Descripción general de las reglas de reenvío

Una regla de reenvío y su dirección IP correspondiente representan la configuración de frontend de un balanceador de cargas de Google Cloud.

Cada regla de reenvío hace referencia a una dirección IP y a uno o más puertos en los que el balanceador de cargas acepta tráfico. Algunos balanceadores de cargas de Google Cloud te limitan a un conjunto de puertos predefinidos, mientras que otros te permiten especificar puertos arbitrarios.

Las reglas de reenvío también especifican un protocolo IP. Para los balanceadores de cargas de Google Cloud, el protocolo IP siempre es TCP o UDP.

Según el tipo de balanceador de cargas, se cumple lo siguiente:

Además, según el balanceador de cargas y su nivel, las reglas de reenvío pueden ser globales o regionales.

Reglas de reenvío internas

Las reglas de reenvío internas reenvían el tráfico que se origina dentro de una red de Google Cloud. Los clientes pueden estar en la misma red de nube privada virtual (VPC) que los backends o en una red conectada.

Las reglas de reenvío internas las usan dos tipos de balanceadores de cargas de Google Cloud:

  • Balanceadores de cargas TCP/UDP internos
  • Balanceadores de cargas HTTP(S) internos

Balanceadores de cargas TCP/UDP internos

Con los balanceadores de cargas TCP/UDP internos, el tipo de tráfico que se admite es IPv4 y el protocolo es TCP o UDP (no ambos).

Cada balanceador de cargas TCP/UDP interno tiene al menos una regla de reenvío interna regional. Este tipo de regla hace referencia al servicio de backend interno regional del balanceador de cargas. En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceo de cargas TCP/UDP interno.

Regla de reenvío del balanceo de cargas TCP/UDP interno (haz clic para ampliar)
Regla de reenvío del balanceo de cargas TCP/UDP interno (haz clic para ampliar)

En el siguiente diagrama, se muestra cómo se ajustan los componentes del balanceador de cargas dentro de una subred y una región.

La regla de reenvío interna debe estar en una región y una subred, y el servicio de backend solo debe estar en la región.

Ejemplo de balanceador de cargas TCP/UDP interno de alto nivel (haz clic para ampliar)
Ejemplo de balanceador de cargas TCP/UDP interno de alto nivel (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas TCP/UDP internos, consulta Descripción general del balanceo de cargas TCP/UDP interno. Si quieres ver detalles sobre la configuración de los balanceadores de cargas TCP/UDP internos, consulta Configura el balanceo de cargas TCP/UDP interno.

Balanceadores de cargas HTTP(S) internos

Con un balanceador de cargas HTTP(S) interno, el tipo de tráfico admitido es IPv4 y el protocolo compatible puede ser HTTP, HTTPS o HTTP/2.

Cada balanceador de cargas HTTP(S) interno tiene exactamente una regla de reenvío interna regional. La regla de reenvío interna regional apunta a la orientación regional HTTP del balanceador de cargas o proxy HTTPS. En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceo de cargas HTTP(S) interno.

Regla de reenvío del balanceo de cargas HTTP(S) interno (haz clic para ampliar)
Regla de reenvío del balanceo de cargas HTTP(S) interno (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas HTTP(S) internos, consulta Descripción general del balanceo de cargas HTTP(S) interno. Si quieres ver detalles sobre la configuración de los balanceadores de cargas HTTP(S) internos, consulta Prepárate para la configuración del balanceo de cargas HTTP(S) interno.

Reglas de reenvío externas

Las reglas de reenvío externas desvían el tráfico que se origina desde Internet, fuera de tu red de VPC.

Los siguientes balanceadores de carga de Google Cloud usan reglas de reenvío externas:

  • Balanceadores de cargas HTTP(S) externos
  • Balanceadores de cargas de proxy SSL
  • Balanceadores de cargas de proxy TCP
  • Balanceadores de cargas de red

Balanceadores de cargas HTTP(S)

Los balanceadores de cargas HTTP(S) externos son compatibles con los niveles Premium y Estándar. La regla de reenvío y la dirección IP dependen del nivel que selecciones para el balanceador de cargas.

