轉送規則會指定如何將網路流量轉送至負載平衡器的後端服務。轉送規則包含 IP 位址、IP 通訊協定,以及負載平衡器接收流量的一或多個通訊埠。有些Google Cloud 負載平衡器會限制您使用預先定義的一組通訊埠,而其他負載平衡器則可讓您指定任意通訊埠。
轉送規則及其對應的 IP 位址代表 Google Cloud 負載平衡器的前端設定。
視負載平衡器類型而定,下列情況為真:
此外,區域轉送規則也可以是 App Hub 中指定為服務的資源,目前處於預覽階段。
內部轉送規則
內部轉送規則會轉送源自 Google Cloud 網路內部的流量。用戶端可與後端位於相同的虛擬私有雲 (VPC) 網路中,或是位於已連線的網路中。
內部轉送規則由下列 Google Cloud 負載平衡器所使用:
- 內部應用程式負載平衡器
- 內部 Proxy 網路負載平衡器
- 內部直通式網路負載平衡器
內部應用程式負載平衡器
內部應用程式負載平衡器支援使用 HTTP、HTTPS 或 HTTP/2 通訊協定的 IPv4 流量。
轉送規則的範圍取決於負載平衡器的類型:
- 每個區域內部應用程式負載平衡器都至少有一個地區性內部轉送規則。地區性內部轉送規則會指向負載平衡器的地區性目標 HTTP 或 HTTPS Proxy。轉送規則與地區內部 IP 位址相關聯。
- 每個跨區域內部應用程式負載平衡器都至少有一個全域內部轉送規則。全域內部轉送規則會指向負載平衡器的全域目標 HTTP 或 HTTPS Proxy。全域轉送規則會使用地區內部 IP 位址進行設定,並與地區子網路建立關聯;而全域外部應用程式負載平衡器則會使用全域任何播 IP 位址的全球轉送規則。
連結至目標 HTTP(S) Proxy 的內部受管理轉送規則支援 1 到 65,535 之間的任何通訊埠編號 (含首尾)。
舉例來說,下圖顯示轉送規則在區域內部應用程式負載平衡器架構中的位置。
如要進一步瞭解內部應用程式負載平衡器,請參閱下列頁面:
內部 Proxy 網路負載平衡器
使用內部 Proxy 網路負載平衡器時,支援的流量類型為 IPv4,而支援的通訊協定為 TCP。
轉送規則的範圍取決於負載平衡器的類型:
- 每個區域性內部 Proxy 網路負載平衡器都至少有一個地區性內部轉送規則。轉送規則會指定內部 IP 位址、通訊埠和地區性目標 TCP Proxy。用戶端會使用 IP 位址和通訊埠連線至負載平衡器的 Envoy Proxy,轉送規則的 IP 位址是負載平衡器的 IP 位址 (有時稱為虛擬 IP 位址或 VIP)。
- 每個跨區域內部 Proxy 網路負載平衡器都至少有一個全域內部轉送規則。全域內部轉送規則會指向負載平衡器的全域目標 TCP Proxy。通用轉送規則會使用區域內部 IP 位址進行設定,並與區域子網路建立關聯。
連線至目標 TCP Proxy 的內部受管理轉送規則支援 1 到 65535 之間的任何通訊埠編號 (含首尾)。
下圖顯示轉送規則在區域內部 Proxy 網路負載平衡器架構中的位置。
如要進一步瞭解內部 Proxy 網路負載平衡器,請參閱下列頁面:
內部直通式網路負載平衡器
使用內部直通式網路負載平衡器時,支援的流量類型為 IPv4 或 IPv6。如要瞭解支援的通訊協定,請參閱「轉送規則通訊協定」。
每個內部直通式網路負載平衡器都至少有一個地區性內部轉送規則。地區性內部轉送規則指向負載平衡器的地區性內部後端服務。下圖顯示轉送規則在內部直通式網路負載平衡器架構中的位置。
下圖顯示負載平衡器元件在子網路和地區中的位置。
內部轉送規則必須位於地區和子網路中。後端服務只需對應至該地區即可。
如要進一步瞭解內部直通式網路負載平衡器,請參閱下列頁面:
外部轉送規則
外部轉送規則會接受來自有網際網路存取權的用戶端系統流量,包括:
