転送ルールの概要

転送ルールは、ネットワーク トラフィックをロードバランサのバックエンド サービスにルーティングする方法を指定します。転送ルールには、IP アドレス、IP プロトコル、ロードバランサがトラフィックを受け入れる 1 つ以上のポートが含まれます。一部の Google Cloud ロードバランサでは事前定義されたポートセットのみという制限がありますが、他の Google Cloud ロードバランサでは任意のポートを指定できます。

Google Cloud ロードバランサのフロントエンド構成は、転送ルールとそれに対応する IP アドレスによって表されます。

ロードバランサの種類によっては、次のことが該当します。

また、リージョン転送ルールは、プレビュー版App Hub でサービスとして指定されているリソースにすることもできます。

内部転送ルール

内部転送ルールは Google Cloud ネットワーク内で発生したトラフィックを転送します。クライアントは、バックエンドと同じ Virtual Private Cloud(VPC)ネットワーク内にあっても、接続されたネットワーク内にあっても構いません。

内部転送ルールは、次の Google Cloud ロードバランサで使用されます。

  • 内部アプリケーション ロードバランサ
  • 内部プロキシ ネットワーク ロードバランサ
  • 内部パススルー ネットワーク ロードバランサ

内部アプリケーション ロードバランサ

内部アプリケーション ロードバランサは、HTTP、HTTPS、または HTTP/2 プロトコルを使用する IPv4 トラフィックをサポートします。

転送ルールのスコープは、ロードバランサの種類によって異なります。

  • リージョン内部アプリケーション ロードバランサには、少なくとも 1 つのリージョン内部転送ルールがあります。リージョン内部転送ルールは、ロードバランサのリージョン ターゲット HTTP または HTTPS プロキシを指し示します。転送ルールは、リージョン内部 IP アドレスに関連付けられます。
  • クロスリージョン内部アプリケーション ロードバランサには、少なくとも 1 つのグローバル内部転送ルールがあります。グローバル内部転送ルールは、ロードバランサのグローバル ターゲット HTTP プロキシまたは HTTPS プロキシを参照します。グローバル転送ルールはリージョン内部 IP アドレスで構成され、リージョン サブネットに関連付けられますが、グローバル外部アプリケーション ロードバランサのグローバル転送ルールは、グローバル エニーキャスト IP アドレスを持ちます。

ターゲット HTTP(S) プロキシに接続された内部マネージド転送ルールは、1~65535 の任意のポート番号をサポートします。

たとえば、次の図は、リージョン内部アプリケーション ロードバランサのアーキテクチャでの転送ルールの位置付けを示しています。

リージョン内部アプリケーション ロードバランサの転送ルール。
リージョン内部アプリケーション ロードバランサの転送ルール(クリックして拡大)

内部アプリケーション ロードバランサの詳細については、次のページをご覧ください。

内部プロキシ ネットワーク ロードバランサ

内部プロキシのネットワーク ロードバランサの場合、サポートされるトラフィック タイプは IPv4、サポートされるプロトコルは TCP です。

転送ルールのスコープは、ロードバランサの種類によって異なります。

  • リージョン内部プロキシ ネットワーク ロードバランサには、少なくとも 1 つのリージョン内部転送ルールがあります。転送ルールでは、内部 IP アドレス、ポート、リージョン ターゲット TCP プロキシを指定します。クライアントは IP アドレスとポートを使用してロードバランサの Envoy プロキシに接続します。転送ルールの IP アドレスはロードバランサの IP アドレスです(仮想 IP アドレスまたは VIP と呼ぶこともあります)。
  • クロスリージョン内部プロキシ ネットワーク ロードバランサには、少なくとも 1 つのグローバル内部転送ルールがあります。グローバル内部転送ルールは、ロードバランサのグローバル ターゲット TCP プロキシを参照します。グローバル転送ルールは、リージョン内部 IP アドレスで構成され、リージョン サブネットに関連付けられます。

ターゲット TCP プロキシに接続された内部マネージド転送ルールは、1~65535 の任意のポート番号をサポートします。

次の図は、リージョン内部プロキシ ネットワーク ロードバランサのアーキテクチャにおける転送ルールの位置付けを示しています。

リージョン内部プロキシ ネットワーク ロードバランサの転送ルール。
リージョン内部プロキシ ネットワーク ロードバランサの転送ルール(クリックして拡大)

