ハイブリッド接続ネットワーク エンドポイント グループの概要

Cloud Load Balancing は、オンプレミス データセンターや他のパブリック クラウドなどの Google Cloud の外部に拡張され、ハイブリッド接続で到達可能なエンドポイントへのトラフィックをロード バランシングできます。

ハイブリッド戦略は、変化する市場の要求に応じて、アプリケーションを段階的にモダナイズするための実際的なソリューションです。これは、最新のクラウドベースのソリューションに移行する際の一時的なデプロイメントの場合もあれば、組織の IT インフラストラクチャの恒久的な設備の場合もあります。

ハイブリッド ロード バランシングを設定すると、Google Cloud の外部にある既存のインフラストラクチャで実行されているサービスでも Cloud Load Balancing のネットワーク機能のメリットを活用できます。

ハイブリッド ロード バランシングは、次の Google Cloud ロードバランサでサポートされています。

オンプレミスなどのクラウド サービスは、他の Cloud Load Balancing のバックエンドと同様に扱われます。主な違いは、ハイブリッド接続 NEG を使用してサービスのエンドポイントを構成することです。エンドポイントは、Cloud VPN や Cloud Interconnect などのハイブリッド接続プロダクトを使用してロードバランサが到達できる有効な IP:port の組み合わせにする必要があります。

ユースケース: オンプレミスまたは別のクラウドにトラフィックを転送する

ハイブリッド NEG を使用する最も簡単なユースケースは、Google Cloud ロードバランサからオンプレミスのロケーションまたは別のクラウド環境にトラフィックを転送することです。クライアントは、公共のインターネット、Google Cloud 内、またはオンプレミス クライアントからのトラフィックを送信できます。

公開クライアント

ハイブリッド NEG バックエンドを備えた外部アプリケーション ロードバランサを使用して、外部クライアントからオンプレミスまたは別のクラウド ネットワークのバックエンドにトラフィックを転送できます。また、オンプレミスまたは他のクラウド ネットワークのサービスで次の付加価値の高いネットワーク機能を有効にできます。

  • グローバル外部アプリケーション ロードバランサと従来のアプリケーション ロードバランサを使用すると、次のことができます。

    • Google のグローバル エッジ インフラストラクチャを使用して、ユーザーに近い場所でユーザー接続を終端することで、レイテンシを短縮する。
    • Google Cloud Armor を使用してサービスを保護する。これは、外部アプリケーション ロードバランサ経由でアクセスするすべてのサービスで利用できるエッジ DDoS 防御 / WAF セキュリティ プロダクトです。
    • サービスで Cloud CDN を使用して配信を最適化できるようにする。Cloud CDN を使用すると、ユーザーの近くにコンテンツをキャッシュ保存できます。Cloud CDN は、キャッシュの無効化や Cloud CDN 署名付き URL などの機能を提供します。
    • Google マネージド SSL 証明書を使用する。他の Google Cloud プロダクトですでに使用している証明書と秘密鍵を再利用できます。これにより、証明書を個別に管理する必要がなくなります。

    次の図は、外部アプリケーション ロードバランサを使用したハイブリッド デプロイを示しています。

    グローバル外部アプリケーション ロードバランサを使用したハイブリッド接続。
    グローバル外部アプリケーション ロードバランサを使用したハイブリッド接続(クリックして拡大)

    この図では、公共のインターネット上のクライアントからのトラフィックが、外部アプリケーション ロードバランサなどの Google Cloud ロードバランサ経由で非公開のオンプレミス ネットワークまたはクラウド ネットワークに送信されます。トラフィックがロードバランサに到達すると、Google Cloud Armor DDoS 対策や Identity-Aware Proxy(IAP)のユーザー認証などのネットワーク エッジサービスを適用できます。

  • リージョン外部アプリケーション ロードバランサでは、ロードバランサのリソースと同じ Google Cloud リージョン内にあるエンドポイントに外部トラフィックをルーティングできます。このロードバランサは、1 つの位置情報のみからコンテンツを配信する場合(コンプライアンスで規制されている場合など)や、スタンダード ネットワーク サービス ティアが必要な場合に使用します。

