Google Cloud 内部 TCP/UDP 负载均衡是一种基于 Andromeda 网络虚拟化堆栈构建的区域性负载均衡器。
内部 TCP/UDP 负载均衡在 Virtual Private Cloud (VPC) 网络中同一区域内的内部虚拟机 (VM) 实例之间分配流量。它可让您在只能由位于同一 VPC 网络中的系统或连接到 VPC 网络的系统访问的内部 IP 地址后面运行和扩缩服务。
内部 TCP/UDP 负载均衡服务有一个前端(转发规则)和一个后端(后端服务)。您可以将实例组或 GCE_VM_IP 地区 NEG 用作后端服务的后端。此示例显示实例组后端。
如需了解各种 Google Cloud 负载均衡器之间的具体区别,请参阅以下文档:
使用场景
在以下情况下可使用内部 TCP/UDP 负载均衡:
- 您需要为 TCP 或 UDP 流量实现高性能直通式第 4 层负载均衡器。
如果通过 TLS (SSL) 处理流量,则后端可以终止 SSL 流量,而不是负载均衡器。内部 TCP/UDP 负载均衡器无法终止 SSL 流量。
您需要转发未被代理的原始数据包。 例如,如果您需要保留客户端来源 IP 地址。
您的现有设置使用直通式负载均衡器,您希望原封不动地将它迁移。
内部 TCP/UDP 负载均衡器适用于许多使用场景。本部分提供了几个概要示例。
访问示例
您可以从使用以下功能连接的网络访问 VPC 网络中的内部 TCP/UDP 负载均衡器:
- VPC 网络对等互连
- Cloud VPN 和 Cloud Interconnect
如需详细示例,请参阅内部 TCP/UDP 负载均衡和连接的网络。
三层 Web 服务示例
您可以将内部 TCP/UDP 负载均衡与其他负载均衡器结合使用。例如,如果您合并了外部 HTTP(S) 负载均衡器,则外部 HTTP(S) 负载均衡器就是 Web 层,且依赖于内部 TCP/UDP 负载均衡器背后的服务。
下图描述了使用外部 HTTP(S) 负载均衡器和内部 TCP/UDP 负载均衡器的三层配置示例:
启用全球访问权限的三层 Web 服务示例
如果您启用全球访问权限,您的 Web 层虚拟机可以位于其他地区中,如下图所示。
此多层应用示例会显示以下内容:
- 面向互联网的全球可用 Web 层,可通过 HTTP(S) 负载均衡进行流量负载均衡。
us-east1地区中的内部后端负载均衡数据库层,可通过全球 Web 层访问。europe-west1地区中属于 Web 层的客户端虚拟机,可访问位于us-east1中的内部负载均衡数据库层。
将内部 TCP/UDP 负载均衡器用作下一个跃点
您可以将内部 TCP/UDP 负载均衡器用作数据包沿其通往最终目的地的路径转发到的下一个网关。为此,您需要将该负载均衡器设置为自定义静态路由中的下一个跃点。
无论协议(TCP、UDP 或 ICMP)如何,部署为自定义路由中下一个跃点的内部 TCP/UDP 负载均衡器都会处理所有流量)。
下面是一个使用内部 TCP/UDP 负载均衡器作为 NAT 网关的下一个跃点的示例架构。您可以通过内部 TCP/UDP 负载均衡器将流量路由到防火墙或网关虚拟设备后端。
其他使用场景包括:
- 中心辐射型拓扑:使用 VPC 网络对等互连来交换下一个跃点路由 - 您可以使用位于
hubVPC 中的下一个跃点防火墙虚拟设备配置中心辐射型拓扑。使用负载均衡器作为hubVPC 网络中的下一个跃点的路由可以在每个spoke网络中使用。 - 将负载均衡到在后端虚拟机上的多个 NIC。
如需详细了解这些使用场景,请参阅作为下一个跃点的内部 TCP/UDP 负载均衡器。
GKE 应用的负载均衡
如果要在 GKE 中构建应用,我们建议您使用内置的 GKE 服务控制器,该控制器代表 GKE 用户部署 Google Cloud 负载均衡器。它与本页上介绍的独立负载均衡基础架构相同,只不过它的生命周期由 GKE 完全自动化并进行控制。
相关 GKE 文档:
内部 TCP/UDP 负载均衡的工作原理
内部 TCP/UDP 负载均衡器具有以下特征:
- 是代管式服务。
- 不是代理。
- 是在虚拟网络中实现的。
与代理负载均衡器不同,内部 TCP/UDP 负载均衡器不会终止来自客户端的连接,然后打开到后端的新连接。相反,内部 TCP/UDP 负载均衡器会将连接直接从客户端路由到健康的后端,而没有任何中断。
- 没有中间设备或单点故障。
- 客户端向负载均衡器的 IP 地址发出的请求会直接转到健康的后端虚拟机。
- 来自健康的后端虚拟机的响应直接发送到客户端,而不是通过负载均衡器返回。TCP 响应使用直接服务器返回功能。如需了解详情,请参阅 TCP 和 UDP 请求与返回数据包。
负载均衡器使用健康检查探测功能来监控虚拟机的健康状况。如需了解详情,请参阅健康检查部分。
