En esta página, se describen las situaciones para acceder a un balanceador de cargas interno en tu red de nube privada virtual (VPC) desde una red conectada. Antes de revisar la información de esta página, ya deberías estar familiarizado con los conceptos de la siguiente guía:
Usa el intercambio de tráfico entre redes de VPC
Cuando usas el intercambio de tráfico entre redes de VPC para conectar tu red de VPC a otra, Google Cloud comparte las rutas de subred entre las redes. Las rutas de subred permiten que el tráfico de la red de intercambio de tráfico llegue a los balanceadores de cargas internos de tu red. Se permite el acceso si se cumplen estas condiciones:
- Crea reglas de firewall de entrada para permitir el tráfico de las VMs de cliente en la red de intercambio de tráfico. Las reglas de firewall de Google Cloud no se comparten entre redes cuando se usa el intercambio de tráfico entre redes de VPC.
- Para los balanceadores de cargas de aplicaciones internos regionales, las instancias de máquinas virtuales (VMs) de cliente en la red de intercambio de tráfico deben estar ubicadas en la misma región que el balanceador de cargas interno. Esta restricción no se aplica si configuras el acceso global.
No puedes compartir de manera selectiva solo algunos balanceadores de cargas de red de transferencia internos, balanceadores de cargas de red de proxy regionales internos o balanceadores de cargas de aplicaciones internos mediante el intercambio de tráfico entre redes de VPC. Todos los balanceadores de cargas internos se comparten de manera automática.
Puedes limitar el acceso a los backends del balanceador de cargas si configuras las VMs o los extremos de backend a fin de controlar el acceso con encabezados HTTP (por ejemplo, X-Forwarded-For).
Usa Cloud VPN y Cloud Interconnect
Puedes acceder a un balanceador de cargas interno desde una red de intercambio de tráfico conectada a través de un túnel de Cloud VPN o un adjunto de VLAN para una conexión de interconexión dedicada o una interconexión de socio. La red de intercambio de tráfico puede ser una red local, otra red de VPC de Google Cloud o una red virtual que aloje otro proveedor de servicios en la nube.
Acceso a través de túneles de Cloud VPN
Puedes acceder a un balanceador de cargas interno a través de un túnel de Cloud VPN cuando se cumplen todas las siguientes condiciones.
En la red del balanceador de cargas interno
- La puerta de enlace de Cloud VPN y los túneles deben estar ubicados en la misma región que el balanceador de cargas cuando el acceso global está inhabilitado. Si el acceso global está habilitado en la regla de reenvío del balanceador de cargas, no se aplica esta restricción.
- Las rutas deben proporcionar rutas de respuesta de los sistemas proxy a la red local o de intercambio de tráfico en la que se encuentra el cliente. Si usas túneles de Cloud VPN con el enrutamiento dinámico, considera el modo de enrutamiento dinámico de la red de Cloud VPN del balanceador de cargas. El modo de enrutamiento dinámico determina qué rutas dinámicas personalizadas están disponibles para los proxies en la subred de solo proxy.
En la red de intercambio de tráfico
La red de intercambio de tráfico debe tener al menos un túnel de Cloud VPN con rutas a la subred en la que se define el balanceador de cargas interno.
Si la red de intercambio de tráfico es otra red de VPC de Google Cloud, aplica lo siguiente:
La puerta de enlace y los túneles de Cloud VPN de la red de intercambio de tráfico se pueden ubicar en cualquier región.
Con respecto a los túneles de Cloud VPN que usan enrutamiento dinámico, el modo de enrutamiento dinámico de la red de VPC determina qué rutas están disponibles para los clientes en cada región. Para proporcionar un conjunto coherente de rutas dinámicas personalizadas a clientes en todas las regiones, usa el modo de enrutamiento dinámico global.
Asegúrate de que los firewalls de red local o de intercambio de tráfico permitan los paquetes enviados a la dirección IP de la regla de reenvío del balanceador de cargas. Asegúrate de que los firewalls de red local o de intercambio de tráfico permitan paquetes de respuesta recibidos desde la dirección IP de la regla de reenvío del balanceador de cargas.
En el siguiente diagrama, se destacan los conceptos clave que se aplican cuando se accede a un balanceador de cargas interno mediante una puerta de enlace de Cloud VPN y su túnel asociado. Cloud VPN conecta de manera segura tu red local a tu red de VPC de Google Cloud mediante los túneles de Cloud VPN.
Ten en cuenta los siguientes elementos de configuración asociados con este ejemplo:
- En
lb-network, se configuró un túnel de Cloud VPN que usa enrutamiento dinámico. El túnel VPN, la puerta de enlace y Cloud Router están ubicados en REGION_A, la misma región en la que se encuentran los componentes del balanceador de cargas interno. - Las reglas de firewall de entrada permitida se configuraron para aplicarse a las VMs de backend en los grupos de instancias A y B a fin de que puedan recibir el tráfico desde las direcciones IP en la red de VPC y desde la red local,
10.1.2.0/24y192.168.1.0/24. No se crearon reglas de firewall de denegación de salida, por lo que se aplica la regla de permiso de salida implícita. - Los paquetes enviados desde clientes en las redes locales, incluso desde
192.168.1.0/24, a la dirección IP del balanceador de cargas interno10.1.2.99, se entregan directamente a una VM de backend en buen estado, comovm-a2, según la afinidad de sesión configurada. - Las respuestas enviadas desde las VM de backend (como
vm-a2) se entregan a través del túnel VPN a los clientes locales.
