Load Balancer Aplikasi Internal dan jaringan yang terhubung

Halaman ini menjelaskan skenario untuk mengakses load balancer internal di jaringan Virtual Private Cloud (VPC) Anda dari jaringan yang terhubung. Sebelum meninjau informasi di halaman ini, Anda harus sudah memahami konsep dalam panduan berikut:

Menggunakan Peering Jaringan VPC

Saat Anda menggunakan Peering Jaringan VPC untuk menghubungkan jaringan VPC Anda ke jaringan lain, Google Cloud membagikan rute subnet antarjaringan. Rute subnet memungkinkan traffic dari jaringan peer mencapai load balancer internal di jaringan Anda. Akses akan diizinkan jika hal berikut terpenuhi:

  • Anda membuat aturan firewall masuk untuk mengizinkan traffic dari VM klien di jaringan peer. Aturan firewall Google Cloud tidak dibagikan antarjaringan saat menggunakan Peering Jaringan VPC.
  • Untuk Load Balancer Aplikasi internal regional, instance virtual machine (VM) klien di jaringan peer harus berada di region yang sama dengan load balancer internal Anda. Pembatasan ini akan diabaikan jika Anda mengonfigurasi akses global.

Anda tidak dapat secara selektif hanya membagikan beberapa Load Balancer Jaringan passthrough internal, Load Balancer Jaringan proxy internal regional, atau Load Balancer Aplikasi internal menggunakan Peering Jaringan VPC. Semua load balancer internal dibagikan secara otomatis. Anda dapat membatasi akses ke backend load balancer dengan mengonfigurasi endpoint atau VM backend untuk mengontrol akses menggunakan header HTTP (misalnya, X-Forwarded-For).

Menggunakan Cloud VPN dan Cloud Interconnect

Anda dapat mengakses load balancer internal dari jaringan peer yang terhubung melalui tunnel Cloud VPN atau lampiran VLAN untuk koneksi Dedicated Interconnect atau Partner Interconnect. Jaringan peer dapat berupa jaringan lokal, jaringan VPC Google Cloud lainnya, atau jaringan virtual yang dihosting oleh penyedia cloud lain.

Akses melalui tunnel Cloud VPN

Anda dapat mengakses load balancer internal melalui tunnel Cloud VPN saat semua kondisi berikut terpenuhi.

Di jaringan load balancer internal

  • Gateway dan tunnel Cloud VPN harus berada di region yang sama dengan load balancer saat akses global dinonaktifkan. Jika akses global diaktifkan pada aturan penerusan load balancer, pembatasan ini akan diabaikan.
  • Rute harus menyediakan jalur respons dari sistem proxy kembali ke jaringan pembanding atau lokal tempat klien berada. Jika Anda menggunakan tunnel Cloud VPN dengan perutean dinamis, pertimbangkan mode perutean dinamis pada jaringan Cloud VPN load balancer. Mode pemilihan rute dinamis menentukan rute dinamis kustom yang tersedia untuk di-proxy-kan di subnet khusus proxy.

Di jaringan peer

Jaringan peer harus memiliki minimal satu tunnel Cloud VPN dengan rute ke subnet tempat load balancer internal ditentukan.

Jika jaringan peer adalah jaringan VPC Google Cloud lainnya:

  • Gateway dan tunnel Cloud VPN jaringan peer dapat ditempatkan di region mana pun.

  • Untuk tunnel Cloud VPN yang menggunakan perutean dinamis, mode perutean dinamis dari jaringan VPC menentukan rute yang tersedia untuk klien di setiap region. Untuk memberikan serangkaian rute dinamis kustom yang konsisten kepada klien di semua region, gunakan mode perutean dinamis global.

  • Pastikan firewall jaringan lokal atau peer mengizinkan paket yang dikirim ke alamat IP aturan penerusan load balancer. Pastikan firewall jaringan lokal atau peer mengizinkan paket respons yang diterima dari alamat IP aturan penerusan load balancer.

Diagram berikut menyoroti konsep utama saat mengakses load balancer internal melalui gateway Cloud VPN dan tunnel terkaitnya. Cloud VPN menghubungkan jaringan lokal Anda ke jaringan VPC Google Cloud dengan aman menggunakan tunnel Cloud VPN.

Load balancing internal dan Cloud VPN.
Load balancing internal dan Cloud VPN (klik untuk memperbesar).

Perhatikan elemen konfigurasi berikut yang terkait dengan contoh ini:

  • Di lb-network, tunnel Cloud VPN yang menggunakan perutean dinamis telah dikonfigurasi. Tunnel VPN, gateway, dan Cloud Router semuanya berada di REGION_A, region yang sama tempat komponen load balancer internal berada.
  • Aturan firewall mengizinkan firewall masuk telah dikonfigurasi untuk diterapkan ke VM backend dalam grup instance A dan B sehingga dapat menerima traffic dari alamat IP di jaringan VPC serta dari jaringan lokal, 10.1.2.0/24 dan 192.168.1.0/24. Tidak ada aturan firewall penolakan traffic keluar yang dibuat, sehingga aturan izinkan traffic keluar yang tersirat berlaku.
  • Paket yang dikirim dari klien di jaringan lokal, termasuk dari 192.168.1.0/24, ke alamat IP load balancer internal, 10.1.2.99, dikirim langsung ke VM backend yang responsif, seperti vm-a2, sesuai dengan afinitas sesi yang dikonfigurasi.
  • Balasan yang dikirim dari VM backend (seperti vm-a2) dikirimkan melalui tunnel VPN ke klien lokal.

