Présentation des règles de transfert

Une règle de transfert spécifie comment acheminer le trafic réseau vers les services de backend d'un équilibreur de charge. Une règle de transfert comprend une adresse IP, un protocole IP et un ou plusieurs ports sur lesquels l'équilibreur de charge accepte du trafic. Certains équilibreurs de charge Google Cloud vous limitent à un ensemble prédéfini de ports, tandis que d'autres vous permettent de spécifier des ports arbitraires.

Une règle de transfert ainsi que l'adresse IP qui lui est associée représentent la configuration de l'interface d'un équilibreur de charge Google Cloud.

En fonction du type d'équilibreur de charge, les éléments suivants s'appliquent :

En outre, une règle de transfert régionale peut être une ressource désignée comme service dans App Hub, en version bêta.

Règles de transfert internes

Les règles de transfert internes transfèrent le trafic provenant d'un réseau Google Cloud. Les clients peuvent se trouver sur le même réseau de cloud privé virtuel (VPC) que les backends ou sur un réseau connecté.

Elles sont utilisées par les équilibreurs de charge Google Cloud suivants :

  • Équilibreur de charge d'application interne
  • Équilibreur de charge réseau proxy interne
  • Équilibreur de charge réseau passthrough interne

Équilibreur de charge d'application interne

L'équilibreur de charge d'application interne accepte le trafic IPv4 via les protocoles HTTP, HTTPS ou HTTP/2.

Le champ d'application de la règle de transfert dépend du type d'équilibreur de charge :

  • Chaque équilibreur de charge d'application interne régional possède au moins une règle de transfert interne régionale. La règle de transfert interne régionale pointe vers le proxy HTTP ou HTTPS régional cible de l'équilibreur de charge. La règle de transfert est associée à une adresse IP interne régionale.
  • Chaque équilibreur de charge d'application interne interrégional possède au moins une règle de transfert interne mondiale. La règle de transfert interne mondiale pointe vers le proxy HTTP ou HTTPS cible mondial de l'équilibreur de charge. La règle de transfert globale est configurée avec une adresse IP interne régionale et associée à un sous-réseau régional, tandis qu'un équilibreur de charge d'application externe global dispose d'une règle de transfert globale qui possède une adresse IP anycast globale.

Les règles de transfert gérées internes connectées à un proxy HTTP(S) cible acceptent tous les numéros de port compris entre 1 et 65 535 inclus.

À titre d'exemple, le schéma suivant montre comment une règle de transfert s'intègre à l'architecture de l'équilibreur de charge d'application interne régional.

Règle de transfert de l'équilibreur de charge d'application interne régional
Règle de transfert de l'équilibreur de charge d'application interne régional (cliquez pour agrandir).

Pour plus d'informations sur les équilibreurs de charge d'application internes, consultez les pages suivantes :

Équilibreur de charge réseau proxy interne

Avec un équilibreur de charge réseau proxy interne, le type de trafic compatible est IPv4 et le protocole accepté est TCP.

Le champ d'application de la règle de transfert dépend du type d'équilibreur de charge :

  • Chaque équilibreur de charge réseau proxy interne régional possède au moins une règle de transfert interne régionale. La règle de transfert spécifie une adresse IP interne, un port ainsi qu'un proxy TCP cible régional. Les clients utilisent l'adresse IP et le port pour se connecter aux proxys Envoy de l'équilibreur de charge. L'adresse IP de la règle de transfert correspond à l'adresse IP de l'équilibreur de charge (parfois appelée adresse IP virtuelle ou VIP).
  • Chaque équilibreur de charge réseau proxy interne interrégional possède au moins une règle de transfert interne globale. La règle de transfert interne mondiale pointe vers le proxy TCP cible mondial de l'équilibreur de charge. La règle de transfert globale est configurée avec une adresse IP interne régionale et associée à un sous-réseau régional.

Les règles de transfert gérées internes connectées à un proxy TCP cible acceptent tous les numéros de port compris entre 1 et 65 535 inclus.

Le schéma suivant montre comment une règle de transfert s'intègre à l'architecture de l'équilibreur de charge réseau proxy interne régional.

