Balanceamento de carga TCP/UDP interno e Redes conectadas

Visão geral

Nesta página, você verá cenários para acessar um balanceador de carga TCP/UDP interno na rede VPC a partir de uma rede conectada. Antes de analisar as informações desta página, você precisa estar familiarizado com os conceitos de balanceamento de carga TCP/UDP interno.

Como usar peering de rede VPC

Quando você usa peering de rede VPC para conectar sua rede VPC a outra rede, o GCP compartilha rotas de sub-rede entre as redes. As rotas de sub-rede permitem que o tráfego da rede com peering alcance balanceadores de carga TCP/UDP internos na sua rede. O acesso é permitido se:

Não é possível compartilhar seletivamente apenas alguns de seus balanceadores de carga TCP/UDP internos usando o peering de rede VPC. No entanto, é possível limitar o acesso às instâncias de VM de back-end do balanceador de carga com regras de firewall.

Como usar o Cloud VPN e o Cloud Interconnect

Acesse um balanceador de carga TCP/UDP interno de uma rede com peering conectada por meio de um túnel do Cloud VPN ou anexo da VLAN para uma Interconexão dedicada ou Partner Interconnect. A rede com peering pode ser uma rede local, outra rede VPC do GCP ou uma rede virtual hospedada por outro provedor de nuvem.

Acesso por meio de túneis do Cloud VPN

Acesse um balanceador de carga TCP/UDP interno por meio de um túnel do Cloud VPN quando todas as condições a seguir forem atendidas na rede do balanceador de carga TCP/UDP:

  • O túnel e o gateway do Cloud VPN estão localizados na mesma região dos componentes internos do balanceador de carga TCP/UDP.

  • Rotas apropriadas fornecem caminhos para o tráfego de saída de volta para os clientes de origem do tráfego do balanceador de carga. Os túneis do Cloud VPN que usam roteamento dinâmico contam com o Cloud Router para gerenciar rotas dinâmicas personalizadas que atendem a essa finalidade. Túneis do Cloud VPN que usam roteamento estático exigem rotas estáticas personalizadas, que são criadas automaticamente se você criar túneis usando o Console do GCP.

  • As regras de firewall de entrada permitem o tráfego para as VMs de back-end, e as regras de firewall de saída permitem que os back-ends enviem respostas aos clientes locais.

  • Na rede com peering, existe pelo menos um túnel do Cloud VPN com as rotas apropriadas com destinos que incluem a sub-rede em que o balanceador de carga TCP/UDP interno está definido e com o túnel VPN como próximo salto. Especificamente o seguinte:

    • Se a rede com peering for outra rede VPC do GCP, o túnel e o gateway do Cloud VPN da rede poderão ser localizados em qualquer região.

    • Os clientes na rede com peering podem se conectar a um Cloud VPN localizado em qualquer região, desde que haja uma rota para o túnel do Cloud VPN no gateway de VPN para a rede em que o balanceador de carga está. Para túneis do Cloud VPN que usam roteamento dinâmico, verifique se a rede VPC usa o modo de roteamento dinâmico global para que as rotas dinâmicas personalizadas aprendidas pelo Cloud Router para o túnel estejam disponíveis para VMs em todas as regiões.

O diagrama a seguir destaca os principais conceitos ao acessar um balanceador de carga TCP/UDP interno por meio de um gateway do Cloud VPN e seu túnel associado. O Cloud VPN conecta sua rede local com segurança à sua rede VPC do GCP por meio de uma conexão VPN IPsec.

Balanceamento de carga TCP/UDP interno e Cloud VPN (clique para ampliar)
Balanceamento de carga TCP/UDP interno e Cloud VPN (clique para ampliar)

Observe os seguintes elementos de configuração associados a este exemplo:

  • Em lb-network, um túnel do Cloud VPN usando roteamento dinâmico foi configurado. O gateway e o túnel VPN, além do Cloud Router, estão todos localizados em us-west1, a mesma região em que os componentes do balanceador de carga TCP/UDP interno estão localizados.
  • As regras de firewall de permissão de entrada foram configuradas para serem aplicadas às VMs de back-end em ambos os grupos de instâncias ig-a e ig-c de modo que possam receber tráfego de endereços IP na VPC e da rede local, 10.1.2.0/24 e 192.168.1.0/24. Nenhuma regra de firewall de negação de saída foi criada. Portanto, a regra de saída de permissão implícita é aplicável.
  • Os pacotes enviados de clientes nas redes locais, inclusive de 192.168.1.0/24, para o endereço IP do balanceador de carga TCP/UDP interno, 10.1.2.99, são entregues diretamente a uma VM de back-end íntegra, como vm-a2, de acordo com a afinidade da sessão configurada. Consulte a página Conceitos de balanceamento de carga TCP/UDP interno para mais informações.
  • As respostas enviadas das VMs de back-end (como vm-a2) são entregues por meio do túnel da VPN aos clientes locais.