Google Cloud Linux 客机环境、Windows 客机环境或等效进程将每个后端虚拟机配置成使用负载均衡器的 IP 地址。对于通过 Google Cloud 映像创建的虚拟机,客机代理(以前称为 Windows 客机环境或 Linux 客机环境)会安装负载均衡器的 IP 地址的本地路由。基于 Container-Optimized OS 的 Google Kubernetes Engine 实例改用 iptables 来实现此功能。
Google Cloud 虚拟网络可管理流量传输,并根据需要扩缩。
协议、方案和范围
每个内部 TCP/UDP 负载均衡器都支持:
- 一个具有负载均衡方案
INTERNAL和 TCP 或 UDP 协议(但不是两者)的后端服务 - 指定为以下任一形式的后端虚拟机:
- 位于一个区域和 VPC 网络中的代管式实例组和非代管式实例组或
- 后端可用区级网络端点组 (NEG)(具有
GCE_VM_IP类型端点),位于同一区域和 VPC 网络中。NEG 中的端点必须是 NEG 所使用同一子网和可用区中的主要内部 IP 地址。
- 一条或多条转发规则,每条规则使用 TCP 或 UDP 协议,与后端服务的协议匹配
- 具有自己的唯一 IP 地址的每条转发规则或具有相同公共 IP 地址的多条转发规则
- 最多包含五个端口或所有端口的每条转发规则
- 任何地区中的客户端(如果启用了全球访问权限)
- 与负载均衡器位于同一地区的客户端(如果停用全球访问权限)
内部 TCP/UDP 负载均衡器不支持:
- 多个地区中的后端虚拟机
- 平衡源自互联网的流量(除非您将内部 TCP/UDP 负载均衡器与外部负载均衡器配合使用)
客户端访问
默认情况下,客户端必须与负载均衡器位于同一区域。客户端可以位于内部 TCP/UDP 负载均衡器所在的网络中,或者位于使用 VPC 网络对等互连连接的 VPC 网络中。您可以启用全球访问权限,允许来自任何区域的客户端访问您的内部 TCP/UDP 负载均衡器。
下表汇总了客户端访问。
| 在停用全球访问权限的情况下 | 在启用全球访问权限的情况下 |
|---|---|
| 客户端必须位于负载均衡器所在的地区中。客户端还必须位于负载均衡器所在的 VPC 网络中,或者位于使用 VPC 网络对等互连连接到负载均衡器 VPC 网络的 VPC 网络中。 | 客户端可以位于任何地区中。客户端仍必须位于负载均衡器所在的 VPC 网络中,或者位于使用 VPC 网络对等互连连接到负载均衡器 VPC 网络的 VPC 网络中。 |
| 本地客户端可通过 Cloud VPN 隧道或 VLAN 连接访问负载均衡器。这些隧道或连接必须位于负载均衡器所在的地区中。 | 本地客户端可通过 Cloud VPN 隧道或 VLAN 连接访问负载均衡器。这些隧道或连接可以位于任何地区中。 |
请求和返回数据包的 IP 地址
当后端虚拟机从客户端接收负载均衡数据包时,数据包的来源和目的地如下:
- 来源:客户端的主要内部 IP 地址,或来自其中一个客户端别名 IP 地址范围的 IP 地址。
- 目的地:负载均衡器转发规则的 IP 地址。
由于负载均衡器是直通负载均衡器(而非代理),因此数据包到达负载均衡器的转发规则的目的地 IP 地址。在后端虚拟机上运行的软件应配置为执行以下操作:
- 侦听(绑定到)负载均衡器的转发规则 IP 地址或任何 IP 地址(
0.0.0.0或::) - 如果负载均衡器转发规则的协议支持端口:侦听(绑定到)负载均衡器的转发规则中包含的端口
返回数据包直接从负载均衡器的后端虚拟机发送到客户端。返回数据包的来源 IP 地址和目的地 IP 地址取决于协议:
- TCP 面向连接,因此后端虚拟机的来源 IP 地址必须与转发规则的 IP 地址匹配,以便客户端可以将响应数据包与相应的 TCP 连接相关联。
- UDP 是无连接的,因此后端虚拟机可以发送来源 IP 地址与转发规则的 IP 地址或为虚拟机分配的任何 IP 地址相匹配的响应数据包。实际上,大多数客户端都期望响应来自作为其数据包发送目的地的同一 IP 地址。
下表总结了响应数据包的来源和目的地:
| 流量类型 | 来源 | 目的地 |
|---|---|---|
| TCP | 负载均衡器转发规则的 IP 地址 | 请求数据包的来源 |
| UDP | 对于大多数用例,负载均衡器转发规则的 IP 地址 † | 请求数据包的来源 |
† 可以将响应数据包的来源设置为虚拟机 NIC 的主要内部 IPv4 地址或者别名 IP 地址范围。如果虚拟机启用了 IP 转发,则还可以使用任意 IP 地址来源。不使用转发规则的 IP 地址作为来源属于一种高级方案,因为客户端从内部 IP 地址接收到响应数据包,而该内部 IP 地址与发送请求数据包的 IP 地址不匹配。
架构
具有多个后端的内部 TCP/UDP 负载均衡器会在所有这些后端之间分配连接。如需了解分配方法及其配置选项,请参阅流量分配。
