Interne Passthrough-Network Load Balancer und verbundene Netzwerke

Auf dieser Seite werden Szenarien für den Zugriff auf einen internen Load-Balancer in Ihrem Virtual Private Cloud-Netzwerk (VPC) über ein verbundenes Netzwerk beschrieben. Bevor Sie sich die Informationen auf dieser Seite ansehen, sollten Sie mit den Konzepten in der folgenden Anleitung vertraut sein:

VPC-Netzwerk-Peering verwenden

Wenn Sie VPC-Netzwerk-Peering verwenden, um Ihr VPC-Netzwerk mit einem anderen Netzwerk zu verbinden, teilt Google Cloud die Subnetzrouten zwischen den Netzwerken. Über die Subnetzrouten kann der Traffic vom Peer-Netzwerk interne Load-Balancer in Ihrem Netzwerk erreichen. Der Zugriff ist nur möglich, wenn Folgendes zutrifft:

  • Sie erstellen Firewallregeln, um eingehenden Traffic von Client-VMs im Peer-Netzwerk zuzulassen. Firewallregeln von Google Cloud werden nicht zwischen Netzwerken geteilt, wenn VPC-Netzwerk-Peering verwendet wird.
  • Bei regionalen internen Application Load Balancern müssen sich Client-VM-Instanzen im Peer-Netzwerk in derselben Region befinden wie der interne Load-Balancer. Diese Einschränkung wird ignoriert, wenn Sie den globalen Zugriff konfigurieren.

Es ist nicht möglich, mit VPC-Netzwerk-Peering nur einige der internen Passthrough-Network Load Balancer, regionalen internen Proxy-Network Load Balancer oder interne Application Load Balancer freizugeben. Alle internen Load-Balancer werden automatisch freigegeben. Sie können den Zugriff auf die Backends des Load-Balancers mit Firewallregeln für Backend-VM-Instanzen beschränken.

Cloud VPN und Cloud Interconnect verwenden

Sie können über ein Peer-Netzwerk, das über einen Cloud VPN-Tunnel oder Interconnect-Anhang (VLAN) über Dedicated Interconnect oder Partner Interconnect verbunden ist, auf einen internen Load-Balancer zugreifen. Das Peer-Netzwerk kann ein lokales Netzwerk, ein weiteres Google Cloud-VPC-Netzwerk oder ein virtuelles Netzwerk sein, das von einem anderen Cloud-Anbieter gehostet wird.

Zugriff über Cloud VPN-Tunnel

Sie können über einen Cloud VPN-Tunnel auf einen internen Load-Balancer zugreifen, wenn alle der folgenden Bedingungen erfüllt sind.

Im Netzwerk des internen Load-Balancers

  • Das Cloud-VPN-Gateway und die Tunnel müssen sich in derselben Region befinden wie der Load-Balancer, wenn der globale Zugriff deaktiviert ist. Wenn der globale Zugriff in der Weiterleitungsregel des Load-Balancers aktiviert ist, wird diese Einschränkung verhindert.
  • Routen müssen Antwortpfade von den Back-Ends des Load-Balancers zu dem lokalen Netzwerk oder Peer-Netzwerk bereitstellen, in dem sich der Client befindet. Wenn Sie Cloud VPN-Tunnel mit dynamischem Routing verwenden, beachten Sie den Modus für dynamisches Routing des Cloud VPN-Netzwerks des Load-Balancers. Der Modus für dynamisches Routing bestimmt, welche benutzerdefinierten dynamischen Routen für die Back-Ends des Load-Balancers verfügbar sind.

  • Sie müssen Firewallregeln zum Zulassen von eingehendem Traffic mit lokalen Quell-IP-Adressbereichen konfigurieren, damit lokale Clients Pakete an den Load-Balancer senden können. Ziele für diese Firewallregeln müssen die Back-Ends des Load-Balancers enthalten. Weitere Informationen finden Sie unter Ziele und IP-Adressen.

Im Peer-Netzwerk

Das Peer-Netzwerk muss mindestens einen Cloud VPN-Tunnel mit Routen zum Subnetz haben, in dem der interne Load-Balancer definiert ist.

Wenn das Peer-Netzwerk ein anderes Google Cloud VPC-Netzwerk ist:

  • Das Cloud VPN-Gateway und die Tunnel des Peer-Netzwerks können sich in einer beliebigen Region befinden.