Règle de transfert de l'équilibreur de charge réseau proxy interne régional
Règle de transfert de l'équilibreur de charge réseau proxy interne régional (cliquez pour agrandir)

Pour en savoir plus sur les équilibreurs de charge réseau internes proxy, consultez les pages suivantes :

Équilibreur de charge réseau passthrough interne

Avec un équilibreur de charge réseau interne, les types de trafic compatibles sont IPv4 ou IPv6. Pour en savoir plus sur les protocoles acceptés, consultez la page Protocoles de règles de transfert.

Chaque équilibreur de charge réseau passthrough interne possède au moins une règle de transfert interne régionale. Les règles de transfert internes régionales pointent vers le service de backend interne régional de l'équilibreur de charge. Le schéma suivant montre comment une règle de transfert s'intègre à l'architecture de l'équilibreur de charge réseau passthrough interne.

Règle de transfert de l'équilibreur de charge réseau passthrough interne
Règle de transfert de l'équilibreur de charge réseau passthrough interne (cliquez pour agrandir)

Le schéma suivant montre comment les composants de l'équilibreur de charge s'intègrent à un sous-réseau et à une région.

La règle de transfert interne doit être définie dans une région et un sous-réseau. Le service de backend doit correspondre uniquement à cette région.

Vue d'ensemble d'un équilibreur de charge réseau passthrough interne
Vue d'ensemble d'un équilibreur de charge réseau passthrough interne (cliquez pour agrandir)

Pour en savoir plus sur les équilibreurs de charge réseau passthrough internes, consultez les pages suivantes :

Règles de transfert externes

Les règles de transfert externes acceptent le trafic provenant de systèmes clients ayant un accès à Internet, y compris :

  • Un client en dehors de Google Cloud
  • Une VM Google Cloud avec une adresse IP externe
  • Une VM Google Cloud sans adresse IP externe utilisant Cloud NAT ou un système NAT basé sur une instance

Les règles de transfert externes sont utilisées par les types d'équilibreurs de charge Google Cloud suivants :

  • Équilibreur de charge d'application externe
  • Équilibreur de charge réseau proxy externe
  • Équilibreur de charge réseau passthrough externe

Équilibreur de charge d'application externe

Pour les équilibreurs de charge d'application externes, la règle de transfert et l'adresse IP dépendent du mode d'équilibreur de charge et des niveaux de service réseau que vous sélectionnez pour l'équilibreur de charge.

Dans un équilibreur de charge d'application externe, une règle de transfert pointe vers un proxy HTTP(S) cible. Les règles de transfert externes connectées à un proxy HTTP(S) cible acceptent tous les numéros de port compris entre 1 et 65 535 inclus.

  • L'équilibreur de charge d'application externe global n'est compatible qu'avec le niveau Premium.
  • Chaque équilibreur de charge d'application classique peut être de niveau Premium ou Standard.
  • L'équilibreur de charge d'application externe régional est compatible avec les niveaux Premium et Standard.

Les exigences concernant l'adresse IP et les règles de transfert varient en fonction du niveau de service réseau :

  • Au niveau Premium, les équilibreurs de charge d'application externes globaux et les équilibreurs de charge d'application classiques utilisent une adresse IP externe globale, qui peut être de type IPv4 ou IPv6, et une règle de transfert externe globale. Vous pouvez fournir une application accessible mondialement qui redirige les utilisateurs finaux vers les backends de la région la plus proche et répartit le trafic entre différentes régions. Étant donné qu'une règle de transfert externe globale utilise une seule adresse IP externe, vous n'avez pas besoin de conserver des enregistrements DNS distincts dans les différentes régions ni d'attendre la propagation des modifications DNS.

    Vous pouvez disposer de deux adresses IP externes globales distinctes pointant vers le même équilibreur de charge d'application externe global. Par exemple, au niveau Premium, l'adresse IP externe globale d'une première règle de transfert peut être de type IPv4, tandis que celle d'une seconde règle de transfert peut être de type IPv6. Ces deux règles de transfert peuvent pointer vers le même proxy cible. Vous avez ainsi la possibilité de fournir à la fois une adresse IPv4 et une adresse IPv6 pour le même équilibreur de charge d'application externe. Consultez la documentation sur la terminaison IPv6 pour en savoir plus.