内部プロキシ ネットワーク ロードバランサの詳細については、次のページをご覧ください。

内部パススルー ネットワーク ロードバランサ

内部パススルー ネットワーク ロードバランサの場合、サポートされるトラフィック タイプは IPv4 または IPv6 です。サポートされているプロトコルについて詳しくは、転送ルール プロトコルをご覧ください。

それぞれの内部パススルー ネットワーク ロードバランサには、少なくとも 1 つのリージョン内部転送ルールがあります。リージョン内部転送ルールは、ロードバランサのリージョン内部バックエンド サービスを指し示します。次の図は、内部パススルー ネットワーク ロードバランサのアーキテクチャの中での、転送ルールの位置付けを示しています。

内部パススルー ネットワーク ロードバランサの転送ルール
内部パススルー ネットワーク ロードバランサの転送ルール(クリックして拡大)

次の図は、サブネットとリージョンの中でのロードバランサ コンポーネントの位置付けを示しています。

内部転送ルールはリージョンとサブネット内で定義する必要があります。バックエンド サービスはリージョンに対応するだけで構いません。

高レベルの内部パススルー ネットワーク ロードバランサの例。
内部パススルー ネットワーク ロードバランサの概要(クリックして拡大)

内部パススルー ネットワーク ロードバランサの詳細については、次のページをご覧ください。

外部転送ルール

外部転送ルールは、インターネットにアクセス可能な次のクライアント システムからのトラフィックを受け入れます。

  • Google Cloud の外部のクライアント
  • 外部 IP アドレスを持つ Google Cloud VM
  • Cloud NAT またはインスタンス ベースの NAT システムを使用し、外部 IP アドレスを持たない Google Cloud VM

外部転送ルールは、次の Google Cloud ロードバランサ タイプで使用されます。

  • 外部アプリケーション ロードバランサ
  • 外部プロキシ ネットワーク ロードバランサ
  • 外部パススルー ネットワーク ロードバランサ

外部アプリケーション ロードバランサ

外部アプリケーション ロードバランサの場合、転送ルールと IP アドレスは、ロードバランサ モードと、ロードバランサ用に選択した Network Service Tiers によって異なります。

外部アプリケーション ロードバランサでは、転送ルールはターゲット HTTP(S) プロキシを参照します。ターゲット HTTP(S) プロキシに接続された外部転送ルールは、1~65535 の任意のポート番号をサポートします。

  • グローバル外部アプリケーション ロードバランサは、プレミアム ティアのみをサポートします。
  • 従来のアプリケーション ロードバランサは、プレミアム ティアまたはスタンダード ティアのいずれでも構いません。
  • リージョン外部アプリケーション ロードバランサは、プレミアム ティアとスタンダード ティアの両方をサポートします。

IP アドレスと転送ルールの要件は、ネットワーク サービス ティアによって異なります。

  • プレミアム ティアのグローバル外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサは、グローバル外部 IP アドレス(IPv4 と IPv6 のいずれも可能)と、グローバル外部転送ルールを使用します。グローバルにアクセス可能なアプリケーションを提供し、エンドユーザーを最も近いリージョンのバックエンドに転送することによって、複数のリージョンにトラフィックを分散できます。グローバル外部転送ルールで使用する外部 IP アドレスは 1 つであるため、異なるリージョンに個別の DNS レコードを保持する必要がなく、DNS の変更が伝播されるのを待つ必要もありません。

    2 つの異なるグローバル外部 IP アドレスが同じグローバル外部アプリケーション ロードバランサを参照する場合もあります。たとえばプレミアム ティアでは、1 つ目の転送ルールのグローバル外部 IP アドレスを IPv4 にし、2 つ目の転送ルールのグローバル外部 IP アドレスを IPv6 にできます。2 つの転送ルールが同じターゲット プロキシを指し示すこともできます。その結果、1 つの外部アプリケーション ロードバランサに IPv4 アドレスと IPv6 アドレスの両方を指定できます。詳細については、IPv6 終端をご覧ください。

