Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dei gruppi di endpoint di rete internet

Cloud Load Balancing supporta il proxy del traffico a backend esterni all'esterno di Google Cloud. Per definire un backend esterno per un bilanciatore del carico, utilizzi una risorsa denominata gruppo di endpoint di rete internet (NEG).

Puoi utilizzare questo tipo di deployment se vuoi gestire contenuti da un backend esterno, ma vuoi che il bilanciatore del carico Google Cloud sia il frontend. In questo modo, puoi:

Utilizza l'infrastruttura perimetrale di Google per terminare le connessioni utente.
Indirizza le connessioni al tuo backend esterno.
Con i bilanciatori del carico globali, puoi utilizzare Cloud CDN per memorizzare nella cache i contenuti per il tuo backend esterno.
Invia il traffico al tuo endpoint pubblico attraverso la backbone privata di Google, che migliora l'affidabilità e può ridurre la latenza tra client e server.

La Figura 1 mostra un bilanciatore del carico delle applicazioni esterno con più tipi di backend, uno dei quali è un backend esterno configurato con un NEG internet.

Gruppi di endpoint di rete internet nel bilanciamento del carico. — **Figura 1.** Gruppi di endpoint di rete internet nel bilanciamento del carico (fai clic per ingrandire).

I backend NEG internet sono supportati con vari bilanciatori del carico globali e a livello di regione. A seconda del bilanciatore del carico (globale o regionale), il supporto del NEG internet varia in relazione a DNS, controllo di integrità, numero di endpoint disponibile e comportamenti di routing del traffico.

Le sezioni seguenti spiegano come vengono utilizzati i backend esterni con Cloud Load Balancing. Se vuoi utilizzare un backend esterno con Traffic Director, consulta Traffic Director con i gruppi di endpoint di rete internet.

Terminologia

I seguenti termini vengono a volte usati in modo intercambiabile perché hanno significati uguali o simili:

backend esterno: un backend che risiede all'esterno di Google Cloud ed è raggiungibile tramite internet. L'endpoint in un NEG internet.
custom origin: uguale a un backend esterno. In CDN, origin è il termine standard di settore per un'istanza di backend che pubblica contenuti web.
Gruppo di endpoint di rete internet (NEG): la risorsa API Google Cloud che utilizzi per specificare un backend esterno.
endpoint esterno: equivale a un backend esterno.

Questo documento utilizza il termine backend esterno, tranne quando si fa riferimento alla risorsa dell'API NEG internet.

Componenti del bilanciatore del carico

Questa sezione descrive l'architettura di bilanciamento del carico e le risorse necessarie per configurare un bilanciatore del carico con un backend esterno. Il bilanciatore del carico richiede una configurazione speciale solo per il servizio di backend. La configurazione del frontend è uguale a quella di qualsiasi altro bilanciatore del carico.

Le figure seguenti mostrano le risorse Google Cloud necessarie per configurare un bilanciatore del carico con un backend esterno.

Esterno globale

Questa figura mostra le risorse Google Cloud necessarie per configurare un Application Load Balancer esterno globale con un backend esterno.

Esterno regionale

Questa figura mostra le risorse Google Cloud necessarie per configurare un Application Load Balancer esterno regionale con un backend esterno.

Questa figura mostra le risorse Google Cloud necessarie per configurare un bilanciatore del carico di rete proxy esterno regionale con un backend esterno.

Bilanciatore del carico di rete proxy esterno regionale con backend esterno. — Bilanciatore del carico di rete proxy esterno regionale con backend esterno (fai clic per ingrandire).

Interno a livello di regione

Questa figura mostra le risorse Google Cloud necessarie per configurare un Application Load Balancer interno regionale con un backend esterno.

Bilanciatore del carico delle applicazioni interno regionale con un backend esterno. — Application Load Balancer interno regionale con backend esterno (fai clic per ingrandire).

Questa figura mostra le risorse Google Cloud necessarie per configurare un bilanciatore del carico di rete proxy interno regionale con un backend esterno.