  • Au niveau Premium, les équilibreurs de charge d'application externes régionaux utilisent une adresse IPv4 externe régionale et une règle de transfert externe régionale.

  • Au niveau Standard, les équilibreurs de charge d'application externes régionaux et les équilibreurs de charge d'application classiques utilisent une adresse IPv4 externe régionale et une règle de transfert externe régionale. Un équilibreur de charge relevant du niveau Standard ne peut distribuer du trafic qu'aux backends d'une seule région.

Le schéma suivant montre comment une règle de transfert globale s'intègre à l'architecture d'un équilibreur de charge d'application externe global. La même architecture s'applique également à l'équilibreur de charge d'application classique au niveau Premium.

Règle de transfert pour l'équilibreur de charge d'application externe global
Règle de transfert de l'équilibreur de charge d'application externe global (cliquez pour agrandir)

Pour en savoir plus sur les équilibreurs de charge d'application externes, consultez la Présentation de l'équilibreur de charge d'application externe.

Équilibreur de charge réseau proxy externe

Un équilibreur de charge réseau proxy externe offre des fonctionnalités de proxy TCP, avec un déchargement SSL facultatif. Un équilibreur de charge réseau proxy externe est semblable à un équilibreur de charge d'application externe, dans la mesure où il peut mettre fin aux sessions SSL (TLS). Toutefois, contrairement aux équilibreurs de charge d'application externes, ces équilibreurs de charge n'acceptent pas la redirection basée sur le chemin. Ils permettent donc une meilleure gestion de SSL pour les protocoles autres que HTTPS, comme IMAP ou Websocket via SSL. Dans un équilibreur de charge réseau proxy externe, une règle de transfert pointe vers un proxy cible TCP ou SSL.

Les équilibreurs de charge réseau proxy externes sont compatibles avec les niveaux Premium et Standard. La règle de transfert et l'adresse IP dépendent du mode d'équilibreur de charge et des niveaux de service réseau que vous sélectionnez pour l'équilibreur de charge :

  • L'équilibreur de charge réseau proxy classique peut être de niveau Premium ou Standard.
  • L'équilibreur de charge réseau proxy global externe n'est compatible qu'avec le niveau Premium.
  • L'équilibreur de charge réseau proxy externe régional est compatible avec les niveaux Premium et Standard.

Les exigences concernant l'adresse IP et les règles de transfert varient en fonction du niveau de service réseau :

  • Au niveau Premium, les équilibreurs de charge réseau proxy externes globaux et les équilibreurs de charge réseau proxy classiques utilisent une adresse IP externe globale, qui peut être de type IPv4 ou IPv6, et une règle de transfert externe globale. Vous pouvez fournir une application accessible mondialement qui redirige les utilisateurs finaux vers les backends de la région la plus proche et répartit le trafic entre différentes régions. Étant donné qu'une règle de transfert externe globale utilise une seule adresse IP externe, vous n'avez pas besoin de conserver des enregistrements DNS distincts dans les différentes régions ni d'attendre la propagation des modifications DNS.

    Il est possible de disposer de deux adresses IP externes globales distinctes pointant vers le même équilibreur de charge réseau proxy externe. Par exemple, au niveau Premium, l'adresse IP externe globale d'une première règle de transfert peut être de type IPv4, tandis que celle d'une seconde règle de transfert peut être de type IPv6. Ces deux règles de transfert peuvent pointer vers le même proxy cible. Vous avez ainsi la possibilité de fournir à la fois une adresse IPv4 et une adresse IPv6 pour le même équilibreur de charge réseau proxy externe. Consultez la documentation sur la terminaison IPv6 pour en savoir plus.

  • Au niveau Premium, les équilibreurs de charge réseau proxy externes régionaux utilisent une adresse IPv4 externe régionale et une règle de transfert externe régionale.

  • Au niveau Standard, les équilibreurs de charge réseau proxy externes régionaux et les équilibreurs de charge réseau proxy classiques utilisent une adresse IPv4 externe régionale et une règle de transfert externe régionale. Un équilibreur de charge relevant du niveau Standard ne peut distribuer du trafic qu'aux backends d'une seule région.

