Bilanciatori del carico di rete passthrough interni come hop successivi

Un bilanciatore del carico di rete passthrough interno è un bilanciatore del carico a livello di regione che ti consente di eseguire e scalare i servizi dietro un indirizzo IP interno. Puoi utilizzare un bilanciatore del carico di rete passthrough interno come hop successivo a cui i pacchetti vengono inoltrati lungo il percorso fino alla destinazione finale. Per farlo, imposta il bilanciatore del carico come hop successivo in una route statica.

Prima di esaminare le informazioni riportate in questa pagina, dovresti già conoscere i concetti riportati di seguito:

Un hop successivo del bilanciatore del carico di rete passthrough interno è utile nei seguenti casi:

  • Per bilanciare il carico del traffico su più VM che funzionano come VM gateway o router.

  • Per utilizzare le appliance virtuali del gateway come hop successivo per una route predefinita. Con questa configurazione, le istanze di macchine virtuali (VM) nella rete VPC (Virtual Private Cloud) inviano traffico a internet tramite un insieme di VM gateway virtuali con bilanciamento del carico.

  • Per inviare il traffico tramite più bilanciatori del carico in due o più direzioni utilizzando lo stesso insieme di VM router o gateway multi-NIC come backend. Per farlo, crea un bilanciatore del carico e utilizzalo come hop successivo per una route statica in ogni rete VPC. Ogni bilanciatore del carico di rete passthrough interno opera all'interno di un'unica rete VPC, distribuendo il traffico alle interfacce di rete delle VM di backend in quella rete.

Architettura

Nel diagramma seguente, un gruppo di istanze VM di router funge da backend per due diversi bilanciatori del carico. Il primo bilanciatore del carico di rete passthrough interno invia pacchetti a nic0 delle VM di backend, mentre il secondo bilanciatore del carico di rete passthrough interno invia pacchetti a nic1 sugli stessi backend.

Bilanciamento del carico su più NIC.
Bilanciamento del carico su più NIC (fai clic per ingrandire).

Vantaggi dell'utilizzo del bilanciatore del carico di rete passthrough interno come hop successivo

Quando il bilanciatore del carico è un hop successivo per una route statica, non è necessaria alcuna configurazione speciale nei sistemi operativi guest delle VM client nella rete VPC in cui è definita la route. Le VM client inviano pacchetti ai backend del bilanciatore del carico tramite il routing della rete VPC, in modo bump-in-the-wire.

L'utilizzo di un bilanciatore del carico di rete passthrough interno come hop successivo per una route statica offre gli stessi vantaggi di un bilanciatore del carico di rete passthrough interno autonomo. Il controllo di integrità del bilanciatore del carico assicura che le nuove connessioni vengano instradate a VM di backend in buono stato. Utilizzando un gruppo di istanze gestite come backend, puoi configurare la scalabilità automatica per aumentare o ridurre l'insieme di VM in base alla domanda del servizio.

Specifiche

Di seguito sono riportate le specifiche per l'utilizzo dei bilanciatori del carico di rete passthrough interni come hop successivi.

Route

Puoi creare una route statica per inoltrare il traffico TCP, UDP e di altri protocolli a un bilanciatore del carico di rete passthrough interno, dove il bilanciatore del carico è l'hop successivo per la route statica. Il route può essere un prefisso CIDR esterno (instradabile pubblicamente) o un prefisso CIDR interno, se il prefisso non è in conflitto con un route di subnet. Ad esempio, puoi sostituire il percorso predefinito (0.0.0.0/0) con un percorso che indirizzi il traffico alle VM di backend di terze parti per l'elaborazione dei pacchetti.

Opzioni per specificare l'hop successivo

Puoi specificare un hop successivo del bilanciatore del carico di rete passthrough interno in due modi:

  • Utilizzando il nome e la regione della regola di forwarding
  • Utilizzando l'indirizzo IP della regola di forwarding

Per informazioni dettagliate sul progetto e sulla rete VPC in cui può trovarsi un hop successivo del bilanciatore del carico di rete passthrough interno, consulta Hop successivi e funzionalità.

Puoi scambiare route statiche con hop successivi del bilanciatore del carico di rete passthrough interno utilizzando il peering di rete VPC. Per maggiori dettagli, vedi Opzioni per lo scambio di route statici.