- Google Cloud以外的用戶端
- 具有外部 IP 位址的 Google Cloud VM
- Google Cloud 沒有外部 IP 位址的 VM,使用 Cloud NAT 或執行個體型網路位址轉譯 (NAT) 系統
外部轉送規則由下列 Google Cloud 負載平衡器類型使用:
- 外部應用程式負載平衡器
- 外部 Proxy 網路負載平衡器
- 外部直通式網路負載平衡器
外部應用程式負載平衡器
對於外部應用程式負載平衡器,轉送規則和 IP 位址取決於負載平衡器模式,以及您為負載平衡器選取的網路服務級別。
在外部應用程式負載平衡器中,轉送規則會指向目標 HTTP(S) Proxy。連結至目標 HTTP(S) Proxy 的外部轉送規則支援 1 到 65535 之間的任何通訊埠編號 (含首尾)。
- 全域外部應用程式負載平衡器僅支援進階級別。
- 每個傳統版應用程式負載平衡器可為進階級或標準級。
- 區域性外部應用程式負載平衡器支援進階級與標準級。
IP 位址和轉送規則的必要條件會因網路服務級別而異:
在進階級中,全域外部應用程式負載平衡器和傳統版應用程式負載平衡器會使用全域外部 IP 位址 (可為 IPv4 或 IPv6) 和全域外部轉送規則。您可以提供可供全球存取的應用程式,將使用者導向最近地區中的後端,並在多個地區之間分配流量。由於全域外部轉送規則使用單一外部 IP 位址,因此您不必在不同地區分別維護個別的 DNS 記錄,也不必等待 DNS 變更反映到整個系統。
您可以將兩個不同的全域外部 IP 位址指向同一個全域外部應用程式負載平衡器。舉例來說,在進階級中,一個轉送規則的全域外部 IP 位址可以是 IPv4,而第二個轉送規則的全域外部 IP 位址可以是 IPv6。兩個轉送規則都可指向同一個目標 Proxy。因此,您可以為同一個外部應用程式負載平衡器同時提供 IPv4 和 IPv6 位址。詳情請參閱 IPv6 終止功能說明文件。
在進階級中,區域性外部應用程式負載平衡器會使用地區性外部 IPv4 位址和地區性外部轉送規則。
在標準級中,區域性外部應用程式負載平衡器和傳統版應用程式負載平衡器使用地區性外部 IPv4 位址和地區性外部轉送規則。標準級的負載平衡器只能將流量分配到單一地區內的後端。
下圖顯示全域轉送規則如何融入全域外部應用程式負載平衡器的架構。同樣的架構也適用於進階級的傳統版應用程式負載平衡器。
如要進一步瞭解外部應用程式負載平衡器,請參閱「外部應用程式負載平衡器總覽」。
外部 Proxy 網路負載平衡器
外部 Proxy 網路負載平衡器提供 TCP Proxy 功能,並可選擇進行 SSL 卸載。外部 Proxy 網路負載平衡器與外部應用程式負載平衡器類似,因為它可以終止 SSL (TLS) 工作階段。不過,這些負載平衡器不像外部應用程式負載平衡器支援以路徑為基礎的重新導向,因此最適合處理除 HTTPS 以外之通訊協定的 SSL,適合的範例通訊協定包含 SSL 上的 IMAP 或 WebSocket。在外部 Proxy 網路負載平衡器中,轉送規則會指向 TCP 或 SSL 目標 Proxy。
外部 Proxy 網路負載平衡器支援進階級和標準級。轉送規則和 IP 位址取決於負載平衡器模式的類型,以及您為負載平衡器選取的網路服務層級:
- 傳統版 Proxy 網路負載平衡器可為進階級或標準級。
- 全球外部 Proxy 網路負載平衡器僅支援進階級別。
- 區域性外部 Proxy 網路負載平衡器支援進階級和標準級。
IP 位址和轉送規則的必要條件會因網路服務級別而異:
