Descripción general de grupos de extremos de red de Internet

Cloud Load Balancing admite tráfico mediante proxy a backends externos fuera de Google Cloud. Para definir un backend externo para un balanceador de cargas, se usa un recurso llamado grupo de extremos de red (NEG) de Internet.

Puedes usar este tipo de implementación cuando quieras entregar contenido desde un backend externo, pero quieras que tu balanceador de cargas de Google Cloud sea el frontend. Esto te permite hacer lo siguiente:

Usar la infraestructura de Google Edge para finalizar tus conexiones de usuario.
Dirige las conexiones a tu backend externo.
Con los balanceadores de cargas globales, puedes usar Cloud CDN para almacenar en caché el contenido de tu backend externo.
Enviar tráfico a tu extremo público a través de la red troncal privada de Google, lo que mejora la confiabilidad y puede reducir la latencia entre el cliente y el servidor

En la figura 1, se muestra un balanceador de cargas de aplicaciones externo con varios tipos de backend, uno de los cuales es un backend externo configurado con un NEG de Internet.

Grupos de extremos de red de Internet en el balanceo de cargas. — **Figura 1.** Grupos de extremos de red de Internet en el balanceo de cargas (haz clic para agrandar).

Los backends de NEG de Internet son compatibles con varios balanceadores de cargas globales y regionales. Según tu balanceador de cargas (global o regional), la compatibilidad con NEG de Internet difiere con respecto al DNS, la verificación de estado, la cantidad disponible de extremos y los comportamientos de enrutamiento de tráfico.

En las siguientes secciones, se explica cómo se usan los backends externos con Cloud Load Balancing. Si deseas usar un backend externo con Traffic Director, consulta Traffic Director con grupos de extremos de red de Internet.

Terminología

Los siguientes términos a veces se usan indistintamente porque tienen el mismo significado o uno similar:

backend externo: Es un backend que reside fuera de Google Cloud y se puede acceder a él a través de Internet. El extremo en un NEG de Internet.
origen personalizado: Igual que un backend externo. En CDN, origen es el término estándar de la industria para una instancia de backend que entrega contenido web.
Grupo de extremos de red de Internet (NEG): el recurso de la API de Google Cloud que usas para especificar un backend externo.
extremo externo: Igual que un backend externo.

En este documento, se usa el término backend externo, excepto cuando se hace referencia al recurso de la API de NEG de Internet.

Componentes del balanceador de cargas

En esta sección, se describen la arquitectura y los recursos del balanceo de cargas necesarios para configurar un balanceador de cargas con un backend externo. El balanceador de cargas requiere una configuración especial solo para el servicio de backend. La configuración del frontend es la misma que la de cualquier otro balanceador de cargas.

En las siguientes imágenes, se muestran los recursos de Google Cloud necesarios para configurar un balanceador de cargas con un backend externo.

Global externo

En la figura, se muestran los recursos de Google Cloud necesarios para configurar un balanceador de cargas de aplicaciones externo global con un backend externo.

Balanceador de cargas de aplicaciones externo global con backend externo. — Balanceador de cargas de aplicaciones externo global con backend externo (haz clic para ampliar).

Regional externo

En la figura, se muestran los recursos de Google Cloud necesarios para configurar un balanceador de cargas de aplicaciones externo regional con un backend externo.

Balanceador de cargas de aplicaciones externo regional con backend externo. — Un balanceador de cargas regional externo de aplicaciones con un backend externo (haz clic para ampliar).

En esta figura, se muestran los recursos de Google Cloud necesarios para configurar un balanceador de cargas de red de proxy externo regional con backend externo.

Balanceador de cargas de red de proxy externo regional con backend externo. — Un balanceador de cargas de red de proxy externo regional con un backend externo (haz clic para ampliar).

Regional interno

En esta figura, se muestran los recursos de Google Cloud necesarios para configurar un balanceador de cargas de red de proxy interno regional con backend externo.

Balanceador de cargas de red de proxy interno regional con backend externo. — Balanceador de cargas de red de proxy interno regional con backend externo (haz clic para ampliar)

Solo puedes usar NEGs de Internet en el nivel de servicio de red Premium.

