內部 TCP/UDP 負載平衡和已連線網路

總覽

本頁說明透過已連線的網路存取虛擬私人雲端網路內部 TCP/UDP 負載平衡器的各種情況。在查看本頁所提供的資訊之前,您應該先瞭解內部 TCP/UDP 負載平衡的概念

使用虛擬私人雲端網路對等互連

當您透過虛擬私人雲端網路對等互連,將您的虛擬私人雲端網路連線至另一個網路時,GCP 會在網路之間共用子網路路徑。子網路路徑可允許來自對等互連網路的流量到達您網路的內部 TCP/UDP 負載平衡器。只要符合以下條件,就可以獲得存取權:

  • 對等互連網路中的用戶端 VM 與內部 TCP/UDP 負載平衡器位在相同地區。
  • 輸入防火牆規則允許來自對等互連網路中用戶端 VM 的流量。使用虛擬私人雲端網路對等互連時,GCP 不會在網路之間共用防火牆規則

您無法以虛擬私人雲端網路對等互連去選擇性地共用某些內部 TCP/UDP 負載平衡器。不過,您可以透過防火牆規則,限制負載平衡器的後端 VM 執行個體存取權。

使用 Cloud VPN 和 Cloud Interconnect

如果對等互連網路是透過 Cloud VPN 通道專屬互連網路/合作夥伴互連網路的 VLAN 連結建立連線,您就可以存取當中的內部 TCP/UDP 負載平衡器。對等互連網路可以是內部部署網路、另一個 GCP 虛擬私人雲端網路,或是由其他雲端供應商託管的虛擬網路。

透過 Cloud VPN 通道存取

當內部 TCP/UDP 負載平衡器的網路符合下列所有條件時,您可以透過 Cloud VPN 通道存取該內部 TCP/UDP 負載平衡器:

  • Cloud VPN 閘道和通道都與內部 TCP/UDP 負載平衡器的元件位在相同地區。

  • 正確的路徑為輸出流量提供了返回至負載平衡器流量來源的用戶端路徑。使用動態轉送的 Cloud VPN 通道必須透過 Cloud Router 來管理提供此用途的自訂動態路徑。使用靜態轉送的 Cloud VPN 通道必須使用自訂靜態路徑,這些路徑會在您透過 GCP Console 建立通道時自動建立。

  • 輸入防火牆規則允許流量到達後端 VM,且輸出防火牆規則允許後端將回應傳回內部部署用戶端。

  • 在對等互連網路中,至少存在一個 Cloud VPN 通道且具有正確路徑,該路徑的目的地包含定義內部 TCP/UDP 負載平衡器所在的子網路,且其下一個躍點為 VPN 通道。特別是下列情況:

    • 如果對等互連網路是另一個 GCP 虛擬私人雲端網路,則其 Cloud VPN 通道和閘道可位於任何地區。

    • 對等互連網路中的用戶端可連線至位於任何地區的 Cloud VPN,但前提是該 VPN 閘道上的 Cloud VPN 通道可連往負載平衡器所在的網路。如果是使用動態轉送的 Cloud VPN 通道,請確認您的虛擬私人雲端網路是採用全域動態轉送模式,讓所有地區的 VM 都能使用該通道專用 Cloud Router 取得的自訂動態路徑。

下圖概要說明透過 Cloud VPN 閘道及其相關通道存取內部 TCP/UDP 負載平衡器時的主要概念。Cloud VPN 會透過 IPsec VPN 連線,將您的內部部署網路安全連線至 GCP 虛擬私人雲端網路。

內部 TCP/UDP 負載平衡與 Cloud VPN (按一下可放大)
內部 TCP/UDP 負載平衡與 Cloud VPN (按一下可放大)

請注意下列與本範例相關的設定元素:

  • lb-network 中已設定一個使用動態轉送的 Cloud VPN 通道。VPN 通道、閘道和 Cloud Router 都位於 us-west1 中,也就是內部 TCP/UDP 負載平衡器的元件所在地區。
  • 允許輸入的防火牆規則已設定為套用至兩個執行個體群組 ig-aig-c 中的後端 VM,以便透過虛擬私人雲端和內部部署網路的 IP 位址 (10.1.2.0/24192.168.1.0/24) 接收流量。由於沒有建立任何拒絕輸出的防火牆規則,因此系統會套用默示允許輸出規則
  • 從內部部署網路的用戶端 (包括從 192.168.1.0/24) 傳送至內部 TCP/UDP 負載平衡器 IP 位址 (10.1.2.99) 的封包,會根據已設定的工作階段相依性,直接交付給健康狀態良好的後端 VM (例如 vm-a2)。詳情請參閱「內部 TCP/UDP 負載平衡概念」頁面。
  • 來自後端 VM (例如 vm-a2) 的回應會透過 VPN 通道傳送至內部部署用戶端。