在進階級中,全域外部 Proxy 網路負載平衡器和傳統 Proxy 網路負載平衡器會使用全域外部 IP 位址 (可為 IPv4 或 IPv6) 和全域外部轉送規則。您可以提供可供全球存取的應用程式,將使用者導向最近地區中的後端,並在多個地區之間分配流量。由於全域外部轉送規則使用單一外部 IP 位址,因此您不必在不同地區分別維護個別的 DNS 記錄,也不必等待 DNS 變更反映到整個系統。
您可以將兩個不同的全域外部 IP 位址指向同一個外部 Proxy 網路負載平衡器。舉例來說,在進階級中,一個轉送規則的全域外部 IP 位址可以是 IPv4,而第二個轉送規則的全域外部 IP 位址可以是 IPv6。兩個轉送規則都可指向同一個目標 Proxy。因此,您可以為同一個外部 Proxy 網路負載平衡器同時提供 IPv4 和 IPv6 位址。詳情請參閱 IPv6 終止功能說明文件。
在進階級中,區域性外部 Proxy 網路負載平衡器會使用地區性外部 IPv4 位址和地區性外部轉送規則。
在標準級中,區域性外部 Proxy 網路負載平衡器和傳統 Proxy 網路負載平衡器使用地區性外部 IPv4 位址和地區性外部轉送規則。標準級的負載平衡器只能將流量分配到單一地區內的後端。
連線至目標 TCP 或 SSL Proxy 的外部轉送規則支援 1 到 65535 (含首尾) 之間的任何通訊埠編號。
下圖顯示轉送規則在全球外部 Proxy 網路負載平衡架構中的位置。
如要進一步瞭解外部 Proxy 網路負載平衡器,請參閱「外部 Proxy 網路負載平衡器總覽」。如要瞭解如何設定外部 Proxy 網路負載平衡器,請參閱「設定外部 Proxy 網路負載平衡器」一文。
外部直通式網路負載平衡器
外部直通式網路負載平衡器是一種直通式負載平衡器,可將流量分配給單一區域中的後端執行個體。外部直通式網路負載平衡器使用地區性外部轉送規則和地區性外部 IP 位址。其地區性外部 IP 位址可從網際網路上的任何位置存取,且可由 Google Cloud 具有網際網路存取權的 VM 存取。
如果是後端服務型外部直通式網路負載平衡器,則區域性外部轉送規則會指向後端服務。後端服務型外部直通式網路負載平衡器支援 TCP、UDP、ESP、GRE、ICMP 和 ICMPv6 流量。詳情請參閱「後端服務型外部直通式網路負載平衡器的轉送規則通訊協定」。您可以使用 IPv4 或 IPv6 位址設定以後端服務為基礎的負載平衡器轉送規則。後端服務型外部直通式網路負載平衡器的轉送規則支援下列進階功能:
對於目標集區型外部直通式網路負載平衡器,轉送規則會指向目標集區。以目標資源池為基礎的外部直通式網路負載平衡器僅支援 TCP 或 UDP 流量。以目標集區為基礎的外部直通式網路負載平衡器的轉送規則僅支援 IPv4 位址。
對於地區性外部 IPv4 位址,外部直通式網路負載平衡器支援標準級和進階級。地區性外部 IPv6 位址僅適用於進階級。如要支援多個區域中的後端執行個體,您必須在每個區域中建立外部直通網路負載平衡器。 無論負載平衡器的 IP 位址是屬於進階層還是標準層,都必須如此。
下圖顯示外部直通式網路負載平衡器,其中包含具有 IP 位址 120.1.1.1 的地區性外部轉送規則。負載平衡器會處理來自 us-central1 地區後端的要求。
如要進一步瞭解外部直通式網路負載平衡器,請參閱「外部直通式網路負載平衡器總覽」。如要瞭解如何設定外部直通式網路負載平衡器,請參閱下列任一資源:
網路服務等級如何影響負載平衡器
在網路服務級別中,標準級和進階級的差異取決於流量在公開網際網路上傳送的距離:
標準層級:盡可能將流量卸載至資料中心。這表示與進階級相比,流量通常會透過公用網際網路轉送,因此傳輸距離較長。
進階級:盡可能透過 Google 的正式版網路路由流量,再離開 Google Cloud 前傳送至使用者。
| 負載平衡器 | 支援的網路服務級別 |