  • プレミアム ティアのリージョン外部アプリケーション ロードバランサは、リージョン外部 IPv4 アドレスとリージョン外部転送ルールを使用します。

  • スタンダード ティアのリージョン外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサは、リージョン外部 IPv4 アドレスとリージョン外部転送ルールを使用します。スタンダード ティアのロードバランサは、単一リージョン内のバックエンドにのみトラフィックを分散できます。

次の図は、グローバル外部アプリケーション ロードバランサのアーキテクチャにグローバル転送ルールがどのように適合するかを示しています。プレミアム ティアの従来のアプリケーション ロードバランサにも同じアーキテクチャが適用されます。

グローバル外部アプリケーション ロードバランサ転送ルール
グローバル外部アプリケーション ロードバランサの転送ルール(クリックして拡大)

外部アプリケーション ロードバランサの詳細については、外部アプリケーション ロードバランサの概要をご覧ください。

外部プロキシ ネットワーク ロードバランサ

外部プロキシ ネットワーク ロードバランサは、TCP プロキシ機能と SSL オフロード(オプション)を提供します。外部プロキシ ネットワーク ロードバランサは、SSL(TLS)セッションを終端できるため、外部アプリケーション ロードバランサに似ています。ただし、これらのロードバランサは、外部アプリケーション ロードバランサなどのパスベースのリダイレクトをサポートしていないため、IMAP や WebSockets over SSL など、HTTPS 以外のプロトコルの SSL の処理に適しています。外部プロキシ ネットワーク ロードバランサでは、転送ルールは TCP または SSL ターゲット プロキシのいずれかを参照します。

外部プロキシ ネットワーク ロードバランサは、プレミアム ティアとスタンダード ティアの両方をサポートします。転送ルールと IP アドレスは、ロードバランサ モードの種類と、ロードバランサ用に選択した Network Service Tiers によって異なります。

  • 従来のプロキシ ネットワーク ロードバランサは、プレミアム ティアまたはスタンダード ティアのいずれかになります。
  • グローバル外部プロキシ ネットワーク ロードバランサは、プレミアム ティアのみをサポートします。
  • リージョン外部プロキシ ネットワーク ロードバランサは、プレミアム ティアとスタンダード ティアの両方をサポートしています。

IP アドレスと転送ルールの要件は、ネットワーク サービス ティアによって異なります。

  • プレミアム ティアのグローバル外部プロキシ ネットワーク ロードバランサと従来のプロキシ ネットワーク ロードバランサは、グローバル外部 IP アドレス(IPv4 または IPv6 のいずれも可能)と、グローバル外部転送ルールを使用します。グローバルにアクセス可能なアプリケーションを提供し、エンドユーザーを最も近いリージョンのバックエンドに転送することによって、複数のリージョンにトラフィックを分散できます。グローバル外部転送ルールで使用する外部 IP アドレスは 1 つであるため、異なるリージョンに個別の DNS レコードを保持する必要がなく、DNS の変更が伝播されるのを待つ必要もありません。

    異なる 2 つのグローバル外部 IP アドレスが同じ外部プロキシ ネットワーク ロードバランサを参照する場合があります。たとえばプレミアム ティアでは、1 つ目の転送ルールのグローバル外部 IP アドレスを IPv4 にし、2 つ目の転送ルールのグローバル外部 IP アドレスを IPv6 にできます。2 つの転送ルールが同じターゲット プロキシを参照することもできます。その結果、同じ外部プロキシ ネットワーク ロードバランサに IPv4 アドレスと IPv6 アドレスの両方を指定できます。詳細については、IPv6 終端をご覧ください。

  • プレミアム ティアのリージョン外部プロキシ ネットワーク ロードバランサは、リージョン外部 IPv4 アドレスとリージョン外部転送ルールを使用します。

  • スタンダード ティアのリージョン外部プロキシ ネットワーク ロードバランサと従来のプロキシ ネットワーク ロードバランサは、リージョン外部 IPv4 アドレスとリージョン外部転送ルールを使用します。スタンダード ティアのロードバランサは、単一リージョン内のバックエンドにのみトラフィックを分散できます。