Affinità sessione IP client

I bilanciatori del carico di rete passthrough interni offrono due opzioni di affinità della sessione "indirizzo IP client" simili:

  • IP client (CLIENT_IP): un hash di due tuple dell'indirizzo IP di origine e di destinazione di un pacchetto. Quando un bilanciatore del carico di rete passthrough interno non è l'hop successivo di una route, i pacchetti inviati all'indirizzo IP della regola di forwarding del bilanciatore del carico condividono un indirizzo IP di destinazione comune, ovvero l'indirizzo IP della regola di forwarding. In questa situazione, uno degli indirizzi utilizzati dall'hash a due tuple rimane costante. Pertanto, se il numero di backend configurati e operativi non cambia e i pacchetti hanno indirizzi IP di origine identici, questa opzione di affinità sessione a due tuple seleziona lo stesso backend.
  • IP client, nessuna destinazione (CLIENT_IP_NO_DESTINATION): un hash di una tupla dell'indirizzo IP di origine di un pacchetto. Quando utilizzi un bilanciatore del carico di rete passthrough interno come hop successivo, l'indirizzo IP di destinazione varia spesso perché gli indirizzi IP di destinazione sono quelli specificati dall'attributo destinazione della route. In questa situazione, l'affinità di affinità sessione dell'hash di due tuple IP client (CLIENT_IP) non può selezionare lo stesso backend anche quando il numero di backend configurati e operativi non cambia e i pacchetti hanno indirizzi IP di origine identici. Un'eccezione a questa regola è quando è configurato un solo backend. Se vuoi che i pacchetti con indirizzi IP di origine identici vengano instradati allo stesso backend, devi utilizzare l'opzione di affinità sessione IP client, nessuna destinazione (CLIENT_IP_NO_DESTINATION).

Intervallo di destinazione

La destinazione di una route statica non può essere uguale o più specifica di una route subnet. Tieni presente che più specifica significa che la maschera di sottorete è più lunga. Questa regola si applica a tutte le route statiche, anche quando l'hop successivo è un bilanciatore del carico di rete passthrough interno. Ad esempio, supponiamo che il percorso della sottorete sia 10.140.0.0/20. La destinazione di una route statica non può essere uguale (10.140.0.0/20) e non può essere più specifica, come in 10.140.0.0/22.

Stessa rete VPC e stessa regione

Le route statiche che utilizzano bilanciatori del carico di rete passthrough interni come hop successivi sono limitate a quanto segue:

  • Una singola rete VPC. Il bilanciatore del carico e la route statica devono trovarsi nella stessa rete VPC.

  • Una singola regione o tutte le regioni. A meno che non configuri l'accesso globale, la route statica è disponibile solo per le risorse nella stessa regione del bilanciatore del carico. Questa limitazione regionale viene applicata anche se la route stessa fa parte della tabella di routing per l'intera rete VPC. Se attivi l'accesso globale, la route statica è disponibile per le risorse in qualsiasi regione.

Annunci della route statica

Per pubblicizzare il prefisso (destinazione) per la route statica, puoi utilizzare la modalità di annunci personalizzati del router Cloud. L'ambito dell'annuncio route dipende dall'impostazione di accesso globale del bilanciatore del carico, come segue:

  • Quando l'accesso globale è disattivato, il bilanciatore del carico di rete passthrough interno è disponibile solo per VM, tunnel Cloud VPN e allegati Cloud Interconnect (VLAN) che si trovano nella stessa regione del bilanciatore del carico. Di conseguenza, un annuncio di route personalizzata per il prefisso di una route statica ha senso solo se il router Cloud e il bilanciatore del carico si trovano nella stessa regione.

  • Quando l'accesso globale è abilitato, il bilanciatore del carico di rete passthrough interno è disponibile per le VM, i tunnel Cloud VPN e i collegamenti Cloud Interconnect (VLAN) in qualsiasi regione. Con il routing dinamico globale, i sistemi on-premise possono utilizzare la route statica da qualsiasi regione collegata.

La tabella seguente riassume l'accessibilità del bilanciatore del carico.

Accesso globale Modalità di routing dinamico della rete VPC Accesso al bilanciatore del carico
Disabilitato Regionale Accessibile dai router nella stessa regione
Disabilitato Globale Accessibile dai router nella stessa regione
Abilitato Regionale Accessibile da tutti i router in qualsiasi regione
Abilitato Globale Accessibile da tutti i router in qualsiasi regione

Per ulteriori informazioni, consulta Bilanciatori del carico di rete passthrough interni e reti connesse.