Les règles de transfert externes connectées à un proxy TCP ou SSL cible acceptent tous les numéros de port compris entre 1 et 65 535 inclus.

Le schéma suivant montre comment une règle de transfert s'intègre à l'architecture de l'équilibreur de charge réseau proxy externe global.

Règle de transfert de l'équilibreur de charge réseau proxy externe global
Règle de transfert de l'équilibreur de charge réseau proxy externe global (cliquez pour agrandir)

Pour plus d'informations sur les équilibreurs de charge réseau proxy externes, consultez la Présentation de l'équilibreur de charge réseau proxy externe. Pour en savoir plus sur la configuration des équilibreurs de charge réseau proxy externes, consultez la page Configurer un équilibreur de charge réseau proxy externe.

Équilibreur de charge réseau passthrough externe

Les équilibreurs de charge réseau passthrough externes sont des équilibreurs de charge passthrough qui distribuent le trafic entre les instances backend d'une seule région. Un équilibreur de charge réseau passthrough externe utilise une règle de transfert externe régionale et une adresse IP externe régionale. L'adresse IP externe régionale est accessible depuis n'importe quel emplacement sur Internet et par les VM Google Cloud avec un accès Internet.

Pour les équilibreurs de charge réseau passthrough externes basés sur un service de backend, la règle de transfert externe régionale pointe vers un service de backend. Les équilibreurs de charge réseau passthrough externes basés sur un service de backend acceptent le trafic TCP, UDP, ESP, GRE, ICMP et ICMPv6. Pour en savoir plus, consultez la section Protocoles de règles de transfert pour les équilibreurs de charge réseau passthrough externes basés sur un service de backend. Les règles de transfert des équilibreurs de charge basés sur un service de backend peuvent être configurées avec des adresses IPv4 ou IPv6. Les règles de transfert des équilibreurs de charge réseau passthrough externes basés sur un service de backend sont compatibles avec les fonctionnalités avancées suivantes :

  • Diriger le trafic provenant d'une plage spécifique d'adresses IP sources vers un service de backend spécifique. Pour en savoir plus, consultez Orientation du trafic.
  • Répartissez le trafic sur les instances backend de l'équilibreur de charge en fonction des pondérations signalées par une vérification d'état HTTP à l'aide de l'équilibrage de charge pondéré.

Pour les équilibreurs de charge réseau passthrough externes basés sur un pool cible, la règle de transfert pointe vers un pool cible. Un équilibreur de charge réseau passthrough externe basé sur un pool cible n'accepte que le trafic TCP ou UDP. Les règles de transfert des équilibreurs de charge réseau passthrough externes basés sur un pool cible n'acceptent que les adresses IPv4.

Pour les adresses IPv4 externes régionales, l'équilibreur de charge réseau passthrough externe accepte les niveaux Standard et Premium. Les adresses IPv6 externes régionales ne sont disponibles qu'avec le niveau Premium.

Pour prendre en charge des instances backend dans plusieurs régions, vous devez créer un équilibreur de charge réseau passthrough externe dans chaque région. Cela s'applique, que l'adresse IP de l'équilibreur de charge se trouve dans le Niveau Premium ou dans le niveau Standard.

La figure suivante montre un équilibreur de charge réseau passthrough externe disposant d'une règle de transfert externe régionale avec l'adresse IP 120.1.1.1. L'équilibreur de charge livre les requêtes des backends dans la région us-central1.

Exemple d'équilibreur de charge réseau passthrough externe.
Exemple d'équilibreur de charge réseau passthrough externe (cliquez pour agrandir)

Pour plus d'informations sur les équilibreurs de charge réseau passthrough externes, consultez la Présentation de l'équilibreur de charge réseau passthrough externe. Pour en savoir plus sur la configuration des équilibreurs de charge réseau passthrough externes, consultez l'une des sections suivantes :

Impact des niveaux de service réseau sur les équilibreurs de charge

Dans les niveaux de service réseau, la distinction entre le niveau Standard et le niveau Premium dépend de la distance parcourue par le trafic sur l'Internet public :

  • Niveau Standard : décharge le trafic le plus près possible du centre de données. Cela signifie que le trafic est généralement acheminé via l'Internet public sur une plus longue distance, par rapport au niveau Premium.