リクエストの転送方法は URL マップの構成(宛先が Google Cloud バックエンドかオンプレミス / クラウド エンドポイントか)によって異なります。URL マップに応じて、ロードバランサはリクエストのバックエンド サービスを選択します。選択したバックエンド サービスが、ハイブリッド接続 NEG(Google Cloud 以外のエンドポイントでのみ使用)で構成されている場合、ロードバランサは、Cloud VPN または Cloud Interconnect 間のトラフィックを目的の外部の宛先に転送します。

内部クライアント(Google Cloud またはオンプレミス)

Google Cloud 内のクライアントにハイブリッド デプロイを設定することもできます。この場合、クライアント トラフィックは Google Cloud VPC ネットワーク、オンプレミス ネットワーク、または別のクラウドから、オンプレミスまたは他のクラウド ネットワーク内のエンドポイントに送信されます。

内部アプリケーション ロードバランサはリージョン ロードバランサです。つまり、ロードバランサのリソースと同じ Google Cloud リージョン内のエンドポイントにのみトラフィックをルーティングできます。 クロスリージョン内部アプリケーション ロードバランサは、グローバルに分散しているバックエンド サービスにトラフィックをロードバランスできるマルチリージョン ロードバランサです。

次の図は、リージョン内部アプリケーション ロードバランサを使用したハイブリッド デプロイを示しています。

リージョン内部アプリケーション ロードバランサを使用したハイブリッド接続。
リージョン内部アプリケーション ロードバランサを使用したハイブリッド接続(クリックして拡大)

ユースケース: クラウドへの移行

既存のサービスをクラウドに移行してオンプレミスの容量を解放し、オンプレミスのインフラストラクチャを維持する費用と負担を減らすことができます。現在のオンプレミス サービスと対応する Google Cloud サービス エンドポイントの両方にトラフィックを転送できるように、一時的にハイブリッド デプロイメントを設定できます。

次の図は、内部アプリケーション ロードバランサを使用した設定を示しています。

Google Cloud への移行。
Google Cloud への移行(クリックして拡大)

内部アプリケーション ロードバランサを使用して内部クライアントを処理する場合は、重み付けベースのトラフィック分割を使用して 2 つのサービス間でトラフィックを分割するように Google Cloud ロードバランサを構成できます。トラフィック分割を使用すると、トラフィックの 0% を Google Cloud サービスに送信し、100% をオンプレミス サービスに送信することから始めることが可能です。その後、Google Cloud サービス宛てのトラフィックの割合を徐々に増やしていきます。最終的には、トラフィックの 100% を Google Cloud サービスに送信し、オンプレミス サービスを廃止します。

ハイブリッド アーキテクチャ

このセクションでは、ロード バランシング アーキテクチャと、ハイブリッド ロード バランシングのデプロイメントを構成するために必要なリソースについて説明します。

オンプレミスなどのクラウド サービスは、他の Cloud Load Balancing のバックエンドと同様に動作します。主な違いは、ハイブリッド接続 NEG を使用してサービスのエンドポイントを構成することです。エンドポイントは、Cloud VPN や Cloud Interconnect などのハイブリッド接続を介してクライアントが到達できる有効な IP:port の組み合わせにする必要があります。

次の図は、外部アプリケーション ロードバランサとリージョン内部アプリケーション ロードバランサのハイブリッド ロード バランシングを有効にするために必要な Google Cloud リソースを示しています。

グローバル外部 HTTP(S)

ハイブリッド接続用のグローバル外部アプリケーション ロードバランサのリソース。
ハイブリッド接続用のグローバル外部アプリケーション ロードバランサのリソース(クリックして拡大)

リージョン外部 HTTP(S)

ハイブリッド接続用のリージョン外部アプリケーション ロードバランサのリソース。
ハイブリッド接続用のリージョン外部アプリケーション ロードバランサのリソース(クリックして拡大)

リージョン内部 HTTP(S)