  • Bei Cloud VPN-Tunneln, die dynamisches Routing verwenden, bestimmt der Modus für dynamisches Routing des VPC-Netzwerks, welche Routen den Clients in den einzelnen Regionen zur Verfügung stehen. Mit dem globalen Modus für dynamisches Routing können Sie konsistente benutzerdefinierte dynamische Routen für Clients in allen Regionen bereitstellen.

  • Lokale oder Peer-Netzwerk-Firewalls müssen Pakete zulassen, die an die IP-Adresse der Weiterleitungsregel des Load-Balancers gesendet werden. Sorgen Sie dafür, dass lokale Firewalls oder Peer-Netzwerk-Firewalls Antwortpakete zulassen, die von der IP-Adresse der Weiterleitungsregel des Load-Balancers empfangen werden.

Das folgende Diagramm zeigt die wichtigsten Konzepte beim Zugriff auf einen internen Load-Balancer über ein Cloud VPN-Gateway und den zugehörigen Tunnel. Cloud VPN verbindet Ihr lokales Netzwerk über Cloud VPN-Tunnel sicher mit Ihrem Google Cloud VPC-Netzwerk.

Internes Load-Balancing und Cloud VPN.
Internes Load-Balancing und Cloud VPN (zum Vergrößern klicken).

Beachten Sie die folgenden Konfigurationselemente, die mit diesem Beispiel verknüpft sind:

  • Im lb-network wurde ein Cloud VPN-Tunnel mit dynamischem Routing konfiguriert. VPN-Tunnel, Gateway und Cloud Router befinden sich alle in REGION_A. Das ist dieselbe Region, in der sich die Komponenten des internen Load-Balancers befinden.
  • Firewallregeln, die eingehenden Traffic zulassen, wurden für die Backend-VMs in den Instanzgruppen A und B konfiguriert. Auf diese Weise können sie Traffic von IP-Adressen im VPC-Netzwerk und vom lokalen Netzwerk empfangen, 10.1.2.0/24 und 192.168.1.0/24. Es wurden keine Firewallregeln für abzulehnenden ausgehenden Traffic erstellt. Daher gilt die implizierte Richtlinie zum Zulassen von ausgehendem Traffic.
  • Pakete, die von Clients in den lokalen Netzwerken gesendet werden, zum Beispiel von 192.168.1.0/24 an die IP-Adresse des internen Load Balancers 10.1.2.99, werden entsprechend der konfigurierten Sitzungsaffinität direkt an eine intakte Backend-VM wie vm-a2 zugestellt.
  • Antworten, die von den Backend-VMs wie vm-a2 gesendet werden, werden über den VPN-Tunnel an die lokalen Clients zugestellt.

Informationen zur Fehlerbehebung bei Cloud VPN finden Sie unter Cloud VPN-Fehlerbehebung.

Zugriff über Cloud Interconnect

Es ist möglich, von einem lokalen Peer-Netzwerk, das mit dem VPC-Netzwerk des Load-Balancers verbunden ist, auf einen internen Load-Balancer zuzugreifen. Dafür müssen im Netzwerk des Load-Balancers die folgenden Bedingungen erfüllt sein:

  • Wenn der globale Zugriff deaktiviert ist, müssen sich sowohl der VLAN-Anhang als auch der Cloud Router in derselben Region wie der Load-Balancer befinden. Wenn der globale Zugriff in der Weiterleitungsregel des Load-Balancers aktiviert ist, wird diese Einschränkung verhindert.

  • Lokale Router müssen Antwortpfade von den Back-Ends des Load-Balancers zum lokalen Netzwerk bereitstellen. VLAN-Anhänge für Dedicated Interconnect und Partner Interconnect müssen Cloud Router verwenden. Daher stellen benutzerdefinierte dynamische Routen Antwortpfade bereit. Welche dynamischen Routen erlernt werden, hängt vom Modus für dynamisches Routing des Netzwerks des Load-Balancers ab.

  • Lokale Firewalls lassen Pakete zu, die an die IP-Adresse der Weiterleitungsregel des Load-Balancers gesendet werden. Lokale Firewalls müssen Antwortpakete zulassen, die von der IP-Adresse der Weiterleitungsregel des Load-Balancers empfangen werden.

  • Sie müssen Firewallregeln zum Zulassen von eingehendem Traffic mit lokalen Quell-IP-Adressbereichen konfigurieren, damit lokale Clients Pakete an den Load-Balancer senden können. Ziele für diese Firewallregeln müssen die Back-Ends des Load-Balancers sein. Weitere Informationen finden Sie unter Ziele und IP-Adressen.