|---|---|
|
這些負載平衡器一律為進階級。其後端服務、轉送規則和 IP 位址均為全域性。 |
|
這些負載平衡器可以是進階級或標準級。 進階級則是全球性。其轉送規則、IP 位址和後端服務均為全域性。 而在標準級中,這些負載平衡器實際上是地區性的。其後端服務為全域性,但轉送規則和 IP 位址都是地區性的。 |
|
這些負載平衡器可以是進階級或標準級。其後端服務、轉送規則和 IP 位址一律為地區性。 |
|
這些負載平衡器支援虛擬私有雲網路 (包括連線至該網路的網路) 中的流量。流量屬於進階級,因為它位於虛擬私有雲網路中。 |
| 外部直通式網路負載平衡器 | 這些負載平衡器必須使用地區性外部 IPv4 或 IPv6 位址。 這些負載平衡器可以是進階級或標準級。IPv6 位址需要使用進階級, 只有後端服務型外部直通式網路負載平衡器才能處理 IPv6 流量。 |
IP 通訊協定規格
每個轉送規則都會提供相關聯的 IP 通訊協定。預設通訊協定值為 TCP。
| 產品 | 負載平衡架構 | IP 通訊協定選項 |
|---|---|---|
| 全域外部應用程式負載平衡器 | EXTERNAL_MANAGED | TCP |
| 傳統版應用程式負載平衡器 | EXTERNAL | TCP |
| 區域性外部應用程式負載平衡器 | EXTERNAL_MANAGED | TCP |
| 跨區域內部應用程式負載平衡器 | INTERNAL_MANAGED | TCP |
| 區域性內部應用程式負載平衡器 | INTERNAL_MANAGED | TCP |
| 全域外部 Proxy 網路負載平衡器 | EXTERNAL_MANAGED | TCP 或 SSL |
| 傳統版 Proxy 網路負載平衡器 | EXTERNAL | TCP 或 SSL |
| 區域性外部 Proxy 網路負載平衡器 | EXTERNAL_MANAGED | TCP |
| 區域性內部 Proxy 網路負載平衡器 | INTERNAL_MANAGED | TCP |
| 跨區域內部 Proxy 網路負載平衡器 | INTERNAL_MANAGED | TCP |
| 外部直通式網路負載平衡器 | EXTERNAL | TCP、UDP 或 L3_DEFAULT |
| 內部直通式網路負載平衡器 | INTERNAL | TCP、UDP 或 L3_DEFAULT |
| Cloud Service Mesh | INTERNAL_SELF_MANAGED | TCP |
IP 位址規格
轉送規則必須包含客戶用於連線至負載平衡器的 IP 位址。IP 位址可以是靜態或臨時。
靜態 IP 位址會提供單一保留 IP 位址,您可以將網域指向該 IP 位址。如果您需要刪除轉送規則並重新加入,可以繼續使用相同的保留 IP 位址。
只要轉送規則存在,臨時 IP 位址就會保持不變。選擇臨時 IP 位址時, Google Cloud 會將 IP 位址與負載平衡器的轉送規則建立關聯。如果您需要刪除轉送規則並重新加入,轉送規則可能會收到新的 IP 位址。
視負載平衡器類型而定,IP 位址可能具有各種屬性。下表根據負載平衡架構及轉送規則的目標,簡要敘述有效的 IP 位址設定。
| 產品和方案 | 目標 | IP 位址類型 | IP 位址範圍 | IP 位址等級 | 可保留的 IP 位址 | 附註 |
|---|---|---|---|---|---|---|
| 全域外部應用程式負載平衡器 EXTERNAL_MANAGED |
目標 HTTP Proxy 目標 HTTPS Proxy |
外部 | 全球 | 進階級:全域外部 IP 位址和轉送規則 | 有 (選用) | 可使用 IPv6 |