Ordine delle operazioni

Devi creare un bilanciatore del carico di rete passthrough interno prima di poter creare una route statica che lo utilizzi come hop successivo. Il bilanciatore del carico deve esistere prima che tu possa creare la route. Se provi a creare una route che fa riferimento a un bilanciatore del carico inesistente, Google Cloud restituisce un errore.

Specifica un hop successivo del bilanciatore del carico di rete passthrough interno utilizzando il nome della regola di forwarding e la regione del bilanciatore del carico oppure l'indirizzo IP interno associato alla regola di forwarding.

Dopo aver creato una route con un hop successivo che fa riferimento a un bilanciatore del carico di rete passthrough interno, non puoi eliminare il bilanciatore del carico a meno che non elimini prima la route. Nello specifico, non puoi eliminare una regola di forwarding interna finché nessuna route statica utilizza il bilanciatore del carico come hop successivo.

Requisiti di backend

  • Devi configurare tutte le VM di backend del bilanciatore del carico di rete passthrough interno per consentire il forwarding IP (--can-ip-forward = True). Per ulteriori informazioni, consulta Considerazioni comuni agli hop successivi dell'istanza e del bilanciatore del carico di rete passthrough interno.

  • Non puoi utilizzare un bilanciatore del carico di rete passthrough interno i cui backend sono i nodi Google Kubernetes Engine (GKE) come hop successivo per una route statica. Il software sui nodi può instradare il traffico ai pod solo se la destinazione corrisponde a un indirizzo IP gestito dal cluster, non a una destinazione arbitraria.

Elaborazione del traffico TCP, UDP e di altri protocolli

Quando un bilanciatore del carico di rete passthrough interno viene implementato come hop successivo, Google Cloud inoltra tutto il traffico su tutte le porte alle VM di backend, indipendentemente da quanto segue:

  • La configurazione del protocollo e della porta della regola di forwarding
  • La configurazione del protocollo del servizio di backend

Il bilanciatore del carico di rete passthrough interno, che è l'hop successivo della route, supporta senza problemi il forwarding di tutto il traffico per i protocolli supportati dalle reti VPC di Google Cloud (come TCP, UDP e ICMP).

Ulteriori considerazioni

  • Regole di inoltro supportate. Google Cloud supporta solo le regole di forwarding del bilanciatore del carico di rete passthrough interno per l'hop successivo. Google Cloud non supporta le regole di forwarding di primo hop utilizzate da altri bilanciatori del carico, il forwarding del protocollo o come endpoint Private Service Connect.

  • Metodi di specifica e rete e progetto regola di forwarding Puoi specificare una regola di forwarding al successivo hop utilizzando uno dei tre metodi che seguono. Il metodo di specifica utilizzato determina se la rete della regola di inoltro deve corrispondere alla rete del percorso e in quale progetto può trovarsi la regola di forwarding.

    Scegli uno dei seguenti metodi e assicurati che la versione IP della regola di forwarding corrisponda alla versione IP della route statica che crei:

    • Per nome della regola di forwarding (--next-hop-ilb) e regione (--next-hop-ilb-region): quando specifichi una regola di inoltro del salto successivo per nome e regione, la rete della regola di regola di forwarding deve corrispondere alla rete VPC della route. La regola di forwarding deve trovarsi nello stesso progetto che contiene la rete della regola di forwarding (un progetto autonomo o un progetto host VPC condiviso).

    • Per link regola di forwarding inoltro: il link alla risorsa di una regola di forwarding utilizza il formato/projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME, dove PROJECT_ID è l'ID progetto del progetto che contiene la regola di forwarding,REGION è la regione della regola di inoltro eFORWARDING_RULE_NAME è il nome della regola di inoltro. Quando specifichi una regola di forwarding dell'hop successivo tramite il relativo link alla risorsa, la rete della regola di forwarding deve corrispondere alla rete VPC della route. La regola di forwarding può trovarsi in un progetto che contiene la rete della regola di forwarding (un progetto autonomo o un progetto host VPC condiviso) o in un progetto di servizio VPC condiviso.

    • In base all'indirizzo IP di una regola di forwarding inoltro: quando specifichi una regola di inoltro dell'hop successivo in base al relativo indirizzo IPv4 o IPv6 (Anteprima), la rete della regola di inoltro può essere la rete VPC della route o una rete VPC in peering. La regola di forwarding può trovarsi in un progetto che contiene la rete della regola di forwarding (un progetto autonomo o un progetto host VPC condiviso) o in un progetto di servizio VPC condiviso.