ターゲット TCP または SSL プロキシに接続された外部転送ルールは、1~65535 の任意のポート番号をサポートします。

次の図は、グローバル外部プロキシ ネットワーク ロードバランサのアーキテクチャにおける転送ルールの位置付けを示しています。

グローバル外部プロキシ ネットワーク ロードバランサの転送ルール。
グローバル外部プロキシ ネットワーク ロードバランサの転送ルール(クリックして拡大)

外部プロキシ ネットワーク ロードバランサの詳細については、外部プロキシ ネットワーク ロードバランサの概要をご覧ください。外部プロキシ ネットワーク ロードバランサの構成については、外部プロキシ ネットワーク ロードバランサを設定するをご覧ください。

外部パススルー ネットワーク ロードバランサ

外部パススルー ネットワーク ロードバランサは、単一リージョンのバックエンド インスタンス間でトラフィックを分散するパススルー ロードバランサです。外部パススルー ネットワーク ロードバランサは、リージョン外部転送ルールとリージョン外部 IP アドレスを使用します。リージョン外部 IP アドレスには、インターネット上のどこからでもアクセスでき、またインターネットにアクセスできる Google Cloud VM でアクセスできます。

バックエンド サービスベースの外部パススルー ネットワーク ロードバランサの場合、リージョン外部転送ルールはバックエンド サービスを参照します。バックエンド サービスベースの外部パススルー ネットワーク ロードバランサは、TCP、UDP、ESP、GRE、ICMP、ICMPv6 のトラフィックをサポートします。詳細については、バックエンド サービスベースの外部パススルー ネットワーク ロードバランサの転送ルール プロトコルをご覧ください。バックエンド サービスベースのロードバランサの転送ルールは、IPv4 または IPv6 アドレスのいずれかで構成できます。バックエンド サービスベースの外部パススルー ネットワーク ロードバランサの転送ルールは、次の高度な機能をサポートしています。

  • 特定範囲の送信元 IP アドレスから特定のバックエンド サービスにトラフィックを転送します。詳細については、トラフィック ステアリングをご覧ください。
  • 重み付き負荷分散を使用して、HTTP ヘルスチェックによって報告された重みに基づいてトラフィックをロードバランサのバックエンド インスタンス間で分散します。

ターゲット プール ベースの外部パススルー ネットワーク ロードバランサの場合、転送ルールはターゲット プールを参照します。ターゲット プール ベースの外部パススルー ネットワーク ロードバランサは、TCP または UDP トラフィックのみをサポートします。ターゲット プールベースの外部パススルー ネットワーク ロードバランサの転送ルールは、IPv4 アドレスのみをサポートします。

リージョン外部 IPv4 アドレスの場合、外部パススルー ネットワーク ロードバランサは、スタンダード ティアとプレミアム ティアの両方をサポートします。リージョン外部 IPv6 アドレスは、プレミアム ティアでのみ使用できます。

複数のリージョンでバックエンド インスタンスをサポートするには、各リージョンに外部パススルー ネットワーク ロードバランサを作成する必要があります。 ロードバランサの IP アドレスがプレミアム ティアにあるか、スタンダード ティアにあるかに関係なく、この条件を満たす必要があります。

次の図は、IP アドレス 120.1.1.1 を使用するリージョン外部転送ルールのある外部パススルー ネットワーク ロードバランサを示しています。ロードバランサは、us-central1 リージョンのバックエンドからのリクエストを処理しています。

外部パススルー ネットワーク ロードバランサの例。
外部パススルー ネットワーク ロードバランサの例(クリックして拡大)

外部パススルー ネットワーク ロードバランサの詳細については、外部パススルー ネットワーク ロードバランサの概要をご覧ください。外部パススルー ネットワーク ロードバランサの構成については、次のいずれかをご覧ください。

Network Service Tiers がロードバランサに与える影響

Network Service Tiers におけるスタンダード ティアとプレミアム ティアは、インターネットを通るトラフィックの量により、次のように区別されます。

  • スタンダード ティア: トラフィックをデータセンターにできる限り近づけます。プレミアム ティアと比較して、トラフィックが主に公共のインターネット経由で長距離をルーティングされることを意味します。

  • プレミアム ティア: トラフィックが Google Cloud を離れるまで可能な限り Google の本番環境ネットワークにルーティングされ、エンドユーザーに到達します。

