Questa pagina descrive gli scenari per l'accesso a un bilanciatore del carico interno in Rete Virtual Private Cloud (VPC) da una rete connessa. Prima di esaminare le informazioni riportate in questa pagina, dovresti già conoscere i concetti descritti nella seguente guida:
Utilizzo del peering di rete VPC
Quando utilizzi il peering di rete VPC per connettere la tua rete VPC a un'altra rete, Google Cloud condivide le route delle subnet tra le reti. Le route delle subnet consentono al traffico proveniente dalla rete peer di raggiungere i bilanciatori del carico interni della tua rete. L'accesso è consentito se è vero quanto segue:
- Crea regole firewall in entrata per consentire il traffico dalle VM client nella rete peer. Le regole firewall di Google Cloud non vengono condivise tra le reti quando utilizzi il peering di rete VPC.
- Per i bilanciatori del carico delle applicazioni interni regionali, le istanze di macchine virtuali (VM) client nella rete peer devono trovarsi nella stessa regione del bilanciatore del carico interno. Questa limitazione non viene applicata se configuri l'accesso globale.
Non puoi condividere selettivamente solo alcuni bilanciatori del carico di rete passthrough interni, bilanciatori del carico di rete proxy interni regionali o bilanciatori del carico delle applicazioni interni utilizzando il peering di rete VPC. Tutti i bilanciatori del carico interni vengono condivisi automaticamente. Puoi limitare l'accesso ai backend del bilanciatore del carico utilizzando il firewall in entrata applicabili alle istanze VM di backend.
Utilizzare Cloud VPN e Cloud Interconnect
Puoi accedere a un bilanciatore del carico interno da una rete peer che connesse tramite un tunnel Cloud VPN Collegamento VLAN per un Interconnessione dedicata una connessione o Partner Interconnect. La rete peer può essere una rete on-premise, un'altra rete VPC di Google Cloud o una rete virtuale ospitata da un altro cloud provider.
Accesso tramite i tunnel Cloud VPN
Puoi accedere a un bilanciatore del carico interno tramite un tunnel Cloud VPN se sono soddisfatte tutte le seguenti condizioni.
Nella rete del bilanciatore del carico interno
- Sia il gateway Cloud VPN sia i tunnel devono trovarsi nella stessa regione del bilanciatore del carico quando l'accesso globale è disattivato. Se l'accesso globale è abilitato nella regola di inoltro del bilanciatore del carico, questa limitazione viene ignorata.
Le route devono fornire percorsi di risposta dai backend del bilanciatore del carico una rete on-premise o peer in cui si trova il client. Se utilizzi I tunnel Cloud VPN con funzionalità dinamiche di routing, considera il routing dinamico del bilanciatore del carico rete Cloud VPN. La modalità di routing dinamico determina quali route dinamiche personalizzate sono disponibili per i backend del bilanciatore del carico.
Devi configurare regole firewall di autorizzazione in entrata con intervalli di indirizzi IP di origine on-premise in modo che i client on-premise possano inviare pacchetti al bilanciatore del carico. Le destinazioni di queste regole firewall devono includere i backend di tramite il bilanciatore del carico. Per informazioni dettagliate, consulta Destinatari e indirizzi IP.
Nella rete peer
La rete peer deve avere almeno un tunnel Cloud VPN con route per la subnet in cui è definito il bilanciatore del carico interno.
Se la rete peer è un'altra rete VPC Google Cloud:
Il gateway e i tunnel Cloud VPN della rete peer possono trovarsi in qualsiasi regione.
Per i tunnel Cloud VPN che utilizzano il routing dinamico, la modalità di routing dinamico della rete VPC determina quali route sono disponibili per i client in ogni regione. Per fornire un insieme coerente di route dinamiche personalizzate ai client in tutte le regioni, utilizza la modalità di routing dinamico globale.
Assicurati che i firewall di rete on-premise o peer consentano i pacchetti inviati all'indirizzo IP della regola di inoltro del bilanciatore del carico. Assicurati che siano on-premise o peer i firewall di rete consentono i pacchetti di risposta ricevuti dall'indirizzo IP la regola di forwarding del bilanciatore del carico.
Il seguente diagramma evidenzia i concetti chiave relativi all'accesso a un carico interno tramite un gateway Cloud VPN e il tunnel associato. Cloud VPN connette in sicurezza la rete on-premise Rete VPC Google Cloud con tunnel Cloud VPN.
Tieni presente i seguenti elementi di configurazione associati a questo esempio:
- Nel
lb-network, un tunnel Cloud VPN che utilizza il routing dinamico è stata configurata. Il tunnel VPN, il gateway e il router Cloud sono tutti situati in REGION_A, la stessa regione in cui il carico interno in cui si trovano i componenti del bilanciatore. - Sono state configurate regole firewall di autorizzazione in entrata da applicare al backend
VM nei gruppi di istanze A e B in modo che possano
ricevono traffico dagli indirizzi IP nella rete VPC e
sulla rete on-premise,
10.1.2.0/24e192.168.1.0/24. Non sono state create regole firewall di rifiuto in uscita, pertanto si applica la regola di autorizzazione in uscita implicita. - I pacchetti inviati dai client nelle reti on-premise, tra cui da
192.168.1.0/24, all'indirizzo IP del bilanciatore del carico interno,10.1.2.99, vengono inviati direttamente a una VM di backend integra, comevm-a2, in base all'affinità di sessione configurata. - Le risposte inviate dalle VM di backend (ad esempio
vm-a2) vengono inviate tramite il tunnel VPN ai client on-premise.
