Bilanciamento del carico HTTP(S) interno e reti connesse

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina vengono descritti gli scenari per accedere a un bilanciatore del carico interno nella rete Virtual Private Cloud (VPC) da una rete connessa. Prima di rivedere le informazioni in questa pagina, dovresti avere già familiarità con i concetti riportati in questa guida:

Utilizzo del peering di rete VPC

Quando utilizzi il peering di rete VPC per connettere la tua rete VPC a un'altra rete, Google Cloud condivide le route di subnet tra le reti. Le route della subnet consentono al traffico della rete peer di raggiungere i bilanciatori del carico interni nella rete. L'accesso è consentito se si verifica quanto segue:

  • Puoi creare regole firewall in entrata per consentire il traffico dalle VM client nella rete peer. Le regole del firewall di Google Cloud non sono condivise tra le reti quando si utilizza il peering di rete VPC.
  • Le istanze di macchine virtuali (VM) client nella rete peer si trovano nella stessa area geografica del bilanciatore del carico interno. Questa limitazione non viene applicata se configuri l'accesso globale.

Non puoi condividere selettivamente solo alcuni bilanciatori del carico TCP/UDP interni, bilanciatori del carico TCP interni a livello di area geografica interno o bilanciatori del carico HTTP(S) interni utilizzando il peering di rete VPC. Tutti i bilanciatori del carico interni vengono condivisi automaticamente. Puoi limitare l'accesso ai backend del bilanciatore del carico configurando le VM o gli endpoint di backend per controllare l'accesso utilizzando le intestazioni HTTP (ad esempio X-Forwarded-For).

Utilizza Cloud VPN e Cloud Interconnect

Puoi accedere a un bilanciatore del carico interno da una rete peer connessa tramite un tunnel Cloud VPN o un collegamento VLAN per una connessione Dedicated Interconnect o Partner Interconnect. La rete peer può essere una rete on-premise, un'altra rete VPC di Google Cloud o una rete virtuale ospitata da un altro cloud provider.

Accesso tramite tunnel Cloud VPN

Puoi accedere a un bilanciatore del carico interno tramite un tunnel Cloud VPN quando sono soddisfatte tutte le seguenti condizioni.

Nella rete del bilanciatore del carico interno

  • Quando il accesso globale è disabilitato, sia il gateway Cloud VPN sia i tunnel devono trovarsi nella stessa regione del bilanciatore del carico. Se l'accesso globale è abilitato per la regola di forwarding del bilanciatore del carico, questa limitazione non è specificata.
  • Le route devono fornire percorsi di risposta dai sistemi proxy alla rete on-premise o peer in cui si trova il client. Se utilizzi i tunnel Cloud VPN con il routing dinamico, valuta la modalità di routing dinamico della rete Cloud VPN del bilanciatore del carico. La modalità di routing dinamico determina quali route dinamiche personalizzate sono disponibili per i proxy nella subnet solo proxy.

Nella rete peer

La rete peer deve avere almeno un tunnel Cloud VPN con route alla subnet in cui è definito il bilanciatore del carico interno.

Se la rete peer è un'altra rete VPC di Google Cloud:

  • Il gateway Cloud VPN della rete peer e i tunnel possono trovarsi in qualsiasi area geografica.

  • Per i tunnel Cloud VPN che utilizzano il routing dinamico, la modalità di routing dinamico della rete VPC determina quali route sono disponibili per i client in ciascuna area geografica. Per fornire un insieme coerente di route dinamiche personalizzate ai client in tutte le regioni, utilizza la modalità di routing dinamico globale.

  • Assicurati che i firewall di rete on-premise o peer consentano i pacchetti inviati all'indirizzo IP della regola di forwarding del bilanciatore del carico. Assicurati che i firewall di rete on-premise o peer consentano i pacchetti di risposta ricevuti dall'indirizzo IP della regola di forwarding del bilanciatore del carico.

Il seguente diagramma evidenzia i concetti chiave quando si accede a un bilanciatore del carico interno tramite un gateway Cloud VPN e il relativo tunnel associato. Cloud VPN connette in sicurezza la rete on-premise alla rete VPC di Google Cloud utilizzando i tunnel Cloud VPN.

Bilanciamento del carico interno e Cloud VPN (fai clic per ingrandire)
Bilanciamento del carico interno e Cloud VPN (fai clic per ingrandire)

Osserva i seguenti elementi di configurazione associati a questo esempio:

  • In lb-network è stato configurato un tunnel Cloud VPN che utilizza il routing dinamico. Il tunnel VPN, il gateway e il router Cloud si trovano tutti in us-west1, la stessa regione in cui si trovano i componenti del bilanciatore del carico interno.
  • Le regole firewall di autorizzazione in entrata sono state configurate per essere applicate alle VM di backend nei gruppi di istanze ig-a e ig-c, in modo che possano ricevere il traffico dagli indirizzi IP nella rete VPC e dalla rete on-premise, 10.1.2.0/24 e 192.168.1.0/24. Poiché non sono state create regole firewall di negazione in uscita, viene applicata la regola di autorizzazione consentita in uscita.
  • I pacchetti inviati dai client nelle reti on-premise, tra cui 192.168.1.0/24, all'indirizzo IP del bilanciatore del carico interno, 10.1.2.99, vengono inviati direttamente a una VM di backend in stato integro, ad esempio vm-a2, in base all'affinità sessione configurata.
  • Le risposte inviate dalle VM di backend (ad esempio vm-a2) vengono inviate ai client on-premise tramite il tunnel VPN.