ロードバランサ サポートされている Network Service Tiers
  • グローバル外部アプリケーション ロードバランサ
  • グローバルな外部プロキシ ネットワーク ロードバランサ
これらのロードバランサは常にプレミアム ティアです。バックエンド サービス、転送ルール、IP アドレスはグローバルです。
  • 従来のアプリケーション ロードバランサ
  • 従来のプロキシ ネットワーク ロードバランサ

これらのロードバランサは、プレミアム ティアまたはスタンダード ティアのいずれでも構いません。

プレミアム ティアはグローバルです。これらの転送ルール、IP アドレス、バックエンド サービスはグローバルです。

スタンダード ティアでは、これらのロードバランサは事実上リージョンごとになります。バックエンド サービスはグローバルですが、転送ルールと IP アドレスはリージョンごとになります。

  • リージョンの外部アプリケーション ロードバランサ
  • リージョン外部プロキシ ネットワーク ロードバランサ
これらのロードバランサは、プレミアム ティアまたはスタンダード ティアのいずれでも構いません。バックエンド サービス、転送ルール、IP アドレスは常にリージョンです。
  • クロスリージョン内部アプリケーション ロードバランサ
  • リージョン内部アプリケーション ロードバランサ
  • リージョン内部プロキシ ネットワーク ロードバランサ
  • クロスリージョン内部プロキシ ネットワーク ロードバランサ
  • 内部パススルー ネットワーク ロードバランサ
これらのロードバランサは、VPC ネットワーク(接続されたネットワークを含む)内のトラフィックをサポートします。トラフィックは VPC ネットワーク内にあるため、プレミアム ティアです。
外部パススルー ネットワーク ロードバランサ

これらのロードバランサは、リージョン外部 IPv4 アドレスまたは IPv6 アドレスを使用する必要があります。

これらのロードバランサは、プレミアム ティアまたはスタンダード ティアのいずれかです。IPv6 アドレスにはプレミアム ティアが必要です。

IPv6 トラフィックを処理できるのは、バックエンド サービスベースの外部パススルー ネットワーク ロードバランサのみです。

IP プロトコルの仕様

各転送ルールには、ルールに対応する IP プロトコルが関連付けられています。デフォルトのプロトコル値は TCP です。

プロダクト ロード バランシング スキーム IP プロトコルのオプション
グローバル外部アプリケーション ロードバランサ EXTERNAL_MANAGED TCP
従来のアプリケーション ロードバランサ 外部 TCP
リージョンの外部アプリケーション ロードバランサ EXTERNAL_MANAGED TCP
クロスリージョン内部アプリケーション ロードバランサ INTERNAL_MANAGED TCP
リージョン内部アプリケーション ロードバランサ INTERNAL_MANAGED TCP
グローバルな外部プロキシ ネットワーク ロードバランサ EXTERNAL_MANAGED TCP または SSL
従来のプロキシ ネットワーク ロードバランサ EXTERNAL TCP または SSL
リージョン外部プロキシ ネットワーク ロードバランサ EXTERNAL_MANAGED TCP
リージョン内部プロキシ ネットワーク ロードバランサ INTERNAL_MANAGED TCP
クロスリージョン内部プロキシ ネットワーク ロードバランサ INTERNAL_MANAGED TCP
外部パススルー ネットワーク ロードバランサ 外部 TCP、UDP、L3_DEFAULT
内部パススルー ネットワーク ロードバランサ INTERNAL TCP、UDP、L3_DEFAULT
Cloud Service Mesh INTERNAL_SELF_MANAGED TCP

IP アドレスの仕様

転送ルールには、ユーザーがロードバランサにアクセスするために使用する IP アドレスが必要です。IP アドレスは静的またはエフェメラルです。

静的 IP アドレスは、ドメインの参照に使用できる単一の予約済み IP アドレスを提供します。転送ルールを削除して再度追加する必要がある場合は、同じ予約済み IP アドレスを引き続き使用できます。

転送ルールが存在している間は、エフェメラル IP アドレスは存続します。エフェメラル IP アドレスを選択すると、Google Cloud はロードバランサの転送ルールに IP アドレスを関連付けます。転送ルールを削除して再度追加する必要がある場合は、転送ルールに新しい IP アドレスが割り当てられることがあります。