ハイブリッド接続用のリージョン内部アプリケーション ロードバランサのリソース。
ハイブリッド接続用のリージョン内部アプリケーション ロードバランサのリソース(クリックして拡大)

リージョン内部プロキシ

ハイブリッド接続用のリージョン内部プロキシ ネットワーク ロードバランサのリソース。
ハイブリッド接続用のリージョン内部プロキシ ネットワーク ロードバランサのリソース(クリックして拡大)

リージョンとグローバル

Cloud Load Balancing のルーティングは、構成されているロードバランサのスコープによって異なります。

外部アプリケーション ロードバランサと外部プロキシ ネットワーク ロードバランサこれらのロードバランサは、使用するネットワーク ティアに応じて、グローバル ルーティングまたはリージョン ルーティングのいずれかに構成できます。ハイブリッド接続が構成されているネットワークとリージョンにロードバランサのハイブリッド NEG バックエンドを作成します。近接ベースのロード バランシングを利用するには、Google Cloud 以外のエンドポイントも適切に構成する必要があります。

クロスリージョン内部アプリケーション ロードバランサとクロスリージョン内部プロキシ ネットワーク ロードバランサ。これは、グローバルに分散されたバックエンド サービスにトラフィックをロードバランスできるマルチリージョン ロードバランサです。ハイブリッド接続が構成されているネットワークとリージョンにロードバランサのハイブリッド NEG バックエンドを作成します。近接ベースのロード バランシングを利用するには、Google Cloud 以外のエンドポイントも適切に構成する必要があります。

リージョン内部アプリケーション ロードバランサとリージョン内部プロキシ ネットワーク ロードバランサ。これらはリージョン ロードバランサです。つまり、ロードバランサと同じリージョン内のエンドポイントにのみトラフィックを転送できます。ロードバランサ コンポーネントは、ハイブリッド接続が構成されているリージョンに構成する必要があります。デフォルトでは、ロードバランサにアクセスするクライアントも同じリージョンに存在する必要があります。ただし、グローバル アクセスを有効にすると、任意のリージョンのクライアントもロードバランサにアクセスできます。

たとえば、Cloud VPN ゲートウェイまたは Cloud Interconnect VLAN アタッチメントが REGION_A に構成されている場合、ロードバランサに必要なリソース(バックエンド サービス、ハイブリッド NEG、転送ルールなど)は、REGION_A リージョンに作成する必要があります。デフォルトでは、ロードバランサにアクセスするクライアントも REGION_A リージョンに存在する必要があります。 ただし、グローバル アクセスを有効にすると、任意のリージョンのクライアントもロードバランサにアクセスできます。

ネットワーク接続の要件

ハイブリッド ロード バランシングのデプロイメントを構成する前に、次のリソースを設定する必要があります。

  • Google Cloud VPC ネットワーク。Google Cloud 内で構成された VPC ネットワーク。これは、Cloud Interconnect / Cloud VPN、Cloud Router の構成に使用される VPC ネットワークです。これは、ロード バランシング リソース(転送ルール、ターゲット プロキシ、バックエンド サービスなど)を作成するネットワークです。オンプレミス、他のクラウド、Google Cloud サブネットの IP アドレスと IP アドレス範囲は、重複しないようにする必要があります。IP アドレスが重複する場合、リモート接続よりもサブネット ルートが優先されます。

  • ハイブリッド接続。オンプレミスまたは他のクラウド環境と Google Cloud を接続するには、Cloud Router とともに Cloud Interconnect VLAN アタッチメントまたは Cloud VPN トンネルを使用して、ハイブリッド接続を確立する必要があります。高可用性接続の使用をおすすめします。グローバル動的ルーティングが有効になっている Cloud Router は、BGP を介して特定のエンドポイントを学習し、Google Cloud VPC ネットワークにプログラムします。リージョン動的ルーティングはサポートされていません。静的ルートもサポートされていません。

    Cloud Interconnect / Cloud VPN と Cloud Router は、ハイブリッド ロード バランシングに使用する VPC ネットワークで構成する必要があります。Cloud Router は、オンプレミス環境に次のルートをアドバタイズする必要もあります。