Bilanciatore del carico di rete proxy interno regionale con backend esterno. — Bilanciatore del carico di rete proxy interno regionale con backend esterno (fai clic per ingrandire).

Puoi utilizzare i NEG internet solo a livello di servizio di rete Premium.

Configurazione frontend

Non è necessaria una configurazione speciale del frontend per creare un bilanciatore del carico con un backend NEG internet. Le regole di forwarding vengono utilizzate per instradare il traffico a un proxy di destinazione in base a indirizzo IP, porta e protocollo. Il proxy di destinazione termina quindi le connessioni dai client. Inoltre, i bilanciatori del carico basati su Envoy richiedono una subnet solo proxy.

I bilanciatori del carico delle applicazioni utilizzano inoltre le mappe URL per configurare il routing basato su URL delle richieste ai servizi di backend appropriati.

Per maggiori dettagli su ciascuno di questi componenti, consulta le sezioni relative all'architettura del rispettivo bilanciatore del carico:

NEG Internet

Un NEG internet è una risorsa utilizzata per definire un backend esterno per il bilanciatore del carico. Il backend esterno a cui fa riferimento il NEG internet deve essere raggiungibile tramite internet. L'endpoint non può essere raggiungibile solo tramite Cloud VPN o Cloud Interconnect. Se il backend esterno fa riferimento a un'API o a un servizio Google, quest'ultimo deve essere raggiungibile tramite la porta TCP 80 o 443 utilizzando il protocollo HTTP, HTTPS o HTTP/2.

Esistono due modi per configurare l'endpoint esterno a cui fa riferimento il NEG: INTERNET_FQDN_PORT o INTERNET_IP_PORT. Inoltre, ciascuno di questi endpoint è disponibile in due ambiti: globale o regionale.

Utilizza la seguente tabella per esaminare le differenze tra i due tipi di endpoint e il loro comportamento negli ambiti globali e a livello di regione.

Bilanciatori del carico	Tipo di endpoint	Definizione di endpoint	Ambito	Controlli di integrità
Bilanciatore del carico delle applicazioni esterno globale Bilanciatore del carico delle applicazioni classico	`INTERNET_FQDN_PORT`	Un nome di dominio completo risolvibile pubblicamente e una porta facoltativa. ad esempio `backend.example.com:443`¹. Il nome di dominio deve essere risolvibile dall'infrastruttura DNS pubblica di Google. È consentito un solo endpoint per NEG.	Globale	Non supportata
	`INTERNET_IP_PORT`	Un indirizzo IP instradabile pubblicamente e una porta facoltativa. ad esempio `8.8.8.8:443`¹. L'indirizzo IP non può essere un indirizzo RFC 1918. È consentito un solo endpoint per NEG.	Globale	Non supportata
Bilanciatore del carico delle applicazioni esterno regionale Bilanciatore del carico delle applicazioni interno regionale Bilanciatore del carico di rete proxy esterno regionale Bilanciatore del carico di rete proxy interno regionale	`INTERNET_FQDN_PORT`	Un nome di dominio completo risolvibile pubblicamente e una porta facoltativa. ad esempio `backend.example.com:443`². Il nome di dominio deve essere risolvibile da Cloud DNS o dall'infrastruttura DNS pubblica di Google. Sono consentiti massimo 256 endpoint per NEG.	Regionale	Controlli di integrità distribuiti di Envoy
	`INTERNET_IP_PORT`	Un indirizzo IP instradabile pubblicamente e una porta facoltativa. ad esempio `8.8.8.8:443`². L'indirizzo IP non può essere un indirizzo RFC 1918. Sono consentiti massimo 256 endpoint per NEG.	Regionale	Controlli di integrità distribuiti di Envoy

¹ Se non specifichi una porta durante l'aggiunta dell'endpoint, viene utilizzata la porta predefinita del NEG. Se non hai specificato una porta predefinita per il NEG, viene utilizzata la porta nota per il tuo protocollo di backend (80 per HTTP e 443 per HTTPS e HTTP/2).

