Load Balancer Jaringan passthrough internal sebagai next hop

Network Load Balancer passthrough internal adalah load balancer regional yang memungkinkan Anda menjalankan dan menskalakan layanan di balik alamat IP internal. Anda dapat menggunakan Load Balancer Jaringan passthrough internal sebagai next hop yang meneruskan paket di sepanjang jalur ke tujuan akhirnya. Untuk melakukannya, Anda menetapkan load balancer sebagai next hop dalam rute statis.

Sebelum meninjau informasi di halaman ini, Anda harus sudah memahami konsep dari berikut ini:

Next hop Load Balancer Jaringan passthrough internal berguna dalam kasus berikut:

  • Untuk melakukan load balancing traffic di beberapa VM yang berfungsi sebagai VM gateway atau router.

  • Untuk menggunakan peralatan virtual gateway sebagai next hop untuk rute default. Dengan konfigurasi ini, instance mesin virtual (VM) di jaringan Virtual Private Cloud (VPC) Anda mengirim traffic ke internet melalui serangkaian VM gateway virtual yang di-load balance.

  • Untuk mengirim traffic melalui beberapa load balancer dalam dua arah atau lebih dengan menggunakan set VM gateway atau router multi-NIC yang sama sebagai backend. Untuk melakukannya, Anda membuat load balancer dan menggunakannya sebagai next hop untuk rute statis di setiap jaringan VPC. Setiap Load Balancer Jaringan passthrough internal beroperasi dalam satu jaringan VPC, mendistribusikan traffic ke antarmuka jaringan VM backend dalam jaringan tersebut.

Arsitektur

Dalam diagram berikut, grup instance VM router berfungsi sebagai backend untuk dua load balancer yang berbeda. Load Balancer Jaringan passthrough internal pertama mengirim paket ke nic0 VM backend, dan Load Balancer Jaringan passthrough internal kedua mengirim paket ke nic1 di backend yang sama.

Load balancing ke beberapa NIC.
Load balancing ke beberapa NIC (klik untuk memperbesar).

Manfaat menggunakan Load Balancer Jaringan passthrough internal sebagai next hop

Jika load balancer adalah next hop untuk rute statis, tidak ada konfigurasi khusus yang diperlukan dalam sistem operasi tamu VM klien di jaringan VPC tempat rute ditentukan. VM klien mengirim paket ke backend load balancer melalui perutean jaringan VPC, dengan cara bump-in-the-wire.

Menggunakan Load Balancer Jaringan passthrough internal sebagai next hop untuk rute statis memberikan manfaat yang sama dengan Load Balancer Jaringan passthrough internal mandiri. Health check load balancer memastikan bahwa koneksi baru dirutekan ke VM backend yang responsif. Dengan menggunakan grup instance terkelola sebagai backend, Anda dapat mengonfigurasi penskalaan otomatis untuk memperbesar atau memperkecil set VM berdasarkan permintaan layanan.

Spesifikasi

Berikut adalah spesifikasi untuk menggunakan Load Balancer Jaringan passthrough internal sebagai next hop.

Rute

Anda dapat membuat rute statis untuk meneruskan traffic TCP, UDP, dan protokol lainnya ke Load Balancer Jaringan passthrough internal yang merupakan next hop untuk rute statis. Rute dapat berupa awalan CIDR eksternal (dapat dirutekan secara publik) atau awalan CIDR internal, jika awalan tidak berkonflik dengan rute subnet. Misalnya, Anda dapat mengganti rute default (0.0.0.0/0) dengan rute yang mengarahkan traffic ke VM backend pihak ketiga untuk pemrosesan paket.

Opsi untuk menentukan hop berikutnya

Anda dapat menentukan next hop Load Balancer Jaringan passthrough internal dengan salah satu dari dua cara berikut:

  • Dengan menggunakan nama dan region aturan penerusan
  • Dengan menggunakan alamat IP aturan penerusan

Untuk mengetahui detail tentang project dan jaringan VPC tempat next hop Load Balancer Jaringan passthrough internal dapat berada, lihat Next hop dan fitur.

Anda dapat menukar rute statis dengan next hop Load Balancer Jaringan passthrough internal menggunakan Peering Jaringan VPC. Untuk mengetahui detailnya, lihat Opsi untuk bertukar rute statis.

