Cloud Load Balancing 资源模型

负载均衡器是一个由多个相互作用的组件组成的系统。没有单个 API 资源可代表负载均衡器。多个组件协同工作,以便在多个后端之间分配传入流量。

下图显示了应用负载均衡器、代理网络负载均衡器和直通式网络负载均衡器的核心组件。

应用负载均衡器

应用负载均衡器的组件
应用负载均衡器的组件(点击可放大)。

代理网络负载均衡器

代理网络负载均衡器的组件
代理网络负载均衡器的组件(点击可放大)。

直通式网络负载均衡器

直通式网络负载均衡器的组件
直通式网络负载均衡器的组件(点击可放大)。

本部分简要介绍了负载均衡器的关键组件,从流量到达负载均衡器的点开始,一直到流量被路由到后端资源的阶段。如需更深入地了解每个负载均衡器组件,请参阅每个部分中链接的页面。

转发规则

转发规则指定 IP 地址、IP 协议以及负载均衡器接受流量的一个或多个端口。转发规则及其附加的 IP 地址代表 Google Cloud 负载均衡器的前端。

如需了解详情,请参阅转发规则概览

目标代理

目标代理会终结来自客户端的传入连接,并创建从负载均衡器到后端的新连接。

  • 第一个连接源自客户端,并在负载均衡器的目标代理处终结。

  • 第二个连接从目标代理开始,到处理客户端请求的后端实例结束。

第一个连接在 Google Front End (GFE) 或专门指定的子网(称为代理专用子网)中终结,该子网专门为 Envoy 代理预留。如需了解负载均衡器是基于 GFE 还是基于 Envoy,请参阅 Google Cloud 负载均衡器的底层技术

目标代理仅由基于代理的负载均衡器(例如应用负载均衡器和代理网络负载均衡器)使用。对于这类负载均衡器,来自后端实例的响应会发送回目标代理,而不是直接发送到客户端。

如需了解详情,请参阅目标代理

代理专用子网

代理专用子网提供了专为负载均衡器使用的 Envoy 代理预留的 IP 地址池。 Google Cloud 代理会终结传入的连接,然后创建与后端的新连接。

如需了解详情,请参阅基于 Envoy 的负载均衡器的代理专用子网

SSL 证书

SSL 证书(也称为传输层安全协议 [TLS] 证书)可促进客户端与负载均衡器之间的安全通信。转发规则引用目标 HTTPS 代理或目标 SSL 代理的代理式负载均衡器在该负载均衡器的目标代理配置中需要私钥和 SSL 证书。

如需了解详情,请参阅 SSL 证书

网址映射

终结连接后,目标 HTTP(S) 代理会使用网址映射来决定将新请求(目标代理部分中所述的第二个连接)路由到何处。网址映射会将请求路由到后端服务或后端存储桶。网址映射仅由应用负载均衡器使用。由于应用负载均衡器在 OSI 模型的第 7 层运行,因此可以根据 HTTP 属性(例如域名、请求路径和查询参数)做出路由决策。

如需了解详情,请参阅网址映射

后端服务

后端服务定义了负载均衡器如何分配流量。后端服务配置包含一组值,例如用于连接到后端的协议、各种分发和会话设置、健康检查和超时。

这些设置可对负载均衡器的行为进行精细控制,并可将流量定向到正确的后端,后端可以是虚拟机实例组或网络端点组 (NEG)

如需了解详情,请参阅后端服务概览

后端存储桶

如果您的工作负载使用 HTTP(S) 协议传送静态内容,您可以使用 Cloud Storage 存储桶来存储静态内容,然后使用后端存储桶将请求路由到 Cloud Storage 存储桶。

健康检查

配置负载均衡器的后端服务时,您需要为其后端指定一个或多个健康检查。顾名思义,健康检查用于确定负载均衡器的后端实例的运行状况是否良好。此确定基于后端响应传入流量的能力。后端需要响应的流量取决于负载均衡器的类型。您可以使用第 7 层和第 4 层协议创建健康检查,以监控负载均衡实例。

防火墙规则

为了使健康检查正常运行,您必须创建入站流量 allow 防火墙规则,用于允许健康检查探测到达您的后端。

基于 Google Front End 的负载均衡器需要入站流量允许防火墙规则,以允许来自 Google Front End 的 CIDR 的流量连接到您的后端。基于开源 Envoy 代理的负载均衡器需要入站流量 allow 防火墙规则,以允许来自代理专用子网的流量到达后端实例。

如需了解详情,请参阅防火墙规则

后端

后端是经过负载均衡的流量的最终目标。

不同的负载均衡器支持不同类型的后端。将后端添加到后端服务时,您可以指定一种均衡模式。此模式用于评估后端处理新请求的能力,并确定如何在后端之间分配流量。

如需了解详情,请参阅后端

后续步骤