透過 Cloud Interconnect 存取

當內部 TCP/UDP 負載平衡器的網路符合下列所有條件時,您可以透過連線到負載平衡器所屬虛擬私人雲端網路的內部部署對等互連網路存取該負載平衡器:

  • 在內部 TCP/UDP 負載平衡器的網路中,VLAN 連結及其 Cloud Router 都與該負載平衡器的元件位在相同地區。

  • 內部部署路由器共用正確的路徑,為從後端 VM 到內部部署用戶端的回應提供傳回路徑。專屬互連網路和合作夥伴互連網路的 VLAN 連結可透過 Cloud Router 管理從內部部署路由器取得的路徑。

  • 輸入防火牆規則允許流量到達後端 VM,且輸出防火牆規則允許後端 VM 傳送回應。

內部部署對等互連網路中的轉送和防火牆規則允許與虛擬私人雲端網路中的後端 VM 通訊。在「對等互連網路」中存取 VLAN 連結的用戶端,以及可讓對等互連網路存取內部 TCP/UDP 負載平衡器的 Cloud Router,不需要與負載平衡器本身位在相同地區。透過 Cloud VPN 通道存取負載平衡器也適用相同概念

多個輸出路徑

前述章節說明的是單一通道和單一 VLAN 連結的情況。在實際工作環境中,您可能會使用多個通道或連結來執行備援。本節將提供使用多個 Cloud VPN 通道或 VLAN 連結,透過 Cloud Interconnect 將虛擬私人雲端網路連線至對等互連網路時的需求和建議。

在下圖中,有兩個 Cloud VPN 通道將 lb-network 連線至內部部署網路。儘管此處使用的是 Cloud VPN 通道,但相同的原理也適用於 Cloud Interconnect。

內部 TCP/UDP 負載平衡與多個 Cloud VPN 通道 (按一下可放大)
內部 TCP/UDP 負載平衡與多個 Cloud VPN 通道 (按一下可放大)

如本文所述,只要將每個通道或每個 VLAN 連結設為與內部 TCP/UDP 負載平衡器位於相同地區,即可為往返負載平衡器的流量提供多個可同時存取的路徑。多個路徑可提供額外的頻寬,也可做為備用路徑以供備援。

請注意下列幾點:

  • Cloud VPN 通道必定與特定 Cloud VPN 閘道相關聯。您無法在沒有閘道的情況下建立通道。Cloud Interconnect 連結 (VLAN) 也與 Cloud Interconnect 相關聯。請參閱 VLAN 連結和 VPC 網路一文。

  • 如果內部部署網路具有兩個優先順序相同的路徑,每個路徑的目的地均為 10.1.2.0/24,且下一個躍點對應至與內部 TCP/UDP 負載平衡器所在相同地區的另一個 VPN 通道,則流量可透過 ECMP 從內部部署網路 (192.168.1.0/24) 傳送至負載平衡器。

  • 封包傳送至虛擬私人雲端網路之後,內部 TCP/UDP 負載平衡器會根據已設定的工作階段相依性,將封包分配到後端 VM。

  • 如果是內部 TCP/UDP 負載平衡器的輸入流量,VPN 通道必須與負載平衡器位在相同地區。

  • 如果 lb-network 具有兩個路徑,每個路徑的目的地均為 192.168.1.0/24,且下一個躍點對應至不同的 VPN 通道,則來自後端 VM 的回應可以根據網路中的路徑優先順序,透過各個通道傳送。如果採用的是不同的路徑優先順序,則其中一個通道可做為另一個通道的備援。如果採用的是相同優先順序,則會使用 ECMP 傳送回應。

  • 來自後端 VM (例如 vm-a2) 的回應會透過適當的通道,直接傳送至內部部署用戶端。從 lb-network 的角度來看,如果路徑或 VPN 通道發生變更,流量可能會透過其他通道輸出。這樣一來,如果進行中的連線中斷,則可能導致 TCP 工作階段重設。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Load Balancing