Afinitas sesi IP klien

Load Balancer Jaringan passthrough internal menawarkan dua opsi afinitas sesi "alamat IP klien" yang serupa:

  • IP Klien (CLIENT_IP): Hash dua tuple dari alamat IP sumber dan alamat IP tujuan paket. Jika Load Balancer Jaringan passthrough internal bukan next hop rute, paket yang dikirim ke alamat IP aturan penerusan load balancer memiliki alamat IP tujuan yang sama—alamat IP aturan penerusan. Dalam situasi ini, salah satu alamat yang digunakan oleh hash dua tuple tetap konstan. Jadi, jika jumlah backend yang dikonfigurasi dan berfungsi baik tidak berubah dan paket memiliki alamat IP sumber yang identik, opsi afinitas sesi dua tuple ini akan memilih backend yang sama.
  • IP Klien, tanpa tujuan (CLIENT_IP_NO_DESTINATION): Hash satu tuple dari alamat IP sumber paket. Saat Anda menggunakan Load Balancer Jaringan passthrough internal sebagai next hop, alamat IP tujuan sering kali bervariasi karena alamat IP tujuan adalah alamat yang ditentukan oleh atribut tujuan rute. Dalam situasi ini, afinitas sesi hash dua tuple IP Klien (CLIENT_IP) tidak dapat memilih backend yang sama meskipun jumlah backend yang dikonfigurasi dan responsif tidak berubah dan paket memiliki alamat IP sumber yang identik. (Pengecualian untuk aturan ini adalah saat hanya satu backend yang dikonfigurasi.) Jika Anda memerlukan paket dengan alamat IP sumber yang identik untuk dirutekan ke backend yang sama, Anda harus menggunakan opsi afinitas sesi IP klien, tanpa tujuan (CLIENT_IP_NO_DESTINATION).

Rentang tujuan

Tujuan rute statis tidak boleh sama dengan atau lebih spesifik daripada rute subnet. Perhatikan bahwa lebih spesifik berarti masker subnet lebih panjang. Aturan ini berlaku untuk semua rute statis, termasuk saat next hop adalah Load Balancer Jaringan passthrough internal. Misalnya, anggaplah rute subnet Anda adalah 10.140.0.0/20. Tujuan rute statis tidak boleh sama (10.140.0.0/20), dan tidak boleh lebih spesifik, seperti dalam 10.140.0.0/22.

Jaringan dan region VPC yang sama

Rute statis yang menggunakan Load Balancer Jaringan passthrough internal sebagai next hop dibatasi untuk berikut ini:

  • Satu jaringan VPC. Load balancer dan rute statis harus berada di jaringan VPC yang sama.

  • Satu region atau semua region. Kecuali jika Anda mengonfigurasi akses global, rute statis hanya tersedia untuk resource di region yang sama dengan load balancer. Pembatasan regional ini diterapkan meskipun rute itu sendiri merupakan bagian dari tabel perutean untuk seluruh jaringan VPC. Jika Anda mengaktifkan akses global, rute statis akan tersedia untuk resource di region mana pun.

Mengiklankan rute statis

Untuk mengiklankan awalan (tujuan) untuk rute statis, Anda dapat menggunakan mode pemberitahuan kustom Cloud Router. Cakupan pengumuman rute bergantung pada setelan akses global load balancer, sebagai berikut:

  • Jika akses global dinonaktifkan, Load Balancer Jaringan passthrough internal hanya tersedia untuk VM, tunnel Cloud VPN, dan lampiran Cloud Interconnect (VLAN) yang berada di region yang sama dengan load balancer. Oleh karena itu, pemberitahuan rute kustom untuk awalan rute statis hanya masuk akal jika Cloud Router dan load balancer berada di region yang sama.

  • Jika akses global diaktifkan, Load Balancer Jaringan passthrough internal tersedia untuk VM, tunnel Cloud VPN, dan lampiran Cloud Interconnect (VLAN) yang berada di region mana pun. Dengan perutean dinamis global, sistem lokal dapat menggunakan rute statis dari region yang terhubung.

Tabel berikut merangkum aksesibilitas load balancer.

Akses global Mode perutean dinamis jaringan VPC Akses load balancer
Nonaktif Regional Dapat diakses oleh router di region yang sama
Nonaktif Global Dapat diakses oleh router di region yang sama
Aktif Regional Dapat diakses oleh semua router di wilayah mana pun
Aktif Global Dapat diakses oleh semua router di wilayah mana pun

Untuk mengetahui informasi selengkapnya, lihat Load Balancer Jaringan passthrough internal dan jaringan yang terhubung.