您可以将实例组或可用区级 NEG 用作内部 TCP/UDP 负载均衡器的后端,但不能将实例组或可用区级 NEG 组合使用:
- 如果您选择实例组,则可以使用非代管式实例组、代管式可用区级实例组、代管式区域级实例组或这些实例组类型的组合。
- 如果选择可用区级 NEG,就必须使用
GCE_VM_IP可用区级 NEG。
高可用性描述了如何设计不依赖于单个区域的内部负载均衡器。
作为内部 TCP/UDP 负载均衡器的后端虚拟机参与的实例必须运行相应的 Linux 客机环境、Windows 客机环境或提供同等功能的其他进程。此客机环境必须能够联系元数据服务器(metadata.google.internal,169.254.169.254)以读取实例元数据,以便生成本地路由以接受发送到负载均衡器内部 IP 地址的流量。
此图说明了两个单独的实例组中的虚拟机之间的流量分配情况。从客户端实例发送到负载均衡器 IP 地址 (10.10.10.9) 的流量在任一实例组中的后端虚拟机之间分配。从任意服务后端虚拟机发送的响应直接传送到客户端虚拟机。
您可以将内部 TCP/UDP 负载均衡与自定义模式或自动模式 VPC 网络结合使用。您还可以使用现有的旧式网络创建内部 TCP/UDP 负载均衡器。
内部 TCP/UDP 负载均衡器由以下 Google Cloud 组件组成。
| 组件 | 用途 | 要求 |
|---|---|---|
| 内部 IP 地址 | 这是负载均衡器的地址。 | 内部 IP 地址必须与内部转发规则位于同一子网内。子网必须位于后端服务所在的地区和 VPC 网络中。 |
| 内部转发规则 | 内部转发规则与内部 IP 地址结合后即为负载均衡器的前端。它定义负载均衡器接受的协议和端口,并将流量定向到地区内部后端服务。 | 内部 TCP/UDP 负载均衡器的转发规则必须满足以下条件: • 具有 load-balancing-scheme 类型的 INTERNAL。• 使用的 ip-protocol 为 TCP 或 UDP,其与后端服务的 protocol 匹配。• 引用的 subnet 位于后端服务所在的 VPC 网络和地区中。 |
| 地区内部后端服务 | 区域级内部后端服务定义与后端通信所采用的协议,并指定健康检查。后端可以是非代管式实例组、代管式可用区级实例组、代管式区域级实例组或包含 GCE_VM_IP 端点的可用区级 NEG。 |
后端服务必须满足以下条件: • 具有 INTERNAL 类型的 load-balancing-scheme。• 使用的 protocol 为 TCP 或 UDP,其与转发规则的 ip-protocol 匹配。• 进行相关的健康检查。 • 拥有关联的地区。转发规则和所有后端必须与后端服务位于同一区域 • 与单个 VPC 网络相关联。如果未指定,则系统将根据每个后端虚拟机的默认网络接口 ( nic0) 所使用的网络来推断网络。尽管后端服务未绑定到特定子网,但转发规则的子网必须位于后端服务所在的 VPC 网络中。 |
| 健康检查 | 每个后端服务都必须进行相关的健康检查。健康检查会定义参数,Google Cloud 根据这些参数确定其所管理的后端是否能够接收流量。只有健康的后端虚拟机才能接收从客户端虚拟机发送到负载均衡器 IP 地址的流量。 |
即使转发规则和后端服务可以使用 TCP 或 UDP,Google Cloud 也不会对 UDP 流量进行健康检查。如需了解详情,请参阅健康检查和 UDP 流量。 |
内部 IP 地址
内部 TCP/UDP 负载均衡使用您创建内部转发规则时所选的子网的主要 IP 地址范围中的内部 IPv4 地址。该 IP 地址不能在子网的次要 IP 地址范围中。
您可以在创建转发规则时指定内部 TCP/UDP 负载均衡器的 IP 地址。您可以选择接收临时 IP 地址或使用预留的 IP 地址。
防火墙规则
您的内部 TCP/UDP 负载均衡器需要以下防火墙规则:
- 允许来自健康检查范围的流量的入站流量允许规则
- 允许来自客户端内部 IP 地址的流量的入站流量允许规则
配置防火墙规则中的示例演示了如何创建这两者。
转发规则
转发规则指定负载均衡器用于接受流量的协议和端口。由于内部 TCP/UDP 负载均衡器不是代理,因此它们会将流量传递到使用相同协议和端口的后端。
内部 TCP/UDP 负载均衡器至少需要一个内部转发规则。您可以为同一负载均衡器定义多个转发规则。
转发规则必须引用负载均衡器后端组件所在的 VPC 网络和地区中的特定子网。此要求具有以下含义:
- 您为转发规则指定的子网不必与后端虚拟机使用的任何子网相同;但是,子网必须位于转发规则所在的地区中。
- 当您创建内部转发规则时,Google Cloud 会从所选子网的主要 IP 地址范围中选择一个可用的地区内部 IP 地址。或者,您也可以指定子网的主要 IP 地址范围中的内部 IP 地址。
转发规则和全球访问权限
