Balanceo de cargas de TCP/UDP interno y redes conectadas

En esta página, se describen las situaciones para acceder a un balanceador de cargas interno en tu red de nube privada virtual (VPC) desde una red conectada. Antes de revisar la información de esta página, ya deberías estar familiarizado con los conceptos de la siguiente guía:

Usa el intercambio de tráfico entre redes de VPC

Cuando usas el intercambio de tráfico entre redes de VPC para conectar tu red de VPC a otra, Google Cloud comparte las rutas de subred entre las redes. Las rutas de subred permiten que el tráfico de la red de intercambio de tráfico llegue a los balanceadores de cargas internos de tu red. Se permite el acceso si se cumplen estas condiciones:

  • Para los balanceadores de cargas de TCP/UDP internos y los balanceadores de cargas de HTTP(S) internos, debes crear reglas de firewall de entrada a fin de permitir el tráfico de las VM de cliente en la red de intercambio de tráfico. Las reglas de firewall de Google Cloud no se comparten entre redes cuando se usa el intercambio de tráfico entre redes de VPC.
  • Las instancias de máquina virtual (VM) de cliente en la red de intercambio de tráfico se encuentran en la misma región que tu balanceador de cargas interno, a menos que configures el acceso global (solo para el balanceador de cargas de TCP/UDP interno). Con el acceso global configurado, las instancias de VM de cliente de cualquier región de la red de VPC de intercambio de tráfico pueden acceder al balanceador de cargas de TCP/UDP interno. El acceso global no es compatible con el balanceo de cargas de HTTP(S) interno.

No puedes compartir solo algunos balanceadores de cargas de TCP/UDP internos o algunos balanceadores de cargas de HTTP(S) internos mediante el intercambio de tráfico entre redes de VPC. Todos los balanceadores de cargas internos se comparten de manera automática. Puedes limitar el acceso a los backends del balanceador de cargas de las siguientes maneras:

  • Para los balanceadores de cargas de TCP/UDP internos, puedes usar las reglas de firewall de entrada aplicables a las instancias de VM de backend.

  • Para los balanceadores de cargas de HTTP(S) internos, puedes configurar las VM o los extremos de backend a fin de controlar el acceso con encabezados HTTP (por ejemplo, X-Forwarded-For).

Usa Cloud VPN y Cloud Interconnect

Puedes acceder a un balanceador de cargas interno desde una red de intercambio de tráfico conectada a través de un túnel de Cloud VPN o un adjunto de interconexión (VLAN) para una conexión de interconexión dedicada o interconexión de socio. La red de intercambio de tráfico puede ser una red local, otra red de VPC de Google Cloud o una red virtual que aloje otro proveedor de servicios en la nube.

Acceso a través de túneles de Cloud VPN

Puedes acceder a un balanceador de cargas interno a través de un túnel de Cloud VPN cuando se cumplen todas las siguientes condiciones.

En la red del balanceador de cargas interno

  • La puerta de enlace de Cloud VPN y el túnel se encuentran en la misma región que los componentes del balanceador de cargas interno (a menos que configures el acceso global para el balanceador de cargas de TCP/UDP interno).

  • Las rutas proporcionan rutas de acceso para el tráfico de salida a la red (cliente) de intercambio de tráfico. Si usas túneles de Cloud VPN con el enrutamiento dinámico, considera el modo de enrutamiento dinámico de la red de Cloud VPN del balanceador de cargas. El modo de enrutamiento dinámico determina qué rutas dinámicas personalizadas están disponibles para los backends.

  • Para el balanceador de cargas de TCP/UDP interno, configuraste las reglas de firewall a fin de que los clientes locales puedan comunicarse con las VM de backend del balanceador de cargas.

En la red de intercambio de tráfico

La red de intercambio de tráfico debe tener al menos un túnel de Cloud VPN con rutas a la subred en la que se define el balanceador de cargas interno.

Si la red de intercambio de tráfico es otra red de VPC de Google Cloud, aplica lo siguiente:

  • La puerta de enlace de Cloud VPN de la red de intercambio de tráfico se puede encontrar en cualquier región.

  • Con respecto a los túneles de Cloud VPN que usan enrutamiento dinámico, el modo de enrutamiento dinámico de la red de VPC determina qué rutas están disponibles para los clientes en cada región. Para proporcionar un conjunto coherente de rutas dinámicas personalizadas a clientes en todas las regiones, usa el modo de enrutamiento dinámico global.

En el siguiente diagrama, se destacan los conceptos clave que se aplican cuando se accede a un balanceador de cargas interno mediante una puerta de enlace de Cloud VPN y su túnel asociado. Cloud VPN conecta de manera segura tu red local a tu red de VPC de Google Cloud mediante los túneles de Cloud VPN.

Balanceo de cargas de TCP/UDP interno y Cloud VPN (haz clic para ampliar)
Balanceo de cargas interno y Cloud VPN (haz clic para ampliar)

Ten en cuenta los siguientes elementos de configuración asociados con este ejemplo:

  • En lb-network, se configuró un túnel de Cloud VPN que usa enrutamiento dinámico. El túnel VPN, la puerta de enlace y Cloud Router están ubicados en us-west1, la misma región en la que se encuentran los componentes del balanceador de cargas interno.
  • Las reglas de firewall de entrada permitida se configuraron para aplicarse a las VM de backend en los grupos de instancias ig-aig-c con el fin de que puedan recibir el tráfico desde las direcciones IP en la red de VPC y desde la red local, 10.1.2.0/24 y 192.168.1.0/24. No se crearon reglas de firewall de denegación de salida, por lo que se aplica la regla de permiso de salida implícita.
  • Los paquetes enviados desde clientes en las redes locales, incluso desde 192.168.1.0/24, a la dirección IP del balanceador de cargas interno 10.1.2.99, se entregan directamente a una VM de backend en buen estado, como vm-a2, según la afinidad de sesión configurada.
  • Las respuestas enviadas desde las VM de backend (como vm-a2) se entregan a través del túnel VPN a los clientes locales.

