Ingress pour l'équilibrage de charge HTTP(S) interne

Cette page explique le fonctionnement d'Ingress pour l'équilibrage de charge HTTP(S) interne dans Google Kubernetes Engine (GKE). Vous pouvez également apprendre à configurer et utiliser Ingress pour l'équilibrage de charge HTTP(S) interne.

Pour obtenir des informations générales sur l'utilisation d'Ingress avec l'équilibrage de charge dans GKE, consultez la page Équilibrage de charge HTTP(S) avec Ingress.

Présentation

L'équilibreur de charge HTTP(S) interne de GKE est un équilibreur de charge régional de couche 7 basé sur un proxy qui vous permet d'exécuter vos services et d'effectuer leur scaling derrière une adresse IP d'équilibrage de charge interne. Les objets Ingress de GKE acceptent l'équilibreur de charge HTTP(S) de manière native via la création d'objets Ingress sur les clusters GKE.

Avantages de l'utilisation d'Ingress pour l'équilibreur de charge HTTP(S) interne

L'utilisation de GKE Ingress pour l'équilibrage de charge HTTP(S) interne présente les avantages suivants :

  • Contrôleur d'entrée à haute disponibilité géré par GKE
  • Équilibrage de charge pour les communications internes de service à service
  • Équilibrage de charge natif en conteneurs avec des groupes de points de terminaison du réseau (NEG)
  • Routage des applications avec compatibilité HTTP et HTTPS
  • Vérification haute fidélité de l'état de Compute Engine pour des services résilients
  • Proxys basés sur Envoy, déployés à la demande pour répondre aux besoins en termes de capacité de trafic

Compatibilité des fonctionnalités Google Cloud

Ingress pour l'équilibrage de charge HTTP(S) interne offre une compatibilité avec de nombreuses autres fonctionnalités.

Environnement réseau requis

Lorsque vous utilisez Ingress pour l'équilibrage de charge HTTP(S) interne, vous devez également utiliser un sous-réseau proxy réservé.

L'équilibreur de charge HTTP(S) interne fournit un pool de proxys pour votre réseau. Les proxys évaluent la destination de chaque requête HTTP(S) en fonction de facteurs tels que le mappage d'URL, l'affinité de session de BackendService et le mode d'équilibrage de chaque NEG backend.

Le diagramme suivant présente le flux de trafic pour un équilibreur de charge HTTP(S) interne.

Diagramme de présentation d'Ingress pour l'équilibrage de charge HTTP(S) interne

Le proxy établit la connexion de la manière suivante :

  1. Un client établit une connexion avec l'adresse IP et le port de la règle de transfert de l'équilibreur de charge.
  2. L'un des proxys reçoit la connexion réseau du client et y met fin.
  3. Le proxy établit une connexion à la VM de backend ou au point de terminaison approprié dans un groupe de points de terminaison du réseau, tel que déterminé par les services de backend et le mappage d'URL de l'équilibreur de charge.

Une adresse IP interne est attribuée à chacun des proxys de l'équilibreur de charge. Les proxys de tous les équilibreurs de charge HTTP(S) internes d'une région utilisent des adresses IP internes. Cette adresse provient d'un seul et unique sous-réseau proxy réservé de cette région, sur votre réseau VPC. Ce sous-réseau est réservé exclusivement aux proxys d'équilibrage de charge HTTP(S) interne et ne peut pas être utilisé à d'autres fins. Un sous-réseau proxy réservé doit fournir au moins 64 adresses IP. Cela correspond à une longueur de préfixe inférieure ou égale à /26. Vous ne pouvez activer qu'un seul sous-réseau proxy réservé par région et par réseau VPC.

Seuls les proxys créés par Google Cloud pour les équilibreurs de charge HTTP(S) internes d'une région utilisent le sous-réseau proxy réservé. L'adresse IP de la règle de transfert de l'équilibreur de charge ne provient pas du sous-réseau proxy réservé. De même, les adresses IP des VM de backend et des points de terminaison ne proviennent pas du sous-réseau proxy réservé.

Chaque proxy écoute l'adresse IP et le port spécifiés par la règle de transfert de l'équilibreur de charge correspondant. Chaque paquet envoyé à partir d'un proxy vers une VM de backend ou un point de terminaison possède une adresse IP source provenant du sous-réseau proxy réservé.

La procédure de déploiement de ce sous-réseau proxy réservé est expliquée dans la section Configurer le réseau et les sous-réseaux. Le contrôleur GKE Ingress gère le déploiement des règles de pare-feu. Vous n'avez donc pas besoin de les déployer manuellement.

Étape suivante