Bilanciamento del carico HTTP(S) interno e reti connesse

In questa pagina vengono descritti gli scenari per l'accesso a un bilanciatore del carico interno nella rete Virtual Private Cloud (VPC) da una rete connessa. Prima di rivedere le informazioni in questa pagina, dovresti avere già familiarità con i concetti riportati nella seguente guida:

Utilizzo del peering di rete VPC

Quando utilizzi il peering di rete VPC per connettere la tua rete VPC a un'altra rete, Google Cloud condivide le route di subnet tra le reti. Le route della subnet consentono al traffico della rete peer di raggiungere i bilanciatori del carico interni nella rete. L'accesso è consentito se si verifica quanto segue:

  • Per i bilanciatori del carico TCP/UDP interni, devi creare regole del firewall in entrata per consentire il traffico dalle VM client nella rete peer. Le regole firewall di Google Cloud non vengono condivise tra le reti quando viene utilizzato il peering di rete VPC.
  • Le istanze di macchina virtuale (VM) client nella rete peer si trovano nella stessa area geografica del bilanciatore del carico interno.

Non puoi condividere selettivamente solo alcuni bilanciatori del carico TCP/UDP interni o bilanciatori del carico HTTP(S) interni utilizzando il peering di rete VPC. Tutti i bilanciatori del carico interni vengono condivisi automaticamente. Puoi limitare l'accesso ai backend del bilanciatore del carico nei seguenti modi:

  • Per i bilanciatori del carico TCP/UDP interni, puoi utilizzare regole firewall in entrata applicabili alle istanze VM di backend.

  • Per i bilanciatori del carico HTTP(S) interni, puoi configurare le VM o gli endpoint di backend per controllare l'accesso tramite intestazioni HTTP (ad esempio, X-Forwarded-For).

Utilizzo di Cloud VPN e Cloud Interconnect

Puoi accedere a un bilanciatore del carico interno da una rete peer collegata tramite un tunnel Cloud VPN o un collegamento VLAN per una connessione interconnessione dedicata o interconnessione di partner. La rete peer può essere una rete on-premise, un'altra rete VPC di Google Cloud o una rete virtuale ospitata da un altro cloud provider.

Accesso attraverso tunnel Cloud VPN

Puoi accedere a un bilanciatore del carico interno tramite un tunnel Cloud VPN quando vengono soddisfatte tutte le seguenti condizioni.

Nella rete interna del bilanciatore del carico

  • Sia il gateway che i tunnel Cloud VPN devono trovarsi nella stessa area geografica del bilanciatore del carico.

  • Le route devono fornire percorsi di risposta dai sistemi proxy alla rete on-premise o peer in cui si trova il client. Se utilizzi tunnel Cloud VPN con il routing dinamico, considera la modalità di routing dinamico della rete Cloud VPN del bilanciatore del carico. La modalità di routing dinamico determina quali route dinamiche personalizzate sono disponibili per i proxy nella subnet solo proxy.

Nella rete peer

La rete peer deve avere almeno un tunnel Cloud VPN con route alla subnet in cui è definito il bilanciatore del carico interno.

Se la rete peer è un'altra rete VPC di Google Cloud:

  • Il gateway e i tunnel Cloud VPN della rete peer si trovano in qualsiasi area geografica.

  • Per i tunnel Cloud VPN che utilizzano il routing dinamico, la modalità di routing dinamico della rete VPC determina quali route sono disponibili per i client in ogni area geografica. Per fornire un insieme coerente di route dinamiche personalizzate ai client in tutte le aree geografiche, utilizza la modalità di routing dinamico globale.

  • Assicurati che i firewall di rete on-premise o peer consentano i pacchetti inviati all'indirizzo IP della regola di forwarding del bilanciatore del carico. Assicurati che i firewall di rete on-premise o peer consentano i pacchetti di risposta ricevuti dall'indirizzo IP della regola di forwarding del bilanciatore del carico.

Il seguente diagramma evidenzia i concetti chiave quando si accede a un bilanciatore del carico interno tramite un gateway Cloud VPN e il tunnel associato. Cloud VPN connette in sicurezza la rete on-premise alla rete VPC di Google Cloud utilizzando i tunnel Cloud VPN.