En un balanceador de cargas HTTP(S) externo, una regla de reenvío apunta a un proxy de destino.

En el nivel Premium, un balanceador de cargas HTTP(S) externo usa una dirección IP externa global, que puede ser IPv4 o IPv6, y una regla de reenvío externa global. Puedes proporcionar una aplicación de acceso global que dirija a los usuarios finales a backends en la región más cercana y distribuya el tráfico entre varias regiones. Debido a que una regla de reenvío externa global usa una única dirección IP externa, no es necesario mantener registros DNS individuales en regiones diferentes ni esperar a que se propaguen los cambios de DNS.

Puedes tener dos direcciones IP externas globales diferentes que dirijan al mismo balanceador de cargas HTTP(S) externo. Por ejemplo, en el nivel Premium, la dirección IP externa y global de una regla de reenvío podría ser IPv4, y la dirección IP externa y global de una segunda regla de reenvío podría ser IPv6. Ambas reglas de reenvío pueden hacer referencia al mismo proxy de destino. Como resultado, puedes proporcionar una dirección IPv4 y una dirección IPv6 para el mismo balanceador de cargas HTTP(S) externo. Para obtener más información, consulta la documentación Rescisión de IPv6.

En el nivel Estándar, un balanceador de cargas HTTP(S) externo usa una dirección IP externa regional, que debe ser IPv4, y una regla de reenvío externa regional. Un balanceador de cargas HTTP(S) externo en el nivel Estándar solo puede distribuir el tráfico a los backends dentro de una sola región.

En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceo de cargas HTTP(S).

Regla de reenvío del balanceo de cargas de HTTP(S) (haz clic para ampliar)
Regla de reenvío de balanceo de cargas de HTTP(S) (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas HTTP(S) externos, consulta Descripción general del balanceo de cargas HTTP(S).

Balanceadores de cargas de proxy SSL

Un balanceador de cargas de proxy SSL es similar a un balanceador de cargas HTTP(S) externo porque puede finalizar sesiones SSL (TLS). Los balanceadores de cargas de proxy SSL no admiten el redireccionamiento basado en rutas como balanceadores de cargas HTTP(S) externos, por lo que son más adecuados a fin de manejar SSL para protocolos que no sean HTTPS, como IMAP o WebSockets en SSL. Para obtener más información, consulta Preguntas frecuentes de SSL.

En los balanceadores de cargas de proxy SSL, las reglas de reenvío hacen referencia a un proxy de destino.

Los balanceadores de cargas de proxy SSL son compatibles tanto con el nivel Premium como con el nivel Estándar. La regla de reenvío y la dirección IP dependen del nivel que selecciones para el balanceador de cargas.

En el nivel Premium, los balanceadores de cargas del proxy SSL utilizan una dirección IP externa y global (que puede ser IPv4 o IPv6), así como una regla de reenvío externa y global. Puedes proporcionar una aplicación de acceso global que dirija a los usuarios finales a backends en la región más cercana y distribuya el tráfico entre varias regiones. Debido a que las reglas de reenvío externas y globales utilizan una sola dirección IP externa, no es necesario que mantengas registros DNS separados en diferentes regiones ni que esperes a que se propaguen los cambios de DNS.

Es posible tener dos direcciones IP diferentes externas y globales que hagan referencia al mismo balanceador de cargas del proxy SSL. Por ejemplo, en el nivel Premium, la dirección IP externa y global de una regla de reenvío podría ser IPv4, y la dirección IP externa y global de una segunda regla de reenvío podría ser IPv6. Ambas reglas de reenvío pueden hacer referencia al mismo proxy de destino. Como resultado, puedes proporcionar una dirección IPv4 y una dirección IPv6 para el mismo balanceador de cargas de proxy SSL. Para obtener más información, consulta la documentación Rescisión de IPv6.