² Con i NEG internet a livello di regione, devi specificare una porta. Puoi specificare una porta predefinita durante la creazione del NEG oppure puoi specificare una porta ogni volta che aggiungi un endpoint al NEG oppure puoi eseguire entrambe le operazioni. Se non specifichi una porta durante l'aggiunta di un endpoint, viene utilizzata la porta predefinita del NEG.

Risoluzione DNS per gli endpoint `INTERNET_FQDN_PORT` a livello di regione

Se il tuo dominio è risolvibile su internet, non sono necessarie altre configurazioni per impostare il DNS. Tuttavia, per risolvere i nomi di dominio completi privati, dovrai configurare Cloud DNS per facilitare la risoluzione del DNS. Il nome deve essere ospitato su Cloud DNS o essere risolvibile tramite forwarding DNS da Cloud DNS a un DNS on-premise.

Per iniziare, crea una zona Cloud DNS per ospitare i record DNS nel tuo progetto. quindi aggiungi i record DNS. Per i passaggi di configurazione specifici, consulta la documentazione di Cloud DNS.

Se utilizzi un VPC condiviso, prendi nota dei requisiti di rete specifici. Puoi anche utilizzare altre funzionalità di Cloud DNS, come le zone di inoltro, per recuperare i record da un server DNS on-premise.

Risoluzione degli indirizzi IP per gli endpoint `INTERNET_FQDN_PORT` globali

Quando un endpoint INTERNET_FQDN_PORT rimanda a un record DNS che restituisce più indirizzi IP, l'indirizzo IP viene risolto nel seguente modo:

Il bilanciatore del carico utilizza un resolver DNS in una regione Google Cloud più vicina al client su internet. Se il record DNS per il tuo endpoint INTERNET_FQDN_PORT restituisce indirizzi IP diversi in base alla località del client, assicurati che ciascuno di questi indirizzi IP possa essere raggiunto dal bilanciatore del carico.
Il bilanciatore del carico tenta di connettersi al primo indirizzo IP nella risposta DNS. Se quell'indirizzo IP non è raggiungibile, il bilanciatore del carico restituisce una risposta 502 (Bad Gateway) HTTP. anche se sono disponibili altri indirizzi IP dalla risposta DNS.

Per ulteriori informazioni sugli intervalli IP e sulle località utilizzati dall'infrastruttura di risoluzione DNS di Google, consulta la documentazione relativa ai DNS pubblici di Google. I nomi che non possono essere risolti dal sistema DNS pubblico non sono utilizzabili come backend esterni.

Risoluzione degli indirizzi IP per gli endpoint `INTERNET_FQDN_PORT` a livello di regione

I NEG internet a livello di regione supportano la risoluzione dei nomi di dominio utilizzando sia Cloud DNS che il DNS pubblico di Google. Nel caso di server DNS pubblici, Cloud DNS inoltra il traffico ai server DNS pubblici.

Se il server DNS restituisce più indirizzi IP, Envoy bilancia il carico del traffico tra gli indirizzi IP restituiti in base all'algoritmo di bilanciamento del carico configurato (round robin, minima richiesta e così via). L'elenco di endpoint viene aggiornato periodicamente in base al TTL del DNS. Puoi configurare i criteri di nuovo tentativo per forzare Envoy a tentare di connettersi a un altro indirizzo IP in caso di errore.

Servizio di backend

I servizi di backend forniscono informazioni di configurazione al bilanciatore del carico. I bilanciatori del carico utilizzano le informazioni in un servizio di backend per indirizzare il traffico in entrata a uno o più backend collegati.

Per impostare un bilanciatore del carico con un backend esterno, devi configurare il servizio di backend con un backend NEG internet. Quando aggiungi un NEG internet a un servizio di backend, si applicano le seguenti considerazioni, a seconda dell'ambito del NEG:

