Übersicht über externen Network Load Balancer im Netzwerk

Externe Passthrough-Network-Load-Balancer sind regionale Layer-4-Load-Balancer, die externen Traffic auf Back-Ends (Instanzgruppen oder Netzwerk-Endpunktgruppen (NEGs)) in derselben Region wie der Load-Balancer verteilen. Diese Back-Ends müssen sich in derselben Region und demselben Projekt befinden, können sich jedoch in verschiedenen VPC-Netzwerken befinden.

Sie können einen externen Passthrough-Network Load Balancer für TCP-, UDP-, ESP-, GRE-, ICMP- und ICMPv6-Traffic konfigurieren.

Externe Passthrough-Network Load Balancer können Traffic von folgenden Quellen empfangen:

  • Jedem Client im Internet
  • Google Cloud-VMs mit externen IP-Adressen
  • Google Cloud-VMs mit Internetzugriff über Cloud NAT oder instanzbasiertes NAT

Externe Passthrough-Network Load Balancer haben die folgenden Eigenschaften:

  • Ein externer Passthrough-Network-Load-Balancer ist ein verwalteter Dienst, der mithilfe eines virtuellen Andromeda-Netzwerks und mit Google Maglev implementiert wird.
  • Der Bereich eines externen Passthrough-Network Load Balancers ist regional. Das bedeutet, dass der Load-Balancer nicht mehrere Regionen umfassen kann. Innerhalb einer einzelnen Region werden alle Zonen vom Load-Balancer bedient.
  • Externe Passthrough-Network Load Balancer sind keine Proxys.
    • Pakete mit Load-Balancing werden von Backend-VMs mit den Quell- und Ziel-IP-Adressen des Pakets, dem Protokoll und den unveränderten Quell- und Zielports angezeigt, wenn das Protokoll portbasiert ist.
    • Verbindungen mit Load-Balancing werden von den Back-End-VMs beendet.
    • Antworten von den Backend-VMs werden direkt an die Clients gesendet, nicht über den Load-Balancer. Der Branchenbegriff hierfür ist direkte Serverrückgabe (DSR).

Die folgenden Diagramme zeigen einen externen Passthrough-Network Load Balancer, dessen Weiterleitungsregel die IP-Adresse 120.1.1.1 hat. Der externe Passthrough-Network Load Balancer ist in der Region us-central1 mit seinen Back-Ends in derselben Region konfiguriert.

Externe Passthrough-Network Load Balancer sind regional und unterstützen nur Back-Ends in derselben Region wie ihre konfigurierten Front-Ends. Pakete an externe Passthrough-Network Load Balancer können jedoch weiterhin von überall aus dem Internet gesendet werden, unabhängig davon, ob sich die IP-Adresse des Load Balancers in der Premium- oder Standardstufe befindet. Wenn sich die IP-Adresse des Load-Balancers in der Premium-Stufe befindet, durchquert der Traffic den hochwertigen globalen Backbone von Google mit der Absicht, dass die Pakete den Edge-Peering-Punkt von Google möglichst nah am Client betreten bzw. verlassen. Wenn sich die IP-Adresse des Load-Balancers in der Standardstufe befindet, betritt und verlässt der Traffic das Google-Netzwerk an einem Peering-Punkt, der derjenigen Google Cloud-Region am nächsten ist, in der der Load-Balancer konfiguriert ist.

Im folgenden Diagramm wird der Traffic von einem Nutzer in Singapur an den externen Passthrough-Network Load Balancer in us-central1 (Weiterleitungsregel-IP-Adresse 120.1.1.1) weitergeleitet.

Ein Nutzer in Singapur, in der Nähe von asia-southeast1, der auf einen externen Passthrough-Network Load Balancer in der Region us-central1 zugreift.
Beispiel für externen Passthrough-Network Load Balancer für einen Nutzer in Singapur (zum Vergrößern klicken)

Im folgenden Diagramm wird der Traffic von einem Nutzer in Iowa an den externen Passthrough-Network Load Balancer in us-central1 (Weiterleitungsregel-IP-Adresse 120.1.1.1) weitergeleitet.

