Balanceadores de carga de aplicativos internos e redes conectadas

Nesta página, você verá cenários para acessar um balanceador de carga interno na sua rede de nuvem privada virtual (VPC) usando uma rede conectada. Antes de analisar as informações desta página, você precisa estar familiarizado com os conceitos do guia a seguir:

Usar o peering de rede VPC

Quando você usa o peering de rede VPC para conectar sua rede VPC a outra rede, o Google Cloud compartilha rotas de sub-rede entre as redes. As rotas de sub-rede permitem que o tráfego da rede de peering alcance os balanceadores de carga internos na sua rede. O acesso é permitido se as afirmações abaixo forem verdadeiras:

  • Crie regras de firewall de entrada para permitir o tráfego de VMs clientes na rede de peering. As regras de firewall do Google Cloud não são compartilhadas entre redes ao usar o peering de rede VPC.
  • Em balanceadores de carga de aplicativo internos regionais, as instâncias de máquina virtual (VM) do cliente na rede com peering precisam estar na mesma região do balanceador de carga interno. Essa restrição é desconsiderada quando você configura o acesso global.

Não é possível usar o peering de rede VPC para compartilhar seletivamente apenas alguns balanceadores de carga de rede de passagem interna, balanceadores de carga de rede de proxy internos regionais ou balanceadores de carga de aplicativo internos. Todos os balanceadores de carga internos são compartilhados automaticamente. É possível limitar o acesso aos back-ends do balanceador de carga configurando as VMs ou os endpoints de back-end para controlar o acesso usando cabeçalhos HTTP (por exemplo, X-Forwarded-For).

Usar o Cloud VPN e o Cloud Interconnect

É possível acessar um balanceador de carga interno usando uma rede de peering conectada por um túnel do Cloud VPN ou por um anexo da VLAN para uma conexão de Interconexão dedicada ou Interconexão por parceiro. A rede de peering pode ser uma rede local, outra rede VPC do Google Cloud ou uma rede virtual hospedada por um provedor de nuvem diferente.

Acesso por meio de túneis do Cloud VPN

É possível acessar um balanceador de carga interno por meio de um túnel do Cloud VPN quando todas as condições a seguir forem atendidas.

Na rede do balanceador de carga interno

  • O gateway e os túneis do Cloud VPN precisam estar localizados na mesma região do balanceador de carga quando o acesso global estiver desativado. Se o acesso global estiver ativado na regra de encaminhamento do balanceador de carga, essa restrição será dispensada.
  • As rotas precisam fornecer caminhos de resposta dos sistemas proxy para a rede local ou em peering em que o cliente está localizado. Se você estiver usando os túneis do Cloud VPN com roteamento dinâmico, considere o modo de roteamento dinâmico da rede do Cloud VPN do balanceador de carga. O modo de roteamento dinâmico determina quais rotas dinâmicas personalizadas estão disponíveis para os proxies na sub-rede somente proxy.

Na rede de peering

A rede de peering precisa ter pelo menos um túnel do Cloud VPN com rotas para a sub-rede em que o balanceador de carga interno está definido.

Se a rede de peering for outra rede VPC do Google Cloud:

  • O gateway e os túneis do Cloud VPN da rede de peering podem estar localizados em qualquer região.

  • Em túneis do Cloud VPN que usam roteamento dinâmico, o modo de roteamento dinâmico da rede VPC determina quais rotas estão disponíveis para os clientes de cada região. Para fornecer um conjunto consistente de rotas dinâmicas personalizadas para os clientes de todas as regiões, use o modo de roteamento dinâmico global.

  • Verifique se os firewalls de rede local ou de peering permitem pacotes enviados ao endereço IP da regra de encaminhamento do balanceador de carga. Verifique se os firewalls de rede locais ou de peering permitem pacotes de resposta recebidos do endereço IP da regra de encaminhamento do balanceador de carga.

O diagrama a seguir destaca os principais conceitos ao acessar um balanceador de carga interno por meio de um gateway do Cloud VPN e seu túnel associado. O Cloud VPN conecta sua rede local com segurança à rede VPC do Google Cloud usando túneis do Cloud VPN.

Balanceamento de carga interno e o Cloud VPN.
Balanceamento de carga interno e Cloud VPN (clique para ampliar).

Observe os seguintes elementos de configuração associados a este exemplo:

  • Na lb-network, foi configurado um túnel do Cloud VPN que usa roteamento dinâmico. O túnel VPN, o gateway e o Cloud Router estão localizados em REGION_A, a mesma região dos componentes do balanceador de carga interno.
  • As regras de firewall de entrada permitidas foram configuradas para serem aplicadas às VMs de back-end nos grupos de instâncias A e B para que eles possam receber tráfego de endereços IP na rede VPC e da rede local, 10.1.2.0/24 e 192.168.1.0/24. Nenhuma regra de firewall de negação de saída foi criada. Portanto, a regra de saída de permissão implícita se aplica.
  • Pacotes enviados de clientes nas redes locais, inclusive de 192.168.1.0/24, para o endereço IP do balanceador de carga interno, 10.1.2.99, são entregues diretamente a uma VM de back-end íntegra, como vm-a2, de acordo com a afinidade de sessão configurada.
  • As respostas enviadas das VMs de back-end, como vm-a2, são entregues por meio do túnel VPN aos clientes locais.