Il diagramma mostra una configurazione per un bilanciatore del carico TCP/UDP interno. Per il bilanciatore del carico HTTP(S) interno, Cloud VPN e il router Cloud sono uguali, ma le risorse di bilanciamento del carico sono diverse. Ad esempio, la configurazione di un bilanciatore del carico HTTP(S) interno richiede un altro tipo di regola di forwarding, proxy di destinazione e mappa URL.
Bilanciamento del carico TCP/UDP interno e Cloud VPN (fai clic per ingrandire)
Bilanciamento del carico interno e Cloud VPN (fai clic per ingrandire)

Tieni presente i seguenti elementi di configurazione associati a questo esempio:

  • In lb-network è stato configurato un tunnel Cloud VPN che utilizza il routing dinamico. Il tunnel VPN, il gateway e il router Cloud si trovano tutti in us-west1, la stessa area geografica in cui si trovano i componenti del bilanciatore del carico interno.
  • Le regole firewall di autorizzazione Ingress sono state configurate per essere applicate alle VM di backend nei gruppi di istanze ig-a e ig-c, in modo che possano ricevere traffico dagli indirizzi IP nella rete VPC e dalla rete on-premise, 10.1.2.0/24 e 192.168.1.0/24. Non sono state create regole di negazione del traffico in uscita, quindi viene applicata la regola di autorizzazione di traffico in uscita implicita.
  • I pacchetti inviati dai client nelle reti on-premise, tra cui 192.168.1.0/24, all'indirizzo IP del bilanciatore del carico interno, 10.1.2.99, vengono inviati direttamente a una VM di backend in stato integro, come vm-a2, in base all'affinità sessione configurata.
  • Le risposte inviate dalle VM di backend (come vm-a2) vengono consegnate al client VPN ai client on-premise.

Per risolvere i problemi relativi a Cloud VPN, consulta la risoluzione dei problemi di Cloud VPN.

Accesso tramite Cloud Interconnect

Puoi accedere a un bilanciatore del carico interno da una rete peer on-premise collegata alla rete VPC del bilanciatore del carico quando nella rete interna del bilanciatore del carico sono soddisfatte tutte le seguenti condizioni:

  • Sia il collegamento di Cloud Interconnect (VLAN) che il router Cloud devono trovarsi nella stessa area geografica del bilanciatore del carico.

  • I router on-premise devono fornire percorsi di risposta dai sistemi proxy alla rete on-premise. I collegamenti di interconnessione (VLAN) sia per Dedicated Interconnect che per Partner Interconnect devono utilizzare i router Cloud, pertanto le route dinamiche personalizzate forniscono percorsi di risposta. L'insieme di route dinamiche personalizzate che imparano dipende dalla modalità di routing dinamico della rete del bilanciatore del carico.

  • Assicurati che i firewall on-premise consentano l'invio di pacchetti all'indirizzo IP della regola di forwarding del bilanciatore del carico. Assicurati che i firewall on-premise consentano i pacchetti di risposta ricevuti dall'indirizzo IP della regola di forwarding del bilanciatore del carico.

Più percorsi in uscita

Negli ambienti di produzione dovresti usare più tunnel Cloud VPN o collegamenti di Cloud Interconnect (VLAN) per la ridondanza. In questa sezione vengono illustrati i requisiti relativi all'utilizzo di più tunnel o VLAN.

Nel diagramma seguente, due tunnel Cloud VPN collegano lb-network a una rete on-premise. Anche se qui vengono utilizzati i tunnel Cloud VPN, a Cloud Interconnect vengono applicati gli stessi principi.

Bilanciamento del carico TCP/UDP interno e più tunnel Cloud VPN (fai clic per ingrandire)
Bilanciamento del carico interno e più tunnel Cloud VPN (fai clic per ingrandire)

Devi configurare ogni tunnel o ogni collegamento Cloud Interconnect (VLAN) nella stessa area geografica del bilanciatore del carico interno.

Più tunnel o VLAN possono fornire larghezza di banda aggiuntiva o possono essere usati come percorsi di standby per la ridondanza.

Tieni presente quanto segue:

  • Se la rete on-premise ha due route con le stesse priorità, ciascuna con una destinazione 10.1.2.0/24 e un hop successivo corrispondente a un tunnel VPN diverso nella stessa area geografica del bilanciatore del carico interno, il traffico può essere inviato dalla rete on-premise (192.168.1.0/24) al bilanciatore del carico utilizzando multipath (ECMP).
  • Una volta che i pacchetti sono stati pubblicati nella rete VPC, il bilanciatore del carico interno li distribuisce nelle VM di backend in base all'affinità sessione configurata.
  • Se lb-network ha due route, ciascuna con destinazione 192.168.1.0/24 e un hop successivo corrispondente a diversi tunnel VPN, le risposte delle VM di backend possono essere consegnate su ogni tunnel in base alla priorità delle route nella rete. Se vengono utilizzate priorità di route diverse, un tunnel può fungere da backup per l'altro. Se vengono utilizzate le stesse priorità, le risposte vengono fornite utilizzando ECMP.
  • Le risposte inviate dalle VM di backend (come vm-a2) vengono inviate direttamente ai client on-premise attraverso il tunnel appropriato. Dal punto di vista di lb-network, se le route o i tunnel VPN cambiano, il traffico potrebbe in uscita utilizzando un tunnel diverso. Ciò potrebbe comportare la reimpostazione della sessione TCP in caso di interruzione di una connessione in corso.

Passaggi successivi