En esta página se describen los escenarios para acceder a un balanceador de carga interno de tu red de nube privada virtual (VPC) desde una red conectada. Antes de consultar la información de esta página, debes familiarizarte con los conceptos de la siguiente guía:
Usar el emparejamiento entre redes de VPC
Cuando usas el emparejamiento entre redes de VPC para conectar tu red de VPC a otra red,Google Cloud comparte las rutas de subred entre las redes. Las rutas de subred permiten que el tráfico de la red de emparejamiento llegue a los balanceadores de carga internos de tu red. Se permite el acceso si se cumple lo siguiente:
- Crea reglas de cortafuegos de entrada para permitir el tráfico de las VMs cliente en la red emparejada. Google Cloud Las reglas de cortafuegos no se comparten entre redes cuando se usa el emparejamiento entre redes de VPC.
- En el caso de los balanceadores de carga de aplicaciones internos regionales, las instancias de máquina virtual (VM) del cliente de la red de peer deben estar ubicadas en la misma región que el balanceador de carga interno. Esta restricción no se aplica si configuras el acceso global.
No puedes compartir de forma selectiva solo algunos balanceadores de carga de red con paso a través internos, balanceadores de carga de red con proxy internos regionales o balanceadores de carga de aplicaciones internos mediante el emparejamiento entre redes de VPC. Todos los balanceadores de carga internos se comparten automáticamente.
Puedes limitar el acceso a los backends del balanceador de carga configurando las VMs o los endpoints de backend para controlar el acceso mediante encabezados HTTP (por ejemplo, X-Forwarded-For).
Usar Cloud VPN y Cloud Interconnect
Puedes acceder a un balanceador de carga interno desde una red peer conectada a través de un túnel VPN de Cloud o una vinculación de VLAN para una conexión de interconexión dedicada o Partner Interconnect. La red de aplicación similar puede ser una red local, otra red de VPC o una red virtual alojada por otro proveedor de servicios en la nube. Google Cloud
Acceso a través de túneles de Cloud VPN
Puedes acceder a un balanceador de carga interno a través de un túnel de Cloud VPN cuando se cumplan todas las condiciones siguientes.
En la red del balanceador de carga interno
- Tanto la pasarela como los túneles de Cloud VPN deben estar ubicados en la misma región que el balanceador de carga cuando la opción Acceso global está inhabilitada. Si el acceso global está habilitado en la regla de reenvío del balanceador de carga, esta restricción no se aplica.
- Las rutas deben proporcionar rutas de respuesta desde los sistemas proxy a la red local o entre iguales en la que se encuentra el cliente. Si usas túneles de Cloud VPN con enrutamiento dinámico, ten en cuenta el modo de enrutamiento dinámico de la red de Cloud VPN del balanceador de carga. El modo de enrutamiento dinámico determina qué rutas dinámicas personalizadas están disponibles para los proxies de la subred solo proxy.
En la red de emparejamiento
La red de la otra organización debe tener al menos un túnel de Cloud VPN con rutas a la subred en la que se define el balanceador de carga interno.
Si la red emparejada es otra Google Cloud red de VPC:
La pasarela y los túneles de Cloud VPN de la red peer pueden estar ubicados en cualquier región.
En el caso de los túneles de Cloud VPN que usan el enrutamiento dinámico, el modo de enrutamiento dinámico de la red de VPC determina qué rutas están disponibles para los clientes de cada región. Para proporcionar un conjunto coherente de rutas dinámicas personalizadas a los clientes de todas las regiones, utiliza el modo de enrutamiento dinámico global.
Asegúrate de que los cortafuegos de la red local o de la red peer permitan los paquetes enviados a la dirección IP de la regla de reenvío del balanceador de carga. Asegúrate de que los cortafuegos locales o de la red peer-to-peer permitan los paquetes de respuesta recibidos de la dirección IP de la regla de reenvío del balanceador de carga.
En el siguiente diagrama se destacan los conceptos clave para acceder a un balanceador de carga interno a través de una pasarela de Cloud VPN y su túnel asociado. Cloud VPN conecta de forma segura tu red on-premise a tuGoogle Cloud red de VPC mediante túneles de Cloud VPN.
Ten en cuenta los siguientes elementos de configuración asociados a este ejemplo:
- En la
lb-network, se ha configurado un túnel de Cloud VPN que usa el enrutamiento dinámico. El túnel VPN, la pasarela y Cloud Router se encuentran en REGION_A, la misma región en la que se ubican los componentes del balanceador de carga interno. - Se han configurado reglas de cortafuegos de entrada para que se apliquen a las VMs de backend de los grupos de instancias A y B, de forma que puedan recibir tráfico de las direcciones IP de la red de VPC y de la red local,
10.1.2.0/24y192.168.1.0/24. No se han creado reglas de cortafuegos de denegación de salida, por lo que se aplica la regla de salida implícita de permitir. - Los paquetes enviados desde clientes de las redes on-premise, incluido
192.168.1.0/24, a la dirección IP del balanceador de carga interno,10.1.2.99, se entregan directamente a una VM de backend en buen estado, comovm-a2, según la afinidad de sesión configurada. - Las respuestas enviadas desde las VMs de backend (como
vm-a2) se envían a través del túnel VPN a los clientes on-premise.
