Descripción general de las reglas de reenvío

Una regla de reenvío y su dirección IP correspondiente representan la configuración de frontend de un balanceador de cargas de Google Cloud.

Cada regla de reenvío hace referencia a una dirección IP y a uno o más puertos en los que el balanceador de cargas acepta tráfico. Algunos balanceadores de cargas de Google Cloud te limitan a un conjunto predefinido de puertos, mientras que otros te permiten especificar puertos arbitrarios.

Las reglas de reenvío también especifican un protocolo IP. Para los balanceadores de cargas de Google Cloud, el protocolo IP siempre es TCP o UDP.

Según el tipo de balanceador de cargas, sucede lo siguiente:

Además, según el balanceador de cargas y su nivel, las reglas de reenvío pueden ser globales o regionales.

Reglas de reenvío internas

Las reglas de reenvío internas reenvían el tráfico que se origina dentro de una red de Google Cloud. Los clientes pueden estar en la misma red de nube privada virtual (VPC) que los backends o en una red conectada.

Las reglas de reenvío internas las usan dos tipos de balanceadores de cargas de Google Cloud:

  • Balanceadores de cargas de TCP/UDP internos
  • Balanceadores de cargas HTTP(S) internos

Balanceadores de cargas de TCP/UDP internos

Con los balanceadores de cargas de TCP/UDP internos, el tipo de tráfico que se admite es IPv4, y el protocolo es TCP o UDP (no ambos).

Cada balanceador de cargas TCP/UDP interno tiene al menos una regla de reenvío interna regional. Este tipo de regla hace referencia al servicio de backend interno regional del balanceador de cargas. En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceo de cargas de TCP/UDP interno.

Regla de reenvío de balanceo de cargas de TCP/UDP interno (haz clic para ampliar)
Regla de reenvío de balanceo de cargas de TCP/UDP interno (haz clic para ampliar)

En el siguiente diagrama, se muestra cómo se ajustan los componentes del balanceador de cargas dentro de una subred y una región.

La regla de reenvío interna debe estar en una región y una subred, y el servicio de backend solo debe estar en la región.

Ejemplo de un balanceador de cargas de TCP/UDP interno de alto nivel (haz clic para ampliar)
Ejemplo de un balanceador de cargas de TCP/UDP interno de alto nivel (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas de TCP/UDP internos, consulta Descripción general del balanceo de cargas de TCP/UDP interno. Si quieres obtener información sobre la configuración de los balanceadores de cargas de TCP/UDP internos, consulta Configura el balanceo de cargas de TCP/UDP interno.

Balanceadores de cargas de HTTP(S) internos

Con un balanceador de cargas de HTTP(S) interno, el tipo de tráfico admitido es IPv4, y el protocolo compatible puede ser HTTP, HTTPS o HTTP/2.

Cada balanceador de cargas de HTTP(S) interno tiene una regla de reenvío interna regional. Esta regla apunta al proxy HTTPS o HTTP de destino regional del balanceador de cargas. En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceo de cargas de HTTP(S) interno.

Regla de reenvío de balanceo de cargas de HTTP(S) interno (haz clic para ampliar)
Regla de reenvío de balanceo de cargas de HTTP(S) interno (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas de HTTP(S) internos, consulta Descripción general del balanceo de cargas de HTTP(S) interno. Si quieres ver detalles sobre la configuración de los balanceadores de cargas de HTTP(S) internos, consulta Prepárate para la configuración del balanceo de cargas de HTTP(S) interno.

Reglas de reenvío externas

Las reglas de reenvío externas desvían el tráfico que se origina desde Internet, fuera de la red de VPC.

Los siguientes balanceadores de cargas de Google Cloud usan reglas de reenvío externas:

  • Balanceadores de cargas de HTTP(S) externos
  • Balanceadores de cargas de proxy SSL
  • Balanceadores de cargas de proxy TCP
  • Balanceadores de cargas de red

Balanceadores de cargas HTTP(S)

Los balanceadores de cargas de HTTP(S) externos son compatibles con los niveles Premium y Estándar. La regla de reenvío y la dirección IP dependen del nivel que selecciones para el balanceador de cargas.