IP アドレスには、ロードバランサの種類に応じたさまざまな属性があります。次の表は、負荷分散スキームと転送ルールのターゲットに基づく有効な IP アドレス構成をまとめたものです。

プロダクトとスキーム ターゲット IP アドレスの種類 IP アドレス範囲 IP アドレス階層 予約可能な IP アドレス
グローバル外部アプリケーション ロードバランサ

EXTERNAL_MANAGED
ターゲット HTTP プロキシ
ターゲット HTTPS プロキシ
外部 グローバル プレミアム ティア: グローバル外部 IP アドレスと転送ルール ○(省略可) IPv6 が利用可能
従来のアプリケーション ロードバランサ

EXTERNAL*
ターゲット HTTP プロキシ
ターゲット HTTPS プロキシ
外部 リージョンまたはグローバル(転送ルールに一致) プレミアム ティア: グローバル外部 IPv4 または IPv6 アドレスと転送ルール

スタンダード ティア: リージョン外部 IPv4 アドレスと転送ルール
○(省略可) IPv6 はグローバル外部アドレス(プレミアム ティア)で使用できます。
リージョン外部アプリケーション ロードバランサ

EXTERNAL_MANAGED
ターゲット HTTP プロキシ
ターゲット HTTPS プロキシ
外部 リージョン プレミアム ティアまたはスタンダード ティア ○(省略可) IPv6 は利用不可
クロスリージョンの内部アプリケーション ロードバランサ

INTERNAL_MANAGED
ターゲット HTTP プロキシ
ターゲット HTTPS プロキシ
内部 リージョン プレミアム ティア ○(省略可) グローバル転送ルールは、関連付けられたリージョン サブネットのプライマリ IPv4 アドレス範囲内のリージョン IP アドレスで構成されます。これは、グローバル転送ルールにグローバル エニーキャスト IP アドレスが割り当てられているグローバル外部アプリケーション ロードバランサとは異なります。
リージョン内部アプリケーション ロードバランサ

INTERNAL_MANAGED
ターゲット HTTP プロキシ
ターゲット HTTPS プロキシ
内部 リージョン プレミアム ティア ○(省略可) 転送ルールのアドレスは、関連付けられたサブネットのプライマリ IPv4 アドレス範囲内にある必要があります。
グローバル外部プロキシ ネットワーク ロードバランサ

EXTERNAL_MANAGED
ターゲット SSL プロキシ
ターゲット TCP プロキシ
外部 グローバル プレミアム ティア ○(省略可) IPv6 が利用可能
従来のプロキシ ネットワーク ロードバランサ

EXTERNAL
ターゲット SSL プロキシ
ターゲット TCP プロキシ
外部 リージョンまたはグローバル(転送ルールに一致) プレミアム ティア: グローバル外部 IPv4 または IPv6 アドレスと転送ルール

スタンダード ティア: リージョン外部 IPv4 アドレスと転送ルール
○(省略可) IPv6 はグローバル外部アドレス(プレミアム ティア)で使用できます。
リージョン外部プロキシ ネットワーク ロードバランサ

EXTERNAL_MANAGED
ターゲット TCP プロキシ 外部 リージョン プレミアム ティアまたはスタンダード ティア ○(省略可) IPv6 は利用不可
リージョン内部プロキシ ネットワーク ロードバランサ

INTERNAL_MANAGED
ターゲット TCP プロキシ 内部 リージョン プレミアム ティア ○(省略可) 転送ルールのアドレスは、関連付けられたサブネットのプライマリ IPv4 アドレス範囲内にある必要があります。
クロスリージョン内部プロキシ ネットワーク ロードバランサ

INTERNAL_MANAGED
ターゲット TCP プロキシ 内部 リージョン プレミアム ティア ○(省略可) 転送ルールのアドレスは、関連付けられたサブネットのプライマリ IPv4 アドレス範囲内にある必要があります。
外部パススルー ネットワーク ロードバランサ

