Panoramica dei gruppi di endpoint di rete con connettività ibrida

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Cloud Load Balancing supporta il bilanciamento del carico del traffico verso endpoint che si estendono oltre Google Cloud, ad esempio data center on-premise e altri cloud pubblici che puoi utilizzare con la connettività ibrida.

Una strategia ibrida è una soluzione pragmatica che ti consente di adattarsi alle mutevoli esigenze del mercato e modernizzare in modo incrementale le tue applicazioni. Potrebbe trattarsi di un deployment temporaneo ibrido per consentire la migrazione a una moderna soluzione basata su cloud o per un appuntamento permanente dell'infrastruttura IT della tua organizzazione.

La configurazione del bilanciamento del carico ibrido consente inoltre di portare i vantaggi delle funzionalità di networking di Cloud Load Balancing ai servizi in esecuzione sull'infrastruttura esistente al di fuori di Google Cloud.

Il bilanciamento del carico ibrido è supportato sui seguenti bilanciatori del carico Google Cloud:

Caso d'uso: routing del traffico a una località on-premise o a un altro cloud

Il caso d'uso più semplice per questa funzionalità è il routing del traffico da un bilanciatore del carico Google Cloud a Google Cloud, una località on-premise o un altro cloud. I client possono provenire dal traffico dalla rete Internet pubblica, da Google Cloud o da un client on-premise.

Client pubblici

Puoi utilizzare il bilanciamento del carico HTTP(S) per il routing del traffico da client esterni a un backend in Google Cloud, on-premise o in un altro cloud. Con il bilanciamento del carico HTTP(S), puoi anche abilitare le funzionalità di networking a valore aggiunto per i tuoi servizi on-premise.

  • Con il bilanciatore del carico HTTP(S) esterno globale e il bilanciatore del carico HTTP(S) esterno globale (classico), puoi:

    • Utilizza l'infrastruttura perimetrale globale di Google per terminare le connessioni utente più vicine all'utente, riducendo la latenza.
    • Proteggi il tuo servizio con Google Cloud Armor, un prodotto di difesa dagli attacchi DDoS/sicurezza cloud perimetrale disponibile per tutti i servizi a cui si accede tramite un bilanciatore del carico HTTP(S) esterno.
    • Abilita il servizio per ottimizzare la distribuzione utilizzando Cloud CDN. Con Cloud CDN, puoi memorizzare i contenuti nella cache vicino ai tuoi utenti. Cloud CDN offre funzionalità come l'annullamento della convalida della cache e gli URL firmati di Cloud CDN.
    • Utilizza i certificati SSL gestiti da Google. Puoi riutilizzare i certificati e le chiavi private che già utilizzi per altri prodotti Google Cloud. Ciò elimina la necessità di gestire certificati separati.

    Il seguente diagramma mostra un deployment ibrido con un bilanciatore del carico HTTP(S) esterno.

    Connettività ibrida con un bilanciatore del carico HTTP(S) esterno globale (fai clic per ingrandire)
    Connettività ibrida con un bilanciatore del carico HTTP(S) esterno globale (fai clic per ingrandire)

    In questo diagramma, il traffico proveniente da client sulla rete Internet pubblica entra nella tua rete privata on-premise o nel cloud tramite un bilanciatore del carico Google Cloud, ad esempio il bilanciatore del carico HTTP(S) esterno. Quando il traffico raggiunge il bilanciatore del carico, puoi applicare servizi periferici di rete come la protezione dagli utenti DDoS di Google Cloud Armor o Identity-Aware Proxy (IAP).

  • Con il bilanciatore del carico HTTP(S) esterno a livello di area geografica, puoi instradare il traffico esterno a endpoint all'interno della stessa zona o regione di Google Cloud delle risorse del bilanciatore del carico. Utilizza questo bilanciatore del carico se devi gestire i contenuti da una sola geolocalizzazione (ad esempio per soddisfare le normative di conformità) o se vuoi utilizzare il livello di servizio di rete standard.

Il modo in cui la richiesta viene instradata (a un backend di Google Cloud o a un endpoint on-premise/cloud) dipende dalla configurazione della mappa URL. A seconda della mappa URL, il bilanciatore del carico seleziona un servizio di backend per la richiesta. Se il servizio di backend selezionato è stato configurato con un NEG di connettività ibrido (utilizzato solo per gli endpoint non Google Cloud), il bilanciatore del carico inoltra il traffico attraverso Cloud VPN o Cloud Interconnect alla destinazione prevista.