即使启用了全球访问权限,内部 TCP/UDP 负载均衡器的转发规则也是地区规则。启用全球访问权限后,地区内部转发规则的 allowGlobalAccess 标志设为 true。
转发规则和端口指定
在创建内部转发规则时,您必须选择以下端口规范之一:
- 按编号指定 1-5 个端口。
- 指定
ALL以转发所有端口上的流量。
一个支持所有 TCP 端口或所有 UDP 端口的内部转发规则允许后端虚拟机在各自的端口上运行多个应用。发送到给定端口的流量会传送到相应的应用,并且所有应用都使用同一 IP 地址。
如果您需要转发超过五个特定端口的流量,请将防火墙规则和转发规则结合使用。创建转发规则时,请指定所有端口,然后创建仅允许流量进入所需端口的入站 allow 防火墙规则。将防火墙规则应用于后端虚拟机。
转发规则在创建后无法修改。如果您需要更改内部转发规则的指定端口或内部 IP 地址,则必须删除并重建转发规则。
单个后端服务的多个转发规则
您可以配置多个内部转发规则,这些规则全部引用相同的内部后端服务。内部 TCP/UDP 负载均衡器至少需要一个内部转发规则。
通过使用同一后端服务配置多个转发规则,您可以使用 TCP 或 UDP 执行以下操作(不能同时使用):
为负载均衡器分配多个 IP 地址。您可以创建多条转发规则,每条转发规则使用唯一的 IP 地址。每条转发规则可以指定所有端口或一组最多五个端口。
将一组使用同一 IP 地址的特定端口分配给负载均衡器。您可以创建多个共享相同 IP 地址的转发规则,其中每个转发规则使用一组最多 5 个端口。这是配置指定所有端口的单个转发规则的替代方案。
如需详细了解涉及两个共享内部 IP 地址的两条或多条内部转发规则的场景,请参阅具有相同 IP 地址的多条转发规则。
使用多条内部转发规则时,请务必将在后端虚拟机上运行的软件配置为绑定到所有转发规则 IP 地址或任何地址 (0.0.0.0/0)。通过负载均衡器传送的数据包的目的地 IP 地址是与相应内部转发规则关联的内部 IP 地址。如需了解详情,请参阅 TCP 和 UDP 请求与返回数据包。
后端服务
每个内部 TCP/UDP 负载平衡器都有一个用于定义后端参数和行为的地区内部后端服务。后端服务的名称是 Google Cloud Console 中显示的内部 TCP/UDP 负载均衡器的名称。
每个后端服务会定义以下后端参数:
协议。后端服务接受由一条或多条内部转发规则指定的端口上的 TCP 或 UDP 流量(但不同时接受两者)。后端服务允许将流量传送到流量所发往的相同端口上的后端虚拟机。后端服务协议必须与转发规则的协议匹配。
健康检查。后端服务都必须进行相关的健康检查。
每个后端服务都在单个地区内运行,并为单个 VPC 网络中的后端虚拟机分配流量:
区域性。后端是实例组或可用区级 NEG(具有
GCE_VM_IP端点)位于后端服务(和转发规则)所在的区域。实例组后端可以是非代管式实例组、可用区级代管式实例组或区域级代管式实例组。可用区级 NEG 后端只能使用GCE_VM_IP端点。VPC 网络。所有后端虚拟机在 VPC 网络中都必须具有一个与后端服务关联的网络接口。您可以明确指定后端服务的网络或使用隐式网络。在任一情况下,每个内部转发规则的子网都必须位于后端服务 VPC 网络所在的子网中。
后端服务和网络接口
每个后端服务都在单个 VPC 网络和 Google Cloud 地区运行。VPC 网络可以是隐式网络,也可以在 gcloud compute
backend-services create 命令中使用 --network 标志来明确指定。
如果明确指定,则后端服务的 VPC --network 标志用于识别实现流量负载均衡的每个后端虚拟机上的网络接口。每个后端虚拟机在指定的 VPC 网络中都必须具有一个网络接口。在这种情况下,每个后端虚拟机上的网络接口标识符(nic0 到 nic7)可以不同。根据后端类型,需要考虑以下几点:
实例组后端:
- 如果同一非代管实例组中的不同后端虚拟机在指定的 VPC 网络中都具有一个接口,则每个后端虚拟机可能使用不同的接口标识符。
- 所有后端实例组的接口标识符不必相同:一个后端实例组中的后端虚拟机可能为
nic0,而另一个后端实例组中的后端虚拟机可能为nic2。
可用区级 NEG 后端:
- 同一
GCE_VM_IP可用区级 NEG 中的不同端点可能使用不同的接口标识符。 - 如果在向地区 NEG 添加端点时同时指定了虚拟机名称和 IP 地址,则 Google Cloud 会验证端点是否为位于 NEG 的选定 VPC 网络中的虚拟机 NIC 的主要内部 IP 地址。如果验证失败,则系统会显示错误消息,指示端点与 NEG 网络中虚拟机 NIC 的主要 IP 地址不匹配。
- 如果在向可用区级 NEG 添加端点时未指定 IP 地址,Google Cloud 会在 NEG 的选定 VPC 网络中选择 NIC 的主要内部 IP 地址。