EXTERNAL
バックエンド サービス
ターゲット プール
外部 リージョン スタンダード(IPv4 アドレス)
プレミアム(IPv4 または IPv6 アドレス)
○(省略可) IPv6 サポートには、バックエンド サービスベースの外部パススルー ネットワーク ロードバランサが必要です。転送ルールの IPv6 アドレスは、サブネットの外部 IPv6 アドレス範囲内にある必要があります。外部 IPv6 アドレスは、サブネットの外部 IPv6 アドレス範囲から提供されるため、プレミアム ティアにあります。
内部パススルー ネットワーク ロードバランサ

INTERNAL
バックエンド サービス 内部 リージョン プレミアム ティア ○(省略可) 転送ルールのアドレスは、関連付けられたサブネットのプライマリ IPv4 アドレス範囲内にある必要があります。
Cloud Service Mesh

INTERNAL_SELF_MANAGED
ターゲット HTTP プロキシ
ターゲット gRPC プロキシ
内部 グローバル 該当なし × 0.0.0.0、127.0.0.1、または任意の RFC 1918 アドレスを使用できます。
Classic VPN

EXTERNAL
Classic VPN のドキュメントをご覧ください。 外部 リージョン Cloud VPN には Network Service Tiers がありません。 ○(必須) IPv6 はサポートされません。
* EXTERNAL_MANAGED バックエンド サービスを EXTERNAL 転送ルールに接続できます。ただし、EXTERNAL バックエンド サービスを EXTERNAL_MANAGED 転送ルールに接続することはできません。グローバル外部アプリケーション ロードバランサでのみ利用可能な新機能を活用するには、従来のアプリケーション ロードバランサからグローバル外部アプリケーション ロードバランサにリソースを移行するで説明されている移行プロセスを使用して、既存の EXTERNAL リソースを EXTERNAL_MANAGED に移行することをおすすめします。

共通の IP アドレスを持つ複数の転送ルール

次の条件に当てはまる場合、EXTERNAL または EXTERNAL_MANAGED ロード バランシング スキームを使用する 2 つ以上の転送ルールで同じ IP アドレスを共有できます。

  • 各転送ルールで使用されるポートが重複していない。
  • 各転送ルールの Network Service Tiers が、外部 IP アドレスの Network Service Tiers と一致する。

例:

  • TCP ポート 79 でトラフィックを受け入れる外部パススルー ネットワーク ロードバランサと、TCP ポート 80 でトラフィックを受け入れる外部パススルー ネットワーク ロードバランサは、同じリージョン外部 IP アドレスを共有できます。
  • 外部アプリケーション ロードバランサに同じグローバル外部 IP アドレスを使用できます(HTTP および HTTPS)。

転送ルールのロード バランシング スキームが INTERNAL または INTERNAL_MANAGED の場合、複数の転送ルールで同じ IP アドレスを使用できます。詳しくは以下をご覧ください。

転送ルールのロード バランシング スキームが Cloud Service Mesh 用の INTERNAL_SELF_MANAGED の場合、固有の IP アドレスが必要です。

ポートの仕様

次の表は、負荷分散スキームと転送ルールのターゲットに基づく有効なポート構成をまとめたものです。

プロダクト ロード バランシング スキーム ターゲット ポート要件
グローバル外部アプリケーション ロードバランサ

リージョン外部アプリケーション ロードバランサ
EXTERNAL_MANAGED ターゲット HTTP プロキシ
ターゲット HTTPS プロキシ
1~65535 のポートを 1 つだけ参照
従来のアプリケーション ロードバランサ EXTERNAL ターゲット HTTP プロキシ
ターゲット HTTPS プロキシ
1~65535 のポートを 1 つだけ参照
クロスリージョン内部アプリケーション ロードバランサ