    • Google のヘルスチェック プローブで使用される範囲: 35.191.0.0/16130.211.0.0/22。 これは、グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサ、従来のプロキシ ネットワーク ロードバランサに必要です。

    • リージョンのプロキシ専用サブネットの範囲: Envoy ベースのロードバランサの場合 - リージョン外部アプリケーション ロードバランサ、リージョン内部アプリケーション ロードバランサ、 クロスリージョン内部アプリケーション ロードバランサ、リージョン外部プロキシ ネットワーク ロードバランサ、 クロスリージョン内部プロキシ ネットワーク ロードバランサ、 リージョン内部プロキシ ネットワーク ロードバランサ。

      分散 Envoy ヘルスチェックを機能させるには、アドバタイズするリージョンのプロキシ専用サブネットも必要です。分散 Envoy ヘルスチェックは、Envoy ベースのロードバランサの背後にあるゾーン ハイブリッド接続 NEG(NON_GCP_PRIVATE_IP_PORT エンドポイント)のデフォルトのヘルスチェック メカニズムです。

  • オンプレミスまたは他のクラウドのネットワーク エンドポイント(IP:Port。オンプレミスまたは他のクラウド環境内で構成され、Cloud Interconnect または Cloud VPN 経由で転送可能な 1 つ以上の IP:Port ネットワーク エンドポイント。IP エンドポイントへのパスが複数ある場合は、VPC ルートの概要Cloud Router の概要で説明されているように動作します。

  • オンプレミスまたは他のクラウド上のファイアウォール ルール。オンプレミスまたはその他のクラウド環境に、次のファイアウォール ルールを作成する必要があります。

    • Google のヘルスチェック プローブからエンドポイントへのトラフィックを許可する上り(内向き)許可のファイアウォール ルール。許可される範囲は 35.191.0.0/16130.211.0.0/22 です。これらの範囲は、Cloud Router からオンプレミス ネットワークにもアドバタイズする必要があります。詳細については、プローブの IP 範囲とファイアウォール ルールをご覧ください。
    • ロード バランシングされるトラフィックがエンドポイントに到達することを許可する上り(内向き)許可ファイアウォール ルール。
    • Envoy ベースのロードバランサ(リージョン外部アプリケーション ロードバランサ、リージョン内部アプリケーション ロードバランサ、 クロスリージョン内部アプリケーション ロードバランサ、リージョン外部プロキシ ネットワーク ロードバランサ、 クロスリージョン内部プロキシ ネットワーク ロードバランサ、 リージョン内部プロキシ ネットワーク ロードバランサ)の場合は、リージョンのプロキシ専用サブネットからのトラフィックがオンプレミスまたは他のクラウド環境にあるエンドポイントに到達できるようにファイアウォール ルールを作成する必要があります。

ロードバランサ コンポーネント

ロードバランサの種類に応じて、スタンダード ティアまたはプレミアム ティアのネットワーク サービスを使用してハイブリッド ロード バランシングのデプロイメントを設定できます。

ハイブリッド ロードバランサには、バックエンド サービス専用の特別な構成が必要です。フロントエンドの構成は他のロードバランサと同じです。Envoy ベースのロードバランサ(リージョン外部アプリケーション ロードバランサ、リージョン内部アプリケーション ロードバランサ、 クロスリージョン内部アプリケーション ロードバランサ、リージョン外部プロキシ ネットワーク ロードバランサ、 クロスリージョン内部プロキシ ネットワーク ロードバランサ、 リージョン内部プロキシ ネットワーク ロードバランサ)には、ユーザーに代わって Envoy プロキシを実行するための追加のプロキシ専用サブネットが必要です。

フロントエンドの構成

ハイブリッド ロード バランシングには特別なフロントエンド構成は必要ありません。転送ルールは、IP アドレス、ポート、プロトコルに基づいてトラフィックをターゲット プロキシに転送するために使用されます。ターゲット プロキシはクライアントからの接続を終端します。

