Balanceo de cargas TCP/UDP interno y redes conectadas

Descripción general

Esta página describe escenarios para acceder a un balanceador de cargas TCP/UDP interno en tu red de VPC desde una red conectada. Antes de revisar la información en esta página, debes estar familiarizado con los Conceptos del balanceo de cargas TCP/UDP interno.

Usa el intercambio de tráfico entre redes de VPC

Cuando utilizas el intercambio de tráfico entre redes de VPC para conectar tu red de VPC a otra red, GCP comparte rutas de subred entre las redes. Las rutas de subred permiten que el tráfico de la red de intercambio de tráfico llegue a balanceadores de cargas TCP/UDP internos en tu red. Se permite el acceso si:

  • Las VM de cliente en la red de intercambio de tráfico se encuentran en la misma región que tu balanceador de cargas TCP/UDP interno.
  • Las reglas de firewall de entrada permiten el tráfico de las VM de cliente en la red de intercambio de tráfico. Las reglas de firewall de GCP no se comparten entre redes cuando se usa el intercambio de tráfico de red de VPC.

No puedes compartir de manera selectiva solo algunos de tus balanceadores de cargas TCP/UDP internos mediante el uso del intercambio de tráfico de red de VPC. Sin embargo, puedes limitar el acceso a las instancias de VM de backend del balanceador de cargas con las reglas de firewall.

Usa Cloud VPN y Cloud Interconnect

Puedes acceder a un balanceador de cargas TCP/UDP interno desde una red de intercambio de tráfico que está conectada a través de un túnel de Cloud VPN o de un adjunto de VLAN para una interconexión dedicada o una interconexión de socio. La red de intercambio de tráfico puede ser una red local, otra red de VPC de GCP o una red virtual alojada por otro proveedor de servicios en la nube.

Acceso a través de túneles de Cloud VPN

Puedes acceder a un balanceador de cargas TCP/UDP interno a través de un túnel de Cloud VPN cuando se cumplan todas las condiciones siguientes en la red del balanceador de cargas TCP/UDP interno:

  • Tanto la puerta de enlace de Cloud VPN como el túnel se encuentran en la misma región que los componentes del balanceador de cargas TCP/UDP interno.

  • Las rutas adecuadas proporcionan rutas de acceso para el tráfico de salida a los clientes desde los cuales se originó el tráfico del balanceador de cargas. Los túneles de Cloud VPN que usan enrutamiento dinámico dependen de Cloud Router para administrar rutas dinámicas personalizadas que cumplen este propósito. Los túneles de Cloud VPN que usan enrutamiento estático requieren rutas estáticas personalizadas, que se crean automáticamente si creas túneles con GCP Console.

  • Las reglas de firewall de entrada permiten el tráfico a las VM de backend y las reglas de firewall de salida permiten que los backends envíen respuestas a los clientes locales.

  • En la red de intercambio de tráfico existe al menos un túnel de Cloud VPN con rutas apropiadas cuyos destinos incluyen la subred donde se define el balanceador de cargas TCP/UDP interno, y cuyo siguiente salto es el túnel VPN. Específicamente, ocurre lo siguiente:

    • Si la red de intercambio de tráfico es otra red de VPC de GCP, el túnel y la puerta de enlace de Cloud VPN pueden estar ubicados en cualquier región.

    • Los clientes en la red de intercambio de tráfico pueden conectarse a una Cloud VPN ubicada en cualquier región, siempre que haya una ruta para el túnel de Cloud VPN en esa puerta de enlace de VPN a la red en la que se encuentra el balanceador de cargas. Para los túneles de Cloud VPN que usan enrutamiento dinámico, asegúrate de que tu red de VPC use el modo de enrutamiento dinámico global para que las rutas dinámicas personalizadas aprendidas por Cloud Router para el túnel estén disponibles para las VM en todas las regiones.

En el siguiente diagrama, se destacan los conceptos clave cuando se accede a un balanceador de cargas TCP/UDP interno mediante una puerta de enlace de Cloud VPN y su túnel asociado. Cloud VPN conecta de manera segura tu red local a tu red de VPC de GCP a través de una conexión de VPN IPsec.

Balanceo de cargas TCP/UDP interno y Cloud VPN (haz clic para ampliar)
Balanceo de cargas TCP/UDP interno y Cloud VPN (haz clic para ampliar)

Ten en cuenta los siguientes elementos de configuración asociados con este ejemplo:

  • En lb-network, se configuró un túnel de Cloud VPN con enrutamiento dinámico. El túnel VPN, la puerta de enlace y Cloud Router se encuentran en us-west1, la misma región donde se encuentran los componentes del balanceador de cargas TCP/UDP interno.
  • Ingress permite que las reglas de firewall se hayan configurado para aplicarse a las VM de backend en ambos grupos de instancias, ig-a e ig-c, para que puedan recibir tráfico de las direcciones IP en VPC y de la red local, 10.1.2.0/24 y 192.168.1.0/24. No se han creado reglas de firewall de denegación de salida, por lo que se aplica la regla de permiso de salida implícita.
  • Los paquetes enviados desde clientes en las redes locales, incluso desde 192.168.1.0/24, a la dirección IP del balanceador de cargas TCP/UDP interno, 10.1.2.99, se entregan directamente a una VM de backend en buen estado, como vm-a2, según la afinidad de sesión configurada. en la página Conceptos del balanceo de cargas TCP/UDP interno para obtener más información.
  • Las respuestas enviadas desde las VM de backend (como vm-a2) se entregan a través del túnel VPN a los clientes locales.