Il servizio di backend non può utilizzare anche altri tipi di backend (ad esempio gruppi di istanze o NEG a livello di zona) come backend.
Numero di NEG per servizio di backend
- NEG globali. Puoi aggiungere un solo backend NEG internet a un servizio di backend.
- NEG regionali. Puoi aggiungere fino a 50 NEG internet allo stesso servizio di backend.
Numero di endpoint per NEG
- NEG globali. Puoi aggiungere un solo endpoint a un NEG internet.
Poiché è consentito un solo endpoint in ogni NEG internet globale, il bilanciamento del carico non viene effettivamente eseguito. Il bilanciatore del carico funge solo da frontend e indirizza il traffico al backend esterno specificato. Ciò significa che non puoi utilizzare nessuna delle modalità di bilanciamento del carico, ad esempio velocità, connessione o utilizzo.
- NEG regionali. Puoi aggiungere fino a 256 endpoint per NEG allo stesso servizio di backend.
I NEG a livello di regione non supportano le modalità di bilanciamento del carico, come velocità, connessione o utilizzo. Tutti gli endpoint di tutti i NEG collegati a un servizio di backend sono riuniti in pool in un singolo gruppo. Il traffico del bilanciamento del carico tra questo pool di endpoint viene gestito tramite gli algoritmi di bilanciamento del carico di Envoy. Per gli algoritmi dei criteri di bilanciamento del carico supportati, consulta localityLbPolicy nella documentazione relativa all'API del servizio di backend a livello di regione.
Controlli di integrità
- NEG globali. Il servizio di backend non può fare riferimento a un controllo di integrità.
- NEG regionali. Il bilanciatore del carico utilizza controlli di integrità Envoy distribuiti.
Lo schema di bilanciamento del carico del servizio di backend deve corrispondere allo schema richiesto dal bilanciatore del carico di cui stai eseguendo il deployment. Per l'elenco completo, vedi Servizi di backend.
Il protocollo del servizio di backend deve essere HTTP, HTTPS o HTTP2.

Ti consigliamo vivamente di utilizzare HTTPS o HTTP/2 come protocollo quando configuri un servizio di backend con un NEG internet, in modo che la comunicazione tra il bilanciatore del carico e il backend sia criptata e autenticata durante la transizione della rete internet pubblica.

Inoltre, quando utilizzi HTTPS o HTTP/2 come protocollo di backend, assicurati di utilizzare un endpoint INTERNET_FQDN_PORT per creare il backend esterno. Questo comporta due vantaggi:
- Garantisce che il bilanciatore del carico convalidi il certificato del server SSL presentato dal backend esterno e verifica che le seguenti informazioni siano vere:
  - Il certificato è firmato da autorità di certificazione (CA) note.
  - Il certificato non è scaduto.
  - La firma del certificato è valida.
  - Il nome di dominio completo configurato corrisponde a uno dei nomi alternativi del soggetto (SAN) nel certificato.
  Se crei il backend esterno utilizzando un endpoint INTERNET_IP_PORT, la convalida del certificato server SSL non viene eseguita.
- L'estensione SSL Server Name Indication (SNI) è supportata solo con gli endpoint INTERNET_FQDN_PORT. Al nome di dominio completo configurato viene inviato un SNI nell'hello del client durante l'handshake SSL tra il bilanciatore del carico e l'endpoint esterno. La SNI non viene inviata quando utilizzi un endpoint INTERNET_IP_PORT perché i valori letterali degli indirizzi IP non sono consentiti nel campo HostName di un payload SNI.

Controlli di integrità

La configurazione del controllo di integrità varia in base al tipo di bilanciatore del carico:

Application Load Balancer esterno globale e Application Load Balancer classico. Un servizio di backend con un NEG internet globale non supporta i controlli di integrità.

Se il backend esterno non è raggiungibile o se il nome host configurato (FQDN) non può essere risolto, il bilanciatore del carico restituisce una risposta HTTP 502 (Bad Gateway) ai client.

Bilanciatore del carico delle applicazioni esterno regionale, bilanciatore del carico delle applicazioni interno regionale, bilanciatore del carico di rete proxy esterno regionale e bilanciatore del carico di rete proxy interno regionale. I controlli di integrità sono facoltativi. I probe del controllo di integrità per questi bilanciatori del carico provengono dalla subnet solo proxy e vengono quindi tradotti da NAT (utilizzando Cloud NAT) in indirizzi IP preprenotati o indirizzi IP NAT allocati automaticamente. Per maggiori dettagli, consulta NEG regionali: utilizzare un gateway Cloud NAT.
I controlli di integrità distribuiti da Envoy vengono creati utilizzando la stessa console Google Cloud, gcloud CLI e gli stessi processi API dei controlli di integrità centralizzati. Non sono necessarie altre configurazioni.