URL マップは、HTTP(S) ロードバランサが適切なバックエンド サービスへのリクエストの URL ベースの転送を設定するために使用します。

これらの各コンポーネントの詳細については、特定のロードバランサの概要にあるアーキテクチャのセクションをご覧ください。

バックエンド サービス

バックエンド サービスは、ロードバランサに構成情報を提供します。ロードバランサは、バックエンド サービスからの情報を使用して、受信トラフィックを接続されている 1 つまたは複数のバックエンドに振り向けます。

ハイブリッド ロード バランシングのデプロイを設定するには、Google Cloud 内と Google Cloud の外部にあるバックエンドを使用してロードバランサを構成します。

  • Google Cloud 以外のバックエンド(オンプレミスまたは他のクラウド)

    Google のハイブリッド接続プロダクト(Cloud VPN または Cloud Interconnect)を使用して到達でき、有効な IP:Port の組み合わせを使用して到達可能な宛先は、ロードバランサのエンドポイントとして構成できます。

    Google Cloud 以外のバックエンドを次のように構成します。

    1. Google Cloud 以外のネットワーク エンドポイントの IP:Port の組み合わせをハイブリッド接続ネットワーク エンドポイント グループ(NEG)に追加します。ハイブリッド接続(Cloud VPN または Cloud Interconnect)を使用して、この IP アドレスとポートに Google Cloud から到達できるようにします。ハイブリッド接続 NEG の場合は、ネットワーク エンドポイント タイプを NON_GCP_PRIVATE_IP_PORT に設定します。
    2. NEG を作成する際に、Google Cloud とオンプレミスまたは他のクラウド環境との間の地理的距離が最短になる Google Cloud ゾーンを指定します。たとえば、ドイツのフランクフルトのオンプレミス環境にサービスをホストする場合、NEG を作成するときに europe-west3-a Google Cloud ゾーンを指定できます。
    3. このハイブリッド接続 NEG をバックエンド サービスのバックエンドとして追加します。

      ハイブリッド接続 NEG には Google Cloud 以外のエンドポイントのみを含める必要があります。内部パススルー ネットワーク ロードバランサの転送ルール IP アドレスなど、Google Cloud VPC ネットワーク内のリソースのエンドポイントがハイブリッド NEG に含まれている場合、トラフィックはドロップされる可能性があります。次のセクションの指示に従って、Google Cloud エンドポイントを構成します。

  • Google Cloud バックエンド

    Google Cloud エンドポイントを次のように構成します。

    1. Google Cloud バックエンド用に別のバックエンド サービスを作成します。
    2. ハイブリッド接続を設定したリージョン内で、複数のバックエンド(GCE_VM_IP_PORT ゾーン NEG またはインスタンス グループ)を構成します。

その他の注意事項:

  • 各ハイブリッド接続 NEG には、同じタイプのネットワーク エンドポイント(NON_GCP_PRIVATE_IP_PORT)のみを含めることができます。

  • 単一のバックエンド サービスを使用して、Google Cloud ベースのバックエンド(GCE_VM_IP_PORT エンドポイントでゾーン NEG を使用)とオンプレミスまたは他のクラウド バックエンド(NON_GCP_PRIVATE_IP_PORT エンドポイントでハイブリッド接続 NEG を使用)の両方を参照できます。混合バックエンド タイプでは、これ以外の組み合わせは許可されません。 Cloud Service Mesh は、単一のバックエンド サービスで混合バックエンド タイプをサポートしていません。

  • バックエンド サービスのロード バランシング スキームは次のいずれかにする必要があります。

    • EXTERNAL_MANAGED: グローバル外部アプリケーション ロードバランサ、リージョン外部アプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサ、リージョン外部プロキシ ネットワーク ロードバランサの場合

    • EXTERNAL: 従来のアプリケーション ロードバランサ、従来のプロキシ ネットワーク ロードバランサの場合

    • INTERNAL_MANAGED: 内部アプリケーション ロードバランサと内部プロキシ ネットワーク ロードバランサの場合

    INTERNAL_SELF_MANAGED は、ハイブリッド接続 NEG を使用した Cloud Service Mesh のマルチ環境デプロイでサポートされています。

