema und dem Ziel der Weiterleitungsregel.

Schema Ziel Adresstyp Adressbereich Adressstufe Reservierbare Adresse Hinweise
EXTERNAL

HTTP(S)-Load-Balancing
SSL-Proxy-Load-Balancing
TCP-Proxy-Load-Balancing
Ziel-HTTP-Proxy
Ziel-HTTPS-Proxy
Ziel-SSL-Proxy
Ziel-TCP-Proxy
Extern Regional oder global, entsprechend der Weiterleitungsregel Premium-Stufe: Globale externe IP-Adresse und Weiterleitungsregel

Standardstufe: Regionale externe IP-Adresse und Weiterleitungsregel
Ja, optional IPv6 ist mit einer globalen externen Adresse verfügbar (Premium-Stufe)
EXTERNAL

Netzwerk-Load-Balancing
Zielpool Extern Regional Standard oder Premium Ja IPv6 wird nicht unterstützt.
EXTERNAL

Klassisches VPN
Siehe Dokumentation zum klassischen VPN Extern Regional Cloud VPN hat keine Netzwerkstufen. Ja, erforderlich IPv6 wird nicht unterstützt.
INTERNAL

Internes TCP/UDP-Load-Balancing
Back-End-Dienst Intern Regional Premium Ja, optional Muss aus dem primären IP-Bereich des zugehörigen Subnetzes stammen.
INTERNAL_MANAGED

Internes HTTP(S)-Load-Balancing
Ziel-HTTP-Proxy
Ziel-HTTPS-Proxy
Intern Regional Premium Ja, optional Muss aus dem primären IP-Bereich des zugehörigen Subnetzes stammen.
INTERNAL_SELF_MANAGED

Traffic Director
Ziel-HTTP-Proxy
Ziel-gRPC-Proxy
Intern Global Nicht zutreffend Nein 0.0.0.0, 127.0.0.1 oder eine beliebige RFC 1918-Adresse ist zulässig.

Mehrere Weiterleitungsregeln mit einer gemeinsamen IP-Adresse

Wenn die folgenden Bedingungen erfüllt sind, können sich zwei oder mehrere Weiterleitungsregeln mit dem EXTERNAL-Load-Balancer-Schema dieselbe IP-Adresse teilen:

  • Die von jeder Weiterleitungsregel verwendeten Ports überschneiden sich nicht.
  • Die Netzwerkdienststufen jeder Weiterleitungsregel stimmen mit den Netzwerkdienststufen der externen IP-Adresse überein.

Beispiele:

  • Ein Netzwerk-Load-Balancer, der Traffic über TCP-Port 79 akzeptiert, und ein weiterer Netzwerk-Load-Balancer, der Traffic über TCP-Port 80 akzeptiert, können dieselbe regionale externe IP-Adresse verwenden.
  • Sie können dieselbe globale externe IP-Adresse für einen externen HTTP(S)-Load-Balancer (HTTP und HTTPS) verwenden.

Wenn das Load-Balancing-Schema der Weiterleitungsregel INTERNAL oder INTERNAL_MANAGED lautet, können mehrere Weiterleitungsregeln dieselbe IP-Adresse verwenden. Weitere Informationen finden Sie in der Übersicht über internes TCP/UDP-Load-Balancing.

Wenn das Load-Balancing-Schema der Weiterleitungsregel für Traffic Director INTERNAL_SELF_MANAGED ist, muss es eine eindeutige IP-Adresse haben.

Angabe von Ports

In der folgenden Tabelle finden Sie eine Übersicht über die gültigen Portkonfigurationen beruhend auf dem Load-Balancing-Schema und dem Ziel der Weiterleitungsregel.

Schema Ziel Ports müssen angegeben werden Verhalten, wenn keine Ports angegeben sind Port-Anforderungen
EXTERN Ziel-HTTP-Proxy Ja 80, 8080
EXTERN Ziel-HTTPS-Proxy Ja 443
EXTERN Ziel-SSL-Proxy Ja 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200, and 9300
EXTERN Ziel-TCP-Proxy Ja 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200, and 9300
EXTERN Ziel-VPN-Gateway Ja 500, 4500
EXTERN Zielpool Nein Alle Ports
(1–65535) werden weitergeleitet
Müssen fortlaufend sein
INTERN Back-End-Dienst Ja Bis zu fünf (fortlaufend oder nicht fortlaufend) oder Angabe von ALL
INTERNAL_MANAGED Ziel-HTTP-Proxy
Ziel-HTTPS-Proxy
Ja Entweder 80 oder 8080
443
INTERNAL_SELF_MANAGED Ziel-HTTP-Proxy
Ziel-HTTPS-Proxy
Ja Muss ein einzelner Wert sein

Innerhalb eines VPC-Netzwerks können keine zwei Weiterleitungsregeln für Traffic Director dieselbe IP-Adresse und Portspezifikation haben.

IAM-Bedingungen

Mit IAM-Bedingungen (Identity and Access Management) können Sie Bedingungen festlegen, um zu bestimmen, welche Rollen Mitgliedern zugewiesen werden. Mit diesem Feature können Sie Mitgliedern Berechtigungen erteilen, wenn die konfigurierten Bedingungen erfüllt sind.

Eine IAM-Bedingung prüft das Load-Balancing-Schema (z. B. INTERNAL oder EXTERNAL) in der Weiterleitungsregel und lässt die Erstellung der Weiterleitungsregel zu (oder eben nicht). Wenn ein Mitglied versucht, ohne Berechtigung eine Weiterleitungsregel zu erstellen, wird eine Fehlermeldung angezeigt.

Weitere Informationen finden Sie unter IAM-Bedingungen.

Referenzen zu API und gcloud

Eine Beschreibung der Attribute und Methoden, die Sie für Weiterleitungsregeln über die REST API nutzen können, finden Sie unter:

Informationen zum Befehlszeilentool gcloud finden Sie unter:

Weitere Informationen