  • Effetto dell'accesso globale. Le route statiche personalizzate che utilizzano i hop successivi del bilanciatore del carico di rete passthrough interno sono programmate in tutte le regioni. La possibilità di utilizzare l'hop successivo dipende dall'impostazione di accesso globale del bilanciatore del carico. Con l'accesso globale abilitato, l'hop successivo del bilanciatore del carico è accessibile in tutte le regioni della rete VPC. Con l'accesso globale disattivato, l'hop successivo del bilanciatore del carico è accessibile solo nella stessa regione del bilanciatore del carico. Con l'accesso globale disattivato, i pacchetti inviati da un'altra regione a una route che utilizza un hop successivo del bilanciatore del carico di rete passthrough interno vengono ignorati.

  • Quando tutti i backend sono in stato non integro. Quando tutti i backend di un bilanciatore del carico di rete passthrough interno non superano i controlli di integrità, le route che utilizzano l'hop successivo del bilanciatore del carico rimangono in vigore. I pacchetti elaborati dalla route vengono inviati a uno dei backend del bilanciatore del carico dell'hop successivo in base alla distribuzione del traffico.

  • Le regole di inoltro che utilizzano un indirizzo IP interno comune (--purpose=SHARED_LOADBALANCER_VIP) non sono supportate. I bilanciatori del carico di rete passthrough interni per l'hop successivo e le regole di inoltro dei bilanciatori del carico di rete passthrough interni con un indirizzo IP comune sono funzionalità mutuamente esclusive. Un bilanciatore del carico di rete passthrough interno dell'hop successivo deve utilizzare un indirizzo IP univoco per la regola di forwarding del bilanciatore del carico in modo che venga fatto riferimento in modo inequivocabile a un solo servizio di backend (un bilanciatore del carico). È possibile che le regole di inoltro che utilizzano un indirizzo IP interno comune fanno riferimento a servizi di backend diversi (diversi bilanciatori del carico di rete passthrough interni).

  • Più route con le stesse destinazioni e priorità, ma bilanciatori del carico di rete passthrough interni di hop successivo diversi. Google Cloud non distribuisce mai il traffico tra due o più bilanciatori del carico di rete passthrough interni di hop successivo utilizzando ECMP. Al contrario, Google Cloud seleziona un solo bilanciatore del carico di rete passthrough interno di hop successivo utilizzando un algoritmo interno deterministico. Per evitare questa ambiguità, puoi utilizzare tag di rete univoci per ogni percorso.

    Google Cloud seleziona un singolo hop successivo quando le route statiche con hop successivi del bilanciatore del carico di rete passthrough interno diversi hanno la stessa priorità e destinazione.
  • Più route con le stesse destinazioni, priorità e bilanciatori del carico di rete passthrough interni come hop successivo. Senza un tag di rete, Google Cloud non consente di creare più route statiche con la stessa combinazione di destinazione, priorità e hop successivo del bilanciatore del carico di rete passthrough interno. Con i tag di rete, puoi creare più route statiche con la stessa combinazione di destinazione, priorità e hop successivo del bilanciatore del carico di rete passthrough interno.

Casi d'uso

Puoi utilizzare un bilanciatore del carico di rete passthrough interno come hop successivo in più implementazioni e terne.

Per ogni esempio, tieni presente le seguenti linee guida:

  • Ogni interfaccia VM deve trovarsi in una rete VPC separata.

  • Non puoi utilizzare VM di backend o bilanciatori del carico per instradare il traffico tra le subnet nella stessa rete VPC perché le route delle subnet non possono essere sovrascritte.

  • Il bilanciatore del carico di rete passthrough interno è un bilanciatore del carico passthrough definito in base al software. I pacchetti vengono inviati alle VM di backend senza alterazioni alle informazioni di origine o di destinazione (indirizzi o indirizzi e porte).

    L'indirizzamento, il filtraggio dei pacchetti, il proxy e la traduzione degli indirizzi sono compiti delle VM dell'appliance virtuale che fungono da backend per il bilanciatore del carico di rete passthrough interno.

Utilizzo di un bilanciatore del carico di rete passthrough interno come hop successivo per un gateway NAT

Questo caso d'uso esegue il bilanciamento del carico del traffico dalle VM interne a più istanze di gateway NAT che instradano il traffico verso internet.