Veja como resolver problemas do Cloud VPN em Solução de problemas do Cloud VPN.

Acessar pelo Cloud Interconnect

É possível acessar um balanceador de carga interno de uma rede de peering local conectada à rede VPC do balanceador de carga quando todas as condições a seguir forem atendidas na rede do balanceador de carga interno:

  • O anexo da VLAN e o Cloud Router precisam estar na mesma região do balanceador de carga quando o acesso global está desativado. Se o acesso global estiver ativado na regra de encaminhamento do balanceador de carga, essa restrição será dispensada.

  • Os roteadores locais precisam fornecer caminhos de resposta dos back-ends do balanceador de carga para a rede local. Os anexos VLAN para a Interconexão dedicada e a Interconexão por parceiro precisam usar os Cloud Routers. Assim, as rotas dinâmicas personalizadas fornecem caminhos de resposta. O conjunto de rotas dinâmicas personalizadas que eles aprendem depende do modo de roteamento dinâmico da rede do balanceador de carga.

  • Verifique se os firewalls locais permitem pacotes enviados para o endereço IP da regra de encaminhamento do balanceador de carga. Verifique se os firewalls locais permitem pacotes de resposta recebidos do endereço IP da regra de encaminhamento do balanceador de carga.

Usar o acesso global com o Cloud VPN e o Cloud Interconnect

Por padrão, os clientes precisam estar na mesma rede ou em uma rede VPC conectada usando o Peering de rede VPC. É possível ativar o acesso global para permitir que clientes de qualquer região acessem o balanceador de carga.

Ao ativar o acesso global, os seguintes recursos podem estar localizados em qualquer região:
  • Cloud Routers
  • Gateways e túneis do Cloud VPN
  • Anexos da VLAN

No diagrama:

  • O front-end e os back-ends do balanceador de carga estão na região REGION_A.
  • O Cloud Router está na região REGION_B.
  • O Cloud Router usa peering com o roteador VPN local.
  • A sessão de peering do protocolo do gateway de borda (BGP) pode ser feita por meio do Cloud VPN ou do Cloud Interconnect com o peering direto ou com a Interconexão por parceiro.
Balanceamento de carga interno com acesso global.
Balanceamento de carga interno com acesso global (clique para ampliar).

O modo de roteamento dinâmico da rede VPC está definido como global para ativar o Cloud Router em REGION_B e divulgar as rotas de sub-redes em qualquer região da rede VPC do balanceador de carga.

Vários caminhos de saída

Em ambientes de produção, é necessário usar vários túneis do Cloud VPN ou anexos da VLAN para redundância. Nesta seção, discutiremos os requisitos ao usar vários túneis ou anexos da VLAN.

No diagrama a seguir, dois túneis do Cloud VPN conectam lb-network a uma rede local. Embora aqui sejam usados túneis do Cloud VPN, os mesmos princípios se aplicam ao Cloud Interconnect.

Balanceamento de carga interno e vários túneis do Cloud VPN.
Balanceamento de carga interno e vários túneis do Cloud VPN (clique para ampliar)

Configure cada túnel ou cada anexo da VLAN na mesma região do balanceador de carga interno. Esse requisito é dispensado se você ativou o acesso global.

Vários túneis ou anexos da VLAN podem fornecer largura de banda adicional ou servir como caminhos de espera para redundância.

Tenha em mente os seguintes pontos:

  • Se a rede local tiver duas rotas com as mesmas prioridades, cada uma com um destino de 10.1.2.0/24 e um próximo salto correspondente a um túnel VPN diferente na mesma região do balanceador de carga interno, o tráfego poderá ser enviado da rede local (192.168.1.0/24) para o balanceador de carga usando vários caminhos de custo igual (ECMP, na sigla em inglês).
  • Depois que os pacotes são entregues à rede VPC, o balanceador de carga interno os distribui para as VMs de back-end de acordo com a afinidade de sessão configurada.
  • Se lb-network tiver duas rotas, cada uma com o destino 192.168.1.0/24 e um próximo salto correspondente a diferentes túneis VPN, as respostas das VMs de back-end poderão ser entregues em cada túnel de acordo com a prioridade das rotas na rede. Se diferentes prioridades de rota forem usadas, um túnel poderá servir como um backup para o outro. Se as mesmas prioridades forem usadas, as respostas serão entregues usando ECMP.
  • As respostas enviadas das VMs de back-end, como vm-a2, são entregues diretamente aos clientes locais por meio do túnel apropriado. Da perspectiva de lb-network, se as rotas ou os túneis VPN forem alterados, o tráfego poderá sair usando um túnel diferente. Isso pode resultar em redefinições de sessão TCP se uma conexão em andamento for interrompida.

A seguir

  • Para configurar e testar um balanceador de carga de aplicativo interno, consulte esta página.