Ringkasan penerusan protokol

Penerusan protokol menggunakan aturan penerusan regional untuk mengirimkan paket protokol tertentu ke satu instance virtual machine (VM). Aturan penerusan dapat memiliki alamat IP internal atau eksternal. Penerusan protokol mengirimkan paket sambil mempertahankan alamat IP tujuan dari aturan penerusan. Aturan penerusan merujuk pada sebuah objek yang disebut instance target, yang kemudian akan mereferensikan satu instance VM.

Anda dapat menggunakan penerusan protokol untuk melakukan hal berikut:

  • Berikan alamat IP yang dapat dipindahkan dari satu instance ke instance lainnya dengan mengubah VM yang direferensikan oleh objek instance target atau dengan mengubah instance target yang dirujuk oleh aturan penerusan.
  • Meneruskan paket ke VM yang berbeda berdasarkan protokol dan port. Dua aturan penerusan dapat berbagi alamat IP yang sama selama informasi port dan protokolnya unik.
  • (Hanya penerusan protokol eksternal) Menentukan alamat IP eksternal tambahan untuk antarmuka jaringan tertentu. Tidak seperti antarmuka jaringan dengan konfigurasi NAT 1:1 untuk alamat IPv4 eksternalnya, penerusan protokol mempertahankan alamat IP tujuan dari aturan penerusan.
  • Mengirim paket yang alamat IP sumbernya cocok dengan alamat IP aturan penerusan.

Penerusan protokol berbeda dengan load balancer pass-through dalam cara berikut:

  • Tanpa load balancing. Instance target hanya mendistribusikan paket ke satu VM.
  • Tidak ada health check. Tidak seperti layanan backend, instance target tidak mendukung health check. Anda harus menggunakan cara lain untuk memastikan bahwa software yang diperlukan sudah berjalan dan beroperasi pada VM yang direferensikan oleh instance target.

Arsitektur

Penerusan protokol menggunakan aturan penerusan internal regional atau eksternal regional dan objek instance target zona. Instance target dan VM yang direferensikannya harus berada dalam zona di region aturan penerusan.

  • Penerusan protokol eksternal. Anda dapat menyiapkan beberapa aturan penerusan untuk mengarah ke satu instance target, sehingga Anda dapat menggunakan beberapa alamat IP eksternal dengan satu instance VM. Anda dapat menggunakan cara ini dalam skenario saat Anda mungkin ingin menyajikan data hanya dari satu instance VM, tetapi melalui alamat IP eksternal yang berbeda atau protokol dan port yang berbeda. Hal ini sangat berguna untuk menyiapkan hosting virtual SSL. Penerusan protokol eksternal dapat menangani koneksi dari klien IPv6.

    Penerusan protokol eksternal mendukung protokol berikut: AH, ESP, GRE, ICMP, ICMPv6, SCTP, TCP, dan UDP

    Diagram berikut menunjukkan contoh arsitektur penerusan protokol eksternal. Untuk mempelajari cara menyiapkannya, lihat Menyiapkan penerusan protokol eksternal.

    Arsitektur penerusan protokol eksternal.
    Arsitektur penerusan protokol eksternal
  • Penerusan protokol internal. Penerusan protokol internal menggunakan alamat IPv4 internal regional (dari rentang alamat IPv4 utama subnet) atau alamat IPv6 internal regional (dari rentang alamat IPv6 subnet).

    Penerusan protokol internal mendukung protokol TCP dan UDP.

    Diagram berikut menunjukkan contoh arsitektur penerusan protokol internal. Untuk mempelajari cara menyiapkannya, lihat Menyiapkan penerusan protokol internal.

    Arsitektur penerusan protokol internal.
    Arsitektur penerusan protokol internal

    Dengan penerusan protokol internal, Anda dapat mengubah target aturan penerusan untuk beralih antara instance target dan layanan backend dari load balancer pass-through. Untuk mengetahui detailnya, lihat Beralih antara instance target dan layanan backend.

Aturan penerusan

Setiap aturan penerusan cocok dengan alamat IP, protokol, dan informasi port secara opsional (jika ditentukan dan jika protokol mendukung port). Saat aturan penerusan merujuk ke instance target, Google Cloud akan merutekan paket yang cocok dengan alamat, protokol, dan spesifikasi port aturan penerusan ke VM yang direferensikan oleh instance target.

  • Penerusan protokol internal:

    • Dukungan alamat IPv4: Alamat IPv4 internal regional (statis yang dicadangkan atau efemeral) dari rentang IPv4 utama subnet.

    • Dukungan alamat IPv6: Aturan penerusan merujuk pada rentang /96 alamat IP dari rentang alamat IP internal /64 subnet. Subnet harus berupa subnet dual stack dengan ipv6-access-type yang ditetapkan ke INTERNAL. Alamat IPv6 internal hanya tersedia di Paket Premium. Pemesanan alamat IPv6 internal regional hanya didukung untuk instance, sehingga Anda harus menggunakan alamat IPv6 efemeral untuk aturan penerusan.