  • Niveau Premium : achemine le trafic via le réseau de production de Google aussi loin que possible avant de quitter Google Cloud pour atteindre l'utilisateur final.

Équilibreur de charge Niveaux de service réseau compatibles
  • Équilibreur de charge d'application externe global
  • Équilibreur de charge réseau proxy externe global
Ces équilibreurs de charge sont toujours associés au niveau Premium. Leurs services de backend, règles de transfert et adresses IP sont globaux.
  • Équilibreur de charge d'application classique
  • Équilibreur de charge réseau proxy classique

Ces équilibreurs de charge peuvent être de niveau Premium ou Standard.

Avec le niveau Premium, ils sont globaux. Leurs règles de transfert, adresses IP et services de backend sont également globaux.

Au niveau Standard, ces équilibreurs de charge sont en réalité régionaux. Leurs services de backend sont globaux, mais leurs règles de transfert et leurs adresses IP sont régionales.

  • Équilibreur de charge d'application externe régional
  • Équilibreur de charge réseau proxy externe régional
Ces équilibreurs de charge peuvent être de niveau Premium ou Standard. Leurs services de backend, règles de transfert et adresses IP sont toujours régionaux.
  • Équilibreur de charge d'application interne interrégional
  • Équilibreur de charge d'application interne régional
  • Équilibreur de charge réseau proxy interne régional
  • Équilibreur de charge réseau proxy interne interrégional
  • Équilibreur de charge réseau passthrough interne
Ces équilibreurs de charge acceptent le trafic au sein d'un réseau VPC (y compris les réseaux qui y sont connectés). Le trafic est de niveau Premium, car il fait partie d'un réseau VPC.
Équilibreur de charge réseau passthrough externe

Ces équilibreurs de charge doivent utiliser des adresses IPv4 ou IPv6 externes régionales.

Ces équilibreurs de charge peuvent être de niveau Premium ou Standard. Les adresses IPv6 nécessitent le niveau Premium.

Seuls les équilibreurs de charge réseau passthrough externes basés sur un service de backend peuvent gérer le trafic IPv6.

Spécifications de protocoles IP

Chaque règle de transfert est associée à un protocole IP utilisé par la règle. La valeur de protocole par défaut est TCP.

Produit Schéma d'équilibrage de charge Options de protocole IP
Équilibreur de charge d'application externe global EXTERNAL_MANAGED TCP
Équilibreur de charge d'application classique EXTERNAL TCP
Équilibreur de charge d'application externe régional EXTERNAL_MANAGED TCP
Équilibreur de charge d'application interne interrégional INTERNAL_MANAGED TCP
Équilibreur de charge d'application interne régional INTERNAL_MANAGED TCP
Équilibreur de charge réseau proxy externe global EXTERNAL_MANAGED TCP ou SSL
Équilibreur de charge réseau proxy classique EXTERNAL TCP ou SSL
Équilibreur de charge réseau proxy externe régional EXTERNAL_MANAGED TCP
Équilibreur de charge réseau proxy interne régional INTERNAL_MANAGED TCP
Équilibreur de charge réseau proxy interne interrégional INTERNAL_MANAGED TCP
Équilibreur de charge réseau passthrough externe EXTERNAL TCP, UDP ou L3_DEFAULT
Équilibreur de charge réseau passthrough interne INTERNAL TCP, UDP, ou L3_DEFAULT
Cloud Service Mesh INTERNAL_SELF_MANAGED TCP

Spécifications d'adresses IP

La règle de transfert doit avoir une adresse IP que vos clients utilisent pour atteindre votre équilibreur de charge. Cette adresse IP peut être statique ou éphémère.

Une adresse IP statique fournit une adresse IP réservée unique vers laquelle vous pouvez pointer votre domaine. Si vous devez supprimer votre règle de transfert et la rajouter, vous pouvez continuer à utiliser la même adresse IP réservée.

Une adresse IP éphémère reste constante tant que la règle de transfert existe. Lorsque vous choisissez une adresse IP éphémère, Google Cloud associe une adresse IP à la règle de transfert de votre équilibreur de charge. Si vous devez supprimer la règle de transfert puis l'ajouter à nouveau, celle-ci peut alors recevoir une nouvelle adresse IP.