Consulta Solución de problemas de Cloud VPN para solucionar problemas de Cloud VPN.

Acceso a través de Cloud Interconnect

Puedes acceder a un balanceador de cargas interno desde una red de intercambio de tráfico local que esté conectada a la red de VPC del balanceador de cargas cuando se cumplan todas las siguientes condiciones en la red del balanceador de cargas interno:

  • El adjunto de interconexión (VLAN) y su Cloud Router se encuentran en la misma región en la que están los componentes del balanceador de cargas (a menos que configures el acceso global para el balanceador de cargas de TCP/UDP interno).

  • Los routers locales comparten rutas apropiadas que proporcionan rutas de retorno para las respuestas desde las VM de backend a los clientes locales. Los adjuntos de interconexión (VLAN) para la interconexión dedicada y la interconexión de socio usan routers de Cloud Router. El conjunto de rutas dinámicas personalizadas que aprenden dependerá del modo de enrutamiento dinámico de la red del balanceador de cargas.

  • Para el balanceador de cargas de TCP/UDP interno, configuraste las reglas de firewall a fin de que los clientes locales puedan comunicarse con las VM de backend del balanceador de cargas.

En la red local, debe existir al menos un adjunto de interconexión (VLAN) con rutas adecuadas cuyos destinos incluyan la subred en la que se defina el balanceador de cargas interno. Las reglas de firewall de salida también deben estar configuradas de forma correcta.

Acceso global para el balanceo de cargas de TCP/UDP interno

Cuando configuras el acceso global para el balanceo de cargas de TCP/UDP interno, se pueden encontrar los siguientes recursos en cualquier región:

  • Routers de Cloud Router
  • Puertas de enlace y túneles de Cloud VPN
  • Adjuntos de Cloud Interconnect (VLAN)

En el diagrama:

  • Cloud Router se encuentran en la región europe-west1.
  • El frontend y los backends del balanceador de cargas TCP/UDP interno se encuentran en la región us-east1.
  • Cloud Router realiza intercambios de tráfico con el router de VPN local.
  • La sesión de intercambio de tráfico de protocolo de Puerta de enlace fronteriza (BGP) se puede realizar a través de Cloud VPN o Cloud Interconnect con intercambio de tráfico directo o interconexión de socio.
Balanceo de cargas de TCP/UDP interno con acceso global (haz clic para ampliar)
Balanceo de cargas de TCP/UDP interno con acceso global (haz clic para ampliar)

El modo de enrutamiento dinámico de la red de VPC está configurado como global a fin de habilitar a Cloud Router en europe-west1 con el objetivo de anunciar las rutas de subred para subredes en cualquier región de la red de VPC del balanceador de cargas de TCP/UDP interno.

Múltiples rutas de salida

En entornos de producción, debes usar varios túneles de Cloud VPN o adjuntos de Cloud Interconnect (VLAN) para agregar redundancia. En esta sección, se analizan los requisitos para usar varios túneles o VLAN.

En el siguiente diagrama, dos túneles de Cloud VPN conectan lb-network a una red local. Si bien los túneles de Cloud VPN se usan aquí, los mismos principios se aplican a Cloud Interconnect.

Balanceo de cargas de TCP/UDP interno y varios túneles de Cloud VPN (haz clic para ampliar)
Balanceo de cargas interno y varios túneles de Cloud VPN (haz clic para ampliar)

Debes configurar cada túnel o cada adjunto de Cloud Interconnect (VLAN) en la misma región que el balanceador de cargas interno (a menos que hayas habilitado el acceso global para el balanceo de cargas de TCP/UDP interno). Varios túneles o VLAN pueden proporcionar ancho de banda adicional o pueden servir como rutas de acceso en espera a fin de aumentar la redundancia.

Ten en cuenta los siguientes puntos:

  • Si la red local tiene dos rutas con las mismas prioridades, cada una con el destino 10.1.2.0/24 y un siguiente salto que corresponde a otro túnel VPN en la misma región en la que está el balanceador de cargas interno, el tráfico se puede enviar desde la red local (192.168.1.0/24) hasta el balanceador de cargas mediante el enrutamiento de varias rutas de igual costo (ECMP).
  • Una vez que los paquetes se entregan a la red de VPC, el balanceador de cargas interno los distribuye a las VM de backend según la afinidad de sesión configurada.
  • Si la lb-network tiene dos rutas, cada una con el destino 192.168.1.0/24 y un siguiente salto que corresponde a diferentes túneles VPN, las respuestas de las VM de backend se pueden entregar a través de cada túnel según la prioridad de las rutas en la red. Si se usan diferentes prioridades de ruta, un túnel puede servir como respaldo para el otro. Si se usan las mismas prioridades, las respuestas se entregan mediante ECMP.
  • Las respuestas enviadas desde las VM de backend (como vm-a2) se entregan directamente a los clientes locales a través del túnel correspondiente. Desde la perspectiva de la lb-network, si las rutas o los túneles VPN cambian, el tráfico puede salir mediante un túnel diferente. Esto puede provocar que se restablezca la sesión TCP si se interrumpe una conexión en curso.

Próximos pasos