Aspetti da considerare:
- I controlli di integrità gRPC non sono supportati.
- I controlli di integrità con il protocollo PROXY v1 abilitato non sono supportati.
- Poiché il piano dati Envoy gestisce i controlli di integrità, non puoi utilizzare la console Google Cloud, l'API o gcloud CLI per controllare lo stato di integrità di questi endpoint esterni. Per i NEG ibridi con bilanciatori del carico basati su Envoy, la console Google Cloud mostra lo stato del controllo di integrità come N/A. È previsto.
- Ogni proxy Envoy assegnato alla subnet solo proxy nella regione della rete VPC avvia i controlli di integrità in modo indipendente. Pertanto, potresti notare un aumento del traffico di rete a causa del controllo di integrità. L'aumento dipende dal numero di proxy Envoy assegnati alla rete VPC in una regione, dalla quantità di traffico ricevuto da questi proxy e dal numero di endpoint di cui ogni proxy Envoy ha bisogno per il controllo di integrità. Nel peggiore dei casi, il traffico di rete a causa dei controlli di integrità aumenta con una frequenza quadratica di (O(n^2)).
- I log dei controlli di integrità per i controlli di integrità Envoy distribuiti non includono stati di integrità dettagliati. Per maggiori dettagli su cosa viene registrato, vedi Registrazione del controllo di integrità. Per risolvere ulteriormente i problemi di connettività dai proxy Envoy ai tuoi endpoint NEG, devi anche controllare i rispettivi log del bilanciatore del carico.

Abilita il backend esterno per ricevere le richieste

Il traffico proveniente dai bilanciatori del carico che utilizzano NEG internet a livello di regione proviene dalla subnet solo proxy e viene quindi tradotto (utilizzando Cloud NAT) in indirizzi IP NAT pre-prenotati o allocati automaticamente. Sono inclusi sia i probe di controllo di integrità sia le richieste degli utenti dal bilanciatore del carico ai backend.

La configurazione del backend esterno per consentire il traffico da Google Cloud dipende dall'ambito del NEG: globale o regionale.

NEG globali: inserisci gli indirizzi IP in uscita da Google predefiniti nella lista consentita

Se utilizzi un NEG internet globale, devi inserire nella lista consentita gli intervalli di indirizzi IP che Google utilizza per inviare richieste ai backend esterni. Per cercare gli indirizzi IP da inserire nella lista consentita, esegui una query sul record TXT DNS _cloud-eoips.googleusercontent.com utilizzando uno strumento come dig o nslookup.

Per un esempio, consulta Consentire al backend esterno di ricevere traffico da Google Cloud.

NEG regionali: utilizza un gateway Cloud NAT

Se utilizzi un NEG internet a livello di regione, devi prima configurare un gateway Cloud NAT per allocare un insieme di intervalli di indirizzi IP da cui deve avere origine il traffico Google Cloud.

L'endpoint del gateway deve essere di tipo ENDPOINT_TYPE_MANAGED_PROXY_LB.

Il gateway Cloud NAT può essere configurato per allocare automaticamente gli indirizzi IP esterni in base alla domanda o per utilizzare un set di indirizzi IP esterni preprenotato manualmente.

Indirizzi IP allocati automaticamente

Utilizza gli indirizzi IP allocati automaticamente se il tuo ambiente di backend esterno non richiede di inserire nella lista consentita indirizzi IP di Google Cloud specifici che possono inviare traffico al backend esterno.
Indirizzi IP allocati manualmente

Utilizza gli indirizzi IP allocati manualmente solo se il tuo ambiente di backend esterno richiede di inserire nella lista consentita indirizzi IP di Google Cloud specifici. Poiché ogni Envoy assegnato alla tua subnet proxy utilizza un intero indirizzo IP. Assicurati che il pool di indirizzi IP riservati sia abbastanza grande da contenere tutti gli Envoy.