Para solucionar problemas de Cloud VPN, consulta la página Solución de problemas de Cloud VPN.
Acceso a través de Cloud Interconnect
Puedes acceder a un balanceador de carga interno desde una red peer local conectada a la red de VPC del balanceador de carga si se cumplen todas las condiciones siguientes en la red del balanceador de carga interno:
Tanto la vinculación de VLAN como Cloud Router deben estar en la misma región que el balanceador de carga cuando acceso global está inhabilitado. Si el acceso global está habilitado en la regla de reenvío del balanceador de carga, esta restricción no se aplica.
Los routers on-premise deben proporcionar rutas de respuesta desde los back-ends del balanceador de carga a la red on-premise. Las vinculaciones de VLAN de las interconexiones dedicadas y de partner deben usar Cloud Routers, por lo que las rutas dinámicas personalizadas proporcionan rutas de respuesta. El conjunto de rutas dinámicas personalizadas que aprenden depende del modo de enrutamiento dinámico de la red del balanceador de carga.
Asegúrate de que los cortafuegos locales permitan los paquetes enviados a la dirección IP de la regla de reenvío del balanceador de carga. Asegúrate de que los cortafuegos locales permitan los paquetes de respuesta recibidos de la dirección IP de la regla de reenvío del balanceador de carga.
Usar el acceso global con Cloud VPN y Cloud Interconnect
De forma predeterminada, los clientes deben estar en la misma red o en una red de VPC conectada mediante el emparejamiento entre redes de VPC. Puedes habilitar el acceso global para permitir que los clientes de cualquier región accedan a tu balanceador de carga.
Si habilitas el acceso global, los siguientes recursos se pueden ubicar en cualquier región:- Routers de Cloud Router
- Pasarelas y túneles de Cloud VPN
- Vinculaciones de VLAN
En el diagrama:
- Los componentes frontend y backend del balanceador de carga se encuentran en la región
REGION_A. - El router de Cloud Router está en la región
REGION_B. - Cloud Router se empareja con el router VPN on-premise.
- La sesión de emparejamiento del protocolo de puerta de enlace de frontera (BGP) puede realizarse a través de Cloud VPN o Cloud Interconnect con emparejamiento directo o Partner Interconnect.
El modo de enrutamiento dinámico
de la red de VPC se ha definido como global para habilitar Cloud Router en REGION_B y que anuncie las rutas de subredes de cualquier región de la red de VPC del balanceador de carga.
Varias rutas de salida
En entornos de producción, debes usar varios túneles de Cloud VPN o asignaciones de VLAN para tener redundancia. En esta sección se describen los requisitos que se deben cumplir al usar varios túneles o adjuntos de VLAN.
En el siguiente diagrama, dos túneles de Cloud VPN conectan lb-network a una red on-premise. Aunque aquí se usan túneles de Cloud VPN, los mismos principios se aplican a Cloud Interconnect.
Debes configurar cada túnel o cada vinculación de VLAN en la misma región que el balanceador de carga interno. Este requisito no se aplica si has habilitado el acceso global.
Puedes usar varios túneles o vinculaciones de VLAN para obtener más ancho de banda o como rutas de espera para la redundancia.
Ten en cuenta los siguientes puntos:
- Si la red on-premise tiene dos rutas con las mismas prioridades, cada una con un destino de
10.1.2.0/24y un siguiente salto correspondiente a un túnel VPN diferente en la misma región que el balanceador de carga interno, el tráfico se puede enviar desde la red on-premise (192.168.1.0/24) al balanceador de carga mediante multipath de igual coste (ECMP). - Una vez que los paquetes se han entregado a la red VPC, el balanceador de carga interno los distribuye a las VMs de backend según la afinidades de sesión configuradas.
- Si la
lb-networktiene dos rutas, cada una con el destino192.168.1.0/24y un salto siguiente correspondiente a diferentes túneles VPN, las respuestas de las VMs backend se pueden enviar a través de cada túnel según la prioridad de las rutas de la red. Si se usan prioridades de ruta diferentes, un túnel puede servir como copia de seguridad del otro. Si se usan las mismas prioridades, las respuestas se envían mediante ECMP. - Las respuestas enviadas desde las VMs de backend (como
vm-a2) se envían directamente a los clientes locales a través del túnel adecuado. Desde el punto de vista delb-network, si cambian las rutas o los túneles VPN, el tráfico podría salir mediante otro túnel. Esto puede provocar que se restablezcan las sesiones TCP si se interrumpe una conexión en curso.
Siguientes pasos
- Para configurar y probar un balanceador de carga de aplicación interno, consulta Configurar un balanceador de carga de aplicación interno.