Client interni (all'interno di Google Cloud o on-premise)

Puoi anche configurare un deployment ibrido per i clienti interni a Google Cloud. In questo caso, il traffico client proviene dalla rete VPC di Google Cloud, dalla rete on-premise o da un altro cloud, e viene instradato a endpoint che possono trovarsi in Google Cloud, on-premise o in un altro cloud. Il bilanciatore del carico HTTP(S) interno è un bilanciatore del carico a livello di area geografica, il che significa che può instradare solo il traffico agli endpoint all'interno della stessa zona o regione di Google Cloud delle risorse del bilanciatore del carico.

Il seguente diagramma mostra un deployment ibrido con un bilanciatore del carico HTTP(S) interno.

Connettività ibrida con bilanciamento del carico HTTP(S) interno (fai clic per ingrandire)
Connettività ibrida con bilanciamento del carico HTTP(S) interno (fai clic per ingrandire)

Caso d'uso: migrazione a Cloud

La migrazione di un servizio esistente nel cloud ti consente di liberare capacità on-premise e ridurre i costi e il carico di manutenzione dell'infrastruttura on-premise. Puoi configurare temporaneamente un deployment ibrido che ti consenta di instradare il traffico sia al servizio on-premise attuale che a un endpoint di servizio Google Cloud corrispondente.

Il seguente diagramma mostra questa configurazione con il bilanciamento del carico HTTP(S) interno.

Esegui la migrazione a Google Cloud (fai clic per ingrandire)
Esegui la migrazione a Google Cloud (fai clic per ingrandire)

Se utilizzi il bilanciamento del carico HTTP(S) interno per gestire i client interni, puoi configurare il bilanciatore del carico Google Cloud in modo che utilizzi la suddivisione del traffico basata sul peso per suddividere il traffico tra i due servizi. La suddivisione del traffico consente di iniziare inviando lo 0% del traffico al servizio Google Cloud e il 100% al servizio on-premise. Puoi quindi aumentare gradualmente la proporzione di traffico inviato al servizio Google Cloud. Alla fine, invierai il 100% del traffico al servizio Google Cloud e ritirerai il servizio on-premise.

Architettura ibrida

Questa sezione descrive l'architettura e le risorse di bilanciamento del carico necessarie per configurare un deployment di bilanciamento del carico ibrido.

On-premise e altri servizi cloud sono come qualsiasi altro backend Cloud Load Balancing. La differenza principale è che si utilizza un NEG di connettività ibrida per configurare gli endpoint di questi backend. Gli endpoint devono essere combinazioni IP:port valide che i tuoi clienti possono raggiungere tramite connettività ibrida, come Cloud VPN o Cloud Interconnect.

I seguenti diagrammi mostrano le risorse Google Cloud necessarie per abilitare il bilanciamento del carico ibrido per il bilanciamento del carico HTTP(S) esterno e HTTP(S) interno.

HTTP(S) esterno globale

Risorse globali del bilanciatore del carico HTTP(S) esterno per la connettività ibrida (fai clic per ingrandire)
Risorse globali del bilanciatore del carico HTTP(S) esterno per la connettività ibrida (fai clic per ingrandire)

HTTP(S) esterni a livello di regione

Risorse del bilanciatore del carico HTTP(S) esterno a livello regionale per la connettività ibrida (fai clic per ingrandire)
Risorse del bilanciatore del carico HTTP(S) esterno a livello di area geografica per la connettività ibrida (fai clic per ingrandire)

HTTP(S) interni

Risorse del bilanciatore del carico HTTP(S) interno per la connettività ibrida (fai clic per ingrandire)
Risorse interne del bilanciatore del carico HTTP(S) per la connettività ibrida (fai clic per ingrandire)

Proxy TCP interno

Risorse interne del bilanciatore del carico del proxy TCP per la connettività ibrida.
Risorse del bilanciatore del carico del proxy TCP a livello di regione interno per la connettività ibrida (fai clic per ingrandire)

A livello di area geografica e globale

Il routing Cloud Load Balancing dipende dall'ambito del bilanciatore del carico configurato:

Bilanciatore del carico HTTP(S) esterno esterno, bilanciatore del carico TCP esterno e bilanciatore del carico SSL esterno. Questi bilanciatori del carico possono essere configurati per il routing globale o a livello di area geografica, a seconda del livello di rete utilizzato. Crei il backend NEG ibrido del bilanciatore del carico nella stessa regione in cui è stata configurata la connettività ibrida. Anche gli endpoint non Google Cloud devono essere configurati di conseguenza, per sfruttare il bilanciamento del carico basato sulla prossimità.