Acceso a través de Cloud Interconnect

Puedes acceder a un balanceador de cargas TCP/UDP interno desde una red de intercambio de tráfico local conectada a la red de VPC del balanceador de cargas cuando se cumplen todas las condiciones siguientes en la red del balanceador de cargas:

  • En la red del balanceador de cargas TCP/UDP interno, tanto el adjunto de VLAN como su Cloud Router se encuentran en la misma región que los componentes del balanceador de cargas.

  • Los routers locales comparten rutas apropiadas que proporcionan rutas de retorno para las respuestas desde las VM de backend a los clientes locales. Los adjuntos de VLAN para la interconexión dedicada y para la interconexión de socio utilizan Cloud Routers para administrar las rutas que aprenden de los routers locales.

  • Las reglas de firewall de entrada permiten el tráfico a las VM de backend, y las reglas de firewall de salida permiten que las VM de backend envíen respuestas.

Las reglas de enrutamiento y firewall en la red de intercambio de tráfico local permiten la comunicación hacia y desde las VM de backend en tu red de VPC. Los clientes en la red de intercambio de tráfico que acceden al adjunto de VLAN y a Cloud Router, a través del cual la red de intercambio de tráfico accede al balanceador de cargas TCP/UDP interno, no necesitan estar ubicados en la misma región que el balanceador de cargas. Se aplican los mismos conceptos para acceder al balanceador de cargas a través de los túneles de Cloud VPN.

Múltiples rutas de salida

En las secciones anteriores, se muestran un solo túnel y un solo adjunto de VLAN. En entornos de producción, es probable que uses varios túneles o adjuntos a fin de agregar redundancia. En esta sección, se analizan los requisitos y las recomendaciones cuando se utilizan varios túneles de Cloud VPN o adjuntos de VLAN para que Cloud Interconnect conecte tu red de VPC a una red de intercambio de tráfico.

En el siguiente diagrama, dos túneles de Cloud VPN conectan lb-network a una red local. Aunque aquí se usan túneles de Cloud VPN, los mismos principios se aplican a Cloud Interconnect.

Balanceo de cargas TCP/UDP interno y varios túneles de Cloud VPN (haz clic para ampliar)
Balanceo de cargas TCP/UDP interno y varios túneles de Cloud VPN (haz clic para ampliar)

Si configuras cada túnel o cada adjunto de VLAN en la misma región que el balanceador de cargas TCP/UDP interno, como se describe en este documento, puedes proporcionar múltiples rutas accesibles simultáneamente para el tráfico hacia y desde tu balanceador de cargas. Múltiples rutas pueden proporcionar ancho de banda adicional o pueden servir como rutas en espera a fin de agregar redundancia.

Ten en cuenta los siguientes puntos:

  • Los túneles de Cloud VPN siempre están asociados con una puerta de enlace de Cloud VPN específica. No puedes crear un túnel sin una puerta de enlace. Los adjuntos de Cloud Interconnect (VLAN) también están asociados con Cloud Interconnects. Consulta adjuntos de VLAN y redes de VPC.

  • Si la red local tiene dos rutas con las mismas prioridades, cada una con un destino de 10.1.2.0/24 y un salto siguiente correspondiente a otro túnel VPN en la misma región que el balanceador de cargas TCP/UDP interno, el tráfico puede enviarse desde la red local (192.168.1.0/24) al balanceador de cargas mediante ECMP.

  • Una vez que los paquetes se entregan a la red de VPC, el balanceador de cargas TCP/UDP interno los distribuye a las VM de backend según la afinidad de sesión configurada.

  • Para el tráfico de entrada al balanceador de cargas TCP/UDP interno, los túneles VPN deben estar en la misma región que el balanceador de cargas.

  • Si lb-network tiene dos rutas, cada una con el destino 192.168.1.0/24 y un siguiente salto que corresponde a diferentes túneles VPN, las respuestas de las VM de backend se pueden entregar a través de cada túnel de acuerdo con la prioridad de las rutas en la red. Si se utilizan diferentes prioridades de ruta, un túnel puede servir como respaldo para el otro. Si se usan las mismas prioridades, las respuestas se entregan con ECMP.

  • Las respuestas enviadas desde las VM de backend (como vm-a2) se entregan directamente a los clientes locales a través del túnel correspondiente. Desde la perspectiva de lb-network, si las rutas o los túneles VPN cambian, el tráfico podría salir a través de un túnel diferente. Esto puede provocar que se restablezca la sesión TCP si se interrumpe una conexión en curso.

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...