Urutan operasi

Anda harus membuat Load Balancer Jaringan passthrough internal sebelum dapat membuat rute statis yang menggunakannya sebagai next hop. Load balancer harus ada sebelum Anda dapat membuat rute. Jika Anda mencoba membuat rute yang merujuk ke load balancer yang tidak ada, Google Cloud akan menampilkan error.

Anda menentukan next hop Load Balancer Jaringan passthrough internal menggunakan nama aturan penerusan dan region load balancer, atau menggunakan alamat IP internal yang terkait dengan aturan penerusan.

Setelah membuat rute dengan next hop yang merujuk ke Load Balancer Jaringan passthrough internal, Anda tidak dapat menghapus load balancer kecuali jika Anda menghapus rute terlebih dahulu. Secara khusus, Anda tidak dapat menghapus aturan penerusan internal hingga tidak ada rute statis yang menggunakan load balancer tersebut sebagai next hop.

Persyaratan backend

  • Anda harus mengonfigurasi semua VM backend Load Balancer Jaringan passthrough internal agar mengizinkan penerusan IP (--can-ip-forward = True). Untuk mengetahui informasi selengkapnya, lihat Pertimbangan umum untuk next hop Load Balancer Jaringan passthrough internal dan instance.

  • Anda tidak dapat menggunakan Load Balancer Jaringan passthrough internal yang backend-nya adalah node Google Kubernetes Engine (GKE) sebagai next hop untuk rute statis. Software di node hanya dapat merutekan traffic ke Pod jika tujuannya cocok dengan alamat IP yang dikelola oleh cluster, bukan tujuan arbitrer.

Pemrosesan traffic TCP, UDP, dan protokol lainnya

Saat di-deploy sebagai next hop,Load Balancer Jaringan passthrough internal Google Cloud meneruskan semua traffic di semua port ke VM backend, terlepas dari hal berikut:

  • Konfigurasi protokol dan port aturan penerusan
  • Konfigurasi protokol layanan backend

Load Balancer Jaringan passthrough internal, yang merupakan next hop rute, mendukung penerusan semua traffic untuk protokol yang didukung oleh jaringan VPC (seperti TCP, UDP, dan ICMP) dengan lancar. Google Cloud

Pertimbangan lainnya

  • Aturan penerusan yang didukung. Google Cloud hanya mendukung aturan penerusan Load Balancer Jaringan passthrough internal next hop. Google Cloud Tidak mendukung aturan penerusan next hop yang digunakan oleh load balancer lain, penerusan protokol, atau sebagai endpoint Private Service Connect.

  • Metode spesifikasi serta jaringan dan project aturan penerusan. Anda dapat menentukan aturan penerusan next hop menggunakan salah satu dari tiga metode berikut. Metode spesifikasi yang Anda gunakan menentukan apakah jaringan aturan penerusan harus cocok dengan jaringan rute dan dalam project apa aturan penerusan tersebut dapat ditemukan.

    Pilih salah satu metode berikut dan pastikan versi IP aturan penerusan Anda cocok dengan versi IP rute statis yang Anda buat:

    • Berdasarkan nama aturan penerusan (--next-hop-ilb) dan region (--next-hop-ilb-region): saat Anda menentukan aturan penerusan next hop berdasarkan nama dan region, jaringan aturan penerusan harus cocok dengan jaringan VPC rute. Aturan penerusan harus berada dalam project yang sama yang berisi jaringan aturan penerusan (project mandiri atau project host VPC Bersama).

    • Berdasarkan link resource aturan penerusan: link resource aturan penerusan menggunakan format /projects/PROJECT_ID/regions/REGION/forwardingRules/FORWARDING_RULE_NAME, dengan PROJECT_ID adalah project ID project yang berisi aturan penerusan, REGION adalah region aturan penerusan, dan FORWARDING_RULE_NAME adalah nama aturan penerusan. Saat Anda menentukan aturan penerusan next hop berdasarkan link resource-nya, jaringan aturan penerusan harus cocok dengan jaringan VPC rute. Aturan penerusan dapat berada di salah satu project yang berisi jaringan aturan penerusan (project mandiri atau project host VPC Bersama) atau di project layanan VPC Bersama.

    • Dengan alamat IP aturan penerusan: saat Anda menentukan aturan penerusan next hop berdasarkan alamat IPv4 atau IPv6-nya, jaringan aturan penerusan dapat berupa salah satu dari jaringan VPC rute atau jaringan VPC yang terhubung ke jaringan VPC rute menggunakan Peering Jaringan VPC atau Network Connectivity Center. Network Connectivity Center mendukung Load Balancer Jaringan passthrough internal next hop di spoke VPC yang tunduk pada persyaratan Network Connectivity Center untuk konektivitas. Aturan penerusan dapat berada di salah satu project yang berisi jaringan aturan penerusan (project mandiri atau project host VPC Bersama) atau di project layanan VPC Bersama.