    • Opsi protokol: TCP(default) dan UDP.

    • Opsi spesifikasi port: daftar yang berisi hingga lima port yang bersebelahan atau tidak berdekatan, atau semua port.

  • Penerusan protokol eksternal:

    • Dukungan alamat IPv4: Aturan penerusan merujuk pada satu alamat IPv4 eksternal regional. Alamat IPv4 eksternal regional berasal dari kumpulan yang unik untuk setiap region Google Cloud. Alamat IP dapat berupa alamat statis yang dicadangkan atau alamat efemeral.

    • Dukungan alamat IPv6: Aturan penerusan merujuk ke rentang alamat IP /96 dari rentang alamat IPv6 eksternal /64 subnet. Subnet harus berupa subnet dual stack dengan ipv6-access-type yang ditetapkan ke EXTERNAL. Alamat IPv6 eksternal hanya tersedia di Paket Premium. Rentang alamat IPv6 dapat berupa alamat statis yang dicadangkan atau alamat efemeral.

    • Opsi protokol: AH, ESP, ICMP, SCTP, TCP (default), UDP, dan L3_DEFAULT :

      • Setelan protokol aturan penerusan L3_DEFAULT dapat digunakan untuk menyalurkan semua traffic protokol IP.
      • Aturan penerusan IPv6 tidak mendukung setelan protokol ICMP karena protokol ICMP hanya mendukung alamat IPv4. Untuk menyalurkan traffic ICMPv6 dan GRE, tetapkan protokol aturan penerusan ke L3_DEFAULT.
    • Opsi spesifikasi port: rentang port yang berdekatan atau semua port.

Perhatikan hal-hal berikut saat menggunakan aturan penerusan:

  • Untuk penerusan protokol, aturan penerusan hanya dapat mereferensikan satu instance target.

  • Untuk Load Balancer Jaringan passthrough internal dan Load Balancer Jaringan passthrough eksternal berbasis layanan backend, aturan penerusan hanya dapat mereferensikan satu layanan backend.

  • Anda dapat beralih antara penerusan protokol internal dan Load Balancer Jaringan passthrough internal tanpa menghapus dan membuat ulang aturan penerusan. Untuk beralih antara penerusan protokol eksternal dan Load Balancer Jaringan passthrough eksternal berbasis layanan backend, Anda harus menghapus dan membuat ulang aturan penerusan. Untuk mengetahui detailnya, baca Beralih antara instance target dan layanan backend.

  • Informasi port hanya dapat ditentukan untuk protokol yang memiliki konsep port: TCP, UDP, atau SCTP.

  • Opsi protokol L3_DEFAULT meneruskan semua protokol AH, ESP, GRE, ICMP, ICMPv6, SCTP, TCP, dan UDP. Untuk protokol TCP, UDP, dan SCTP, L3_DEFAULT meneruskan semua port.

  • Jika Anda mengharapkan paket UDP yang terfragmentasi, lakukan salah satu hal berikut untuk memastikan bahwa semua fragmen (termasuk fragmen yang tidak memiliki informasi port) dikirim ke instance:

    • Gunakan satu aturan penerusan L3_DEFAULT, atau
    • Gunakan satu aturan penerusan UDP yang dikonfigurasi untuk meneruskan semua port.

Instance Target

Instance target adalah resource zona yang mereferensikan satu instance VM di zona yang sama. Aturan penerusan yang merujuk ke instance target harus berada di region yang berisi zona instance target. Karena instance target tidak menerapkan kebijakan Cloud NAT, instance tersebut dapat digunakan untuk traffic IPsec yang tidak dapat melintasi NAT.

Dukungan multi-NIC

Instance target mendukung penentuan antarmuka jaringan (NIC) dari instance VM yang dirujuknya. Gunakan flag --network untuk menentukan nama jaringan VPC tempat VM yang dirujuk memiliki NIC:

  • Jika Anda menghapus flag --network, instance target akan mengirimkan paket ke antarmuka nic0 VM yang direferensikannya.
  • Jika Anda menggunakan tanda --network, VM yang dirujuk instance target harus memiliki NIC di jaringan VPC tersebut.
  • Untuk penerusan protokol internal, subnet yang digunakan oleh aturan penerusan harus berada di jaringan VPC yang digunakan oleh antarmuka jaringan instance target.

Dukungan IPv6

Jika Anda ingin deployment penerusan protokol eksternal mendukung traffic IPv6, instance VM harus dikonfigurasi di subnet dual-stack yang berada di region yang sama dengan aturan penerusan IPv6. Anda dapat menggunakan subnet dengan ipv6-access-type yang ditetapkan ke EXTERNAL atau INTERNAL untuk instance VM. Penggunaan subnet dengan ipv6-access-type yang ditetapkan ke INTERNAL mengharuskan Anda menggunakan subnet dual-stack terpisah dengan ipv6-access-type yang ditetapkan ke EXTERNAL untuk aturan penerusan eksternal. Untuk mengetahui petunjuknya, lihat Menambahkan subnet stack ganda.