Bilanciatore del carico HTTP(S) interno e bilanciatore del carico TCP interno a livello di regione. Si tratta di bilanciatori del carico a livello di area geografica. In altre parole, possono instradare il traffico solo a endpoint all'interno della stessa regione del bilanciatore del carico. I componenti del bilanciatore del carico devono essere configurati nella stessa regione in cui è stata configurata la connettività ibrida. Poiché questi bilanciatori del carico non supportano l'accesso globale, anche i client che accedono al bilanciatore del carico devono trovarsi nella stessa regione.

Ad esempio, se Cloud VPN Gateway o Cloud Interconnect Allegato VLAN sono stati configurati in us-central1, le risorse richieste dal bilanciatore del carico (servizio di backend, NEG ibrido, regola di forwarding e così via) devono essere create nella regione us-central1. Anche i client che accedono al bilanciatore del carico devono trovarsi nell'area geografica us-central1.

Requisiti per la connettività di rete

Prima di configurare un deployment di bilanciamento del carico ibrido, devi impostare le seguenti risorse:

  • Rete VPC di Google Cloud. Una rete VPC configurata in Google Cloud. Questa è la rete in cui verranno create le risorse di bilanciamento del carico ibrido (regola di forwarding, proxy di destinazione, servizio di backend e così via). Gli indirizzi IP e gli intervalli di indirizzi IP delle subnet on-premise, cloud e di Google Cloud non devono sovrapporsi. Quando gli indirizzi IP si sovrappongono, le route di subnet hanno la priorità sulla connettività remota.
  • Connettività ibrida. I tuoi ambienti Google Cloud e on-premise o di altri ambienti cloud devono essere connessi tramite connettività ibrida utilizzando un collegamento VLAN di Cloud Interconnect o tunnel Cloud VPN con il router Cloud. Ti consigliamo di utilizzare una connessione ad alta disponibilità. Un router Cloud abilitato con il routing dinamico globale acquisisce l'endpoint specifico tramite BGP e lo programma nella tua rete VPC di Google Cloud. Il routing dinamico a livello di regione non è supportato. Inoltre, le route statiche non sono supportate.

    Cloud Interconnect/Cloud VPN e il router Cloud devono essere configurati nella stessa rete VPC che intendi utilizzare per il deployment di bilanciamento del carico ibrido. Il router Cloud deve anche pubblicizzare i seguenti percorsi nel tuo ambiente on-premise:
    • Intervalli utilizzati dai probe di controllo dell'integrità di Google: 35.191.0.0/16 e 130.211.0.0/22.
    • Solo per il bilanciamento del carico HTTP(S) interno, l'intervallo della subnet solo proxy della regione.
  • Endpoint di rete (IP:Port) on-premise o in altri cloud. Uno o più endpoint di rete IP:Port configurati all'interno dei tuoi ambienti on-premise o cloud, instradabili tramite Cloud Interconnect o Cloud VPN. Se sono presenti più percorsi all'endpoint IP, il routing seguirà il comportamento descritto nella panoramica delle route VPC e nella panoramica dei router Cloud.
  • Regole firewall on-premise o su un altro cloud. Le seguenti regole firewall devono essere create sul tuo ambiente on-premise o su un altro ambiente cloud:
    • Ingress consente alle regole firewall di consentire il traffico proveniente dai probe di controllo di integrità di Google verso i tuoi endpoint. Per il bilanciatore del carico HTTP(S) esterno, il bilanciatore del carico HTTP(S) interno, il bilanciatore del carico TCP esterno del proxy e il bilanciatore del carico del proxy SSL esterno, gli intervalli da consentire sono: 35.191.0.0/16 e 130.211.0.0/22. Tieni presente che questi intervalli devono essere pubblicizzati anche dal router Cloud nella rete on-premise. Per maggiori dettagli, consulta Esamina gli intervalli IP e le regole del firewall.
    • Le regole firewall di autorizzazione consentono al traffico in entrata nel bilanciamento del carico di raggiungere gli endpoint.
    • Per il bilanciamento del carico HTTP(S) interno, devi anche creare una regola firewall per consentire il traffico proveniente dalla subnet solo proxy della regione per raggiungere gli endpoint on-premise o in altri ambienti cloud.

