Visão geral das regras de encaminhamento

Uma regra de encaminhamento e seu respectivo endereço IP representam a configuração de front-end de um balanceador de carga do Google Cloud.

Cada regra de encaminhamento refere-se a um endereço IP e uma ou mais portas em que o balanceador de carga aceita tráfego. Alguns balanceadores de carga do Google Cloud estão restritos a um conjunto predefinido de portas. Já outros permitem especificar portas arbitrárias.

A regra de encaminhamento também especifica um protocolo IP. Para os balanceadores de carga do Google Cloud, o protocolo IP sempre é TCP ou UDP.

Dependendo do tipo de balanceador de carga, as seguintes condições ocorrem:

Além disso, dependendo do balanceador de carga e do respectivo nível, você terá uma regra global ou uma regra regional.

Regras de encaminhamento interno

As regras de encaminhamento interno direcionam o tráfego proveniente de uma rede do Google Cloud. Os clientes podem estar na mesma rede de nuvem privada virtual (VPC, na sigla em inglês) dos back-ends ou em uma rede conectada.

As regras de encaminhamento interno são usadas por dois tipos de produtos de balanceamento de carga do Google Cloud:

  • Balanceamento de carga TCP/UDP interno
  • Balanceamento de carga HTTP(S) interno

Balanceamento de carga TCP/UDP interno

Com um balanceador de carga TCP/UDP interno, o tipo de tráfego aceito é IPv4, e o protocolo aceito é TCP ou UDP, mas não ambos.

Cada balanceador de carga TCP/UDP interno tem pelo menos uma regra de encaminhamento interno regional. As regras de encaminhamento interno regionais apontam para o serviço de back-end interno regional do balanceador de carga. Veja no diagrama a seguir como uma regra de encaminhamento se ajusta à arquitetura de balanceamento de carga TCP/UDP interno.

Regra de encaminhamento de balanceamento de carga TCP/UDP interno (clique para ampliar)
Regra de encaminhamento de balanceamento de carga TCP/UDP interno (clique para ampliar)

O diagrama a seguir mostra como os componentes do balanceador de carga se encaixam em uma sub-rede e região.

A regra de encaminhamento interno precisa ser definida em uma região e uma sub-rede. O serviço de back-end só precisa corresponder a essa região.

Exemplo geral de balanceador de carga TCP/UDP interno (clique para ampliar)
Exemplo de balanceador de carga TCP/UDP interno de alto nível (clique para ampliar)

Para mais informações sobre balanceadores de carga TCP/UDP internos, consulte esta página de visão geral. Consulte Como configurar o balanceamento de carga TCP/UDP interno para informações sobre esse tópico.

Balanceamento de carga HTTP(S) interno

Com um balanceador de carga HTTP(S) interno, o tipo de tráfego aceito é IPv4, e os protocolos aceitos são HTTP, HTTPS ou HTTP/2.

Cada balanceador desse tipo tem exatamente uma regra de encaminhamento interno regional. A regra de encaminhamento interno regional aponta para o proxy HTTP ou HTTPS de destino regional do balanceador de carga. Veja no diagrama a seguir como uma regra se ajusta à arquitetura de balanceamento de carga HTTP(S) interno.

Regra de encaminhamento de balanceamento de carga HTTP(S) interno (clique para ampliar)
Regra de encaminhamento de balanceamento de carga HTTP(S) interno (clique para ampliar)

Para mais informações sobre balanceadores de carga HTTP(S) internos, consulte esta página de visão geral. Para informações sobre como configurar balanceadores de carga HTTP(S) internos, consulte Como se preparar para a configuração de balanceamento de carga HTTP(S) interno.

Regras de encaminhamento externo

As regras de encaminhamento externo aceitam tráfego de sistemas cliente que têm acesso à Internet, incluindo:

  • Um cliente fora do Google Cloud
  • Uma VM do Google Cloud com um endereço IP externo
  • Uma VM do Google Cloud sem um endereço IP externo usando o Cloud NAT ou um sistema NAT baseado em instância

As regras de encaminhamento externo são usadas pelos seguintes tipos de balanceador de carga do Google Cloud:

  • Balanceamento de carga HTTP(S) externo
  • Balanceamento de carga de proxy SSL
  • Balanceamento de carga de proxy TCP
  • Balanceamento de carga de rede TCP/UDP externa

Balanceamento de carga HTTP(S) externo

Os balanceadores de carga HTTP(S) externos são compatíveis com os níveis Premium e Standard. Tanto a regra de encaminhamento quanto o endereço IP dependem do nível selecionado para o balanceador de carga.