| 傳統版應用程式負載平衡器 EXTERNAL* |
目標 HTTP Proxy 目標 HTTPS Proxy |
外部 | 地區性或全域性,與轉送規則相符 | 進階級:全域外部 IPv4 或 IPv6 位址和轉送規則
標準級:地區性外部 IPv4 位址和轉送規則 |
有 (選用) | IPv6 僅適用於全域外部位址 (進階級) |
| 區域性外部應用程式負載平衡器 EXTERNAL_MANAGED |
目標 HTTP Proxy 目標 HTTPS Proxy |
外部 | 區域 | 進階級 或標準級 | 有 (選用) | 無法使用 IPv6 |
| 跨區域內部應用程式負載平衡器 INTERNAL_MANAGED |
目標 HTTP Proxy 目標 HTTPS Proxy |
內部 | 區域 | 進階級 | 有 (選用) | 全域轉送規則會使用相關聯區域子網路的主要 IPv4 位址範圍內的區域 IP 位址進行設定。這與全域外部應用程式負載平衡器不同,後者的全域轉送規則具有全域 Anycast IP 位址。 |
| 區域性內部應用程式負載平衡器 INTERNAL_MANAGED |
目標 HTTP Proxy 目標 HTTPS Proxy |
內部 | 區域 | 進階級 | 有 (選用) | 轉送規則位址必須位於相關子網路的主要 IPv4 位址範圍內。 |
| 全域外部 Proxy 網路負載平衡器 EXTERNAL_MANAGED |
目標 SSL Proxy 目標 TCP Proxy |
外部 | 全球 | 進階級 | 有 (選用) | 可使用 IPv6 |
| 傳統版 Proxy 網路負載平衡器 EXTERNAL |
目標 SSL Proxy 目標 TCP Proxy |
外部 | 地區性或全域性,與轉送規則相符 | 進階級:全域外部 IPv4 或 IPv6 位址和轉送規則
標準級:地區性外部 IPv4 位址和轉送規則 |
有 (選用) | IPv6 僅適用於全域外部位址 (進階級) |
| 區域性外部 Proxy 網路負載平衡器 EXTERNAL_MANAGED |
目標 TCP Proxy | 外部 | 區域 | 進階級 或標準級 | 有 (選用) | 無法使用 IPv6 |
| 區域性內部 Proxy 網路負載平衡器 INTERNAL_MANAGED |
目標 TCP Proxy | 內部 | 區域 | 進階級 | 有 (選用) | 轉送規則位址必須位於相關子網路的主要 IPv4 位址範圍內 |
| 跨區域內部 Proxy 網路負載平衡器 INTERNAL_MANAGED |
目標 TCP Proxy | 內部 | 區域 | 進階級 | 有 (選用) | 轉送規則位址必須位於相關子網路的主要 IPv4 位址範圍內 |
| 外部直通式網路負載平衡器 EXTERNAL |
後端服務 目標集區 |
外部 | 區域 |
標準 (IPv4 位址) 進階 (IPv4 或 IPv6 位址) |
有 (選用) | 如要支援 IPv6,您必須使用後端服務型外部直通式網路負載平衡器。轉送規則的 IPv6 位址必須位於子網路的外部 IPv6 位址範圍內。外部 IPv6 位址來自子網路的外部 IPv6 位址範圍,因此屬於進階級。 |
| 內部直通式網路負載平衡器 INTERNAL |
後端服務 | 內部 | 區域 | 進階級 | 有 (選用) | 轉送規則位址必須位於相關子網路的主要 IPv4 位址範圍內。 |
| Cloud Service Mesh INTERNAL_SELF_MANAGED |
目標 HTTP Proxy 目標 gRPC Proxy |
內部 | 全域性 | 不適用 | 無 | 允許使用 0.0.0.0、127.0.0.1 或任何 RFC 1918 位址 |