- 同一
如果您在创建后端服务时未添加 --network 标志,则后端服务会通过以下方式选择网络:
实例组后端:
- 后端服务根据所有后端虚拟机使用的初始(或唯一)网络接口的网络选择网络。这意味着
nic0必须与所有后端实例组中的所有虚拟机位于同一个 VPC 网络中。
- 后端服务根据所有后端虚拟机使用的初始(或唯一)网络接口的网络选择网络。这意味着
可用区级 NEG 后端:
- 如果后端服务与转发规则关联,则选择转发规则的网络。
- 如果没有转发规则,则系统会选择关联的区域 NEG 的网络。所有 NEG 必须引用同一网络。
后端和 VPC 网络
所有后端都必须位于同一 VPC 网络和区域中。不支持将后端置于不同的 VPC 网络中,即使是使用 VPC 网络对等互连连接的后端也是如此。如需详细了解客户端系统如何访问负载均衡器,请参阅内部 TCP/UDP 负载均衡和连接的网络。
后端子集
后端子集化是一项可选功能,通过限制流量分配到的后端数量来提高性能。
当单个负载平衡器需要支持超过 250 个后端虚拟机时,才需要启用子集。 如需了解详情,请参阅内部 TCP/UDP 负载均衡器的后端子集化。
健康检查
负载均衡器的后端服务必须与全球或地区健康检查相关联。VPC 网络之外的特殊路由可以促进健康检查系统与后端之间的通信。
您可以使用现有健康检查,也可以定义新的健康检查。内部 TCP/UDP 负载均衡器使用健康检查状态来确定如何路由新的连接,如流量分配中所述。
您可以使用以下任何健康检查协议;健康检查的协议不必与负载均衡器的协议匹配:
- HTTP、HTTPS 或 HTTP/2。如果您的后端虚拟机使用 HTTP、HTTPS 或 HTTP/2 来处理流量,则最好使用与该协议匹配的健康检查,因为基于 HTTP 的健康检查提供了适用于该协议的选项。通过内部 TCP/UDP 负载均衡器处理 HTTP 类型的流量意味着负载均衡器的协议为 TCP。
- SSL 或 TCP。如果您的后端虚拟机不处理 HTTP 类型的流量,则应使用 SSL 或 TCP 健康检查。
无论您创建何种类型的健康检查,Google Cloud 都会向内部 TCP/UDP 负载均衡器转发规则的 IP 地址发送健康检查探测,发送到负载均衡器的后端服务选择的 VPC 网络中的网络接口。这模拟了负载平衡流量的传送方式。在后端虚拟机上运行的软件必须同时响应发送到每个转发规则 IP 地址的负载均衡流量和健康检查探测(该软件必须侦听 0.0.0.0:<port> 而不是分配给网络接口的特定 IP 地址)。如需了解详情,请参阅探测数据包的目标。
健康检查和 UDP 流量
Google Cloud 不提供使用 UDP 协议的健康检查。当您对 UDP 流量使用内部 TCP/UDP 负载均衡时,必须在后端虚拟机上运行基于 TCP 的服务,以提供健康检查信息。
在此配置中,客户端请求使用 UDP 协议进行负载均衡,而 TCP 服务用于向 Google Cloud 健康检查探测器提供信息。例如,您可以在每个后端虚拟机上运行一个向 Google Cloud 返回 HTTP 200 响应的简单 HTTP 服务器。在此示例中,您应该使用在后端虚拟机上运行的专属逻辑来确保仅当 UDP 服务已正确配置并运行时,HTTP 服务器才会返回 200。
高可用性架构
内部 TCP/UDP 负载均衡器具有源于设计的高可用性。无需采用特殊步骤即可使负载均衡器具有高可用性,因为该机制不依赖于单个设备或虚拟机实例。
如需确保将后端虚拟机实例部署到多个区域,请遵循以下部署建议:
如果您可以使用实例模板来部署软件,请使用区域代管式实例组。区域代管式实例组可自动在多个可用区之间分配流量,提供最佳选择以避免在任何给定可用区发生潜在问题。
如果您使用区域代管实例组或非代管实例组,请对同一后端服务使用(在同一地区内)不同区域中的多个实例组。使用多个区域可防止在任何给定区域出现潜在问题。
共享 VPC 架构
下表总结了与共享 VPC 网络一起使用的内部 TCP/UDP 负载均衡的组件要求。如需查看示例,请参阅在配置共享 VPC 页面上创建内部 TCP/UDP 负载均衡器。
| IP 地址 | 转发规则 | 后端组件 |
|---|---|---|
| 必须在后端虚拟机所在的项目中定义内部 IP 地址。 对于共享 VPC 网络中将要提供的负载均衡器,您必须在后端虚拟机所在的同一个服务项目中定义 Google Cloud 内部 IP 地址,并且该对象必须引用宿主项目中所需的共享 VPC 网络的子网。地址本身来自所引用子网的主要 IP 地址范围。 如果您在服务项目中创建内部 IP 地址,并且 IP 地址子网位于服务项目的 VPC 网络中,则内部 TCP/UDP 负载均衡器是服务项目的本地地址。它不在任何共享 VPC 宿主项目本地。 |