En un balanceador de cargas de HTTP(S) externo, una regla de reenvío apunta a un proxy de destino.

En el nivel Premium, un balanceador de cargas de HTTP(S) externo usa una dirección IP externa global, que puede ser IPv4 o IPv6, y una regla de reenvío externa global. Puedes proporcionar una aplicación de acceso global que dirija a los usuarios finales a backends en la región más cercana y distribuya el tráfico entre varias regiones. Debido a que una regla de reenvío externa global usa una única dirección IP externa, no es necesario mantener registros DNS individuales en regiones diferentes ni esperar a que se propaguen los cambios de DNS.

Puedes tener dos direcciones IP externas globales diferentes que apunten al mismo balanceador de cargas de HTTP(S) externo. Por ejemplo, en el nivel Premium, la dirección IP externa global de una regla de reenvío puede ser IPv4, y la dirección IP externa global de una segunda regla de reenvío puede ser IPv6. Ambas reglas de reenvío pueden hacer referencia al mismo proxy de destino. Como resultado, puedes proporcionar una dirección IPv4 y una dirección IPv6 para el mismo balanceador de cargas de HTTP(S) externo. Para obtener más información, consulta la documentación Terminación de IPv6.

En el nivel Estándar, un balanceador de cargas de HTTP(S) externo usa una dirección IP externa regional, que debe ser IPv4, y una regla de reenvío externa regional. Un balanceador de cargas de HTTP(S) externo en el nivel Estándar solo puede distribuir el tráfico a los backends dentro de una sola región.

En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceo de cargas de HTTP(S).

Regla de reenvío de balanceo de cargas de HTTP(S) (haz clic para ampliar)
Regla de reenvío de balanceo de cargas de HTTP(S) (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas de HTTP(S) externos, consulta Descripción general del balanceo de cargas de HTTP(S).

Balanceadores de cargas de proxy SSL

Un balanceador de cargas de proxy SSL es similar a un balanceador de cargas de HTTP(S) externo porque puede finalizar sesiones de SSL (TLS). Los balanceadores de cargas de proxy SSL no admiten el redireccionamiento basado en rutas como balanceadores de cargas de HTTP(S) externos, por lo que son más adecuados a fin de manejar SSL para protocolos que no sean HTTPS, como IMAP o WebSockets en SSL. Para obtener más información, consulta Preguntas frecuentes sobre SSL.

En los balanceadores de cargas de proxy SSL, las reglas de reenvío hacen referencia a un proxy de destino.

Los balanceadores de cargas de proxy SSL son compatibles con el nivel Premium y el nivel Estándar. La regla de reenvío y la dirección IP dependen del nivel que selecciones para el balanceador de cargas.

En el nivel Premium, los balanceadores de cargas del proxy SSL usan una dirección IP externa global (que puede ser IPv4 o IPv6), así como una regla de reenvío externa global. Puedes proporcionar una aplicación de acceso global que dirija a los usuarios finales a backends en la región más cercana y distribuya el tráfico entre varias regiones. Debido a que las reglas de reenvío externas globales usan una sola dirección IP externa, no es necesario que mantengas registros DNS independientes en regiones diferentes ni que esperes a que se propaguen los cambios de DNS.

Es posible tener dos direcciones IP externas globales diferentes que hagan referencia al mismo balanceador de cargas de proxy SSL. Por ejemplo, en el nivel Premium, la dirección IP externa global de una regla de reenvío puede ser IPv4, y la dirección IP externa global de una segunda regla de reenvío puede ser IPv6. Ambas reglas de reenvío pueden hacer referencia al mismo proxy de destino. Como resultado, puedes proporcionar una dirección IPv4 y una dirección IPv6 para el mismo balanceador de cargas de proxy SSL. Para obtener más información, consulta la documentación Terminación de IPv6.