En el nivel Estándar, los balanceadores de cargas del proxy SSL utilizan una dirección IP externa y regional (que debe ser IPv4), así como una regla de reenvío externa y regional. Un balanceador de cargas de proxy SSL en el nivel Estándar solo puede distribuir el tráfico a los backends dentro de una sola región.

En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceo de cargas de proxy SSL.

Regla de reenvío del balanceo de cargas de proxy SSL (haz clic para ampliar)
Regla de reenvío del balanceo de cargas de proxy SSL (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas de proxy SSL, consulta Descripción general del balanceo de cargas de proxy SSL. Para obtener información sobre cómo configurar los balanceadores de cargas de proxy SSL, consulta Configura el balanceo de cargas de proxy SSL.

Balanceadores de cargas de proxy TCP

Los balanceadores de cargas del proxy TCP ofrecen capacidad de proxy TCP en todo el mundo, sin descarga de SSL. Los balanceadores de cargas de proxy de TCP son compatibles tanto con el nivel Premium como con el nivel Estándar. La regla de reenvío y la dirección IP dependen del nivel que selecciones para el balanceador de cargas.

En los balanceadores de cargas de proxy TCP, las reglas de reenvío hacen referencia a un proxy de destino.

En el nivel Premium, estos balanceadores utilizan una dirección IP externa y global (que puede ser IPv4 o IPv6), así como una regla de reenvío externa y global. Puedes proporcionar una aplicación de acceso global que dirija a los usuarios finales a backends en la región más cercana y distribuya el tráfico entre varias regiones. Debido a que las reglas de reenvío externas y globales utilizan una sola dirección IP externa, no es necesario que mantengas registros DNS separados en diferentes regiones ni que esperes a que se propaguen los cambios de DNS.

Es posible tener dos direcciones IP diferentes externas y globales que hagan referencia al mismo balanceador de cargas del proxy TCP. Por ejemplo, en el nivel Premium, la dirección IP externa y global de una regla de reenvío podría ser IPv4, y la dirección IP externa y global de una segunda regla de reenvío podría ser IPv6. Ambas reglas de reenvío pueden hacer referencia al mismo proxy de destino. Como resultado, puedes proporcionar una dirección IPv4 y una dirección IPv6 para el mismo balanceador de cargas de proxy TCP. Para obtener más información, consulta la documentación Rescisión de IPv6.

En el nivel Estándar, los balanceadores de cargas del proxy TCP utilizan una dirección IP externa y regional (que debe ser IPv4), así como una regla de reenvío externa y regional. Un balanceador de cargas de proxy TCP en el nivel Estándar solo puede distribuir el tráfico a los backends dentro de una sola región.

En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceo de cargas de proxy TCP.

Regla de reenvío del balanceo de cargas de proxy TCP (haz clic para ampliar)
Regla de reenvío del balanceo de cargas de proxy TCP (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas de proxy TCP, consulta Descripción general del balanceo de cargas de proxy TCP. Para obtener información sobre cómo configurar los balanceadores de cargas de proxy TCP, consulta Configura el balanceo de cargas de proxy TCP.

Balanceadores de cargas de red

Los balanceadores de cargas de red distribuyen el tráfico TCP o UDP entre los backends en una sola región y admiten tanto el nivel Premium como el nivel Estándar. Un balanceador de cargas de red usa una regla de reenvío externa regional y una dirección IPv4 externa regional (independientemente del nivel). Se puede acceder a la dirección IP externa regional desde cualquier lugar de Internet.

Las reglas de reenvío externas regionales hacen referencia al grupo objetivo del balanceador de cargas.

Regla de reenvío del balanceo de cargas de red (haz clic para ampliar)
Regla de reenvío del balanceo de cargas de red (haz clic para ampliar)

Para usar el balanceo de cargas de red en diferentes regiones, debes crear un balanceador de cargas de red en cada región. Debe ser así independientemente del nivel. En la siguiente figura, se muestra el balanceo de cargas de red con tres balanceadores para tres regiones diferentes. Cada uno tiene su propia regla de reenvío externo y regional con su propia dirección IPv4 externa y regional.