Em um balanceador de carga HTTP(S) externo, a regra de encaminhamento aponta para um proxy de destino.

No nível Premium, o endereço IP externo, que pode ser IPv4 ou IPv6, e a regra de encaminhamento externo usados por esse tipo de balanceador são globais. É possível fornecer um aplicativo acessível globalmente que direcione os usuários finais aos back-ends na região mais próxima e distribua o tráfego entre várias regiões. Como uma regra de encaminhamento externo global usa somente um endereço IP externo, você não precisa manter registros DNS separados em regiões diferentes nem aguardar a propagação das mudanças de DNS.

É possível ter dois endereços IP externos globais diferentes que apontam para o mesmo balanceador de carga HTTP(S) externo. Por exemplo, no nível Premium, o endereço IP externo global de uma regra de encaminhamento pode ser IPv4, e o endereço IP externo global de uma segunda regra de encaminhamento pode ser IPv6. As duas regras de encaminhamento podem apontar para o mesmo proxy de destino. Assim, é possível fornecer endereços IPv4 e IPv6 para o mesmo balanceador de carga HTTP(S) externo. Para mais informações, consulte a documentação sobre a terminação IPv6.

No nível Standard, o endereço IP externo (obrigatoriamente IPv4) e a regra de encaminhamento externo usados por esse tipo de balanceador são regionais. Esse tipo de balanceador de carga no nível Standard pode distribuir tráfego apenas para back-ends dentro de uma mesma região.

Veja no diagrama a seguir como uma regra de encaminhamento se ajusta à arquitetura de balanceamento de carga HTTP(S).

Regra de encaminhamento de balanceamento de carga HTTP(S) (clique para ampliar)
Regra de encaminhamento de balanceamento de carga HTTP(S) (clique para ampliar)

Para mais informações sobre balanceadores de carga HTTP(S) externos, consulte esta página de visão geral.

Balanceamento de carga de proxy SSL

Um balanceador de carga de proxy SSL é semelhante a um balanceador de carga HTTP(S) externo porque pode encerrar sessões SSL (TLS). Os balanceadores de carga de proxy SSL não aceitam redirecionamento baseado em caminho, tal como os balanceadores de carga HTTP(S) e, portanto, são mais adequados para lidar com SSL em protocolos diferentes de HTTPS, como IMAP ou WebSockets por SSL. Para mais informações, consulte as perguntas frequentes sobre SSL.

Em um balanceador de carga de proxy SSL, uma regra de encaminhamento aponta para um proxy de destino.

Os balanceadores de carga de proxy SSL são compatíveis com os níveis Premium e Standard. Tanto a regra de encaminhamento quanto o endereço IP dependem do nível selecionado para o balanceador de carga.

No nível Premium, um balanceador de carga do proxy SSL usa um endereço IP externo global, que pode ser IPv4 ou IPv6, e uma regra de encaminhamento externo global. É possível fornecer um aplicativo acessível globalmente que direcione os usuários finais aos back-ends na região mais próxima e distribua o tráfego entre várias regiões. Como uma regra de encaminhamento externo global usa um único endereço IP externo, você não precisa manter registros DNS separados em regiões diferentes nem esperar que as alterações de DNS sejam propagadas.

É possível ter dois endereços IP externos globais diferentes apontando para o mesmo balanceador de carga do proxy SSL. Por exemplo, no nível Premium, o endereço IP externo global de uma regra de encaminhamento pode ser IPv4, e o endereço IP externo global de uma segunda regra de encaminhamento pode ser IPv6. As duas regras de encaminhamento podem apontar para o mesmo proxy de destino. Assim, é possível fornecer um endereço IPv4 e um IPv6 para o mesmo balanceador de carga de proxy SSL. Para mais informações, consulte a documentação sobre a terminação IPv6.

No nível Standard, um balanceador de carga do proxy SSL usa um endereço IP externo regional, que deve ser IPv4, e uma regra de encaminhamento externo regional. Esse tipo de balanceador de carga no nível Standard pode distribuir tráfego apenas para back-ends dentro de uma mesma região.

Veja no diagrama a seguir como uma regra de encaminhamento se ajusta à arquitetura de balanceamento de carga de proxy SSL.

Regra de encaminhamento de balanceamento de carga de proxy SSL (clique para ampliar)
Regra de encaminhamento de balanceamento de carga de proxy SSL (clique para ampliar)

Para mais informações sobre balanceadores de carga de proxy SSL, consulte esta página de visão geral. Consulte Como configurar o balanceamento de proxy SSL para informações sobre esse tópico.