Configuración de frontend

No se requiere ninguna configuración especial de frontend para crear un balanceador de cargas con un backend de NEG de Internet. Las reglas de reenvío se usan para enrutar el tráfico por dirección IP, puerto y protocolo a un proxy de destino. Luego, el proxy de destino finaliza las conexiones de los clientes. Además, los balanceadores de cargas basados en Envoy requieren una subred de solo proxy.

Los balanceadores de cargas de aplicaciones también usan mapas de URL para configurar el enrutamiento basado en URL de las solicitudes a los servicios de backend correspondientes.

Para obtener más detalles sobre cada uno de estos componentes, consulta las secciones de la arquitectura del balanceador de cargas correspondiente:

NEG de Internet

Un NEG de Internet es un recurso que se usa para definir un backend externo para el balanceador de cargas. Se debe poder acceder al backend externo al que hace referencia el NEG de Internet a través de Internet. No se puede acceder al extremo solo desde Cloud VPN o Cloud Interconnect. Si el backend externo hace referencia a una API o servicio de Google, se debe poder acceder a estos mediante el puerto TCP 80 o 443 con el protocolo HTTP, HTTPS o HTTP/2.

Existen dos formas de configurar el extremo externo al que hace referencia el NEG: INTERNET_FQDN_PORT o INTERNET_IP_PORT. Además, cada uno de estos extremos está disponible en dos alcances: global o regional.

Usa la siguiente tabla para revisar las diferencias entre los dos tipos de extremos y cómo se comportan en los alcances globales y regionales.

Balanceadores de cargas	Tipo de extremo	Definición de extremo	Permiso	Verificaciones de estado
Balanceador de cargas de aplicaciones externo global Balanceador de cargas de aplicaciones clásico	`INTERNET_FQDN_PORT`	Un nombre de dominio completamente calificado que se pueda resolver públicamente y un puerto opcional. Por ejemplo, `backend.example.com:443`¹. El nombre de dominio debe poder resolverse mediante la infraestructura de DNS público de Google. Solo se permite un extremo por NEG.	Global	No compatible
	`INTERNET_IP_PORT`	Una dirección IP enrutable de forma pública y un puerto opcional. Por ejemplo, `8.8.8.8:443`¹. La dirección IP no puede ser RFC 1918. Solo se permite un extremo por NEG.	Global	No compatible
Balanceador de cargas de aplicaciones externo regional Balanceador de cargas de aplicaciones interno regional Balanceador de cargas de red del proxy externo regional Balanceador de cargas de red del proxy interno regional	`INTERNET_FQDN_PORT`	Un nombre de dominio completamente calificado que se pueda resolver públicamente y un puerto opcional. Por ejemplo, `backend.example.com:443`². El nombre de dominio se debe poder resolver mediante Cloud DNS o la infraestructura de DNS pública de Google. Se permite un máximo de 256 extremos por NEG.	Regional	Verificaciones de estado distribuidas de Envoy
	`INTERNET_IP_PORT`	Una dirección IP enrutable de forma pública y un puerto opcional. Por ejemplo, `8.8.8.8:443`². La dirección IP no puede ser RFC 1918. Se permite un máximo de 256 extremos por NEG.	Regional	Verificaciones de estado distribuidas de Envoy

¹ Si no especificas un puerto mientras agregas el extremo, se usa el puerto predeterminado del NEG. Si no especificaste un puerto predeterminado para el NEG, se usa el puerto conocido de tu protocolo de backend (80 para HTTP y 443 para HTTPS y HTTP/2).

² Con los NEGs de Internet regionales, debes especificar un puerto. Puedes especificar un puerto predeterminado mientras creas el NEG o puedes especificar un puerto cada vez que agregues un extremo al NEG, o puedes hacer ambos. Si no especificas un puerto mientras agregas un extremo, se usa el puerto predeterminado del NEG.

Resolución de DNS para extremos `INTERNET_FQDN_PORT` regionales

Si tu dominio se puede resolver en Internet, no se necesita ninguna otra configuración para configurar DNS. Sin embargo, si usas FQDN privados, deberás configurar Cloud DNS para facilitar la resolución de DNS. El nombre debe estar alojado en Cloud DNS o debe poder resolverse con el reenvío de DNS desde Cloud DNS a un DNS local.