Globalen Zugriff mit Cloud VPN und Cloud Interconnect verwenden

Clients müssen sich standardmäßig im selben Netzwerk oder in einem VPC-Netzwerk befinden, das über VPC-Netzwerk-Peering verbunden ist. Sie können den globalen Zugriff aktivieren, damit Clients aus beliebigen Regionen auf Ihren Load-Balancer zugreifen können.

Wenn Sie den globalen Zugriff aktivieren, können sich folgende Ressourcen in einer beliebigen Region befinden:
  • Cloud Router
  • Cloud VPN-Gateways und -Tunnel
  • VLAN-Anhänge

Das Diagramm zeigt Folgendes:

  • Das Frontend und die Back-Ends des Load-Balancers befinden sich in der Region REGION_A.
  • Der Cloud Router befindet sich in der Region REGION_B.
  • Der Cloud Router verbindet sich per Peering mit dem lokalen VPN-Router.
  • Die Peering-Sitzung des Border Gateway Protocol (BGP) kann über Cloud VPN oder Cloud Interconnect mit Direct Peering oder Partner Interconnect erfolgen.
Internes Load-Balancing mit globalem Zugriff.
Internes Load-Balancing mit globalem Zugriff (zum Vergrößern klicken).

Der Modus für dynamisches Routing des VPC-Netzwerks ist auf global festgelegt, um den Cloud Router in REGION_B zu aktivieren und die Subnetzrouten für Subnetze in einer beliebigen Region des VPC-Netzwerks des Load-Balancers anzubieten.

Mehrere Pfade für ausgehenden Traffic

In Produktionsumgebungen sollten Sie mehrere Cloud VPN-Tunnel oder VLAN-Anhänge zur Redundanz verwenden. In diesem Abschnitt werden die Anforderungen bei der Verwendung mehrerer Tunnel oder VLAN-Anhänge erläutert.

Im folgenden Diagramm verbinden zwei Cloud VPN-Tunnel lb-network mit einem lokalen Netzwerk. Hier werden Cloud VPN-Tunnel verwendet. Dieselben Prinzipien gelten jedoch auch für Cloud Interconnect.

Internes Load-Balancing und mehrere Cloud VPN-Tunnel.
Internes Load-Balancing und mehrere Cloud VPN-Tunnel (zum Vergrößern klicken).

Sie müssen die einzelnen Tunnel oder VLAN-Anhänge in der Region konfigurieren, in der sich auch der interne Load-Balancer befindet. Diese Anforderung wird ignoriert, wenn Sie den globalen Zugriff aktivieren.

Mehrere Tunnel oder VLAN-Anhänge können zusätzliche Bandbreite bieten oder als Standbypfade zur Redundanz dienen.

Beachten Sie die folgenden Aspekte:

  • Traffic kann vom lokalen Netzwerk 192.168.1.0/24 an den Load-Balancer mit equal-cost multipath (ECMP) gesendet werden. Dafür muss das lokale Netzwerk zwei Routen mit gleicher Priorität und dem Ziel 10.1.2.0/24 haben. Ein nächster Hop muss ein anderer VPN-Tunnel sein, der sich in derselben Region wie der interne Load-Balancer befindet.
  • Nachdem die Pakete an das VPC-Netzwerk zugestellt wurden, werden sie vom internen Load Balancer entsprechend der konfigurierten Sitzungsaffinität an Backend-VMs verteilt.
  • Die Antworten von Backend-VMs können nach der Priorität der Routen im Netzwerk über verschiedene Tunnel zugestellt werden. Dafür muss das Netzwerk lb-network zwei Routen jeweils mit dem Ziel 192.168.1.0/24 und einem nächsten Hop haben, der verschiedenen VPN-Tunneln entspricht. Wenn unterschiedliche Prioritäten für die Routen verwendet werden, kann ein Tunnel als Sicherung für die andere Route dienen. Werden dieselben Prioritäten verwendet, werden Antworten über ECMP zugestellt.
  • Von den Backend-VMs (etwa vm-a2) gesendete Antworten werden den lokalen Clients über den entsprechenden VPN-Tunnel direkt zugestellt. Wenn sich Routen oder VPN-Tunnel aus Sicht von lb-network ändern, wird der ausgehende Traffic möglicherweise über einen anderen Tunnel übertragen. Wenn dabei eine laufende Verbindung unterbrochen wird, kann es vorkommen, dass TCP-Sitzungen zurückgesetzt werden.

Nächste Schritte