Balanceamento de carga de proxy TCP

Um balanceador de carga do proxy TCP oferece o recurso de proxy TCP global sem descarregamento do SSL. Eles são compatíveis com os níveis Premium e Standard. Tanto a regra de encaminhamento quanto o endereço IP dependem do nível selecionado para o balanceador de carga.

Em um balanceador de carga de proxy TCP, uma regra de encaminhamento aponta para um proxy de destino.

No nível Premium, um balanceador de carga do proxy TCP usa um endereço IP externo global, que pode ser IPv4 ou IPv6, e uma regra de encaminhamento externo global. É possível fornecer um aplicativo acessível globalmente que direcione os usuários finais aos back-ends na região mais próxima e distribua o tráfego entre várias regiões. Como uma regra de encaminhamento externo global usa um único endereço IP externo, você não precisa manter registros DNS separados em regiões diferentes nem esperar que as alterações de DNS sejam propagadas.

É possível ter dois endereços IP externos globais diferentes apontando para o mesmo balanceador de carga do proxy TCP. Por exemplo, no nível Premium, o endereço IP externo global de uma regra de encaminhamento pode ser IPv4, e o endereço IP externo global de uma segunda regra de encaminhamento pode ser IPv6. As duas regras de encaminhamento podem apontar para o mesmo proxy de destino. Assim, é possível fornecer um endereço IPv4 e um IPv6 para o mesmo balanceador de carga de proxy TCP. Para mais informações, consulte a documentação sobre a terminação IPv6.

No nível Standard, um balanceador de carga do proxy TCP usa um endereço IP externo regional, que precisa ser IPv4, e uma regra de encaminhamento externo regional. Esse tipo de balanceador de carga no nível Standard pode distribuir tráfego apenas para back-ends dentro de uma mesma região.

Veja no diagrama a seguir como uma regra de encaminhamento se ajusta à arquitetura de balanceamento de carga de proxy TCP.

Regra de encaminhamento de balanceamento de carga de proxy TCP (clique para ampliar)
Regra de encaminhamento de balanceamento de carga de proxy TCP (clique para ampliar)

Para mais informações sobre balanceadores de carga de proxy TCP, consulte esta página de visão geral. Consulte Como configurar o balanceamento de proxy TCP para informações sobre esse tópico.

Balanceamento de carga de rede TCP/UDP externa

Os balanceadores de carga de rede distribuem o tráfego entre back-ends em uma única região e são compatíveis com os níveis Premium e Standard. Esses balanceadores de carga usam uma regra de encaminhamento externo regional e endereço IPv4 externo regional, independentemente do nível. O endereço IP externo regional pode ser acessado de qualquer lugar na Internet e nas VMs do Google Cloud.

Nos balanceadores de carga de rede baseados em serviço de back-end, a regra de encaminhamento externo regional aponta para um serviço de back-end. Os balanceadores de carga de rede baseados em serviço de back-end são compatíveis com TCP, UDP e qualquer tráfego de protocolo IP. Saiba mais em Protocolos de regra de encaminhamento para balanceadores de carga de rede baseados em serviço de back-end.

Para balanceadores de carga de rede baseados em pool de destino, a regra de encaminhamento aponta para um pool de destino. Um balanceador de carga de rede baseado em pool de destino é compatível somente com tráfego TCP ou UDP.

Para aceitar instâncias de back-end em mais de uma região, crie um balanceador de carga de rede em cada uma delas. Esse é o procedimento independentemente do nível. A figura a seguir mostra o balanceamento de carga de rede com três balanceadores de carga para três regiões diferentes. Cada balanceador de carga tem sua própria regra de encaminhamento externa regional com seu próprio endereço IPv4 externo regional.

Exemplo de balanceamento de carga de rede (clique para ampliar)
Exemplo de balanceamento de carga de rede (clique para ampliar)

Para mais informações sobre balanceadores de carga de rede, consulte esta página de visão geral. Para informações sobre como configurar balanceadores de carga de rede, consulte uma das seguintes opções:

Como níveis de serviço de rede afetam os balanceadores de carga

Nos níveis de serviço de rede, a diferença entre Standard e Premium depende da distância percorrida pelo tráfego encaminhado via Internet pública:

  • Nível Standard: descarrega o tráfego o mais próximo possível do data center do Google. Isso significa que o tráfego normalmente é roteado via Internet pública por uma distância maior em comparação com o nível Premium.