En el nivel Estándar, los balanceadores de cargas de proxy SSL usan una dirección IP externa regional (que debe ser IPv4), así como una regla de reenvío externa regional. Un balanceador de cargas de proxy SSL en el nivel Estándar solo puede distribuir el tráfico a los backends dentro de una sola región.

En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceo de cargas de proxy SSL.

Regla de reenvío de balanceo de cargas de proxy SSL (haz clic para ampliar)
Regla de reenvío de balanceo de cargas de proxy SSL (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas de proxy SSL, consulta Descripción general del balanceo de cargas de proxy SSL. Para obtener información sobre cómo configurar los balanceadores de cargas de proxy SSL, consulta Configura el balanceo de cargas de proxy SSL.

Balanceadores de cargas de proxy TCP

Los balanceadores de cargas de proxy TCP ofrecen capacidad de proxy TCP en todo el mundo, sin descarga de SSL. Los balanceadores de cargas de proxy TCP son compatibles con el nivel Premium y el nivel Estándar. La regla de reenvío y la dirección IP dependen del nivel que selecciones para el balanceador de cargas.

En los balanceadores de cargas de proxy TCP, las reglas de reenvío hacen referencia a un proxy de destino.

En el nivel Premium, estos balanceadores usan una dirección IP externa global (que puede ser IPv4 o IPv6), así como una regla de reenvío externa global. Puedes proporcionar una aplicación de acceso global que dirija a los usuarios finales a backends en la región más cercana y distribuya el tráfico entre varias regiones. Debido a que las reglas de reenvío externas globales usan una sola dirección IP externa, no es necesario que mantengas registros DNS independientes en regiones diferentes ni que esperes a que se propaguen los cambios de DNS.

Es posible tener dos direcciones IP externas globales diferentes que hagan referencia al mismo balanceador de cargas de proxy TCP. Por ejemplo, en el nivel Premium, la dirección IP externa global de una regla de reenvío puede ser IPv4, y la dirección IP externa global de una segunda regla de reenvío puede ser IPv6. Ambas reglas de reenvío pueden hacer referencia al mismo proxy de destino. Como resultado, puedes proporcionar una dirección IPv4 y una dirección IPv6 para el mismo balanceador de cargas de proxy TCP. Para obtener más información, consulta la documentación Terminación de IPv6.

En el nivel Estándar, los balanceadores de cargas de proxy TCP usan una dirección IP externa regional (que debe ser IPv4), así como una regla de reenvío externa regional. Un balanceador de cargas de proxy TCP en el nivel Estándar solo puede distribuir el tráfico a los backends dentro de una sola región.

En el siguiente diagrama, se muestra cómo una regla de reenvío se ajusta a la arquitectura del balanceo de cargas de proxy TCP.

Regla de reenvío de balanceo de cargas de proxy TCP (haz clic para ampliar)
Regla de reenvío de balanceo de cargas de proxy TCP (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas de proxy TCP, consulta Descripción general del balanceo de cargas de proxy TCP. Si deseas obtener información sobre cómo configurar los balanceadores de cargas de proxy TCP, consulta Configura el balanceo de cargas de proxy TCP.

Balanceadores de cargas de red

Los balanceadores de cargas de red distribuyen el tráfico de TCP o UDP entre los backends en una sola región y admiten el nivel Premium y el nivel Estándar. Un balanceador de cargas de red usa una regla de reenvío externa regional y una dirección IPv4 externa regional (sin importar el nivel). Se puede acceder a la dirección IP externa regional desde cualquier lugar de Internet.

Las reglas de reenvío externas regionales hacen referencia al grupo de destino del balanceador de cargas.

Regla de reenvío de balanceo de cargas de red (haz clic para ampliar)
Regla de reenvío de balanceo de cargas de red (haz clic para ampliar)

Para usar el balanceo de cargas de red en regiones diferentes, debes crear un balanceador de cargas de red en cada región. Debe ser así sin importar el nivel. En la siguiente figura, se muestra el balanceo de cargas de red con tres balanceadores para tres regiones diferentes. Cada uno tiene su propia regla de reenvío externa regional con su propia dirección IPv4 externa regional.