リージョン内部アプリケーション ロードバランサ
INTERNAL_MANAGED ターゲット HTTP プロキシ
ターゲット HTTPS プロキシ
1~65535 のポートを 1 つだけ参照
グローバル外部プロキシ ネットワーク ロードバランサ EXTERNAL_MANAGED ターゲット TCP プロキシ
ターゲット SSL プロキシ
1~65535 のポートを 1 つだけ参照できます
従来のプロキシ ネットワーク ロードバランサ EXTERNAL ターゲット TCP プロキシ
ターゲット SSL プロキシ
1~65535 のポートを 1 つだけ参照できます
リージョン外部プロキシ ネットワーク ロードバランサ EXTERNAL_MANAGED ターゲット TCP プロキシ 1~65535 のポートを 1 つだけ参照できます
リージョン内部プロキシ ネットワーク ロードバランサ INTERNAL_MANAGED ターゲット TCP プロキシ 1~65535 のポートを 1 つだけ参照
クロスリージョン内部プロキシ ネットワーク ロードバランサ INTERNAL_MANAGED ターゲット TCP プロキシ 1~65535 のポートを 1 つだけ参照できます
外部パススルー ネットワーク ロードバランサ EXTERNAL バックエンド サービス 転送ルール プロトコルが TCP または UDP の場合、次のように構成できます。
  • 最大 5 つのポート(連続か不連続かを問いません)、または
  • 単一のポート範囲(連続)、または
  • すべてのポート。すべてのポートを構成するには: gcloud コマンドライン ツールを使用して --ports=ALL を設定するか、API を使用して allPortsTrue に設定します。

転送ルール プロトコルが L3_DEFAULT の場合、すべてのポートを構成する必要があります。
  • すべてのポートを構成するには: gcloud コマンドライン ツールを使用して --ports=ALL を設定するか、API を使用して allPortsTrue に設定します。
ターゲット プール

単一のポート範囲(連続)にする必要があります。

ターゲット プール ベースの外部パススルー ネットワーク ロードバランサで使用される転送ルールでは、ポートの指定は任意です。ポートが指定されていない場合、すべてのポート(1~65535)からのトラフィックが転送されます。

内部パススルー ネットワーク ロードバランサ INTERNAL バックエンド サービス 最大 5 つのポート(連続するポートまたは連続していないポート)を指定するか、次のいずれかの方法でポートを構成できます。
gcloud コマンドライン ツールを使用して --ports=ALL を設定する
API を使用して allPortsTrue に設定する。
Cloud Service Mesh INTERNAL_SELF_MANAGED ターゲット HTTP プロキシ
ターゲット HTTPS プロキシ
値を 1 つだけ指定する必要があります。

VPC ネットワーク内で、Cloud Service Mesh の 2 つの転送ルールに同じ IP アドレスとポート仕様を設定することはできません。
Classic VPN EXTERNAL ターゲット VPN ゲートウェイ 次のポートのいずれかのみを参照可能: 80、8080

IAM 条件

Identity and Access Management(IAM)条件を使用すると、プリンシパルに付与されるロールを制御する条件を設定できます。この機能を使用すると、構成条件が満たされた場合にプリンシパルに権限を付与できます。

IAM 条件は、転送ルールのロード バランシング スキーム(たとえば INTERNALEXTERNAL)を確認し、転送ルールの作成を許可(または拒否)します。プリンシパルが権限なしで転送ルールを作成しようとすると、エラー メッセージが表示されます。

詳しくは、IAM 条件をご覧ください。

転送ルールの使用

Google Cloud コンソールを使用してロードバランサを設定する場合は、転送ルールがフロントエンド構成の一部として暗黙的に設定されます。Google Cloud CLI または API を使用している場合は、転送ルールを明示的に構成する必要があります。

転送ルールを作成した後は、そのルールに限定的な変更を加えることができます。たとえば、転送ルールを定義した後に、IP アドレス、ポート番号、プロトコルを変更することはできません。ただし、転送ルールが関連付けられているロードバランサのフロントエンド構成を編集することで、ターゲット プロキシの特定の設定を更新できます。その他の変更を行うには、gcloud CLI または API を使用します。

転送ルールの IP アドレスを変更する

既存の転送ルールの IP アドレスを変更することはできません。転送ルールの IP アドレスを更新するには、次の手順でルールを削除して再作成する必要があります。

  1. gcloud compute forwarding-rules delete コマンドまたは forwardingRules.delete メソッドを使用して、転送ルールを削除します。

  2. gcloud compute forwarding-rules create コマンドまたは forwardingRules.insert メソッドを使用して、転送ルールを再作成します。

API

REST API で転送ルールを操作する場合に使用できるプロパティとメソッドについては、以下をご覧ください。

Google Cloud CLI

gcloud CLI のリファレンス ドキュメントについては、次のトピックをご覧ください。

gcloud compute forwarding-rules

  • グローバル: --global
  • リージョン: --region=[REGION]

次のステップ