Per risolvere i problemi relativi a Cloud VPN, consulta la sezione Risoluzione dei problemi di Cloud VPN.
Accedi tramite Cloud Interconnect
Puoi accedere a un bilanciatore del carico interno da una rete peer on-premise collegata alla rete VPC del bilanciatore del carico quando nella rete del bilanciatore del carico interno sono soddisfatte tutte le seguenti condizioni:
Sia il collegamento VLAN sia il router Cloud devono trovarsi nella stessa regione del bilanciatore del carico quando l'accesso globale è disattivato. Se l'accesso globale è abilitato nella regola di inoltro del bilanciatore del carico, questa limitazione viene ignorata.
I router on-premise devono fornire percorsi di risposta dai backend del bilanciatore del carico alla rete on-premise. Collegamenti VLAN per sia Dedicated Interconnect Partner Interconnect deve utilizzare i router Cloud; quindi le route dinamiche personalizzate forniscono i percorsi di risposta. L'insieme di route dinamiche personalizzate che apprendono dipende dalla modalità di routing dinamico della rete del bilanciatore del carico.
Assicurati che i firewall on-premise consentano i pacchetti inviati all'indirizzo IP della regola di inoltro del bilanciatore del carico. Assicurati che i firewall on-premise consentano di risposte ricevute dall'indirizzo IP del bilanciatore del carico di una regola di forwarding.
- Devi configurare le regole firewall di autorizzazione in entrata con un'origine on-premise Intervalli di indirizzi IP in modo che i client on-premise possano inviare pacchetti al carico con il bilanciatore del carico di rete passthrough esterno regionale. I target di queste regole firewall devono essere i backend del bilanciatore del carico. Per informazioni dettagliate, consulta Destinatari e indirizzi IP.
Utilizza l'accesso globale con Cloud VPN e Cloud Interconnect
Per impostazione predefinita, i client devono trovarsi nella stessa rete o in una rete VPC connessa tramite peering di rete VPC. Tu puoi abilitare l'accesso globale per consentire ai client di qualsiasi regione di accedere al tuo carico con il bilanciatore del carico di rete passthrough esterno regionale.
Se attivi le impostazioni globali l'accesso, le seguenti risorse possono trovarsi in qualsiasi regione:- Router Cloud
- Gateway e tunnel Cloud VPN
- Collegamenti VLAN
Nel diagramma:
- Il frontend e i backend del bilanciatore del carico si trovano nella regione
REGION_A. - Il router Cloud si trova nella regione
REGION_B. - Il router Cloud esegue il peering con il router VPN on-premise.
- La sessione di peering BGP (Border Gateway Protocol) può avvenire tramite Cloud VPN o Cloud Interconnect con peering diretto Partner Interconnect.
La modalità di routing dinamico della rete VPC è impostata su global per consentire a Cloud Router in REGION_B di pubblicizzare le route delle sottoreti per le sottoreti in qualsiasi regione della rete VPC del bilanciatore del carico.
Più percorsi in uscita
Negli ambienti di produzione, devi utilizzare più tunnel Cloud VPN o collegamenti VLAN per la ridondanza. Questa sezione illustra i requisiti per l'utilizzo di più tunnel o collegamenti VLAN.
Nel seguente diagramma, due tunnel Cloud VPN collegano lb-network a una rete on-premise. Sebbene in questo caso vengano utilizzati i tunnel Cloud VPN, gli stessi principi si applicano a Cloud Interconnect.
Devi configurare ciascun tunnel o collegamento VLAN nella stessa regione del bilanciatore del carico interno. Questo requisito non viene applicato se hai attivato l'accesso globale.
Più tunnel o collegamenti VLAN possono fornire larghezza di banda aggiuntiva o fungere da percorsi di riserva per la ridondanza.
Tieni presente quanto segue:
- Se la rete on-premise ha due route con le stesse priorità,
con una destinazione di
10.1.2.0/24e un hop successivo corrispondente a un tunnel VPN diverso nella stessa regione del bilanciatore del carico interno, possono essere inviati dalla rete on-premise (192.168.1.0/24) al bilanciatore del carico utilizzando multipath a costo uguale (ECMP). - Dopo che i pacchetti sono stati inviati alla rete VPC, il bilanciatore del carico interno le distribuisce alle VM di backend in base configurato affinità sessione.
- Se
lb-networkha due route, ognuna con la destinazione192.168.1.0/24e un hop successivo corrispondente a diversi tunnel VPN, le risposte delle VM di backend possono essere consegnate su ciascun tunnel in base la priorità delle route dell'audiodescrizione. Se priorità del percorso diverse uno dei due tunnel può fungere da backup per l'altro. Se lo stesso vengono usate le priorità e le risposte vengono fornite utilizzando ECMP. - Le risposte inviate dalle VM di backend (ad esempio
vm-a2) vengono inviate direttamente ai client on-premise tramite il tunnel appropriato. Da prospettiva dilb-network, se le route o i tunnel VPN cambiano, il traffico potrebbe in uscita utilizzando un tunnel diverso. Questo potrebbe comportare la reimpostazione della sessione TCP una connessione in corso viene interrotta.
Passaggi successivi
- Per configurare e testare un bilanciatore del carico di rete passthrough interno, configura un bilanciatore del carico di rete passthrough interno.