  • Pengaruh akses global. Rute statis kustom yang menggunakan next hop Load Balancer Jaringan passthrough internal diprogram di semua region. Kemampuan next hop untuk dapat digunakan bergantung pada setelan akses global load balancer. Dengan mengaktifkan akses global, next hop load balancer dapat diakses di semua region jaringan VPC. Jika akses global dinonaktifkan, next hop load balancer hanya dapat diakses di region yang sama dengan load balancer. Dengan menonaktifkan akses global, paket yang dikirim dari region lain ke rute menggunakan next hop Load Balancer Jaringan passthrough internal akan dihentikan.

  • Saat semua backend tidak responsif. Jika semua backend Load Balancer Jaringan passthrough internal gagal dalam health check, rute yang menggunakan next hop load balancer tersebut masih akan berpengaruh. Paket yang diproses oleh rute dikirim ke salah satu backend load balancer next hop sesuai dengan distribusi traffic.

  • Aturan penerusan yang menggunakan alamat IP internal yang umum (--purpose=SHARED_LOADBALANCER_VIP) tidak didukung. Load Balancer Jaringan passthrough internal next hop dan aturan penerusan Load Balancer Jaringan passthrough internal dengan alamat IP umum adalah fitur yang sama-sama eksklusif. Load Balancer Jaringan passthrough internal next hop harus menggunakan alamat IP yang unik untuk aturan penerusan load balancer, sehingga hanya satu layanan backend (satu load balancer) yang direferensikan dengan jelas. Anda dapat meneruskan aturan penerusan yang menggunakan alamat IP internal umum untuk mereferensikan layanan backend yang berbeda (Load Balancer Jaringan passthrough internal yang berbeda).

  • Beberapa rute dengan tujuan dan prioritas yang sama, tetapi Load Balancer Jaringan passthrough internal next hop yang berbeda. Google Cloud Tidak pernah mendistribusikan traffic di antara dua atau lebih Load Balancer Jaringan passthrough internal next hop menggunakan ECMP. Sebagai gantinya, Google Cloud hanya memilih satu Load Balancer Jaringan passthrough internal next hop menggunakan algoritma internal yang deterministik. Untuk menghindari ambiguitas ini, Anda dapat menggunakan tag jaringan unik untuk setiap rute.

    Google Cloud memilih satu next hop saat rute statis dengan berbagai next hop Load Balancer Jaringan passthrough internal yang berbeda memiliki prioritas dan tujuan yang sama.
  • Beberapa rute dengan tujuan, prioritas, dan Load Balancer Jaringan passthrough internal next hop yang sama. Tanpa tag jaringan, Google Cloud Anda tidak dapat membuat beberapa rute statis yang memiliki kombinasi tujuan, prioritas, dan next hop Load Balancer Jaringan passthrough internal yang sama. Dengan tag jaringan, Anda dapat membuat beberapa rute statis yang memiliki kombinasi tujuan, prioritas, dan next hop Load Balancer Jaringan passthrough internal yang sama.

Kasus penggunaan

Anda dapat menggunakan Load Balancer Jaringan passthrough internal sebagai next hop di beberapa deployment dan topologi.

Untuk setiap contoh, perhatikan panduan berikut:

  • Setiap antarmuka VM harus berada di jaringan VPC yang terpisah.

  • Anda tidak dapat menggunakan VM backend atau load balancer untuk merutekan traffic antar-subnet dalam jaringan VPC yang sama karena rute subnet tidak dapat diganti.

  • Load Balancer Jaringan passthrough internal adalah load balancer pass-through yang ditentukan software. Paket dikirimkan ke VM backend tanpa mengubah informasi sumber atau tujuan (alamat atau alamat dan port).

    Perutean, pemfilteran paket, proxy, dan terjemahan alamat adalah tanggung jawab VM perangkat virtual yang berfungsi sebagai backend untuk Load Balancer Jaringan passthrough internal.

Menggunakan Load Balancer Jaringan passthrough internal sebagai next hop ke gateway NAT

Kasus penggunaan ini menyeimbangkan beban traffic dari VM internal ke beberapa instance gateway NAT yang merutekan traffic ke internet.

Kasus penggunaan NAT.
Kasus penggunaan NAT (klik untuk memperbesar).