  • Nível Premium: roteia o tráfego via rede privada do Google até onde for possível antes de sair do Google Cloud para chegar ao usuário final.

Os balanceadores de carga internos, HTTP(S) e TCP/UDP, usam obrigatoriamente a rede privada do Google e, portanto, estão sempre no nível Premium. O balanceamento de carga interno é sempre regional.

Somente os balanceadores de carga externos, HTTP(S), de proxy TCP, de proxy SSL e de rede TCP/UDP, podem ser encaminhados via Internet pública. É possível escolher se seu balanceador de carga externo está no nível Premium, usando a rede privada do Google, ou no nível Standard, usando a Internet pública.

O balanceamento de carga de rede é sempre regional, independentemente do nível.

No nível Premium, os balanceadores de carga HTTP(S), de proxy TCP e de proxy SSL externos são globais. Suas regras de encaminhamento, endereços IP e serviços de back-end são globais. No nível Padrão, esses balanceadores de carga são efetivamente regionais. Seus serviços de back-end permanecem globais, mas suas regras de encaminhamento e endereços IP são regionais.

Especificações de protocolo IP

Cada regra de encaminhamento tem um protocolo IP associado que a regra veicula. O valor do protocolo padrão é TCP.

Produto Esquema de balanceamento de carga Opções de protocolo IP
Balanceador de carga HTTP(S) externo EXTERNAL TCP
balanceador de carga do proxy SSL; EXTERNAL TCP
balanceador de carga do proxy TCP. EXTERNAL TCP
Balanceador de carga de rede EXTERNAL TCP, UDP ou L3_DEFAULT (Pré-lançamento)
Balanceador de carga TCP/UDP interno INTERNAL TCP ou UDP
Balanceador de carga HTTP(S) interno INTERNAL_MANAGED TCP
Traffic Director INTERNAL_SELF_MANAGED TCP

Especificações de endereço IP

A regra de encaminhamento precisa ter um endereço IP que os clientes usem para acessar o balanceador de carga. O endereço IP pode ser estático ou temporário.

Um endereço IP estático fornece um único endereço IP reservado para apontar seu domínio. Se você precisar excluir sua regra de encaminhamento e adicioná-la novamente, poderá continuar usando o mesmo endereço IP reservado.

Um endereço IP temporário permanece constante enquanto a regra de encaminhamento existir. Quando você escolhe um endereço IP temporário, o Google Cloud associa um endereço IP à regra de encaminhamento do balanceador de carga. Se você precisar excluir a regra e adicioná-la novamente, ela poderá receber um novo endereço IP.

Dependendo do tipo de balanceador, o endereço IP pode ter vários atributos. A tabela a seguir resume as configurações de endereço IP válidas, com base no esquema de balanceamento de carga e no destino da regra.

Esquema Destino Tipo de endereço Escopo do endereço Nível do endereço Endereço reservável Observações
EXTERNAL

balanceador de carga HTTP(S) externo
balanceador de carga de proxy SSL
balanceador de carga de proxy TCP
Proxy HTTP de destino
Proxy HTTPS de destino
Proxy SSL de destino
Proxy TCP de destino
Externo Regional ou global, correspondendo à regra de encaminhamento Nível Premium: endereço IP externo global e regra de encaminhamento

Nível Standard: endereço IP externo regional e regra de encaminhamento
Sim, opcional IPv6 disponível com um endereço externo global (nível Premium)
EXTERNAL

Balanceador de carga de rede
Serviço de back-end
Pool de destino
Externo Discos Padrão ou Premium Sim, opcional IPv6 não compatível
EXTERNAL

VPN Clássica
Consulte a documentação da VPN clássica Externo Regional O Cloud VPN não tem níveis de serviço de rede Sim, obrigatório IPv6 não compatível
INTERNAL

Balanceador de carga TCP/UDP interno
Serviço de back-end Interno Discos Premium Sim, opcional Precisa ser do intervalo de IP principal da sub-rede associada
INTERNAL_MANAGED

Balanceamento de carga HTTP(S) interno
Proxy HTTP de destino
Proxy HTTPS de destino
Interno Discos Premium Sim, opcional Precisa ser do intervalo de IP principal da sub-rede associada
INTERNAL_SELF_MANAGED

Traffic Director
Proxy HTTP de destino
Proxy gRPC de destino
Interno Global Não aplicável Não 0.0.0.0, 127.0.0.1 ou qualquer endereço RFC 1918 é permitido

Várias regras de encaminhamento com um endereço IP comum

Duas ou mais regras de encaminhamento com o esquema de balanceamento de carga EXTERNAL poderão compartilhar o mesmo endereço IP se:

  • as portas usadas por cada regra de encaminhamento não forem sobrepostas;
  • os níveis de serviço de rede de cada regra de encaminhamento coincidirem com os do endereço IP externo.