  • アプリケーション ロードバランサの場合、バックエンド サービス プロトコルは、HTTPHTTPSHTTP2 のいずれかにする必要があります。プロキシ ネットワーク ロードバランサの場合は、TCP または SSL にする必要があります。各ロードバランサでサポートされているバックエンド サービス プロトコルのリストについては、ロードバランサからバックエンドへのプロトコルをご覧ください。

  • ハイブリッド NEG バックエンドの分散モードは、アプリケーション ロードバランサの場合は RATE、プロキシ ネットワーク ロードバランサの場合は CONNECTION にする必要があります。分散モードの詳細については、バックエンド サービスの概要をご覧ください。

  • ネットワーク エンドポイントを追加するには、バックエンド サービスに接続しているバックエンドを更新します。

  • ハイブリッド接続 NEG バックエンド(Envoy ベースのロードバランサでのみサポート)で分散 Envoy ヘルスチェックを使用している場合は、同じバックエンド サービスに接続されているすべての NEG に一意のネットワーク エンドポイントを構成してください。同じネットワーク エンドポイントを複数の NEG に追加すると、未定義の動作になります。

一元化されたヘルスチェック

ハイブリッド NEG を使用する場合、グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサ、従来のプロキシ ネットワーク ロードバランサには、一元化されたヘルスチェックが必要です。他の Envoy ベースのロードバランサは、次のセクションで説明するように分散 Envoy ヘルスチェックを使用します。

Google Cloud の外部にある NON_GCP_PRIVATE_IP_PORT バックエンドの場合は、オンプレミスと他のクラウド ネットワークにファイアウォール ルールを作成します。詳しくは、ネットワーク管理者に相談してください。ハイブリッド接続に使用する Cloud Router では、Google のヘルスチェック プローブで使用される範囲もアドバタイズする必要があります。アドバタイズされる範囲は 35.191.0.0/16130.211.0.0/22 です。

Google Cloud 内の他の種類のバックエンドの場合は、こちらの例のように、Google Cloud でファイアウォール ルールを作成します。

関連ドキュメント:

分散 Envoy ヘルスチェック

ヘルスチェックの構成は、ロードバランサの種類によって異なります。

  • グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサ、従来のプロキシ ネットワーク ロードバランサ。これらのロードバランサは、分散 Envoy ヘルスチェックをサポートしていません。一元化されたヘルスチェックで説明されているように、Google の一元化されたヘルスチェック メカニズムを使用します。
  • リージョン外部アプリケーション ロードバランサ、リージョン内部アプリケーション ロードバランサ、リージョン外部プロキシ ネットワーク ロードバランサ、リージョン内部プロキシ ネットワーク ロードバランサ、クロスリージョン内部プロキシ ネットワーク ロードバランサ、クロスリージョン内部アプリケーション ロードバランサ。これらのロードバランサは、分散 Envoy ヘルスチェックを使用してハイブリッド NEG の状態を確認します。ヘルスチェック プローブは、Envoy プロキシ ソフトウェア自体から発信されます。各バックエンド サービスは、バックエンドの状態を確認するヘルスチェックに関連付ける必要があります。ヘルスチェック プローブは、リージョン内のプロキシ専用サブネットの Envoy プロキシから発信されます。ヘルスチェック プローブが正常に機能するには、プロキシ専用サブネットからのトラフィックが外部バックエンドに到達できるように、外部環境にファイアウォール ルールを作成する必要があります。

    Google Cloud 外部の NON_GCP_PRIVATE_IP_PORT エンドポイントの場合は、オンプレミスと他のクラウド ネットワークにこれらのファイアウォール ルールを作成する必要があります。詳しくは、ネットワーク管理者に相談してください。ハイブリッド接続に使用する Cloud Router は、リージョンのプロキシ専用サブネット範囲もアドバタイズする必要があります。

分散 Envoy ヘルスチェックは、一元化されたヘルスチェックと同じ Google Cloud コンソール、gcloud CLI、API プロセスを使用して作成されます。その他の構成は不要です。