Selon le type d'équilibreur de charge, l'adresse IP peut avoir divers attributs. Le tableau suivant récapitule les configurations d'adresse valides en fonction du schéma d'équilibrage de charge et de la cible de la règle de transfert.

Produit et schéma Cible Type d'adresse IP Champ d'application de l'adresse IP Niveau d'adresse IP Adresse IP réservable Remarques
Équilibreur de charge d'application externe global

EXTERNAL_MANAGED
Proxy HTTP cible
Proxy HTTPS cible
Externe Mondial Niveau Premium : adresse IP externe globale et règle de transfert Oui, facultatif IPv6 disponible
Équilibreur de charge d'application classique

EXTERNE*
Proxy HTTP cible
Proxy HTTPS cible
Externe Régional ou global, selon la règle de transfert Niveau Premium : adresse IPv4 ou IPv6 externe globale et règle de transfert

Niveau Standard : adresse IPv4 externe régionale et règle de transfert
Oui, facultatif IPv6 disponible avec une adresse externe globale (niveau Premium)
Équilibreur de charge d'application externe régional

EXTERNAL_MANAGED
Proxy HTTP cible
Proxy HTTPS cible
Externe Régional Niveau Premium ou niveau Standard Oui, facultatif IPv6 non disponible
Équilibreur de charge d'application interne interrégional

INTERNAL_MANAGED
Proxy HTTP cible
Proxy HTTPS cible
Interne Régional Niveau Premium Oui, facultatif La règle de transfert globale est configurée avec une adresse IP régionale comprise dans la plage d'adresses IPv4 principale du sous-réseau régional associé. Cela diffère de l'équilibreur de charge d'application externe global dans lequel la règle de transfert globale possède une adresse IP anycast globale.
Équilibreur de charge d'application interne régional

INTERNAL_MANAGED
Proxy HTTP cible
Proxy HTTPS cible
Interne Régional Niveau Premium Oui, facultatif L'adresse de la règle de transfert doit être comprise dans la plage d'adresses IPv4 principale du sous-réseau associé.
Équilibreur de charge réseau proxy externe global

EXTERNAL_MANAGED
Proxy SSL cible
Proxy TCP cible
Externe Mondial Niveau Premium Oui, facultatif IPv6 disponible
Équilibreur de charge réseau proxy classique

EXTERNE
Proxy SSL cible
Proxy TCP cible
Externe Régional ou global, selon la règle de transfert Niveau Premium : adresse IPv4 ou IPv6 externe globale et règle de transfert

Niveau Standard : adresse IPv4 externe régionale et règle de transfert
Oui, facultatif IPv6 disponible avec une adresse externe globale (niveau Premium)
Équilibreur de charge réseau proxy externe régional

EXTERNAL_MANAGED
Proxy TCP cible Externe Régional Niveau Premium ou niveau Standard Oui, facultatif IPv6 non disponible
Équilibreur de charge réseau proxy interne régional

INTERNAL_MANAGED
Proxy TCP cible Interne Régional Niveau Premium Oui, facultatif L'adresse de la règle de transfert doit être comprise dans la plage d'adresses IPv4 principale du sous-réseau associé.
Équilibreur de charge réseau proxy interne interrégional

INTERNAL_MANAGED
Proxy TCP cible Interne Régional Niveau Premium Oui, facultatif L'adresse de la règle de transfert doit être comprise dans la plage d'adresses IPv4 principale du sous-réseau associé.
Équilibreur de charge réseau passthrough externe

EXTERNAL
Service de backend
Pool cible
Externe Régional Standard (adresses IPv4)
Premium (adresses IPv4 ou IPv6)
Oui, facultatif La compatibilité IPv6 nécessite un équilibreur de charge réseau passthrough externe basé sur un service de backend. L'adresse IPv6 de la règle de transfert doit être comprise dans la plage d'adresses IPv6 externes d'un sous-réseau. L'adresse IPv6 externe provient de la plage d'adresses IPv6 externe du sous-réseau. Elle est donc de niveau Premium.
Équilibreur de charge réseau passthrough interne