Consulta Solución de problemas de Cloud VPN para solucionar problemas de Cloud VPN.
Acceso a través de Cloud Interconnect
Puedes acceder a un balanceador de cargas interno desde una red de intercambio de tráfico local que esté conectada a la red de VPC del balanceador de cargas cuando se cumplan todas las siguientes condiciones en la red del balanceador de cargas interno:
El adjunto de VLAN y el Cloud Router deben estar ubicados en la misma región que el balanceador de cargas cuando el acceso global está inhabilitado. Si el acceso global está habilitado en la regla de reenvío del balanceador de cargas, no se aplica esta restricción.
Los routers locales deben proporcionar rutas de respuesta de los backends del balanceador de cargas a la red local. Los adjuntos VLAN para la interconexión dedicada y la interconexión de socio deben usar Cloud Routers. Por lo tanto, las rutas dinámicas personalizadas proporcionan rutas de respuesta. El conjunto de rutas dinámicas personalizadas que aprenden dependerá del modo de enrutamiento dinámico de la red del balanceador de cargas.
Asegúrate de que los firewalls locales permitan los paquetes enviados a la dirección IP de la regla de reenvío del balanceador de cargas. Asegúrate de que los firewalls locales permitan paquetes de respuesta recibidos de la dirección IP de la regla de reenvío del balanceador de cargas.
Usa acceso global con Cloud VPN y Cloud Interconnect
De forma predeterminada, los clientes deben estar en la misma red o en una red de VPC conectada mediante el intercambio de tráfico entre redes de VPC. Puedes habilitar el acceso global para permitir que los clientes de cualquier región accedan al balanceador de cargas.
Cuando habilitas el acceso global, los siguientes recursos se pueden encontrar en cualquier región:- Cloud Routers
- Puertas de enlace y túneles de Cloud VPN
- Adjuntos de VLAN
En el diagrama:
- El frontend y los backends del balanceador de cargas se encuentran en la región
REGION_A. - Cloud Router se encuentran en la región
REGION_B. - Cloud Router realiza intercambios de tráfico con el router de VPN local.
- La sesión de intercambio de tráfico de protocolo de Puerta de enlace de frontera (BGP) se puede realizar a través de Cloud VPN o Cloud Interconnect con intercambio de tráfico directo o interconexión de socio.
El modo de enrutamiento dinámico de la red de VPC está configurado como global a fin de habilitar a Cloud Router en REGION_B con el objetivo de anunciar las rutas de subred para subredes en cualquier región de la red de VPC del balanceador de cargas.
Múltiples rutas de salida
En entornos de producción, debes usar varios túneles de Cloud VPN o adjuntos de VLAN para agregar redundancia. En esta sección, se analizan los requisitos para usar varios túneles o adjuntos de VLAN.
En el siguiente diagrama, dos túneles de Cloud VPN conectan lb-network a una red local. Si bien los túneles de Cloud VPN se usan aquí, los mismos principios se aplican a Cloud Interconnect.
Debes configurar cada túnel o cada adjunto de VLAN en la misma región que el balanceador de cargas interno. Este requisito no se aplica si habilitaste el acceso global.
Varios túneles o adjuntos de VLAN pueden proporcionar ancho de banda adicional o pueden servir como rutas de acceso en espera a fin de aumentar la redundancia.
Ten en cuenta los siguientes puntos:
- Si la red local tiene dos rutas con las mismas prioridades, cada una con el destino
10.1.2.0/24y un siguiente salto que corresponde a otro túnel VPN en la misma región en la que está el balanceador de cargas interno, el tráfico se puede enviar desde la red local (192.168.1.0/24) al balanceador de cargas mediante el enrutamiento de varias rutas de igual costo (ECMP). - Una vez que los paquetes se entregan a la red de VPC, el balanceador de cargas interno los distribuye a las VM de backend según la afinidad de sesión configurada.
- Si la
lb-networktiene dos rutas, cada una con el destino192.168.1.0/24y un siguiente salto que corresponde a diferentes túneles VPN, las respuestas de las VM de backend se pueden entregar a través de cada túnel según la prioridad de las rutas en la red. Si se usan diferentes prioridades de ruta, un túnel puede servir como copia de seguridad para el otro. Si se usan las mismas prioridades, las respuestas se entregan mediante ECMP. - Las respuestas enviadas desde las VM de backend (como
vm-a2) se entregan directamente a los clientes locales a través del túnel correspondiente. Desde la perspectiva de lalb-network, si las rutas o los túneles VPN cambian, el tráfico puede salir mediante un túnel diferente. Esto puede provocar que se restablezca la sesión TCP si se interrumpe una conexión en curso.
¿Qué sigue?
- Para configurar y probar un balanceador de cargas de aplicaciones interno, consulta Configura un balanceador de cargas de aplicaciones interno.