Primero, crea una zona de Cloud DNS para alojar los registros DNS en tu proyecto. Luego, agrégale los registros DNS. Para conocer los pasos de configuración específicos, consulta la documentación de Cloud DNS.

Si usas una VPC compartida, ten en cuenta los requisitos de red específicos. También puedes usar otras funciones de Cloud DNS, como zonas de reenvío, para recuperar registros de un servidor DNS local.

Resolución de dirección IP para extremos `INTERNET_FQDN_PORT` globales

Cuando un extremo INTERNET_FQDN_PORT apunta a un registro DNS que muestra varias direcciones IP, la dirección IP se resuelve de la siguiente manera:

El balanceador de cargas usa un agente de resolución de DNS en la región de Google Cloud más cercana a su cliente en Internet. Si el registro DNS de tu extremo INTERNET_FQDN_PORT muestra direcciones IP diferentes según la ubicación del cliente, asegúrate de que el balanceador de cargas pueda acceder a cada una de esas direcciones IP.
El balanceador de cargas intenta conectarse a la primera dirección IP en la respuesta DNS. Si no se puede acceder a esa dirección IP, el balanceador de cargas muestra una respuesta HTTP 502 (Bad Gateway). Esto es así incluso si están disponibles otras direcciones IP de la respuesta de DNS.

Para obtener más información sobre los rangos de IP y las ubicaciones que usa la infraestructura de resolución de DNS de Google, consulta la documentación de DNS público de Google. Los nombres que el sistema DNS público no puede resolver no se pueden usar como backends externos.

Resolución de dirección IP para extremos `INTERNET_FQDN_PORT` regionales

Los NEGs de Internet regionales admiten la resolución de nombres de dominio mediante Cloud DNS y el DNS público de Google. En el caso de los servidores DNS públicos, Cloud DNS reenvía el tráfico a estos servidores.

Si el servidor DNS muestra varias direcciones IP, el tráfico de balanceo de cargas de Envoy entre las direcciones IP mostradas se basa en el algoritmo de balanceo de cargas configurado (round robin, solicitud de mínimos, etcétera). La lista de extremos se actualiza de forma periódica según el TTL de DNS. Puedes configurar las políticas de reintento para forzar a Envoy a intentar conectarse a otra dirección IP si una falla.

Servicio de backend

Los servicios de backend proporcionan información de configuración al balanceador de cargas. Los balanceadores de cargas usan la información en el servicio de backend para dirigir el tráfico entrante a uno o más backends conectados.

Para configurar un balanceador de cargas con un backend externo, configura el servicio de backend con un backend de NEG de Internet. Cuando agregas un NEG de Internet a un servicio de backend, se aplican las siguientes consideraciones, según el alcance del NEG:

El servicio de backend tampoco puede usar otros tipos de backend (como NEGs zonales o grupos de instancias) como backends.
Cantidad de NEGs por servicio de backend
- NEGs globales. Solo puedes agregar un backend de NEG de Internet a un servicio de backend.
- NEGs regionales. Puedes agregar hasta 50 NEGs de Internet al mismo servicio de backend.
Cantidad de extremos por NEG
- NEGs globales. Puedes agregar solo un extremo a un NEG de Internet.
Dado que solo se permite un extremo en cada NEG de Internet global, el balanceo de cargas no se realiza realmente. El balanceador de cargas funciona solo como frontend y actúa como proxy para el tráfico al backend externo especificado. Esto significa que no puedes usar ninguno de los modos de balanceo de cargas, como la tasa, la conexión o el uso.
- NEGs regionales. Puedes agregar hasta 256 extremos por NEG al mismo servicio de backend.
Los NEGs regionales no son compatibles con los modos de balanceo de cargas, como la tasa, la conexión o el uso. Todos los extremos de todos los NEGs adjuntos a un servicio de backend se agrupan en un solo grupo. El tráfico del balanceo de cargas entre este grupo de extremos se controla mediante los algoritmos de balanceo de cargas de Envoy. Para obtener información sobre los algoritmos de la política de balanceo de cargas compatibles, consulta localityLbPolicy en la documentación de la API del servicio de backend regional.
Verificaciones de estado
- NEGs globales. El servicio de backend no puede hacer referencia a una verificación de estado.
- NEGs regionales. El balanceador de cargas usa verificaciones de estado de Envoy distribuidas.
El esquema de balanceo de cargas del servicio de backend debe coincidir con el esquema que requiere el balanceador de cargas que implementas. Para obtener la lista completa, consulta Servicios de backend.
El protocolo de servicio de backend debe ser HTTP, HTTPS o HTTP2.