INTERNAL
Service de backend Interne Régional Niveau Premium Oui, facultatif L'adresse de la règle de transfert doit être comprise dans la plage d'adresses IPv4 principale du sous-réseau associé.
Cloud Service Mesh

INTERNAL_SELF_MANAGED
Proxy HTTP cible
Proxy gRPC cible
Interne Mondial Non applicable Non 0.0.0.0, 127.0.0.1 ou toute adresse RFC 1918 autorisée
VPN classique

EXTERNAL
Consultez la documentation sur les VPN classiques. Externe Régional Cloud VPN ne propose pas plusieurs niveaux de service réseau Oui, obligatoire IPv6 non compatible
* Il est possible d'associer des services de backend EXTERNAL_MANAGED à des règles de transfert EXTERNAL. Toutefois, les services de backend EXTERNAL ne peuvent pas être associés à des règles de transfert EXTERNAL_MANAGED. Pour profiter des nouvelles fonctionnalités disponibles uniquement avec l'équilibreur de charge d'application externe mondial, nous vous recommandons de migrer vos ressources EXTERNAL existantes vers EXTERNAL_MANAGED à l'aide du processus de migration décrit dans la section Migrer des ressources de l'équilibreur de charge d'application classique vers l'équilibreur de charge d'application externe mondial.

Plusieurs règles de transfert avec une adresse IP commune

Deux règles de transfert ou plus avec le schéma d'équilibrage de charge EXTERNAL ou EXTERNAL_MANAGED peuvent partager la même adresse IP si les conditions suivantes sont remplies :

  • Les ports utilisés par chaque règle de transfert ne se chevauchent pas.
  • Les niveaux de service réseau de chaque règle de transfert correspondent aux niveaux de service réseau de l'adresse IP externe.

Exemples :

  • Deux équilibreurs de charge réseau passthrough externes qui acceptent respectivement le trafic sur le port TCP 79 et sur le port TCP 80 peuvent partager la même adresse IP externe régionale.
  • Vous pouvez utiliser la même adresse IP externe globale pour un équilibreur de charge d'application externe (HTTP et HTTPS).

Si le schéma d'équilibrage de charge de la règle de transfert est INTERNAL ou INTERNAL_MANAGED, plusieurs règles de transfert peuvent partager la même adresse IP. Pour en savoir plus, consultez les ressources suivantes :

Si le schéma d'équilibrage de charge de la règle de transfert est INTERNAL_SELF_MANAGED pour Cloud Service Mesh, il doit disposer d'une adresse IP unique.

Spécifications de ports

Le tableau suivant récapitule les configurations de port valides en fonction du schéma d'équilibrage de charge et de la cible de la règle de transfert.

Produit Schéma d'équilibrage de charge Cible Configuration requise au niveau des ports
Équilibreur de charge d'application externe global

Équilibreur de charge d'application externe régional
EXTERNAL_MANAGED Proxy HTTP cible
Proxy HTTPS cible
Peut faire référence à un seul port dans la plage 1-65535
Équilibreur de charge d'application classique EXTERNAL Proxy HTTP cible
Proxy HTTPS cible
Peut faire référence à un seul port dans la plage 1-65535
Équilibreur de charge d'application interne interrégional

Équilibreur de charge d'application interne régional
INTERNAL_MANAGED Proxy HTTP cible
Proxy HTTPS cible
Peut faire référence à un seul port dans la plage 1-65535
Équilibreur de charge réseau proxy externe global EXTERNAL_MANAGED Proxy TCP cible
Proxy SSL cible
Peut faire référence à un seul port dans la plage 1-65535
Équilibreur de charge réseau proxy classique EXTERNAL Proxy TCP cible
Proxy SSL cible
Peut faire référence à un seul port dans la plage 1-65535
Équilibreur de charge réseau proxy externe régional EXTERNAL_MANAGED Proxy TCP cible Peut faire référence à un seul port dans la plage 1-65535
Équilibreur de charge réseau proxy interne régional INTERNAL_MANAGED Proxy TCP cible Peut faire référence à un seul port dans la plage 1-65535
Équilibreur de charge réseau proxy interne interrégional INTERNAL_MANAGED Proxy TCP cible Peut faire référence à un seul port dans la plage 1-65535
Équilibreur de charge réseau passthrough externe EXTERNAL Service de backend Si le protocole de règle de transfert est TCP ou UDP, vous pouvez configurer :
  • une liste de cinq ports (contigus ou non contigus) ;
  • une seule plage de ports (contiguë) ;
  • tous les ports. Pour configurer tous les ports, définissez --ports=ALL à l'aide de l'outil de ligne de commande gcloud ou définissez allPorts sur True à l'aide de l'API.