| 傳統版 VPN EXTERNAL |
請參閱傳統版 VPN 說明文件 | 外部 | 區域 | Cloud VPN 沒有網路服務級別 | 有 (必要) | 不支援 IPv6 |
EXTERNAL_MANAGED 後端服務附加至 EXTERNAL 轉送規則。不過,EXTERNAL 後端服務無法附加至 EXTERNAL_MANAGED 轉送規則。如要充分利用僅適用於全域外部應用程式負載平衡器的新功能,建議您使用將資源從傳統版遷移至全域外部應用程式負載平衡器所述的遷移程序,將現有的 EXTERNAL 資源遷移至 EXTERNAL_MANAGED。包含共用 IP 位址的多個轉送規則
如果符合下列條件,兩個以上的轉送規則 (使用 EXTERNAL 或 EXTERNAL_MANAGED 負載平衡器配置,或兩者皆使用) 可以共用相同的 IP 位址:
- 每項轉送規則使用的通訊埠不會重疊。這是因為每個
IP address + protocol + port組合都必須是唯一的。 - 每個轉送規則的網路服務級別都與外部 IP 位址的網路服務級別相符。
範例:
- 外部直通式網路負載平衡器可接受 TCP 通訊埠 79 的流量,另一個外部直通式網路負載平衡器則可接受 TCP 通訊埠 80 的流量,兩者可共用相同的地區外部 IP 位址。
- 您可以為外部應用程式負載平衡器 (HTTP 和 HTTPS) 使用相同的全域外部 IP 位址。
如果符合下列條件,兩個以上的轉送規則 (使用 INTERNAL 或 INTERNAL_MANAGED 負載平衡器配置,或兩者皆使用) 可以共用相同的 IP 位址:
- 每項轉送規則使用的通訊埠不會重疊。這是因為每個
IP address + protocol + port組合都必須是唯一的。
如要瞭解詳情,請參考下列資源:
- 如需內部直通式網路負載平衡器的相關資訊,請參閱「使用通用 IP 位址的內部直通式網路負載平衡器轉送規則」
- 如要瞭解內部應用程式負載平衡器,請參閱「在多個內部轉送規則之間使用共用 IP 位址」
- 如需瞭解內部 Proxy 網路負載平衡器,請參閱「轉送規則和 IP 位址」
INTERNAL_SELF_MANAGED,則必須具備專屬的 IP 位址。
通訊埠規格
下表根據負載平衡架構及轉送規則的目標,簡要敘述有效的通訊埠設定。
| 產品 | 負載平衡架構 | 目標 | 通訊埠需求 |
|---|---|---|---|
|
全域外部應用程式負載平衡器 區域性外部應用程式負載平衡器 |
EXTERNAL_MANAGED | 目標 HTTP Proxy 目標 HTTPS Proxy |
只能參照 1 至 65535 之間的單一通訊埠 |
| 傳統版應用程式負載平衡器 | EXTERNAL | 目標 HTTP Proxy 目標 HTTPS Proxy |
只能參照 1 至 65535 之間的單一通訊埠 |
|
跨區域內部應用程式負載平衡器 區域內部應用程式負載平衡器 |
INTERNAL_MANAGED | 目標 HTTP Proxy 目標 HTTPS Proxy |
只能參照 1 至 65535 之間的單一通訊埠 |
| 全域外部 Proxy 網路負載平衡器 | EXTERNAL_MANAGED | 目標 TCP Proxy 目標 SSL Proxy |
只能參照 1 至 65535 之間的單一通訊埠 |
| 傳統版 Proxy 網路負載平衡器 | EXTERNAL | 目標 TCP Proxy 目標 SSL Proxy |
只能參照 1 至 65535 之間的單一通訊埠 |
| 區域性外部 Proxy 網路負載平衡器 | EXTERNAL_MANAGED | 目標 TCP Proxy | 只能參照 1 至 65535 之間的單一通訊埠 |