Componenti del bilanciatore del carico

A seconda del tipo di bilanciatore del carico, puoi configurare un deployment di bilanciamento del carico ibrido utilizzando i livelli Standard o Premium Network Service Tiers.

Un bilanciatore del carico ibrido richiede una configurazione speciale solo per il servizio di backend. La configurazione frontend è la stessa di qualsiasi altro bilanciatore del carico. I bilanciatori del carico a livello di area geografica basati su Envoy (bilanciatore del carico HTTP(S) esterno a livello di area geografica, bilanciatore del carico TCP interno a livello di area geografica e bilanciatore del carico HTTP(S) interno) richiedono una subnet solo proxy aggiuntiva per eseguire i proxy Envoy per tuo conto.

Configurazione frontend

Non è necessaria una configurazione frontend speciale per il bilanciamento del carico ibrido. Le regole di forwarding vengono utilizzate per instradare il traffico da indirizzo IP, porta e protocollo a un proxy di destinazione. Il proxy di destinazione termina quindi le connessioni dai client.

Le mappe URL vengono utilizzate dai bilanciatori del carico HTTP(S) per configurare il routing delle richieste ai servizi di backend appropriati.

Per ulteriori dettagli su ciascuno di questi componenti, consulta le sezioni relative all'architettura delle panoramiche specifiche del bilanciatore del carico:

Servizio di backend

I servizi di backend forniscono informazioni di configurazione al bilanciatore del carico. I bilanciatori del carico utilizzano le informazioni in un servizio di backend per indirizzare il traffico in entrata a uno o più backend collegati.

Per configurare un deployment di bilanciamento del carico ibrido, devi configurare il bilanciatore del carico con backend sia all'interno di Google Cloud che all'esterno di Google Cloud.

  • Backend non Google Cloud (on-premise o su altro cloud)

    Qualsiasi destinazione che puoi raggiungere utilizzando i prodotti per la connettività ibrida di Google (Cloud VPN o Cloud Interconnect) e che può essere raggiunta con una combinazione IP:Port valida, può essere configurata come endpoint per il bilanciatore del carico.

    Configura i backend non Google Cloud nel modo seguente:

    1. Aggiungi ogni combinazione IP:Port degli endpoint di rete non Google Cloud a un gruppo di endpoint di rete (NEG) di connettività ibrida. Assicurati che l'indirizzo IP e la porta siano raggiungibili da Google Cloud utilizzando la connettività ibrida (tramite Cloud VPN o Cloud Interconnect). Per i NEG di connettività ibrida, imposti il tipo di endpoint di rete su NON_GCP_PRIVATE_IP_PORT.
    2. Durante la creazione del NEG, specifica una zonaGoogle Cloud che riduca al minimo la distanza geografica tra Google Cloud e il tuo ambiente on-premise o un altro ambiente cloud. Ad esempio, se ospiti un servizio in un ambiente on-premise a Francoforte, in Germania, puoi specificare la zona Google Cloud europe-west3-a quando crei il NEG.
    3. Aggiungi questo NEG di connettività ibrida come backend per il servizio di backend.

      Un NEG di connettività ibrida deve includere solo endpoint non Google Cloud. Il traffico potrebbe essere ignorato se un NEG ibrido include endpoint per le risorse all'interno di una rete VPC Google Cloud, ad esempio indirizzi IP delle regole di forwarding per bilanciatori del carico TCP/UDP interni. Configura gli endpoint Google Cloud come indicato nella sezione successiva.

  • Backend di Google Cloud

    Configura gli endpoint Google Cloud nel modo seguente:

    1. Creare un servizio di backend separato per i backend Google Cloud.
    2. Configura più backend (GCE_VM_IP_PORT di gruppi di istanze o NEG di zona) all'interno della stessa regione in cui hai configurato la connettività ibrida.

Considerazioni aggiuntive:

  • Ogni NEG di connettività ibrida può contenere solo endpoint di rete dello stesso tipo (NON_GCP_PRIVATE_IP_PORT).

  • Puoi utilizzare un singolo servizio di backend per fare riferimento sia ai backend basati su Google Cloud che utilizzano i NEG di zona con gli endpoint GCE_VM_IP_PORT, sia on-premise o ad altri backend cloud (utilizzando i NEG di connettività ibrida con endpoint NON_GCP_PRIVATE_IP_PORT). Non è consentita nessun'altra combinazione di tipi di backend misti. Traffic Director non supporta tipi di backend misti in un singolo servizio di backend.