Grafik: Ein Nutzer in Iowa, in der Nähe von -us-central1, der auf einen Netzwerk-Load-Balancer in derselben Region us-central1 zugreift.
Beispiel für externen Passthrough-Network Load Balancer für einen Nutzer in Iowa (zum Vergrößern klicken)

Anwendungsfälle

In folgenden Fällen sollten Sie einen externen Passthrough-Network Load Balancer verwenden:

  • Sie müssen Load-Balancing für Nicht-TCP-Traffic oder für einen TCP-Port verwenden, der nicht von anderen Load-Balancern unterstützt wird.
  • Es ist zulässig, dass SSL-Traffic von Ihren Back-Ends und nicht vom Load-Balancer entschlüsselt wird. Der externe Passthrough-Network Load Balancer kann diese Aufgabe nicht ausführen. Wenn die Back-Ends den SSL-Traffic entschlüsseln, ist die CPU-Last auf den VMs höher.
  • Sie können die SSL-Zertifikate der Backend-VM selbst verwalten. Von Google verwaltete SSL-Zertifikate sind nur für externe Application Load Balancer und externe Proxy-Network Load Balancer verfügbar.
  • Sie müssen die ursprünglichen Pakete ohne Proxy weiterleiten. Zum Beispiel, wenn die Quell-IP-Adresse des Clients erhalten bleiben soll.
  • Sie haben bereits eine Konfiguration, in der ein Pass-Through-Load-Balancer verwendet wird, und möchten sie ohne Änderungen migrieren.
  • Sie benötigen erweiterten Netzwerk-DDoS-Schutz für Ihren externen Passthrough-Network Load Balancer. Weitere Informationen finden Sie unter Erweiterten DDoS-Netzwerkschutz mit Google Cloud Armor konfigurieren.

Load-Balancing für GKE-Anwendungen

Wenn Sie Anwendungen in GKE erstellen, empfehlen wir die Verwendung des integrierten GKE-Dienstcontrollers, der Google Cloud-Load-Balancer im Namen von GKE-Nutzern bereitstellt. Dies ist mit der eigenständigen Load-Balancing-Architektur identisch, mit dem Unterschied, dass der Lebenszyklus vollständig automatisiert ist und von GKE gesteuert wird.

Zugehörige GKE-Dokumentation:

Architektur

Die Architektur eines externen Passthrough-Network Load Balancers hängt davon ab, ob Sie einen Backend-Dienst-basierten externen Passthrough-Network Load Balancer oder einen Zielpool-basierten externen Passthrough-Network Load Balancer verwenden.

Backend-Dienst-basierter externer Passthrough-Network-Load-Balancer

Sie können externe Passthrough-Netzwerk-Load-Balancer mit einem regionalen Backend-Dienst erstellen, der das Verhalten des Load-Balancers definiert und wie er den Traffic auf seine Backends verteilt. Backend-Dienst-basierte externe Passthrough-Netzwerk-Load-Balancer unterstützen IPv4- und IPv6-Traffic, mehrere Protokolle (TCP, UDP, ESP, GRE, ICMP und ICMPv6), verwaltete und nicht verwaltete Instanzgruppen-Backends , zonale NEG-Back-Ends mitGCE_VM_IP Endpunkte (einschließlich Unterstützung fürMehrere Netzwerkschnittstellen ), detaillierte Steuerelemente für die Trafficverteilung (Verbindungs-Tracking ,Verbindungsausgleich ,Trafficsteuerung ,Gewichtetes Load-Balancing , undFailover-Richtlinien ) und ermöglichen die Verwendung von Nicht-Legacy-Systemdiagnosen, die dem Typ des Traffics (TCP, SSL, HTTP, HTTPS oder HTTP/2) entsprechen, den Sie verteilen.

Informationen zur Architektur finden Sie unter Externer Passthrough-Network Load Balancer mit einem regionalen Backend-Dienst.

Sie können auch einen vorhandenen Zielpool-basierten externen Passthrough-Network Load Balancer umstellen, um stattdessen einen Backend-Dienst zu verwenden. Eine Anleitung dazu finden Sie unter Externen Passthrough-Network Load Balancer von Zielpools zu Backend-Diensten umstellen.

Zielpool-basierter externer Passthrough-Network Load Balancer

Ein Zielpool ist das Legacy-Backend, das von den externen Passthrough-Network Load Balancern von Google Cloud unterstützt wird. Mit einem Zielpool wird eine Gruppe von Instanzen definiert, die eingehenden Traffic vom Load-Balancer empfangen sollen.

Zielpoolsbasierte externe Passthrough-Network Load Balancer unterstützen entweder TCP- oder UDP-Traffic. Weiterleitungsregeln für zielpoolbasierte externe Passthrough-Network Load Balancer unterstützen nur externe IPv4-Adressen.

Weitere Informationen finden Sie unter Externer Passthrough-Network Load Balancer mit Zielpool-Backend.

Externe Passthrough-Network Load Balancer mit anderen Google Cloud Load Balancern vergleichen

Informationen über die unterschiedlichen Google Cloud-Load-Balancer finden Sie in den folgenden Dokumenten: