Load Balancer Jaringan passthrough internal sebagai next hop

Load Balancer Jaringan passthrough internal adalah load balancer regional yang memungkinkan Anda menjalankan dan menskalakan layanan melalui alamat IP internal. Anda dapat menggunakan Load Balancer Jaringan passthrough internal sebagai next hop tempat paket diteruskan di sepanjang jalur ke tujuan akhirnya. Untuk melakukannya, Anda menetapkan load balancer sebagai next hop di rute statis.

Sebelum meninjau informasi di halaman ini, Anda harus sudah memahami konsep dari hal berikut:

• Ringkasan rute
• Ringkasan Load Balancer Jaringan passthrough internal

Next hop Load Balancer Jaringan passthrough internal berguna dalam kasus berikut:

• Untuk melakukan load balancing traffic di beberapa VM yang berfungsi sebagai VM gateway atau router.

• Untuk menggunakan virtual appliance gateway sebagai next hop untuk rute default. Dengan konfigurasi ini, instance virtual machine (VM) di jaringan Virtual Private Cloud (VPC) Anda mengirim traffic ke internet melalui serangkaian VM gateway virtual yang di-load balance.

• Untuk mengirim traffic melalui beberapa load balancer dalam dua atau lebih arah menggunakan kumpulan VM router atau gateway multi-NIC yang sama sebagai backend. Untuk melakukannya, Anda membuat load balancer dan menggunakannya sebagai next hop untuk rute statis di setiap jaringan VPC. Setiap Load Balancer Jaringan passthrough internal beroperasi dalam satu jaringan VPC, yang mendistribusikan traffic ke antarmuka jaringan VM backend di jaringan tersebut.

Arsitektur

Dalam diagram berikut, grup instance VM router berfungsi sebagai backend untuk dua load balancer yang berbeda. Load Balancer Jaringan passthrough internal pertama mengirim paket ke nic0 VM backend, dan Load Balancer Jaringan passthrough internal kedua mengirim paket ke nic1 di backend yang sama.

Manfaat menggunakan Load Balancer Jaringan passthrough internal sebagai next hop

Jika load balancer adalah next hop untuk rute statis, tidak ada konfigurasi khusus yang diperlukan dalam sistem operasi tamu VM klien di jaringan VPC tempat rute ditentukan. VM klien mengirim paket ke backend load balancer melalui perutean jaringan VPC, dengan cara bump-in-the-wire.

Menggunakan Load Balancer Jaringan passthrough internal sebagai next hop untuk rute statis memberikan manfaat yang sama seperti Load Balancer Jaringan passthrough internal mandiri. Health check load balancer memastikan bahwa koneksi baru dirutekan ke VM backend yang responsif. Dengan menggunakan grup instance terkelola sebagai backend, Anda dapat mengonfigurasi penskalaan otomatis untuk menambah atau mengurangi kumpulan VM berdasarkan permintaan layanan.

Spesifikasi

Berikut adalah spesifikasi untuk menggunakan Load Balancer Jaringan passthrough internal sebagai next hop.

Rute

Anda dapat membuat rute statis untuk meneruskan traffic TCP, UDP, dan protokol lainnya ke Load Balancer Jaringan passthrough internal dengan load balancer sebagai next hop untuk rute statis. Rute dapat berupa awalan CIDR eksternal (dapat dirutekan secara publik) atau awalan CIDR internal, jika awalan tersebut tidak bertentangan dengan rute subnet. Misalnya, Anda dapat mengganti rute default (0.0.0.0/0) dengan rute yang mengarahkan traffic ke VM backend pihak ketiga untuk pemrosesan paket.

Opsi untuk menentukan next hop

Anda dapat menentukan next hop Load Balancer Jaringan passthrough internal dengan salah satu dari dua cara berikut:

• Dengan menggunakan nama dan region aturan penerusan
• Dengan menggunakan alamat IP aturan penerusan

Untuk mengetahui detail tentang project dan jaringan VPC tempat next hop Load Balancer Jaringan passthrough internal dapat berada, lihat Next hop dan fitur.

Anda dapat menukar rute statis dengan next hop Load Balancer Jaringan passthrough internal menggunakan Peering Jaringan VPC. Untuk mengetahui detailnya, lihat Opsi untuk bertukar rute statis.

Afinitas sesi IP klien

Load Balancer Jaringan passthrough internal menawarkan dua opsi afinitas sesi "alamat IP klien" yang serupa:

• IP Klien (CLIENT_IP): Hash dua tuple dari alamat IP sumber paket dan alamat IP tujuan. Jika Load Balancer Jaringan passthrough internal bukan next hop rute, paket yang dikirim ke alamat IP aturan penerusan load balancer akan memiliki alamat IP tujuan yang sama, yaitu alamat IP aturan penerusan. Dalam situasi ini, salah satu alamat yang digunakan oleh hash dua tuple tetap konstan. Dengan demikian, jika jumlah backend yang dikonfigurasi dan sehat tidak berubah dan paket memiliki alamat IP sumber yang identik, opsi afinitas sesi dua tuple ini akan memilih backend yang sama.
• IP klien, tanpa tujuan (CLIENT_IP_NO_DESTINATION): Hash satu tuple alamat IP sumber paket. Saat Anda menggunakan Load Balancer Jaringan passthrough internal sebagai next hop, alamat IP tujuan sering kali bervariasi karena alamat IP tujuan adalah alamat yang ditentukan oleh atribut tujuan rute. Dalam situasi ini, afinitas sesi IP Klien (CLIENT_IP) hash dua tuple tidak dapat memilih backend yang sama meskipun jumlah backend yang dikonfigurasi dan responsif tidak berubah dan paket memiliki alamat IP sumber yang identik. (Pengecualian untuk aturan ini adalah jika hanya satu backend yang dikonfigurasi.) Jika Anda mewajibkan paket dengan alamat IP sumber yang sama untuk dirutekan ke backend yang sama, Anda harus menggunakan opsi afinitas sesi IP Klien, tanpa tujuan (CLIENT_IP_NO_DESTINATION).

Rentang tujuan

Tujuan rute statis tidak boleh sama dengan atau lebih spesifik daripada rute subnet. Perhatikan bahwa lebih spesifik berarti subnet mask lebih panjang. Aturan ini berlaku untuk semua rute statis, termasuk saat next hop adalah Load Balancer Jaringan passthrough internal. Misalnya, rute subnet Anda adalah 10.140.0.0/20. Tujuan rute statis tidak boleh sama (10.140.0.0/20), dan tidak boleh lebih spesifik, seperti dalam 10.140.0.0/22.

Jaringan dan region VPC yang sama

Rute statis yang menggunakan Load Balancer Jaringan passthrough internal sebagai next hop dibatasi untuk hal berikut:

• Satu jaringan VPC. Load balancer dan rute statis harus berada di jaringan VPC yang sama.

• Satu region atau semua region. Kecuali jika Anda mengonfigurasi akses global, rute statis hanya tersedia untuk resource di region yang sama dengan load balancer. Pembatasan regional ini diterapkan meskipun rute itu sendiri merupakan bagian dari tabel perutean untuk seluruh jaringan VPC. Jika Anda mengaktifkan akses global, rute statis akan tersedia untuk resource di region mana pun.

Mengiklankan rute statis

Untuk mengiklankan awalan (tujuan) untuk rute statis, Anda dapat menggunakan mode pemberitahuan kustom Cloud Router. Cakupan iklan rute bergantung pada setelan akses global load balancer, sebagai berikut:

• Jika akses global dinonaktifkan, Load Balancer Jaringan passthrough internal hanya tersedia untuk VM, tunnel Cloud VPN, dan lampiran Cloud Interconnect (VLAN) yang berada di region yang sama dengan load balancer. Akibatnya, pemberitahuan rute kustom untuk awalan rute statis hanya masuk akal jika Cloud Router dan load balancer berada di region yang sama.

• Jika akses global diaktifkan, Load Balancer Jaringan passthrough internal akan tersedia untuk VM, tunnel Cloud VPN, dan lampiran Cloud Interconnect (VLAN) yang berada di region mana pun. Dengan pemilihan rute dinamis global, sistem lokal dapat menggunakan rute statis dari region mana pun yang terhubung.

Tabel berikut merangkum aksesibilitas load balancer.

Akses global	Mode pemilihan rute dinamis jaringan VPC	Akses load balancer
Nonaktif	Regional	Dapat diakses oleh router di region yang sama
Nonaktif	Global	Dapat diakses oleh router di region yang sama
Aktif	Regional	Dapat diakses oleh semua router di wilayah mana pun
Aktif	Global	Dapat diakses oleh semua router di wilayah mana pun

Untuk mengetahui informasi selengkapnya, lihat Load Balancer Jaringan passthrough internal dan jaringan yang terhubung.

Urutan operasi

Anda harus membuat Load Balancer Jaringan passthrough internal sebelum dapat membuat rute statis yang menggunakannya sebagai next hop. Load balancer harus ada sebelum Anda dapat membuat rute. Jika Anda mencoba membuat rute yang merujuk ke load balancer yang tidak ada, Google Cloud akan menampilkan error.

Anda menentukan next hop Load Balancer Jaringan passthrough internal menggunakan nama aturan penerusan dan region load balancer, atau menggunakan alamat IP internal yang terkait dengan aturan penerusan.

Setelah membuat rute dengan next hop yang merujuk ke Load Balancer Jaringan passthrough internal, Anda tidak dapat menghapus load balancer kecuali jika Anda menghapus rute terlebih dahulu. Secara khusus, Anda tidak dapat menghapus aturan penerusan internal hingga tidak ada rute statis yang menggunakan load balancer tersebut sebagai next hop.

Persyaratan backend

• Anda harus mengonfigurasi semua VM backend Load Balancer Jaringan passthrough internal untuk mengizinkan penerusan IP (--can-ip-forward = True). Untuk informasi selengkapnya, lihat Pertimbangan umum untuk next hop Load Balancer Jaringan passthrough internal dan instance.

• Anda tidak dapat menggunakan Load Balancer Jaringan passthrough internal yang backend-nya adalah node Google Kubernetes Engine (GKE) sebagai next hop untuk rute statis. Software di node hanya dapat merutekan traffic ke Pod jika tujuan cocok dengan alamat IP yang dikelola oleh cluster, bukan tujuan arbitrer.

Pemrosesan TCP, UDP, dan traffic protokol lainnya

Saat Load Balancer Jaringan passthrough internal di-deploy sebagai next hop, Google Cloud akan meneruskan semua traffic di semua port ke VM backend, terlepas dari hal berikut:

• Konfigurasi protokol dan port aturan penerusan
• Konfigurasi protokol layanan backend

Load Balancer Jaringan passthrough internal, yang merupakan next hop rute, mendukung penerusan semua traffic untuk protokol yang didukung oleh jaringan VPC Google Cloud (seperti TCP, UDP, dan ICMP) dengan lancar.

Pertimbangan lainnya

• Aturan penerusan yang didukung. Google Cloud hanya mendukung aturan penerusan Load Balancer Jaringan passthrough internal next hop. Google Cloud tidak mendukung aturan penerusan next hop yang digunakan oleh load balancer lain, penerusan protokol, atau sebagai endpoint Private Service Connect.

• Metode spesifikasi serta jaringan dan project aturan penerusan. Anda dapat menentukan aturan penerusan next hop menggunakan salah satu dari tiga metode berikut. Metode spesifikasi yang Anda gunakan menentukan apakah jaringan aturan penerusan harus cocok dengan jaringan rute dan dalam project apa aturan penerusan tersebut dapat ditemukan.

  Pilih salah satu metode berikut dan pastikan versi IP aturan penerusan Anda cocok dengan versi IP rute statis yang Anda buat:

  • Berdasarkan nama aturan penerusan (--next-hop-ilb) dan region (--next-hop-ilb-region): Saat Anda menentukan aturan penerusan next hop berdasarkan nama dan region, jaringan aturan penerusan harus cocok dengan jaringan VPC rute. Aturan penerusan harus berada dalam project yang sama yang berisi jaringan aturan penerusan (project mandiri atau project host VPC Bersama).

  • Berdasarkan aturan penerusan link resource: Link resource aturan penerusan menggunakan format /projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME, dengan PROJECT_ID adalah project ID dari project yang berisi aturan penerusan, REGION adalah region aturan penerusan, dan FORWARDING_RULE_NAME adalah nama aturan penerusan. Saat Anda menentukan aturan penerusan next hop berdasarkan link resource-nya, jaringan aturan penerusan harus cocok dengan jaringan VPC rute. Aturan penerusan dapat berada di salah satu project yang berisi jaringan aturan penerusan (project mandiri atau project host VPC Bersama) atau di project layanan VPC Bersama.

  • Dengan alamat IP aturan penerusan: Saat Anda menentukan aturan penerusan next hop berdasarkan alamat IPv4 atau IPv6-nya (Pratinjau), jaringan aturan penerusan dapat berupa salah satu dari jaringan VPC rute atau jaringan VPC yang di-peering. Aturan penerusan dapat berada di salah satu project yang berisi jaringan aturan penerusan (project mandiri atau project host VPC Bersama) atau project layanan VPC Bersama.

• Pengaruh akses global. Rute statis kustom yang menggunakan next hop Load Balancer Jaringan passthrough internal diprogram di semua region. Kemampuan next hop untuk dapat digunakan bergantung pada setelan akses global load balancer. Dengan mengaktifkan akses global, next hop load balancer dapat diakses di semua region jaringan VPC. Jika akses global dinonaktifkan, next hop load balancer hanya dapat diakses di region yang sama dengan load balancer. Dengan menonaktifkan akses global, paket yang dikirim dari region lain ke rute menggunakan next hop Load Balancer Jaringan passthrough internal akan dihentikan.

• Saat semua backend tidak responsif. Jika semua backend Load Balancer Jaringan passthrough internal gagal dalam health check, rute yang menggunakan next hop load balancer tersebut masih akan berpengaruh. Paket yang diproses oleh rute dikirim ke salah satu backend load balancer next hop sesuai dengan distribusi traffic.

• Aturan penerusan yang menggunakan alamat IP internal yang umum (--purpose=SHARED_LOADBALANCER_VIP) tidak didukung. Load Balancer Jaringan passthrough internal next hop dan aturan penerusan Load Balancer Jaringan passthrough internal dengan alamat IP umum adalah fitur yang sama-sama eksklusif. Load Balancer Jaringan passthrough internal next hop harus menggunakan alamat IP yang unik untuk aturan penerusan load balancer, sehingga hanya satu layanan backend (satu load balancer) yang direferensikan dengan jelas. Anda dapat meneruskan aturan penerusan yang menggunakan alamat IP internal umum untuk mereferensikan layanan backend yang berbeda (Load Balancer Jaringan passthrough internal yang berbeda).

• Beberapa rute dengan tujuan dan prioritas yang sama, tetapi Load Balancer Jaringan passthrough internal next hop yang berbeda. Google Cloud tidak pernah mendistribusikan traffic di antara dua atau beberapa Load Balancer Jaringan passthrough internal next hop menggunakan ECMP. Sebagai gantinya, Google Cloud hanya memilih satu Load Balancer Jaringan passthrough internal next hop menggunakan algoritma internal deterministik. Untuk menghindari ambiguitas ini, Anda dapat menggunakan tag jaringan yang unik untuk setiap rute.

  

• Beberapa rute dengan tujuan, prioritas, dan Load Balancer Jaringan passthrough internal next hop yang sama. Tanpa tag jaringan, Google Cloud tidak mengizinkan Anda membuat beberapa rute statis yang memiliki kombinasi tujuan, prioritas, dan next hop Load Balancer Jaringan passthrough internal yang sama. Dengan tag jaringan, Anda dapat membuat beberapa rute statis yang memiliki kombinasi tujuan, prioritas, dan next hop Load Balancer Jaringan passthrough internal yang sama.

Kasus penggunaan

Anda dapat menggunakan Load Balancer Jaringan passthrough internal sebagai next hop di beberapa deployment dan topologi.

Untuk setiap contoh, perhatikan panduan berikut:

• Setiap antarmuka VM harus berada di jaringan VPC terpisah.

• Anda tidak dapat menggunakan VM backend atau load balancer untuk merutekan traffic antar-subnet di jaringan VPC yang sama karena rute subnet tidak dapat diganti.

• Load Balancer Jaringan passthrough internal adalah load balancer pass-through yang ditentukan software. Paket dikirim ke VM backend tanpa perubahan pada informasi sumber atau tujuan (alamat atau alamat dan port).

  Pemuatan, pemfilteran paket, proxy, dan penafsiran alamat adalah tanggung jawab VM perangkat virtual yang berfungsi sebagai backend untuk Load Balancer Jaringan passthrough internal.

Menggunakan Load Balancer Jaringan passthrough internal sebagai next hop ke gateway NAT

Kasus penggunaan ini melakukan load balancing traffic dari VM internal ke beberapa instance gateway NAT yang merutekan traffic ke internet.

Hub dan spoke: Bertukar rute next hop menggunakan Peering Jaringan VPC

Selain bertukar rute subnet, Anda dapat mengonfigurasi Peering Jaringan VPC untuk mengekspor dan mengimpor rute statis dan dinamis kustom. Rute statis yang memiliki next hop gateway internet default dikecualikan. Rute statis kustom yang menggunakan Load Balancer Jaringan passthrough internal next hop disertakan.

Anda dapat mengonfigurasi topologi hub-and-spoke dengan peralatan virtual firewall next-hop yang terletak di jaringan VPC hub dengan melakukan hal berikut:

• Di jaringan VPC hub, buat Load Balancer Jaringan passthrough internal dengan peralatan virtual firewall sebagai backend.
• Di jaringan VPC hub, buat rute statis, dan tetapkan next hop sebagai Load Balancer Jaringan passthrough internal.
• Hubungkan jaringan VPC hub ke setiap jaringan VPC spoke menggunakan Peering Jaringan VPC.
• Untuk setiap peering, konfigurasikan jaringan hub untuk mengekspor rute kustomnya, dan konfigurasikan jaringan spoke yang sesuai untuk mengimpor rute kustom. Rute dengan next hop load balancer adalah salah satu rute yang diekspor jaringan hub.

Tunduk pada urutan pemilihan rute, load balancer peralatan firewall next hop di jaringan VPC hub tersedia di jaringan spoke:

• ke klien di region yang sama dengan load balancer, jika akses global dinonaktifkan
• ke klien di semua region, jika akses global diaktifkan, sesuai dengan urutan pemilihan rute.

Load balancing ke beberapa NIC

Dalam kasus penggunaan berikut, VM backend adalah instance appliance virtual (misalnya, VM inspeksi paket, perutean, atau gateway) dengan NIC di beberapa jaringan VPC. Instance appliance virtual ini dapat berupa solusi komersial dari pihak ketiga atau solusi yang Anda buat sendiri. Appliance virtual adalah VM Compute Engine dengan beberapa NIC.

Contoh ini menunjukkan satu kumpulan peralatan virtual backend dalam grup instance VM terkelola.

Di jaringan VPC yang disebut testing, Load Balancer Jaringan passthrough internal memiliki aturan penerusan yang disebut fr-ilb1. Dalam contoh ini, load balancer ini mendistribusikan traffic ke antarmuka nic0.

Di jaringan VPC yang disebut production, Load Balancer Jaringan passthrough internal yang berbeda memiliki aturan penerusan yang disebut fr-ilb2. Load balancer ini mendistribusikan traffic ke antarmuka yang berbeda, nic1 dalam contoh ini.

Untuk penyiapan konfigurasi mendetail, lihat Load balancing ke beberapa NIC backend.

Hashing simetris

Contoh sebelumnya tidak menggunakan penafsiran alamat jaringan sumber (SNAT). SNAT tidak diperlukan karena Google Cloud menggunakan hashing simetris. Artinya, saat paket berasal dari alur yang sama, Google Cloud akan menghitung hash yang sama. Dengan kata lain, hash tidak berubah saat alamat IP:port sumber ditukar dengan alamat IP:port tujuan.

Catatan:

• Hashing simetris diaktifkan secara otomatis saat Anda membuat aturan penerusan Load Balancer Jaringan passthrough internal pada atau setelah 22 Juni 2021.

• Untuk mengaktifkan hashing simetris di Load Balancer Jaringan passthrough internal yang ada, Anda harus membuat ulang aturan penerusan dan rute next hop, seperti yang dijelaskan dalam Mengaktifkan hashing simetris.

• Hashing simetris hanya didukung dengan Load Balancer Jaringan passthrough internal.

• Hashing simetris didukung dengan jenis afinitas sesi berikut untuk protokol TCP dan UDP:

  • IP Klien (CLIENT_IP)
  • IP dan protokol klien (CLIENT_IP_PROTO)
  • IP, protokol, dan port klien (CLIENT_IP_PORT_PROTO)

  Untuk mengetahui informasi selengkapnya tentang setelan ini, lihat Opsi afinitas sesi.

• Anda dapat menggunakan SNAT secara opsional jika kasus penggunaan Anda memerlukannya karena alasan tertentu.

Langkah selanjutnya

• Untuk mengonfigurasi Load Balancer Jaringan passthrough internal sebagai next hop, lihat Menyiapkan Load Balancer Jaringan passthrough internal untuk perangkat pihak ketiga atau Men-deploy jaringan hub-dan-spoke dengan menggunakan load balancer sebagai next hop.
• Untuk mengonfigurasi dan menguji Network Load Balancer passthrough internal, lihat Menyiapkan Network Load Balancer passthrough internal dengan backend grup instance VM.
• Untuk memecahkan masalah next hop dengan Load Balancer Jaringan passthrough internal, lihat Memecahkan masalah Load Balancer Jaringan passthrough internal.