| 區域性內部 Proxy 網路負載平衡器 | INTERNAL_MANAGED | 目標 TCP Proxy | 只能參照 1 至 65535 之間的單一通訊埠 |
| 跨區域內部 Proxy 網路負載平衡器 | INTERNAL_MANAGED | 目標 TCP Proxy | 只能參照 1 至 65535 之間的單一通訊埠 |
| 外部直通式網路負載平衡器 | EXTERNAL | 後端服務 | 如果轉送規則通訊協定為 TCP 或 UDP,您可以設定:
如果轉送規則通訊協定為 L3_DEFAULT,您必須設定所有通訊埠。
|
| 目標集區 | 必須是單一埠範圍 (連續) 對於搭配以目標集區為基礎的外部直通式網路負載平衡器使用的轉送規則,指定連接埠為選用項目。如未指定通訊埠,系統會轉送所有通訊埠 (1-65535) 的流量。 |
||
| 內部直通式網路負載平衡器 | INTERNAL | 後端服務 | 最多可設定五個 (連續或不連續) 通訊埠,或使用下列任一方法設定所有通訊埠: 使用 gcloud 指令列工具設定 --ports=ALL,或使用 API 將 allPorts 設為 True。 |
| Cloud Service Mesh | INTERNAL_SELF_MANAGED | 目標 HTTP Proxy 目標 HTTPS Proxy |
必須為單一值。 在 VPC 網路中,兩個 Cloud Service Mesh 轉送規則的 IP 位址和連接埠規格不得相同。 |
| 傳統版 VPN | EXTERNAL | 目標 VPN 閘道 | 只能參照下列其中一個連接埠:500、4500 |
IAM 條件
您可以使用身分與存取權管理 (IAM) 條件,設定控管要將哪些角色授予授權對象的條件。這項功能可讓您在符合已設定條件時,將權限授予主體。
IAM 條件會檢查轉送規則中的負載平衡架構 (例如 INTERNAL 或 EXTERNAL),並允許 (或禁止) 建立轉送規則。如果主體嘗試在沒有權限的情況下建立轉送規則,系統會顯示錯誤訊息。
詳情請參閱「IAM 條件」。
使用轉送規則
如果您使用 Google Cloud 控制台設定負載平衡器,系統會隱含地將轉送規則設為前端設定的一部分。如果您使用的是 Google Cloud CLI 或 API,則需要明確設定轉送規則。
建立轉送規則後,您只能進行有限的變更。舉例來說,定義轉送規則後,您就無法變更 IP 位址、通訊埠號碼或通訊協定。不過,您可以編輯相關聯負載平衡器的前端設定,更新轉送規則的特定設定。如要進行其他變更,請使用 gcloud CLI 或 API。
變更轉送規則的 IP 位址
您無法變更現有轉送規則的 IP 位址。如要更新轉送規則的 IP 位址,您必須按照下列步驟刪除並重新建立規則:
使用
gcloud compute forwarding-rules delete指令或forwardingRules.delete方法刪除轉送規則。使用
gcloud compute forwarding-rules create指令或forwardingRules.insert方法重新建立轉送規則。
API
如需透過 REST API 使用轉送規則時可用的屬性和方法說明,請參閱以下內容:
- 地區性:forwardingRules
Google Cloud CLI
如需 gcloud CLI 參考說明文件,請參閱以下內容:
gcloud compute forwarding-rules
- 全域:
--global
- 地區性:
--region=[REGION]
後續步驟
- 如要進一步瞭解通訊協定轉送,請參閱「通訊協定轉送簡介」。