Per risolvere i problemi di Cloud VPN, consulta Risoluzione dei problemi di Cloud VPN.

Accesso tramite Cloud Interconnect

Puoi accedere a un bilanciatore del carico interno da una rete peer on-premise connessa alla rete VPC del bilanciatore del carico quando tutte le seguenti condizioni sono soddisfatte nella rete del bilanciatore del carico interno:

  • Quando il accesso globale è disabilitato, sia il collegamento VLAN sia il router Cloud devono trovarsi nella stessa regione del bilanciatore del carico. Se l'accesso globale è abilitato per la regola di forwarding del bilanciatore del carico, questa limitazione non viene applicata.

  • I router on-premise devono fornire percorsi di risposta dai backend di un bilanciatore del carico alla rete on-premise. I collegamenti VLAN sia per Dedicated Interconnect che per Partner Interconnect devono utilizzare router Cloud; pertanto, le route dinamiche personalizzate forniscono percorsi di risposta. L'insieme di route dinamiche personalizzate che imparano dipende dalla modalità di routing dinamico della rete del bilanciatore del carico.

  • Assicurati che i firewall on-premise consentano l'invio di pacchetti all'indirizzo IP della regola di forwarding del bilanciatore del carico. Assicurati che i firewall on-premise consentano i pacchetti di risposta ricevuti dall'indirizzo IP della regola di forwarding del bilanciatore del carico.

Utilizza l'accesso globale con Cloud VPN e Cloud Interconnect

Per impostazione predefinita, i client devono trovarsi nella stessa rete o in una rete VPC connessa tramite il peering di rete VPC. Puoi abilitare l'accesso globale per consentire ai client di qualsiasi regione di accedere al bilanciatore del carico.

Quando attivi l'accesso globale, le seguenti risorse possono trovarsi in qualsiasi regione:
  • Router Cloud
  • Gateway e tunnel Cloud VPN
  • Collegamenti VLAN

Nel diagramma:

  • Il router Cloud si trova nell'area geografica europe-west1.
  • Il frontend e i backend del bilanciatore del carico TCP/UDP interno si trovano nella regione us-east1.
  • Il router Cloud interagisce con il router VPN on-premise.
  • La sessione di peering Border Gateway Protocol (BGP) può avvenire tramite Cloud VPN o Cloud Interconnect con peering diretto o Partner Interconnect.
Bilanciamento del carico TCP/UDP interno con accesso globale (fai clic per ingrandire)
Bilanciamento del carico TCP/UDP interno con accesso globale (fai clic per ingrandire)

La modalità di routing dinamico della rete VPC è impostata su global per consentire al router Cloud in europe-west1 di pubblicizzare le route di subnet per le subnet in qualsiasi regione della rete VPC del bilanciatore del carico TCP/UDP interno.

Più percorsi di uscita

In ambienti di produzione dovresti usare più tunnel Cloud VPN o collegamenti VLAN per garantire la ridondanza. Questa sezione illustra i requisiti quando si utilizzano più tunnel o collegamenti VLAN.

Nel diagramma seguente, due tunnel Cloud VPN connettono lb-network a una rete on-premise. Anche se qui vengono utilizzati i tunnel Cloud VPN, gli stessi principi si applicano a Cloud Interconnect.

Bilanciamento del carico interno e più tunnel Cloud VPN (fai clic per ingrandire)
Bilanciamento del carico interno e diversi tunnel Cloud VPN (fai clic per ingrandire)

Devi configurare ogni tunnel o ogni collegamento VLAN nella stessa regione del bilanciatore del carico interno. Questo requisito viene annullato se hai attivato l'accesso globale.

Più tunnel o collegamenti VLAN possono fornire larghezza di banda aggiuntiva o possono essere utilizzati come percorsi in standby per la ridondanza.

Tieni presente quanto segue:

  • Se la rete on-premise ha due route con le stesse priorità, ciascuna con una destinazione di 10.1.2.0/24 e un hop successivo corrispondente a un tunnel VPN diverso nella stessa regione del bilanciatore del carico interno, il traffico può essere inviato dalla rete on-premise (192.168.1.0/24) al bilanciatore del carico utilizzando il multipath (eCMP) uguale a.
  • Dopo che i pacchetti sono stati distribuiti alla rete VPC, il bilanciatore del carico interno li distribuisce alle VM di backend in base all'affinità sessione configurata.
  • Se lb-network ha due route, ciascuna con la destinazione 192.168.1.0/24 e un hop successivo corrispondente a diversi tunnel VPN, le risposte dalle VM di backend possono essere consegnate su ogni tunnel in base alla priorità delle route nella rete. Se vengono utilizzate priorità del percorso diverse, un tunnel può fungere da backup per l'altro. Se vengono utilizzate le stesse priorità, le risposte vengono fornite tramite ECMP.
  • Le risposte inviate dalle VM di backend (ad esempio vm-a2) vengono consegnate direttamente ai client on-premise tramite il tunnel appropriato. Dal punto di vista di lb-network, se i percorsi o i tunnel VPN cambiano, il traffico potrebbe in uscita utilizzando un tunnel diverso. Questo potrebbe comportare la reimpostazione delle sessioni TCP se una connessione in corso viene interrotta.

Passaggi successivi