Ejemplo del balanceo de cargas de red (haz clic para ampliar)
Ejemplo del balanceo de cargas de red (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas de red, consulta Descripción general del balanceo de cargas de red. Para obtener información sobre cómo configurar los balanceadores de cargas de red, consulta Configura el balanceo de cargas de red.

Cómo afectan los niveles de servicio de red a los balanceadores de cargas

En los niveles de servicio de red, la distinción entre nivel Estándar y nivel Premium depende de cuánto se enruta el tráfico por la Internet pública:

  • Nivel Estándar: Descarga el tráfico lo más cerca posible del centro de datos de Google. Esto significa que, por lo general, el tráfico se enruta a través de la Internet pública a lo largo de una distancia más extendida, en comparación con el nivel Premium.

  • Nivel Premium: Enruta el tráfico a través de la red privada de Google tanto como sea posible antes de salir de Google Cloud para llegar al usuario final.

Los balanceadores de cargas internos (HTTP[S] y TCP/UDP) deben usar la red privada de Google y, por lo tanto, siempre están en el nivel Premium. El balanceo de cargas interno siempre es regional.

Solo los balanceadores de cargas externos (HTTP[S], proxy TCP, proxy SSL y red TCP/UDP) se pueden enrutar a través de la Internet pública. Puedes elegir si quieres que tu balanceador de cargas externo esté en el nivel Premium, mediante la red privada de Google, o en el nivel Estándar, mediante la Internet pública.

El balanceo de cargas de red siempre es regional, independientemente del nivel.

Con el nivel Premium, los balanceadores de cargas HTTP(S) externos, los balanceadores de cargas de proxy TCP y los balanceadores de cargas de proxy SSL son globales. Sus reglas de reenvío, direcciones IP y servicios de backend son globales. En el nivel Estándar, estos balanceadores de cargas son regionales. Sus servicios de backend también son globales, pero tanto sus reglas de reenvío como sus direcciones IP son regionales.

Especificaciones de direcciones IP

La regla de reenvío debe tener una dirección IP que tus clientes utilicen para llegar a tu balanceador de cargas. La dirección IP puede ser estática o efímera.

Una dirección IP estática proporciona una única dirección IP reservada a la que puedes dirigir tu dominio. Si alguna vez necesitas borrar tu regla de reenvío y volver a agregarla, puedes seguir usando la misma dirección IP reservada.

Una dirección IP efímera permanece constante mientras exista la regla de reenvío. Cuando eliges una dirección IP efímera, Google Cloud asocia una dirección IP con la regla de reenvío del balanceador de cargas. Si necesitas borrar la regla de reenvío y volver a agregarla, es posible que la regla de reenvío reciba una nueva dirección IP.

Según el tipo de balanceador de cargas, la dirección IP puede tener varios atributos. En la siguiente tabla, se resumen las configuraciones de direcciones IP válidas, según el esquema de balanceo de cargas y el destino de la regla de reenvío.

Esquema Destino Tipo de dirección Alcance de la dirección Nivel de la dirección Dirección reservable Notas
EXTERNAL

Balanceo de cargas HTTP(S)
Balanceo de cargas del proxy SSL
Balanceo de cargas del proxy TCP
Proxy HTTP de destino
Proxy HTTPS de destino
Proxy SSL de destino
Proxy TCP de destino
Externo Regional o global (debe coincidir con la regla de reenvío) Nivel Premium: dirección IP externa global y regla de reenvío

Nivel Estándar: dirección IP externa regional y regla de reenvío
Sí, opcional IPv6 disponible con una dirección externa global (nivel Premium)
EXTERNAL

Balanceo de cargas de red
Grupo de destino Externa Regional Estándar o Premium No se admite IPv6
EXTERNAL

VPN clásica
Consulta Documentación de la VPN clásica Externa Regional Cloud VPN no tiene niveles de servicio de red Sí, obligatoria No se admite IPv6
INTERNAL

Balanceo de cargas de TCP/UDP interno
Servicio de backend Interna Regional Premium Sí, opcional Debe ser del rango de IP principal de la subred asociada
INTERNAL_MANAGED

Balanceo de cargas de HTTP(S) interno
Proxy HTTP de destino
Proxy HTTPS de destino
Interna Regional Premium Sí, opcional Debe ser del rango de IP principal de la subred asociada
INTERNAL_SELF_MANAGED

Traffic Director
Proxy HTTP de destino Interna Global No aplicable No Se permite 0.0.0.0, 127.0.0.1 o cualquier dirección RFC 1918.