Ejemplo de balanceo de cargas de red (haz clic para ampliar)
Ejemplo de balanceo de cargas de red (haz clic para ampliar)

Para obtener más información sobre los balanceadores de cargas de red, consulta Descripción general del balanceo de cargas de red. Para obtener información sobre cómo configurar los balanceadores de cargas de red, consulta Configura el balanceo de cargas de red.

Cómo afectan los niveles de servicio de red a los balanceadores de cargas

En los niveles de servicio de red, la distinción entre nivel Estándar y nivel Premium depende de la distancia en que se enruta el tráfico por la Internet pública:

  • Nivel Estándar: Descarga el tráfico lo más cerca posible del centro de datos de Google. Esto significa que, por lo general, el tráfico se enruta a través de la Internet pública para lograr una distancia más extendida, en comparación con el nivel Premium.

  • Nivel Premium: Enruta el tráfico a través de la red privada de Google tanto como sea posible antes de salir de Google Cloud para llegar al usuario final.

Los balanceadores de cargas internos (de HTTP o HTTPS y TCP/UDP), deben usar la red privada de Google y, por lo tanto, siempre están en el nivel Premium. El balanceo de cargas interno siempre es regional.

Solo los balanceadores de cargas externos (de HTTP o HTTPS, proxy TCP, proxy SSL y red TCP/UDP) se pueden enrutar a través de la Internet pública. Puedes elegir si quieres que el balanceador de cargas externo esté en el nivel Premium, mediante la red privada de Google, o en el nivel Estándar, mediante la Internet pública.

El balanceo de cargas de red siempre es regional, independientemente del nivel.

Con el nivel Premium, los balanceadores de cargas de HTTP(S) externos, de proxy TCP y de proxy SSL son globales. Las reglas de reenvío, las direcciones IP y los servicios de backend son globales. En el nivel Estándar, estos balanceadores de cargas son regionales. Sus servicios de backend también son globales, pero sus reglas de reenvío y sus direcciones IP son regionales.

Especificaciones de direcciones IP

La regla de reenvío debe tener una dirección IP que los clientes usen para acceder al balanceador de cargas. La dirección IP puede ser estática o efímera.

Una dirección IP estática proporciona una sola dirección IP reservada a la que puedes apuntar el dominio. Si alguna vez necesitas borrar la regla de reenvío y volver a agregarla, puedes seguir usando la misma dirección IP reservada.

Las direcciones IP efímeras permanecen constantes mientras exista la regla de reenvío. Cuando eliges una dirección IP efímera, Google Cloud asocia una dirección IP con la regla de reenvío del balanceador de cargas. Si necesitas borrar la regla de reenvío y volver a agregarla, esta podría recibir una dirección IP nueva.

Según el tipo de balanceador de cargas, la dirección IP puede tener varios atributos. En la siguiente tabla, se resumen los parámetros de configuración de direcciones IP válidas, según el esquema de balanceo de cargas y el destino de la regla de reenvío.

Esquema Destino Tipo de dirección Alcance de la dirección Nivel de la dirección Dirección reservable Notas
EXTERNAL

Balanceo de cargas de HTTP(S)
Balanceo de cargas de proxy SSL
Balanceo de cargas de proxy TCP
Proxy HTTP de destino
Proxy HTTPS de destino
Proxy SSL de destino
Proxy TCP de destino
Externa Regional o global (debe coincidir con la regla de reenvío) Nivel Premium: dirección IP externa global y regla de reenvío

Nivel Estándar: dirección IP externa regional y regla de reenvío
Sí, opcional IPv6 disponible con una dirección externa global (nivel Premium)
EXTERNAL

Balanceo de cargas de red
Grupo de destino Externa Regional Estándar o Premium No se admite IPv6
EXTERNAL

VPN clásica
Consulta Documentación de la VPN clásica Externa Regional Cloud VPN no tiene niveles de servicio de red Sí, obligatoria No se admite IPv6
INTERNAL