必须在后端虚拟机所在的项目中定义内部转发规则。 对于共享 VPC 网络中将要提供的负载均衡器,您必须在后端虚拟机所在的同一个服务项目中定义内部转发规则,并且该规则必须引用关联的内部 IP 地址所引用的同一个子网(位于共享 VPC 网络中)。 如果您在服务项目中创建内部转发规则,并且转发规则的子网位于服务项目的 VPC 网络中,则内部 TCP/UDP 负载均衡器是服务项目的本地地址。它不在任何共享 VPC 宿主项目本地。 |
在共享 VPC 情景中,后端虚拟机位于服务项目中。您必须在该服务项目中定义地区内部后端服务和健康检查。 |
流量分配
内部 TCP/UDP 负载均衡器分配新连接的方式取决于您是否配置了故障切换:
如果您尚未配置故障切换,并且至少有一个后端虚拟机健康,则内部 TCP/UDP 负载均衡器会为其健康的后端虚拟机分配新连接。当所有后端虚拟机均不健康时,作为最后的补救手段,负载均衡器会在所有后端之间分配新连接。在这种情况下,负载均衡器会将每个新连接路由到不健康的后端虚拟机。
如果已配置故障切换,内部 TCP/UDP 负载均衡器会根据所配置的故障切换政策在其活跃池中的虚拟机之间分配新连接。当所有后端虚拟机都不健康时,您可以从以下行为中选择一个:
分配新连接的方法取决于负载均衡器的会话亲和性设置。
健康检查状态控制新连接的分配。默认情况下,TCP 连接保留在不健康的后端上。如需了解详情以及如何更改此行为,请参阅不健康的后端上的连接持久性。
后端选择和连接跟踪
内部 TCP/UDP 负载均衡使用可配置的后端选择和连接跟踪算法来确定如何将流量分配到后端虚拟机。内部 TCP/UDP 负载均衡使用以下算法在后端虚拟机之间(如果已配置故障切换,则在其活跃池中)分配数据包:
- 如果负载均衡器的连接跟踪表中包含一个与传入数据包的特征匹配的条目,则该数据包会发送到由该连接跟踪表条目指定的后端。该数据包被视为之前建立的连接的一部分,因此数据包会发送到负载均衡器之前确定并记录在其连接跟踪表中的后端虚拟机。
当负载均衡器收到没有对应的连接跟踪条目的数据包时,负载均衡器会执行以下操作:
负载均衡器选择一个后端。负载均衡器根据配置的会话亲和性计算哈希值。它使用此哈希来选择一个后端:
- 如果至少有一个后端健康,则该哈希会选择其中一个健康的后端。
- 如果所有后端都不健康,并且未配置故障切换政策,则哈希会选择其中一个后端。
- 如果所有后端都不健康,但配置了故障切换政策,并且故障切换政策未配置为在这种情况下丢弃流量,则哈希会选择一个主要虚拟机后端。
默认会话亲和性
NONE使用数据包的来源 IP 地址、来源端口、目的地 IP 地址、目的地端口和协议的 5 元组哈希。您可以通过使用较少信息的哈希算法自定义后端选择。如需查看所有受支持的选项,请参阅会话亲和性选项。
负载均衡器向其连接跟踪表中添加一个条目。此条目记录了所选数据包连接的后端,以便来自此连接的所有未来数据包都发送到同一后端。是否使用连接跟踪取决于协议:
对于 TCP 和 UDP 数据包,连接跟踪始终处于启用状态且无法关闭。默认情况下,连接跟踪为 5 元组,但也可以将其配置为小于 5 元组。
当连接跟踪哈希为 5 元组时,TCP SYN 数据包始终会在连接跟踪表中创建一个新条目。
在以下情况下,使用默认的 5 元组连接跟踪:- 跟踪模式为
PER_CONNECTION(所有会话亲和性),或 - 跟踪模式为
PER_SESSION且会话亲和性为NONE,或 - 跟踪模式为
PER_SESSION且会话亲和性为CLIENT_IP_PORT_PROTO。
如需详细了解启用连接跟踪的时间以及启用连接跟踪时使用的跟踪方法,请参阅连接跟踪模式。
此外,请注意以下事项:
- 默认情况下,连接跟踪表中的条目在负载均衡器处理最后一个与条目匹配的数据包后 600 秒,连接跟踪表中的条目会过期。如需详细了解如何自定义空闲超时,请参阅空闲超时。
- 根据协议,负载均衡器可能会在后端不健康时移除连接跟踪表条目。如需了解详情以及如何自定义此行为,请参阅不健康的后端上的连接持久性。
- 跟踪模式为
会话亲和性选项
会话亲和性控制从客户端到负载均衡器的后端虚拟机的新连接分配。当您的后端虚拟机需要跟踪其客户端的状态信息时,您可以设置会话亲和性。这是 Web 应用的常见要求。
会话亲和性以尽力而为的方式工作。
内部 TCP/UDP 负载均衡器支持您为整个内部后端服务(而非每个后端实例组)指定的以下会话亲和性选项。
- 无 (
NONE)。来源 IP 地址、来源端口、协议、目的地 IP 地址和目的地端口的 5 元组哈希 - 客户端 IP,无目的地 (
CLIENT_IP_NO_DESTINATION)。仅从来源 IP 地址创建的 1 元组哈希。 - 客户端 IP (
CLIENT_IP)。来源 IP 地址和目的地 IP 地址的 2 元组哈希。网络负载均衡调用此会话亲和性选项客户端 IP、目的地 IP。 - 客户端 IP、目的地 IP、协议 (