注意するポイント:

  • gRPC ヘルスチェックはサポートされていません。
  • PROXY プロトコル v1 が有効になっているヘルスチェックはサポートされていません。
  • 1 つのバックエンド サービスで、ゾーン NEG(Google Cloud 内の GCE_VM_IP_PORT エンドポイント)とハイブリッド NEG(Google Cloud の外部にある NON_GCP_PRIVATE_IP_PORT エンドポイント)との混合 NEG を使用する場合、Google ヘルスチェック プローブの IP 範囲130.211.0.0/2235.191.0.0/16)から Google Cloud のゾーン NEG エンドポイントへのトラフィックを許可するように、ファイアウォール ルールを設定する必要があります。これは、ゾーン NEG が Google の一元化されたヘルスチェック システムを使用しているためです。
  • Envoy データプレーンはヘルスチェックを処理するため、Google Cloud コンソール、API、gcloud CLI を使用して、これらの外部エンドポイントのヘルス ステータスを確認することはできません。Envoy ベースのロードバランサを使用するハイブリッド NEG の場合、Google Cloud コンソールでヘルスチェック ステータスが N/A と表示されます。この表示は予期されたものです。

  • VPC ネットワークのリージョン内のプロキシ専用サブネットに割り当てられた Envoy プロキシは、それぞれ独立してヘルスチェックを開始します。そのため、ヘルスチェックが原因でネットワーク トラフィックが増加することがあります。その増加量は、リージョン内の VPC ネットワークに割り当てられた Envoy プロキシの数、これらのプロキシが受信するトラフィックの量、各 Envoy プロキシがヘルスチェックを実行するエンドポイントの数によって異なります。最悪の場合、ヘルスチェックによるネットワーク トラフィックが二次関数的に (O(n^2)) の割合で増加します。

  • 分散 Envoy ヘルスチェックのヘルスチェック ログには、ヘルスチェックの詳細な状態が記録されません。記録される内容の詳細については、ヘルスチェックのロギングをご覧ください。Envoy プロキシから NEG エンドポイントへの接続をさらにトラブルシューティングするには、対応するロードバランサのログを確認する必要があります。

関連ドキュメント:

制限事項

  • ハイブリッド接続に使用される Cloud Router は、グローバル動的ルーティングを有効にする必要があります。リージョン動的ルーティングと静的ルートはサポートされません。
  • Envoy ベースのリージョン ロードバランサ(リージョン外部アプリケーション ロードバランサ、リージョン外部プロキシ ネットワーク ロードバランサ、リージョン内部プロキシ ネットワーク ロードバランサ、リージョン内部アプリケーション ロードバランサ)の場合、ハイブリッド接続をロードバランサと同じリージョン内で構成する必要があります。異なるリージョンで構成されている場合、バックエンドが正常と表示されることがありますが、クライアントのリクエストはバックエンドに転送されません。
  • こちらに記載されているロードバランサからバックエンドへの暗号化接続の考慮事項は、ハイブリッド接続 NEG で構成された Google Cloud 以外のバックエンド エンドポイントにも適用されます。

    ハイブリッド接続構成のセキュリティ設定も必ず確認してください。現在、デフォルトでは HA VPN 接続は暗号化されます(IPsec)。デフォルトでは Cloud Interconnect 接続は暗号化されません。詳細については、転送データの暗号化に関するホワイトペーパーをご覧ください。

ロギング

ハイブリッド NEG のエンドポイントにプロキシされたリクエストは、他のバックエンドのリクエストと同様の方法で Cloud Logging のログに記録されます。グローバル外部アプリケーション ロードバランサで Cloud CDN を有効にすると、キャッシュ ヒットもログに記録されます。

詳しくは以下をご覧ください。

割り当て

既存のネットワーク エンドポイント グループ割り当てで許可されている数のネットワーク エンドポイントを持つハイブリッド NEG を構成できます。詳細については、NEG バックエンドと、NEG あたりのエンドポイント数をご覧ください。

次のステップ