Te recomendamos que uses HTTPS o HTTP/2 como protocolo cuando configures un servicio de backend con un NEG de Internet para que la comunicación entre el balanceador de cargas y el backend se encripte y autentique cuando se transita por el público Internet.

Además, cuando uses HTTPS o HTTP/2 como protocolo de backend, asegúrate de usar un extremo INTERNET_FQDN_PORT para crear tu backend externo. Esto tiene dos ventajas:
- Garantiza que el balanceador de cargas valide el certificado del servidor SSL que presenta el backend externo y que verifique que se cumpla la siguiente información:
  - El certificado esté firmado por autoridades certificadoras (CA) conocidas.
  - El certificado no haya caducado.
  - La firma del certificado sea válida.
  - El FQDN configurado coincida con uno de los nombres alternativos de sujeto (SAN) en el certificado.
  Si creas el backend externo mediante un extremo INTERNET_IP_PORT, no se realiza la validación del certificado del servidor SSL.
- La extensión de indicación de nombre del servidor (SNI) de SSL solo es compatible con extremos INTERNET_FQDN_PORT. El FQDN configurado recibe una SNI en la bienvenida del cliente durante el protocolo de enlace SSL entre el balanceador de cargas y el extremo externo. La SNI no se envía cuando usas un extremo INTERNET_IP_PORT porque los literales de dirección IP no están permitidos en el campo HostName de una carga útil de SNI.

Verificaciones de estado

La configuración de la verificación de estado varía según el tipo de balanceador de cargas:

Balanceador de cargas de aplicaciones externo global y balanceador de cargas de aplicaciones clásico. Un servicio de backend con un NEG de Internet global no admite verificaciones de estado.

Si tu backend externo se vuelve inaccesible o si el nombre de host configurado (FQDN) no se puede resolver, el balanceador de cargas muestra una respuesta HTTP 502 (Bad Gateway) a sus clientes.

Balanceador de cargas de aplicaciones externo regional, balanceador de cargas de aplicaciones interno, balanceador de cargas de red del proxy externo regional y balanceador de cargas de red del proxy interno regional. Las verificaciones de estado son opcionales. Los sondeos de verificación de estado de estos balanceadores de cargas se originan en la subred de solo proxy y se traducen mediante NAT (con Cloud NAT) a direcciones IP reservadas previamente o a direcciones IP de NAT asignadas automáticamente. Para obtener más detalles, consulta NEG regionales: Usa una puerta de enlace de Cloud NAT.
Las verificaciones de estado distribuidas de Envoy se crean mediante los mismos procesos de la consola de Google Cloud, la CLI de gcloud y la API que las verificaciones de estado centralizadas. No se requiere ninguna otra configuración.

Puntos para tener en cuenta:
- No se admiten las verificaciones de estado de gRPC.
- No se admiten las verificaciones de estado con el protocolo PROXY v1 habilitado.
- Debido a que el plano de datos de Envoy controla las verificaciones de estado, no puedes usar la consola de Google Cloud, la API ni la CLI de gcloud para verificar el estado de estos extremos externos. En el caso de los NEGs híbridos con balanceadores de cargas basados en Envoy, la consola de Google Cloud muestra el estado de la verificación de estado como N/A. Esta situación es esperable.
- Cada proxy de Envoy asignado a la subred de solo proxy en la región de la red de VPC inicia las verificaciones de estado de forma independiente. Por lo tanto, es posible que veas un aumento en el tráfico de red debido a la verificación de estado. El aumento depende de la cantidad de proxies de Envoy asignados a tu red de VPC en una región, la cantidad de tráfico que reciben estos proxies y la cantidad de extremos en los que cada proxy de Envoy debe comprobar el estado. En el peor de los casos, el tráfico de red generado por las verificaciones de estado aumenta a una frecuencia cuadrática de (O(n^2)).
- Los registros de verificaciones de estado de las verificaciones de estado distribuidas de Envoy no incluyen estados detallados. Para obtener detalles sobre lo que se registra, consulta Registro de verificación de estado. Para solucionar problemas de conectividad de proxies de Envoy a tus extremos de NEG, también debes verificar los registros correspondientes del balanceador de cargas.