Balanceo de cargas de TCP/UDP interno
Servicio de backend Interna Regional Premium Sí, opcional Debe ser del rango de IP principal de la subred asociada
INTERNAL_MANAGED

Balanceo de cargas de HTTP(S) interno
Proxy HTTP de destino
Proxy HTTPS de destino
Interna Regional Premium Sí, opcional Debe ser del rango de IP principal de la subred asociada
INTERNAL_SELF_MANAGED

Traffic Director
Proxy HTTP de destino
Proxy gRPC de destino
Interna Global No aplicable No Se permite 0.0.0.0, 127.0.0.1 o cualquier dirección RFC 1918.

Varias reglas de reenvío con una dirección IP común

Dos o más reglas de reenvío con el esquema de balanceo de cargas EXTERNAL pueden compartir la misma dirección IP si se cumple lo siguiente:

  • Los puertos que usa cada regla de reenvío no se superponen.
  • Los niveles de servicio de red de cada regla de reenvío coinciden con los niveles de servicio de red de la dirección IP externa.

Ejemplos:

  • Un balanceador de cargas de red que acepta tráfico en el puerto TCP 79 y otro balanceador de cargas de red que acepta tráfico en el puerto TCP 80 pueden compartir la misma dirección IP externa regional.
  • Puedes usar la misma dirección IP externa global para un balanceador de cargas de HTTP(S) externo (HTTP y HTTPS).

Si el esquema de balanceo de cargas de la regla de reenvío es INTERNAL o INTERNAL_MANAGED, varias reglas de reenvío pueden usar la misma dirección IP. Para obtener más información, consulta Descripción general del balanceo de cargas de TCP/UDP interno.

Si el esquema de balanceo de cargas de la regla de reenvío es INTERNAL_SELF_MANAGED para Traffic Director, debe tener una dirección IP única.

Especificaciones de puertos

En la siguiente tabla, se resumen las configuraciones válidas de puertos en función del esquema de balanceo de cargas y el destino de la regla de reenvío.

Esquema Destino Se deben especificar los puertos Comportamiento cuando no se especifican los puertos Requisitos del puerto
EXTERNAL Proxy HTTP de destino No disponible 80 u 8080
EXTERNAL Proxy HTTPS de destino No disponible 443
EXTERNAL Proxy SSL de destino No disponible 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200 y 9300
EXTERNAL Proxy TCP de destino No disponible 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200 y 9300
EXTERNAL Puerta de enlace de VPN de destino No disponible 500 o 4500
EXTERNAL Grupo de destino No Se reenvían todos los puertos
(1-65535)
Debe ser contiguo
INTERNAL Servicio de backend No disponible Hasta cinco (contiguos o no contiguos) o puedes especificar ALL
INTERNAL_MANAGED Proxy HTTP de destino
Proxy HTTPS de destino
No disponible 80 u 8080
443
INTERNAL_SELF_MANAGED Proxy HTTP de destino
Proxy HTTPS de destino
No disponible Debe ser un solo valor.

En una red de VPC, no puede haber dos reglas de reenvío para Traffic Director que tengan la misma especificación de puerto y dirección IP.

Condiciones de IAM

Con las condiciones de administración de identidades y accesos (IAM), puedes establecer condiciones para controlar qué funciones se otorgan a los miembros. Esta función te permite otorgar permisos a los miembros si se cumplen las condiciones configuradas.

Una condición de IAM verifica el esquema de balanceo de cargas (por ejemplo, INTERNAL o EXTERNAL) en la regla de reenvío y permite (o no) la creación de la regla de reenvío. Si un miembro intenta crear una regla de reenvío sin permiso, aparecerá un mensaje de error.

Para obtener más información, consulta Condiciones de IAM.

Referencia de API y gcloud

Para obtener descripciones de las propiedades y los métodos disponibles cuando trabajas con reglas de reenvío a través de la API de REST, consulta lo siguiente:

Para la herramienta de línea de comandos de gcloud, consulta lo siguiente:

Próximos pasos