Hub dan spoke: Menukar rute next hop menggunakan Peering Jaringan VPC

Selain bertukar rute subnet, Anda dapat mengonfigurasi Peering Jaringan VPC untuk mengekspor dan mengimpor rute statis dan dinamis kustom. Rute statis yang memiliki next hop gateway internet default akan dikecualikan. Rute statis kustom yang menggunakan Load Balancer Jaringan passthrough internal next hop disertakan.

Anda dapat mengonfigurasi topologi hub-and-spoke dengan peralatan virtual firewall next-hop yang berada di jaringan VPC hub dengan melakukan hal berikut:

  • Di jaringan VPC hub, buat Load Balancer Jaringan passthrough internal dengan peralatan virtual firewall sebagai backend.
  • Di jaringan VPC hub, buat rute statis, dan tetapkan next hop ke Load Balancer Jaringan passthrough internal.
  • Hubungkan jaringan VPC hub ke setiap jaringan VPC spoke menggunakan Peering Jaringan VPC.
  • Untuk setiap peering, konfigurasi jaringan hub untuk mengekspor rute kustomnya, dan konfigurasi jaringan spoke yang sesuai untuk mengimpor rute kustom. Rute dengan next hop load balancer adalah salah satu rute yang diekspor oleh jaringan hub.

Tunduk pada urutan perutean, load balancer peralatan firewall next hop di jaringan VPC hub tersedia di jaringan spoke:

  • ke klien di region yang sama dengan load balancer, jika akses global dinonaktifkan
  • ke klien di semua region, jika akses global diaktifkan, sesuai dengan urutan pemilihan rute.
Hub dan spoke.
Hub dan spoke (klik untuk memperbesar).

Load balancing ke beberapa NIC

Dalam kasus penggunaan berikut, VM backend adalah instance peralatan virtual (misalnya, VM inspeksi paket, perutean, atau gateway) dengan NIC di beberapa jaringan VPC. Instance perangkat virtual ini dapat berupa solusi komersial dari pihak ketiga atau solusi yang Anda buat sendiri. Virtual appliance adalah VM Compute Engine dengan beberapa NIC.

Contoh ini menunjukkan satu set peralatan virtual backend dalam grup instance VM terkelola.

Di jaringan VPC yang disebut testing, Load Balancer Jaringan passthrough internal memiliki aturan penerusan yang disebut fr-ilb1. Dalam contoh ini, load balancer mendistribusikan traffic ke antarmuka nic0.

Di jaringan VPC yang disebut production, Load Balancer Jaringan passthrough internal yang berbeda memiliki aturan penerusan yang disebut fr-ilb2. Load balancer ini mendistribusikan traffic ke antarmuka yang berbeda, nic1 dalam contoh ini.

Traffic dengan load balancing multi-NIC.
Traffic dengan load balancing multi-NIC (klik untuk memperbesar).

Untuk penyiapan konfigurasi yang mendetail, lihat Load balancing ke beberapa NIC backend.

Hashing simetris

Contoh sebelumnya tidak menggunakan penafsiran alamat jaringan sumber (SNAT). SNAT tidak diperlukan karena Google Cloud menggunakan hashing simetris. Artinya, saat paket termasuk dalam alur yang sama, Google Cloud menghitung hash yang sama. Dengan kata lain, hash tidak berubah saat alamat IP:port sumber ditukar dengan alamat IP:port tujuan.

Catatan:

  • Hashing simetris diaktifkan secara otomatis saat Anda membuat aturan penerusan Load Balancer Jaringan passthrough internal pada atau setelah 22 Juni 2021.

  • Untuk mengaktifkan hashing simetris di Load Balancer Jaringan passthrough internal yang ada, Anda harus membuat ulang aturan penerusan dan rute next hop, seperti yang dijelaskan dalam Mengaktifkan hashing simetris.

  • Hashing simetris hanya didukung dengan Load Balancer Jaringan passthrough internal.

  • Hashing simetris didukung dengan jenis afinitas sesi berikut untuk protokol TCP dan UDP:

    • IP Klien (CLIENT_IP)
    • IP dan protokol klien (CLIENT_IP_PROTO)
    • IP, protokol, dan port klien (CLIENT_IP_PORT_PROTO)

    Untuk mengetahui informasi selengkapnya tentang setelan ini, lihat Opsi afinitas sesi.

  • Anda dapat menggunakan SNAT secara opsional jika kasus penggunaan Anda memerlukannya karena alasan tertentu.

Langkah berikutnya