Habilita el backend externo para recibir solicitudes

El tráfico de los balanceadores de cargas que usan NEG de Internet regionales se origina desde la subred de solo proxy y, luego, se traduce con NAT (mediante Cloud NAT) a direcciones IP de NAT reservadas o asignadas automáticamente. Esto incluye sondeos de verificación de estado y solicitudes de usuario del balanceador de cargas a los backends.

La configuración de tu backend externo para permitir el tráfico de Google Cloud depende del alcance del NEG: global o regional.

NEGs globales: incluye en la lista de anunciantes permitidos las direcciones IP de salida predeterminadas de Google

Si usas un NEG de Internet global, debes incluir en la lista de entidades permitidas los rangos de direcciones IP que Google usa para enviar solicitudes a backends externos. Para buscar las direcciones IP que se incluirán en la lista de entidades permitidas, consulta el registro TXT _cloud-eoips.googleusercontent.com de DNS con una herramienta como dig o nslookup.

Para ver un ejemplo, consulta Permite que el backend externo reciba tráfico de Google Cloud.

NEG regionales: Usa una puerta de enlace de Cloud NAT

Si usas un NEG de Internet regional, primero configurarás una puerta de enlace de Cloud NAT para asignar un conjunto de rangos de direcciones IP desde el que el tráfico de Google Cloud debería origin.

El extremo de la puerta de enlace debe ser del tipo ENDPOINT_TYPE_MANAGED_PROXY_LB.

La puerta de enlace de Cloud NAT se puede configurar para asignar direcciones IP externas de forma dinámica a pedido o usar un conjunto de direcciones IP externas reservadas de forma manual.

Direcciones IP asignadas de forma automática

Usa direcciones IP asignadas de forma dinámica si tu entorno de backend externo no requiere que incluyas direcciones IP específicas de Google Cloud en la lista de entidades permitidas que puedan enviar tráfico al backend externo.
Direcciones IP asignadas de forma manual

Usa direcciones IP asignadas de forma manual solo si el entorno de backend externo requiere que incluyas direcciones IP específicas de Google Cloud en la lista de entidades permitidas. Debido a que cada Envoy asignado a tu subred de proxy consume una dirección IP completa. Asegúrate de que el grupo de direcciones IP reservadas sea lo suficientemente grande como para admitir todos los Envoys.

Advertencia: Si aprovisionas menos direcciones IP de NAT que la cantidad de proxies de Envoy asignados, las solicitudes enviadas al NEG de Internet podrían generan errores HTTP 5xx. Para garantizar que se te informe cuando ocurra ese evento, configura una alerta para la métrica nat_allocation_failed. Comunícate con el equipo de asistencia si necesitas ayuda para calcular la cantidad de direcciones IP que se deben asignar a tu balanceador de cargas en una región específica.

Si tienes problemas de conectividad a gran escala, verifica si alcanzaste los límites de Cloud NAT. De forma predeterminada, tienes un límite de 50 direcciones IP de NAT asignadas manualmente por puerta de enlace.

Esta configuración de Cloud NAT se aplica a toda la subred de solo proxy. El tráfico de Internet asociado con todos los balanceadores de cargas basados en Envoy regionales de la región comparte la misma puerta de enlace NAT.

El uso de Cloud NAT genera cargos por el tráfico de los usuarios y del tráfico de la verificación de estado. Si deseas obtener detalles sobre cómo funcionan los NEG de Internet regionales, consulta Precios de NEG de Internet regionales.