Caso d'uso NAT.
Caso d'uso NAT (fai clic per ingrandire).

Hub e spoke: scambio di route di hop successivo tramite il peering di rete VPC

Oltre a scambiare route di subnet, puoi configurare il peering di rete VPC per esportare e importare route statiche e dinamiche personalizzate. Le route statiche che hanno un hop successivo del gateway internet predefinito sono escluse. Sono inclusi i percorsi statici personalizzati che utilizzano bilanciatori del carico di rete passthrough interni come hop successivo.

Per configurare una topologia hub and spoke con le tue VM firewall next-hop situate nella rete VPC hub, svolgi i seguenti passaggi:

  • Nella rete VPC hub, crea un bilanciatore del carico di rete passthrough interno con appliance virtuali firewall come backend.
  • Nella rete VPC hub, crea una route statica e imposta l'hop successivo come il bilanciatore del carico di rete passthrough interno.
  • Connetti la rete VPC hub a ciascuna delle reti VPC spoke utilizzando il peering di rete VPC.
  • Per ogni peering, configura la rete hub in modo da esportare le route personalizzate e configura la rete spoke corrispondente in modo da importare le route personalizzate. La route con l'hop successivo del bilanciatore del carico è una delle route esportate dalla rete hub.

In base all'ordine di routing, il bilanciatore del carico dell'appliance firewall di hop successivo nella rete VPC hub è disponibile nelle reti spoke:

  • ai client nella stessa regione del bilanciatore del carico, se l'accesso globale è disabilitato
  • ai client di tutte le regioni, se l'accesso globale è abilitato, in base all'ordine di instradamento.
Hub and spoke.
Hub e spoke (fai clic per ingrandire).

Bilanciamento del carico su più NIC

Nel seguente caso d'uso, le VM di backend sono istanze di appliance virtuali (ad esempio VM di ispezione pacchetti, routing o gateway) con NIC in più reti VPC. Queste istanze di appliance virtuali possono essere soluzioni commerciali di terze parti o soluzioni create da te. Le apparecchiature virtuali sono VM Compute Engine con più NIC.

Questo esempio mostra un singolo insieme di appliance virtuali di backend in un gruppo di istanze VM gestite.

Nella rete VPC denominata testing, il bilanciatore del carico di rete passthrough interno ha una regola di forwarding denominata fr-ilb1. Nell'esempio, questo bilanciatore del carico distribuisce il traffico all'interfaccia nic0.

Nella rete VPC denominata production, un altro bilanciatore del carico di rete passthrough interno ha una regola di forwarding denominata fr-ilb2. Questo bilanciatore del carico distribuisce il traffico a un'interfaccia diversa, nic1 in questo esempio.

Traffico con bilanciamento del carico su più NIC.
Traffico con bilanciamento del carico su più NIC (fai clic per ingrandire).

Per una configurazione dettagliata, consulta Bilanciamento del carico su più NIC di backend.

Hashing simmetrico

L'esempio precedente non utilizza la Network Address Translation dell'origine (SNAT). SNAT non è necessario perché Google Cloud utilizza l'hashing simmetrico. Ciò significa che quando i pacchetti appartengono allo stesso flusso, Google Cloud calcola lo stesso hash. In altre parole, l'hash non cambia quando l'indirizzo IP di origine:porta viene scambiato con l'indirizzo IP di destinazione:porta.

Note:

  • L'hashing simmetrico viene attivato automaticamente quando crei la regola di inoltro del bilanciatore del carico di rete passthrough interno a partire dal 22 giugno 2021.

  • Per attivare l'hashing simmetrico sui bilanciatori del carico di rete passthrough interni esistenti, devi rielaborare la regola di forwarding e la route di hop successivo, come descritto in Abilitazione dell'hashing simmetrico.

  • L'hashing simmetrico è supportato solo con i bilanciatori del carico di rete passthrough interni.

  • L'hashing simmetrico è supportato con i seguenti tipi di affinità sessione per i protocolli TCP e UDP:

    • IP client (CLIENT_IP)
    • IP e protocollo client (CLIENT_IP_PROTO)
    • IP, protocollo e porta client (CLIENT_IP_PORT_PROTO)

    Per ulteriori informazioni su queste impostazioni, consulta le opzioni di affinità della sessione.

  • Se necessario, puoi utilizzare SNAT se il tuo caso d'uso lo richiede.

Passaggi successivi