CLIENT_IP_PROTO)。来源 IP 地址、目的地 IP 地址和协议的 3 元组哈希 - 客户端 IP、客户端端口、目的地 IP、目的地端口、协议 (
CLIENT_IP_PORT_PROTO)。来源 IP 地址、来源端口、协议、目的地 IP 地址和目的地端口的 5 元组哈希
除非将负载均衡器用作自定义静态路由的下一个跃点,否则数据包的目的地 IP 地址必须与负载均衡器转发规则的 IP 地址匹配才能将数据包发送到负载均衡器。如需了解将负载均衡器用作自定义静态路由的下一个跃点时的注意事项,请参阅会话亲和性和下一个跃点内部 TCP/UDP 负载均衡器。
会话粘性和下一个跃点内部 TCP/UDP 负载平衡器
将内部 TCP/UDP 负载均衡器用作自定义静态路由的下一个跃点时,数据包的目的地很可能不是负载均衡器的转发规则的 IP 地址。
如果数据包的目的地在自定义静态路由的目的地范围内,并且自定义静态路由是适用的路由,则数据包会被发送到负载均衡器。
所有会话亲和性选项(“客户端 IP,无目的地”除外)都使用数据包的目的地 IP 地址。使用下一个跃点是内部 TCP/UDP 负载均衡器的自定义静态路由时:
如果负载均衡器只有一个后端(如果您配置了故障切换,则为其活跃池),所有会话亲和性选项都会选择该后端。如果只有一个后端(在活跃池中),会话亲和性选择没有区别。
如果负载均衡器有多个后端(如果您配置了故障切换,则在其活跃池中),并且您选择任何会话亲和性选项(“客户端 IP,无目的地”除外),无法保证从同一客户端发送到路由的目的地中的任何 IP 地址的数据包都由同一后端处理。这是因为会话亲和性哈希是根据包含数据包目的地 IP 地址的信息计算的,该地址可以是路由的目的地范围中的任何地址。
如果您需要保证同一后端处理从同一客户端发送到路由目的地内任何 IP 地址的所有数据包,则必须使用“客户端 IP,无目的地”会话亲和性选项。
连接跟踪模式
跟踪模式指定要使用的连接跟踪算法。跟踪模式有两种:PER_CONNECTION(默认)和 PER_SESSION。
PER_CONNECTION(默认值)。在此模式下,无论会话亲和性设置如何,系统始终会按照每个 5 元组来跟踪 TCP 和 UDP 流量。这意味着用于连接跟踪(5 元组)的键可能与配置的会话亲和性设置(例如,具有CLIENT_IP_PROTO设置的 3 元组)不同。因此,会话亲和性可能会被拆分,并且如果一组后端或其健康状况发生更改,会话的新连接可能会选择其他后端。PER_SESSION。在此模式下,将会根据配置的会话亲和性对 TCP 和 UDP 流量进行跟踪。也就是说,如果会话亲和性为CLIENT_IP或CLIENT_IP_PROTO,则配置此模式会分别生成 2 元组和 3 元组连接跟踪。这在破坏亲和性开销很大并且在添加更多后端之后甚至应该避免破坏亲和性的情况下是可取的。
如果会话亲和性设置为 NONE 或 CLIENT_IP_PORT_PROTO,则连接跟踪模式设置是多余的。如需了解这些跟踪模式如何与每个协议的不同会话亲和性设置结合使用,请参阅下表。
| 后端选择 | 连接跟踪模式 | ||
|---|---|---|---|
| 会话亲和性设置 | 用于选择后端的哈希方法 | PER_CONNECTION(默认) |
PER_SESSION |
| 默认:无会话亲和性
|
5 元组哈希 | 5 元组连接跟踪 | 5 元组连接跟踪 |
客户端 IP,无目的地
|
1 元组哈希 | 5 元组连接跟踪 | 1 元组连接跟踪 |
客户端 IP
(与用于网络负载均衡的客户端 IP 和目的地 IP 相同) |
2 元组哈希 | 5 元组连接跟踪 | 2 元组连接跟踪 |
客户端 IP、目的地 IP、协议
|
3 元组哈希 | 5 元组连接跟踪 | 3 元组连接跟踪 |
客户端 IP、客户端端口、目的地 IP、目的地端口、协议
|
5 元组哈希 | 5 元组连接跟踪 | 5 元组连接跟踪 |
如需了解如何更改连接跟踪模式,请参阅配置连接跟踪政策。
不健康的后端的连接持久性
不健康的后端设置上的连接持久性用于控制所选后端上的现有连接在后端变得不健康之后(只要该后端保留在负载均衡器的已配置后端实例组中)是否仍存在。
本部分介绍的行为不适用于从实例组中移除后端虚拟机或从后端服务中移除实例组的情况。在这种情况下,已建立的连接仅会按启用连接排空中所述持续存在。
以下连接持久性选项可用:
DEFAULT_FOR_PROTOCOL(默认)NEVER_PERSISTALWAYS_PERSIST
下表总结了连接持久性选项,以及连接针对不同协议、会话亲和性选项和跟踪模式的持久程度。
| 不健康的后端上的连接持久性选项 | 连接跟踪模式 | |
|---|---|---|
PER_CONNECTION |
PER_SESSION |
|
DEFAULT_FOR_PROTOCOL |