Existen ciertas limitaciones para las puertas de enlace NAT configuradas en subredes de solo proxy:

Solo se realiza la traducción de NAT uno a uno. No se admite el uso compartido de direcciones IP.
El registro y la supervisión no son compatibles. Es decir, las marcas --enable-logging y --log-filter no son compatibles.
No se admiten las funciones relacionadas con los puertos, como la asignación estática y dinámica de puertos, la configuración de puertos máximos y mínimos por VM y la asignación independiente de extremos. Cada proxy obtiene los 65536 puertos.

Autentica solicitudes al backend externo

Esta sección solo se aplica a los balanceadores de cargas de aplicaciones.

Para autenticar solicitudes enviadas a tu backend externo, puedes realizar una de las siguientes acciones:

Puedes configurar un encabezado personalizado para indicar que la solicitud provino de un balanceador de cargas de aplicaciones de Google Cloud mediante un encabezado de solicitud personalizado. Por ejemplo, puedes usar 16 o más bytes criptográficos aleatorios como clave compartida.

La implementación de transformaciones de encabezados personalizados depende del tipo de balanceador de cargas que uses:
- Balanceador de cargas de aplicaciones externo global y balanceador de cargas de aplicaciones clásico. Las transformaciones de encabezados personalizados se pueden configurar en el servicio de backend o en el mapa de URL.
  
  Por ejemplo, puedes configurar el backend externo para que espere un valor particular para el encabezado Host de la solicitud HTTP y puedes configurar el servicio de backend para que establezca el encabezado Host en ese valor esperado. Si no configuras un encabezado de solicitud personalizado, el balanceador de backend conserva los encabezados que el cliente usó para conectarse al balanceador de cargas e incluye el mismo encabezado en su respuesta. Sin embargo, ten en cuenta que la modificación del encabezado Host no es compatible con el mapa de URL.
  
  Hay limitaciones adicionales asociadas con la configuración del encabezado Host. Para obtener más información, consulta Crea encabezados personalizados en servicios de backend. Para ver un ejemplo específico, consulta Configura un balanceador de cargas de aplicaciones externo global con un backend externo.
- Balanceador de cargas de aplicaciones externo regional y el balanceador de cargas de aplicaciones interno regional. Las transformaciones de encabezados personalizados solo se pueden configurar en el mapa de URL.
  
  Para estos balanceadores de cargas basados en Envoy, Host y authority son palabras clave especiales que Google Cloud reserva. No puedes modificar estos encabezados para estos balanceadores de cargas. En cambio, te recomendamos que crees otros encabezados personalizados (por ejemplo, MyHost) para que no interfieras en los nombres de los encabezados reservados.
Habilita IAP y verifica que Google haya firmado el JWT firmado en el encabezado de la solicitud, y que la reclamación de aud (público) contenga el número de proyecto en el que se define tu balanceador de cargas.

IAP no es compatible con Cloud CDN. IAP no es compatible con balanceadores de cargas de aplicaciones regionales externos ni balanceadores de cargas de red de proxy (internos y externos).
Habilita la autenticación de origen privado, que otorga a un balanceador de cargas de aplicaciones externo acceso a largo plazo a un bucket privado de Amazon Simple Storage Service (Amazon S3) o a otros almacenes de objetos compatibles. Cloud CDN (y, por lo tanto, la autenticación de origen privado) no es compatible con los balanceadores de cargas de aplicaciones externos regionales ni con los balanceadores de cargas de aplicaciones internos regionales.

Registros

Las solicitudes enviadas mediante proxy a un backend externo se registran en Cloud Logging de la misma manera que las solicitudes de otros backends.

Para obtener más información, consulta lo siguiente:

Si habilitas Cloud CDN para un balanceador de cargas de aplicaciones externo mediante un backend externo, también se registran los aciertos de caché.