  • Lo schema di bilanciamento del carico del servizio di backend deve essere EXTERNAL_MANAGED per il bilanciatore del carico HTTP(S) esterno globale e il bilanciatore del carico HTTP(S) esterno a livello di regione, EXTERNAL per il bilanciatore del carico HTTP(S) esterno globale (classico), bilanciatore del carico proxy TCP esterno e bilanciatore del carico SSL esterno, oppureINTERNAL_MANAGED per i bilanciatori del carico HTTP(S) interni e i bilanciatori del carico del proxy TCP interno a livello di regione. INTERNAL_SELF_MANAGED è supportato per i deployment multi-environment di Traffic Director con connettività di connettività ibrida.

  • Il protocollo del servizio di backend deve essere HTTP, HTTPS o HTTP2 per i bilanciatori del carico HTTP(S) e TCP o SSL per il bilanciatore del carico del proxy TCP esterno, il bilanciatore del carico del proxy TCP interno a livello di regione e del bilanciatore del carico del proxy SSL esterno. Per l'elenco dei protocolli di servizio di backend supportati da ogni bilanciatore del carico, consulta Protocolli dal bilanciatore del carico al backend.

  • La modalità di bilanciamento per il backend NEG ibrido deve essere RATE per i bilanciatori del carico HTTP(S) esterni e interni e CONNECTION per il bilanciatore del carico TCP interno e a livello di proxy TCP/SSL esterni. Per maggiori dettagli sulle modalità di bilanciamento, consulta Panoramica dei servizi di backend.

  • Per aggiungere altri endpoint di rete, aggiorna i backend collegati al tuo servizio di backend.

Controlli di integrità

Ogni servizio di backend deve essere associato a un controllo di integrità che ne verifica l'integrità. Affinché i probe del controllo di integrità funzionino correttamente, devi creare regole firewall che consentano al traffico proveniente dagli intervalli IP del probe di Google (130.211.0.0/22 e 35.191.0.0/16) di raggiungere i tuoi endpoint.

Per i backend esterni a Google Cloud, crea regole firewall sulle tue reti on-premise e su altre reti cloud. Contatta l'amministratore di rete. Il router Cloud utilizzato per la connettività ibrida deve anche pubblicizzare gli intervalli utilizzati dai probe di controllo dell'integrità di Google. Gli intervalli da pubblicizzare sono: 35.191.0.0/16 e 130.211.0.0/22.

Per i backend in Google Cloud, crea regole firewall su Google Cloud come mostrato in questo esempio.

Limitazioni

  • I NEG di connettività ibrida non sono supportati nella console Google Cloud. Per creare, eliminare o gestire i NEG di connettività ibrida, devi utilizzare Google Cloud CLI o l'API REST.
  • Il router Cloud utilizzato per la connettività ibrida deve essere abilitato con il routing dinamico globale. Il routing dinamico regionale e le route statiche non sono supportati.
  • Per i bilanciatori del carico a livello di area geografica basati su Envoy (bilanciatore del carico HTTP(S) esterno a livello di area geografica, bilanciatore del carico TCP interno a livello di area geografica e bilanciatore del carico HTTP(S) interno), la connettività ibrida deve essere configurata nella stessa area geografica del bilanciatore del carico. Se sono configurati in aree geografiche diverse, potresti vedere i backend come integri ma le richieste client non verranno inoltrate ai backend.
  • Le considerazioni per le connessioni criptate dal bilanciatore del carico ai backend documentati qui si applicano anche agli endpoint di backend non Google Cloud configurati nel NEG di connettività ibrida.

    Assicurati di controllare anche le impostazioni di sicurezza relative alla configurazione della connettività ibrida. Attualmente, le connessioni VPN ad alta disponibilità sono criptate per impostazione predefinita (IPSec). Le connessioni Cloud Interconnect non sono criptate per impostazione predefinita. Per ulteriori dettagli, consulta il white paper Crittografia dei dati in transito in Google Cloud.

Logging

Le richieste trasferite a un endpoint in un NEG ibrido vengono registrate in Cloud Logging nello stesso modo in cui vengono registrate le richieste per altri backend. Se abiliti Cloud CDN per il bilanciatore del carico HTTP(S) esterno globale, vengono registrati anche gli hit della cache.

Per ulteriori informazioni, vedi:

Quota

Puoi configurare tutti gli NEG ibridi con endpoint di rete consentiti dalla quota del gruppo di endpoint di rete esistente. Per maggiori informazioni, consulta Backend NEG e Endpoint per NEG.

Passaggi successivi