Selain itu, instance VM itu sendiri harus berupa instance dual-stack. Tetapkan stack-type VM ke IPv4_IPv6. VM mewarisi setelan ipv6-access-type (EXTERNAL atau INTERNAL) dari subnet. Untuk mengetahui petunjuknya, baca Membuat VM dan mengaktifkan IPv6. Jika Anda ingin menggunakan VM yang sudah ada, perbarui VM menjadi dual-stack dengan menggunakan perintah gcloud compute instances network-interfaces update.

Alamat IP untuk paket permintaan dan pengembalian

Saat instance target menerima paket dari klien, alamat IP sumber dan tujuannya paket permintaan ditampilkan dalam tabel ini.

Tabel 1. Alamat IP sumber dan tujuan untuk paket permintaan
Jenis penerusan protokol Alamat IP Sumber Alamat IP tujuan
Penerusan protokol eksternal Alamat IP eksternal yang terkait dengan VM Google Cloud atau alamat IP eksternal klien di internet. Alamat IP aturan penerusan.
Penerusan protokol internal Alamat IP internal klien; untuk klien Google Cloud, alamat IPv4 atau alamat IPv6 internal utama, atau alamat IPv4 dari rentang IP alias antarmuka jaringan VM. Alamat IP aturan penerusan.

Software yang berjalan pada VM instance target harus dikonfigurasi untuk melakukan hal berikut:

  • Memproses (mengikat) alamat IP aturan penerusan atau alamat IP apa pun (0.0.0.0 atau ::).
  • Jika protokol aturan penerusan mendukung port, proses (mengikat) port yang disertakan dalam aturan penerusan.

Paket yang dikembalikan dikirim langsung dari instance target ke klien. Alamat IP sumber dan tujuan paket respons bergantung pada protokol:

  • TCP berorientasi pada koneksi. Instance target harus membalas dengan paket yang memiliki alamat IP sumber yang cocok dengan alamat IP aturan penerusan. Hal ini memastikan bahwa klien dapat mengaitkan paket respons dengan koneksi TCP yang sesuai.
  • AH, ESP, GRE, ICMP, ICMPv6, dan UDP tidak memiliki koneksi. Instance target dapat mengirim paket respons yang memiliki alamat IP sumber yang cocok dengan alamat IP aturan penerusan, atau cocok dengan alamat IP apa pun yang ditetapkan ke NIC VM dalam jaringan VPC yang sama dengan aturan penerusan. Secara praktis, sebagian besar klien mengharapkan respons berasal dari alamat IP yang sama tempat mereka mengirim paket.

Tabel berikut merangkum sumber dan tujuan untuk paket kembali:

Tabel 2. Alamat IP sumber dan tujuan untuk paket kembali
Jenis traffic Alamat IP Sumber Alamat IP tujuan
TCP Alamat IP aturan penerusan. Alamat IP sumber paket permintaan.
AH, ESP, GRE, ICMP, ICMPv6, dan UDP* Untuk sebagian besar kasus penggunaan, alamat IP dari aturan penerusan. Alamat IP sumber paket permintaan.

* AH, ESP, GRE, ICMP, dan ICMPv6 hanya didukung dengan penerusan protokol eksternal.

Dengan penerusan protokol internal, sumber paket respons dapat ditetapkan ke alamat IPv4 internal utama NIC VM atau alamat IPv6 atau rentang alamat IP alias. Jika VM mengaktifkan penerusan IP, sumber alamat IP arbitrer juga dapat digunakan. Tidak menggunakan alamat IP aturan penerusan sebagai sumber adalah skenario lanjutan karena klien menerima paket respons dari alamat IP internal yang tidak cocok dengan alamat IP tujuan pengiriman paket permintaan.

Batasan

  • Aturan penerusan tidak boleh mengarah ke lebih dari satu instance target.
  • Health check tidak didukung dengan instance target. Anda harus memastikan bahwa software yang diperlukan berjalan dan operasional pada VM yang dirujuk oleh instance target.
  • Penerusan protokol internal untuk traffic IPv6 memiliki batasan berikut:
    • Protokol L3_DEFAULT tidak didukung. Gunakan salah satu dari TCP atau UDP.
    • Multi-NIC tidak didukung.

Referensi API dan gcloud

Untuk aturan penerusan, lihat referensi berikut:

Untuk instance target, lihat hal berikut:

Harga

Penerusan protokol dikenai biaya dengan tarif yang sama dengan load balancing. Aturan penerusan dikenai biaya dan biaya untuk data masuk yang diproses oleh instance target.

Untuk semua informasi harga, lihat Harga.

Kuota dan batas

Untuk mengetahui kuota aturan penerusan protokol penerusan, lihat Kuota dan batas: Aturan penerusan.

Langkah selanjutnya