Procesamiento del encabezado con backends externos

Balanceadores de cargas de aplicaciones externos globales y balanceadores de cargas de aplicaciones clásicos

Cuando un balanceador de cargas de aplicaciones global o clásico envía solicitudes mediante un proxy a un backend externo, ajusta los encabezados HTTP de las siguientes maneras:

Algunos encabezados se combinan. Cuando hay varias instancias de la misma clave de encabezado (por ejemplo, Via), el balanceador de cargas combina sus valores en una lista separada por comas para una sola clave de encabezado. Solo se agrupan los encabezados cuyos valores se pueden representar como una lista separada por comas. Otros encabezados, como Set-Cookie, nunca se combinan.
Los encabezados son correctos cuando el protocolo del servicio de backend es HTTP o HTTPS:
- La primera letra de la clave del encabezado y todas las letras que siguen a un guion (-) se escriben en mayúsculas para preservar la compatibilidad con clientes HTTP/1.1. Por ejemplo, user-agent se cambia a User-Agent, y content-encoding se cambia a Content-Encoding.
- Algunos encabezados, como Accept-CH (sugerencias del cliente), se convierten para coincidir con la representación de letras mixtas estándar.
Algunos encabezados se agregan o se les agregan valores. Los balanceadores de cargas de aplicaciones externos siempre agregan o modifican determinados encabezados como Via y X-Forwarded-For.

Balanceadores de cargas de aplicaciones externos regionales y balanceadores de cargas de aplicaciones internos regionales

No hay procesamiento especial de encabezados para balanceadores de cargas basados en Envoy mediante NEG de Internet. Para obtener información sobre cómo Envoy suele procesar los encabezados, consulta Manipulación de encabezados HTTP.

Limitaciones

Revisa la sección de servicio de backend para conocer las limitaciones asociadas con la configuración de NEGs de Internet como backends.
Cuando modificas un balanceador de cargas para cambiar el backend de un NEG de Internet a cualquier otro tipo de backend, o cuando cambias el backend de cualquier otro tipo de backend a un NEG de Internet, la aplicación experimenta un tiempo de inactividad temporal de unos 30 a 90 segundos. Por ejemplo, durante este tiempo de inactividad, los clientes que envían solicitudes a balanceadores de cargas de aplicaciones externos globales ven errores 502 con el código de error failed_to_connect_to_backend. Se prevé que esto suceda.
Las siguientes funciones de administración avanzada del tráfico no son compatibles con los backends de NEG de Internet globales:
- Solicita la duplicación
- Políticas de reintento
- Políticas de tráfico (incluida la política de localidad del balanceo de cargas, la afinidad de sesión y la detección de valores atípicos)
Revisa la sección Puerta de enlace de Cloud NAT para conocer las limitaciones asociadas con las puertas de enlace NAT configuradas en subredes de solo proxy.

Cuotas y límites

Se aplican los siguientes límites y cuotas a los NEGs de Internet:

Puedes configurar tantos NEG con extremos de red externos como lo permita la cuota de tu grupo de extremos de red existente.
La cantidad de NEGs por servicio de backend depende del tipo de NEG de Internet (global o regional):
- Para los NEGs globales, solo puedes agregar un backend de NEG de Internet al mismo servicio de backend.
- Para los NEG regionales, puedes agregar hasta 50 NEGs de Internet al mismo servicio de backend.
La cantidad de extremos por NEG también depende del tipo de NEG de Internet (global o regional):
- Para los NEGs globales, puedes agregar solo un extremo a un NEG de Internet.
- Para los NEGs regionales, puedes agregar hasta 256 extremos a un NEG de Internet.

Para obtener más información, consulta la cuota de backends de NEG y la cuota de extremos por NEG.

Precios

El tráfico de salida a los extremos de NEG de Internet externos se cobra según las tarifas de salida de Internet para redes de nivel Premium. La fuente se basa en la ubicación del cliente, y el destino se basa en la ubicación de tu extremo público.

Si configuraste una puerta de enlace de Cloud NAT para asignar la subred de solo proxy del balanceador de cargas regional basado en Envoy, se generarán cargos de Cloud NAT. Las puertas de enlace Cloud NAT asignadas para balanceadores de cargas generan cargos por hora equivalentes a una red con más de 32 instancias de VM. Para obtener más información, consulta Precios de Cloud NAT.

Para obtener más información, consulta los precios de Cloud Load Balancing.