TCP:连接持续存在于不健康的后端上(所有会话亲和性) UDP:连接永远不会在不健康的后端上持续存在 |
TCP:如果会话亲和性为 UDP:连接永远不会在不健康的后端上持续存在 |
NEVER_PERSIST |
TCP、UDP:连接永远不会在不健康的后端上持续存在 | |
ALWAYS_PERSIST
|
TCP:连接在不健康的后端上持续存在(所有会话亲和性) 此选项应仅用于高级使用场景。 |
无法进行配置 |
如需了解如何更改连接持久性行为,请参阅配置连接跟踪政策。
空闲超时
默认情况下,连接跟踪表中的条目在负载均衡器处理最后一个与条目匹配的数据包后 600 秒,连接跟踪表中的条目会过期。只有在连接跟踪小于 5 元组(即会话亲和性配置为 CLIENT_IP 或 CLIENT_IP_PROTO,并且跟踪模式为 PER_SESSION)时,才能修改此默认空闲超时值。
最大可配置空闲超时值为 57600 秒(16 小时)。
如需了解如何更改空闲超时值,请参阅配置连接跟踪政策。
测试来自单个客户端的连接
在测试从单个客户端系统到内部 TCP/UDP 负载均衡器的 IP 地址的连接时,请注意以下几点:
如果该客户端系统不是进行负载均衡的虚拟机(即非后端虚拟机),则新连接会传送到负载均衡器的健康的后端虚拟机。但是,由于所有会话亲和性选项至少会依赖客户端系统的 IP 地址,因此来自同一客户端的连接可能会以超出预期的频率分配到同一个后端虚拟机。
实际上,这意味着您无法通过从单个客户端连接到内部 TCP/UDP 负载均衡器来准确监控流量的分配情况。监控流量分配所需的客户端数量因负载均衡器类型、流量类型和健康的后端数量而异。
如果客户端虚拟机是负载均衡器的后端虚拟机,则发送到负载均衡器转发规则的 IP 地址的连接始终由客户端/后端虚拟机应答。无论后端虚拟机是否健康,都会发生这种情况。发送到负载均衡器 IP 地址的所有流量都会发生这种情况,而不仅仅是负载均衡器内部转发规则中指定的协议和端口上的流量。
如需了解详情,请参阅从负载均衡虚拟机发送请求。
UDP 分段
内部 TCP/UDP 负载均衡器可以处理分段和未分段的 UDP 数据包。如果您的应用使用分段的 UDP 数据包,请注意以下几点:- UDP 数据包在到达 Google Cloud VPC 网络之前可能会被分段。
- Google Cloud VPC 网络会在 UDP 分段到达时进行转发(无需等待所有分段到达)。
- 非 Google Cloud 网络和本地网络设备可以在收到 UDP 片段时进行转发,将经过分段的 UDP 数据包延迟到所有片段到达,或舍弃经过分段的 UDP 数据包。 如需了解详情,请参阅网络提供商或网络设备的文档。
如果您预期会对 UDP 数据包进行分段并需要将其路由到相同的后端,请使用以下转发规则和后端服务配置参数:
转发规则配置:每个负载平衡的 IP 地址只使用一个
UDP转发规则,并将转发规则配置为接受所有端口的流量。这确保了所有数据段到达相同的转发规则。即使分段的数据包(第一个数据段除外)缺少目标端口,但在配置转发规则以处理所有端口的流量时,也会将其配置为接收没有端口信息的 UDP 数据段。如需配置所有端口,请使用 Google Cloud CLI 设置--ports=ALL,或使用 API 将allPorts设置为True。后端服务配置:将后端服务的会话亲和性设置为
CLIENT_IP(2 元组哈希)或CLIENT_IP_PROTO(3 元组哈希),以便为包含端口信息的 UDP 数据包和缺少端口信息的 UDP 数据段(第一个数据段除外)选择同一后端。将后端服务的连接跟踪模式设置为PER_SESSION,以便使用相同的 2 元组或 3 元组哈希构建连接跟踪表条目。
故障切换
内部 TCP/UDP 负载均衡可让您将某些后端指定为故障切换后端。只有当主要后端实例组中健康的虚拟机数量低于可配置阈值时,才会使用这些后端。默认情况下,如果所有主要虚拟机和故障切换虚拟机都不健康,作为最后的补救手段,Google Cloud 会仅在所有主要虚拟机之间分配新连接。
向内部 TCP/UDP 负载均衡器的后端服务添加后端时,默认情况下该后端是主要后端。您可以在将某个后端添加到负载均衡器的后端服务时将其指定为故障切换后端,或者在以后通过修改后端服务将该后端指定为故障切换后端。
如需了解内部 TCP/UDP 负载均衡中的故障切换的概念概览,请参阅内部 TCP/UDP 负载均衡的故障切换概览。
配额和限制
如需了解配额和限制,请参阅负载均衡资源配额和限制。
后续步骤
- 如需配置和测试内部 TCP/UDP 负载均衡器,请参阅设置内部 TCP/UDP 负载均衡。
- 如需为内部 TCP/UDP 负载均衡配置 Cloud Monitoring,请参阅内部 TCP/UDP 负载均衡监控。
- 如需排查内部 TCP/UDP 负载均衡器的问题,请参阅内部 TCP/UDP 负载均衡问题排查。