Untuk memecahkan masalah Cloud VPN, lihat Pemecahan masalah Cloud VPN.

Akses melalui Cloud Interconnect

Anda dapat mengakses load balancer internal dari jaringan peer lokal yang terhubung ke jaringan VPC load balancer jika semua kondisi berikut terpenuhi di jaringan load balancer internal:

  • Lampiran VLAN dan Cloud Router harus berada di region yang sama dengan load balancer saat akses global dinonaktifkan. Jika akses global diaktifkan pada aturan penerusan load balancer, pembatasan ini akan diabaikan.

  • Router lokal harus menyediakan jalur respons dari backend load balancer ke jaringan lokal. Lampiran VLAN untuk Dedicated Interconnect dan Partner Interconnect harus menggunakan Cloud Router, sehingga rute dinamis kustom menyediakan jalur respons. Kumpulan rute dinamis kustom yang dipelajari bergantung pada mode perutean dinamis dari jaringan load balancer.

  • Pastikan firewall lokal mengizinkan paket yang dikirim ke alamat IP aturan penerusan load balancer. Pastikan firewall lokal mengizinkan paket respons yang diterima dari alamat IP aturan penerusan load balancer.

Menggunakan akses global dengan Cloud VPN dan Cloud Interconnect

Secara default, klien harus berada di jaringan yang sama atau berada di jaringan VPC yang terhubung menggunakan Peering Jaringan VPC. Anda dapat mengaktifkan akses global agar klien dari region mana pun dapat mengakses load balancer Anda.

Saat Anda mengaktifkan akses global, resource berikut dapat berada di region mana pun:
  • Router Cloud
  • Gateway dan tunnel VPN Cloud
  • Lampiran VLAN

Dalam diagram:

  • Frontend dan backend load balancer berada di region REGION_A.
  • Cloud Router berada di region REGION_B.
  • Cloud Router melakukan peering dengan router VPN lokal.
  • Sesi peering Border Gateway Protocol (BGP) dapat dilakukan melalui Cloud VPN atau Cloud Interconnect dengan Peering Langsung atau Partner Interconnect.
Load balancing internal dengan akses global.
Load balancing internal dengan akses global (klik untuk memperbesar).

Mode perutean dinamis jaringan VPC ditetapkan ke global untuk mengaktifkan Cloud Router di REGION_B agar dapat mengiklankan rute subnet untuk subnet di region mana pun pada jaringan VPC load balancer.

Beberapa jalur keluar

Di lingkungan produksi, Anda harus menggunakan beberapa tunnel Cloud VPN atau lampiran VLAN untuk redundansi. Bagian ini membahas persyaratan saat menggunakan beberapa tunnel atau lampiran VLAN.

Dalam diagram berikut, dua tunnel Cloud VPN menghubungkan lb-network ke jaringan lokal. Meskipun tunnel Cloud VPN digunakan di sini, prinsip yang sama berlaku untuk Cloud Interconnect.

Load balancing internal dan beberapa tunnel Cloud VPN.
Load balancing internal dan beberapa tunnel Cloud VPN (klik untuk memperbesar).

Anda harus mengonfigurasi setiap tunnel atau setiap lampiran VLAN di region yang sama dengan load balancer internal. Persyaratan ini dibebaskan jika Anda mengaktifkan akses global.

Beberapa tunnel atau lampiran VLAN dapat menyediakan bandwidth tambahan atau dapat berfungsi sebagai jalur standby untuk redundansi.

Perhatikan poin-poin berikut:

  • Jika jaringan lokal memiliki dua rute dengan prioritas yang sama, masing-masing dengan tujuan 10.1.2.0/24 dan hop berikutnya yang sesuai dengan tunnel VPN berbeda di region yang sama dengan load balancer internal, traffic dapat dikirim dari jaringan lokal (192.168.1.0/24) ke load balancer dengan menggunakan multipath dengan biaya sama (ECMP).
  • Setelah paket dikirim ke jaringan VPC, load balancer internal akan mendistribusikannya ke VM backend sesuai dengan afinitas sesi yang dikonfigurasi.
  • Jika lb-network memiliki dua rute, masing-masing dengan 192.168.1.0/24 tujuan dan next hop yang sesuai dengan tunnel VPN yang berbeda, respons dari VM backend dapat dikirimkan melalui setiap tunnel sesuai dengan prioritas rute di jaringan. Jika prioritas rute yang berbeda digunakan, satu tunnel dapat berfungsi sebagai cadangan untuk tunnel lainnya. Jika prioritas yang sama digunakan, respons akan dikirimkan menggunakan ECMP.
  • Balasan yang dikirim dari VM backend (seperti vm-a2) dikirimkan langsung ke klien lokal melalui tunnel yang sesuai. Dari perspektif lb-network, jika rute atau tunnel VPN berubah, traffic mungkin akan keluar dengan menggunakan tunnel yang berbeda. Hal ini dapat menyebabkan sesi TCP direset jika koneksi yang sedang berlangsung terhenti.

Langkah selanjutnya