Varias reglas de reenvío con una dirección IP común

Dos o más reglas de reenvío con el esquema de balanceo de cargas EXTERNAL pueden compartir la misma dirección IP si se cumple lo siguiente:

  • Los puertos que usa cada regla de reenvío no se superponen.
  • Los niveles de servicio de red de cada regla de reenvío coinciden con los niveles de servicio de red de la dirección IP externa.

Ejemplos:

  • Un balanceador de cargas de red que acepta tráfico en el puerto TCP 79 y otro balanceador de cargas de red que acepta tráfico en el puerto TCP 80 pueden compartir la misma dirección IP externa regional.
  • Puedes usar la misma dirección IP externa global para un balanceador de cargas HTTP(S) externo (HTTP y HTTPS).

Si el esquema de balanceo de cargas de la regla de reenvío es INTERNO, varias reglas de reenvío pueden usar la misma dirección IP. Para obtener más información, consulta Descripción general del balanceo de cargas TCP/UDP interno.

Si el esquema de balanceo de cargas de la regla de reenvío es uno de los siguientes, debes tener una dirección IP única:

  • INTERNAL_MANAGED para balanceadores de cargas HTTP(S) internos
  • INTERNAL_SELF_MANAGED para Traffic Director

Especificaciones de puertos

En la siguiente tabla, se resumen las configuraciones válidas de puertos en función del esquema de balanceo de cargas y el destino de la regla de reenvío.

Esquema Destino Se deben especificar los puertos Comportamiento cuando no se especifican los puertos Requisitos del puerto
EXTERNAL Proxy HTTP de destino No disponible 80 u 8080
EXTERNAL Proxy HTTPS de destino No disponible 443
EXTERNAL Proxy SSL de destino N/A 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200 y 9300
EXTERNAL Proxy TCP de destino N/A 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200 y 9300
EXTERNAL Puerta de enlace de VPN de destino No disponible 500 o 4500
EXTERNAL Grupo de destino No Se reenvían todos los puertos
(1-65535)
Debe ser contiguo
INTERNAL Servicio de backend No disponible Hasta cinco (contiguos o no contiguos) o puedes especificar ALL
INTERNAL_MANAGED Proxy HTTP de destino
Proxy HTTPS de destino
No disponible 80 u 8080
443
INTERNAL_SELF_MANAGED Proxy HTTP de destino
Proxy HTTPS de destino
No disponible Debe ser un solo valor.

En una red de VPC, no puede haber dos reglas de reenvío para Traffic Director que tengan la misma especificación de puerto y dirección IP.

Condiciones de Cloud IAM

Con las Condiciones de Cloud IAM, puedes establecer condiciones para controlar qué funciones se otorgan a los miembros. Esta característica te permite otorgar permisos a los miembros si se cumplen las condiciones configuradas.

Una condición de Cloud IAM comprueba el esquema de balanceo de cargas (por ejemplo, INTERNAL o EXTERNAL) en la regla de reenvío y permite (o no) la creación de la regla de reenvío. Si un miembro intenta crear una regla de reenvío sin permiso, aparecerá un mensaje de error.

Para obtener más información, consulta Condiciones de Cloud IAM.

Referencia de API y gcloud

Para obtener descripciones de las propiedades y los métodos disponibles cuando trabajas con reglas de reenvío mediante la API de REST, consulta los siguientes artículos:

Para la herramienta de línea de comandos de gcloud, consulta lo siguiente:

Próximos pasos