Si le protocole de règle de transfert est L3_DEFAULT, vous devez configurer tous les ports.
  • Pour configurer tous les ports, définissez --ports=ALL à l'aide de l'outil de ligne de commande gcloud ou définissez allPorts sur True à l'aide de l'API.
Pool cible

Doit correspondre à une seule plage de ports (contiguë)

La spécification d'un port est facultative pour les règles de transfert utilisées avec des équilibreurs de charge réseau externes basés sur un pool cible. Si aucun port n'est spécifié, le trafic provenant de tous les ports (1-65535) est transféré.

Équilibreur de charge réseau passthrough interne INTERNAL Service de backend Jusqu'à cinq (contigus ou non contigus) ports, ou vous pouvez configurer tous les ports à l'aide de l'une des méthodes suivantes :
définissez --ports=ALL à l'aide de l'outil de ligne de commande gcloud, ou
définissez allPorts sur True à l'aide de l'API.
Cloud Service Mesh INTERNAL_SELF_MANAGED Proxy HTTP cible
Proxy HTTPS cible
Doit être une valeur unique.

Au sein d'un réseau VPC, deux règles de transfert pour Cloud Service Mesh ne peuvent avoir la même adresse IP, ni les mêmes spécifications de port.
VPN classique EXTERNAL Passerelle VPN cible Peut référencer exactement l'un des ports suivants : 500, 4500

Conditions IAM

Vous pouvez définir des conditions IAM (Identity and Access Management) pour contrôler les rôles accordés aux comptes principaux. Cette fonctionnalité vous permet d'accorder des autorisations aux comptes principaux si les conditions configurées sont remplies.

Une condition IAM vérifie le schéma d'équilibrage de charge de la règle de transfert (par exemple, INTERNAL ou EXTERNAL), et autorise ou interdit la création de la règle de transfert. Si un compte principal essaie de créer une règle de transfert sans autorisation, un message d'erreur s'affiche.

Pour en savoir plus, consultez la page Conditions IAM.

Utiliser des règles de transfert

Si vous utilisez la console Google Cloud pour configurer un équilibreur de charge, la règle de transfert est configurée implicitement lors de la configuration de votre interface. Si vous utilisez Google Cloud CLI ou l'API, vous devez configurer explicitement la règle de transfert.

Une fois que vous avez créé une règle de transfert, vous pouvez y apporter des modifications limitées. Par exemple, une fois qu'une règle de transfert a été définie, vous ne pouvez plus modifier son adresse IP, son numéro de port ni son protocole. Toutefois, vous pouvez mettre à jour certains paramètres des règles de transfert en modifiant la configuration de l'interface de l'équilibreur de charge auquel ils sont associés. Utilisez gcloud CLI ou l'API pour effectuer d'autres modifications.

Modifier l'adresse IP d'une règle de transfert

Vous ne pouvez pas modifier l'adresse IP d'une règle de transfert existante. Pour mettre à jour l'adresse IP d'une règle de transfert, vous devez supprimer et recréer la règle comme suit :

  1. Supprimez la règle de transfert à l'aide de la commande gcloud compute forwarding-rules delete ou de la méthode forwardingRules.delete.

  2. Recréez la règle de transfert à l'aide de la commande gcloud compute forwarding-rules create ou de la méthode forwardingRules.insert.

API

Pour une description des propriétés et des méthodes disponibles lorsque vous utilisez des règles de transfert via l'API REST, consultez les pages suivantes :

Google Cloud CLI

Pour la documentation de référence de gcloud CLI, consultez les pages suivantes :

gcloud compute forwarding-rules

  • Champ d'application global : --global
  • Champ d'application régional : --region=[REGION]

Étapes suivantes