Exemplos:

  • Um balanceador de carga de rede que aceite tráfego na porta TCP 79 e outro que aceite tráfego na porta TCP 80 podem compartilhar o mesmo endereço IP externo regional.
  • É possível usar o mesmo endereço IP externo global para um balanceador de carga HTTP(S) externo (HTTP e HTTPS).

Se o esquema de balanceamento de carga da regra de encaminhamento for INTERNAL ou INTERNAL_MANAGED, várias regras de encaminhamento poderão usar o mesmo endereço IP. Para mais informações, consulte a Visão geral do balanceamento de carga TCP/UDP interno.

Se o esquema de balanceamento de carga da regra de encaminhamento for INTERNAL_SELF_MANAGED para o Traffic Director, ele precisará ter um endereço IP exclusivo.

Especificações de porta

A tabela a seguir resume as configurações de porta válidas com base no esquema de balanceamento de carga e no destino da regra de encaminhamento.

Esquema Destino As portas precisam ser especificadas Comportamento quando as portas não estão especificadas Requisitos de porta
EXTERNAL Proxy HTTP de destino Sim N/A Pode referenciar exatamente uma das seguintes portas:
80, 8080
EXTERNAL Proxy HTTPS de destino Sim N/A Só é possível referenciar à porta:
443
EXTERNAL Proxy SSL de destino Sim N/A Pode referenciar exatamente a uma das seguintes portas:
25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200, and 9300
EXTERNAL Proxy TCP de destino Sim N/A Pode referenciar exatamente a uma das seguintes portas:
25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200, and 9300
EXTERNAL Gateway da VPN de destino Sim N/A Pode referenciar exatamente a uma das seguintes portas:
500, 4500
EXTERNAL Serviço de back-end Sim N/A Se o protocolo da regra de encaminhamento for TCP ou UDP, configure:
  • Uma lista com até cinco portas (contíguas ou não contíguas) ou
  • Um único intervalo de portas (contíguas), ou
  • Todas as portas. Para configurar todas as portas, defina --ports=ALL usando a ferramenta de linha de comando gcloud ou defina allPorts como True usando a API.

Se o protocolo da regra de encaminhamento for L3_DEFAULT, configure todas as portas.
  • Para configurar todas as portas, defina --ports=ALL usando a ferramenta de linha de comando gcloud ou defina allPorts como True usando a API.
Pool de destino Não Todas as portas
(1-65535) são encaminhadas
Precisa ser um único intervalo de portas (contíguas)
INTERNAL Serviço de back-end Sim N/A Até cinco portas (contíguas ou não contíguas) ou você pode configurar todas as portas usando um destes métodos:
definir --ports=ALL usando a ferramenta de linha de comando gcloud; ou
definir allPorts como True usando a API.
INTERNAL_MANAGED Proxy HTTP de destino Sim N/A Pode referenciar exatamente uma das seguintes portas:
80, 8080
INTERNAL_MANAGED Proxy HTTPS de destino Sim N/A Só é possível referenciar à porta:
443
INTERNAL_SELF_MANAGED Proxy HTTP de destino
Proxy HTTPS de destino
Sim N/A Precisa ser somente um valor.

Dentro de uma rede VPC, duas regras de encaminhamento do Traffic Director não podem ter o mesmo endereço IP e a mesma especificação de porta.

Condições do IAM

Com as condições do gerenciamento de identidade e acesso (IAM), é possível definir as condições para controlar os papéis que são concedidos aos principais. Esse recurso permite conceder permissões aos principais se as condições configuradas forem atendidas.

Uma condição do IAM verifica o esquema de balanceamento de carga (por exemplo, INTERNAL ou EXTERNAL) na regra de encaminhamento e permite (ou não) a criação da regra. Se um principal tentar criar uma regra de encaminhamento sem permissão, será exibida uma mensagem de erro.

Para mais informações, consulte Condições do IAM.

Referência da API e da gcloud

Para descrições das propriedades e dos métodos disponíveis ao trabalhar com regras de encaminhamento usando a API REST, consulte:

Para informações referentes à ferramenta de linha de comando gcloud, consulte:

A seguir