Acessar pelo Cloud Interconnect

Acesse um balanceador de carga TCP/UDP interno de uma rede local com peering conectada à rede VPC do balanceador de carga quando todas as seguintes condições forem atendidas na rede do balanceador de carga:

  • Na rede do balanceador de carga interno TCP/UDP, o anexo da VLAN e o Cloud Router estão localizados na mesma região dos componentes do balanceador de carga.

  • Os roteadores locais compartilham rotas adequadas que fornecem caminhos de retorno para as respostas de VMs de back-end aos clientes locais. Os anexos da VLAN para a Interconexão dedicada e o Partner Interconnect usam os Cloud Routers para gerenciar as rotas que eles aprendem com os roteadores locais.

  • As regras de firewall de entrada permitem o tráfego para as VMs de back-end, e as regras de firewall de saída permitem que as VMs de back-end enviem respostas.

As regras de roteamento e firewall na rede com peering local permitem a comunicação entre as VMs de back-end da sua rede VPC. Os clientes na rede com peering acessam o anexo da VLAN e o Cloud Router, pelos quais a rede com peering acessa o balanceador de carga TCP/UDP interno, não precisam estar localizados na mesma região do balanceador de carga. São aplicáveis os mesmos conceitos de acesso ao balanceador de carga por meio de túneis do Cloud VPN.

Vários caminhos de saída

As seções anteriores mostraram um único túnel e um único anexo da VLAN. Em ambientes de produção, você provavelmente usará vários túneis ou anexos para redundância. Esta seção discute os requisitos e recomendações ao usar vários túneis do Cloud VPN ou anexos da VLAN para o Cloud Interconnect para conectar sua rede VPC a uma rede com peering.

No diagrama a seguir, dois túneis do Cloud VPN conectam lb-network a uma rede no local. Embora os túneis do Cloud VPN sejam usados aqui, os mesmos princípios se aplicam ao Cloud Interconnect.

Balanceamento de carga TCP/UDP interno e vários túneis do Cloud VPN (clique para ampliar)
Balanceamento de carga TCP/UDP interno e vários túneis do Cloud VPN (clique para ampliar)

Se você configurar cada túnel ou anexo da VLAN na mesma região do balanceador de carga TCP/UDP interno, conforme descrito neste documento, será possível fornecer vários caminhos acessíveis simultaneamente para o tráfego no balanceador de carga. Vários caminhos podem fornecer mais largura de banda ou servir como caminhos em espera para redundância.

Tenha em mente os seguintes pontos:

  • Os túneis do Cloud VPN estão sempre associados a um gateway específico do Cloud VPN. Não é possível criar um túnel sem um gateway. Anexos do Cloud Interconnect (VLANs) também são associados ao Cloud Interconnects. Veja anexos da VLAN e redes VPC.

  • Se a rede local tiver duas rotas com as mesmas prioridades, cada uma com um destino 10.1.2.0/24 e um próximo salto correspondente a um túnel VPN diferente na mesma região do balanceador de carga TCP/UDP interno, o tráfego poderá ser enviado da rede local (192.168.1.0/24) para o balanceador de carga usando ECMP (link em inglês).

  • Depois que os pacotes são entregues à rede VPC, o balanceador de carga TCP/UDP interno os distribui para as VMs de back-end de acordo com a afinidade da sessão configurada.

  • Para o tráfego de entrada para o balanceador de carga TCP/UDP interno, os túneis de VPN precisam estar na mesma região que o balanceador de carga.

  • Se lb-network tiver duas rotas, cada um com destino 192.168.1.0/24 e um próximo salto correspondente a diferentes túneis VPN, as respostas de VMs de back-end poderão ser entregues em cada túnel de acordo com a prioridade das rotas na rede. Se diferentes prioridades de rota forem usadas, um túnel poderá servir como um backup para o outro. Se as mesmas prioridades forem usadas, as respostas serão exibidas usando o ECMP.

  • As respostas enviadas das VMs de back-end, como vm-a2, são entregues diretamente aos clientes locais por meio do túnel apropriado. Do ponto de vista de lb-network, se rotas ou túneis VPN mudarem, pode ocorrer a saída do tráfego por um túnel diferente. Isso pode resultar em redefinições de sessão TCP se uma conexão em andamento for interrompida.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…