Avviso: se esegui il provisioning di un numero inferiore di indirizzi IP NAT rispetto al numero di proxy Envoy assegnati, le richieste inviate al NEG internet potrebbero causare errori HTTP 5xx. Per assicurarti di ricevere informazioni quando si verifica un evento di questo tipo, configura un avviso per la metrica nat_allocation_failed. Contatta l'assistenza se hai bisogno di aiuto per calcolare il numero di indirizzi IP che devono essere allocati per il tuo bilanciatore del carico in una regione specifica.

In caso di problemi di connettività su larga scala, controlla se hai raggiunto i limiti di Cloud NAT. Per impostazione predefinita, puoi utilizzare un massimo di 50 indirizzi IP NAT allocati manualmente per gateway.

Questa configurazione di Cloud NAT si applica all'intera subnet solo proxy. Il traffico internet associato a tutti i bilanciatori del carico basati su Envoy a livello di regione nella regione condividono lo stesso gateway NAT.

L'utilizzo di Cloud NAT comporta addebiti sia per il traffico degli utenti che per il traffico controllo di integrità. Per maggiori dettagli su come funzionano i prezzi per il NEG internet a livello di regione, consulta Prezzi per NEG internet a livello di regione.

Esistono alcune limitazioni per i gateway NAT configurati su subnet solo proxy:

Viene eseguita solo la traduzione NAT one-to-one. La condivisione degli indirizzi IP non è supportata.
Logging e monitoraggio non sono supportati. Ciò significa che i flag --enable-logging e --log-filter non sono supportati.
Le funzionalità relative alle porte, come l'allocazione statica e dinamica delle porte, l'impostazione del numero massimo e del numero minimo di porte per VM e la mappatura indipendente dagli endpoint, non sono supportate. Ogni proxy riceve tutte le 65.536 porte.

Autentica le richieste nel backend esterno

Questa sezione riguarda solo i bilanciatori del carico delle applicazioni.

Per autenticare le richieste inviate al tuo backend esterno, puoi eseguire una delle seguenti operazioni:

Imposta un'intestazione personalizzata per indicare che la richiesta proviene da un bilanciatore del carico Google Cloud utilizzando un'intestazione della richiesta personalizzata. Ad esempio, puoi utilizzare almeno 16 byte crittograficamente casuali come chiave condivisa.

L'implementazione delle trasformazioni delle intestazioni personalizzate dipende dal tipo di bilanciatore del carico che stai utilizzando:
- Application Load Balancer esterno globale e Application Load Balancer classico. Le trasformazioni personalizzate delle intestazioni possono essere configurate sul servizio di backend o sulla mappa URL.
  
  Ad esempio, puoi configurare il backend esterno in modo che preveda un valore specifico per l'intestazione Host della richiesta HTTP e puoi configurare il bilanciatore del carico in modo che imposti l'intestazione Host sul valore previsto. Se non configuri un'intestazione della richiesta personalizzata, il bilanciatore del carico conserva le intestazioni utilizzate dal client per la connessione al bilanciatore del carico e include la stessa intestazione nella risposta. Tuttavia, tieni presente che la modifica dell'intestazione Host non è supportata nella mappa URL.
  
  Esistono limitazioni aggiuntive associate alla configurazione dell'intestazione Host. Per maggiori dettagli, consulta Creare intestazioni personalizzate nei servizi di backend. Per un esempio specifico, consulta Configurare un Application Load Balancer esterno globale con un backend esterno.
- Application Load Balancer esterno regionale e un Application Load Balancer interno regionale. Le trasformazioni personalizzate delle intestazioni possono essere configurate solo nella mappa URL.
  
  Per questi bilanciatori del carico basati su Envoy, Host e authority sono parole chiave speciali prenotate da Google Cloud. Non puoi modificare queste intestazioni per questi bilanciatori del carico. Ti consigliamo invece di creare altre intestazioni personalizzate (ad esempio, MyHost) in modo da non interferire con i nomi riservati delle intestazioni.
Abilita IAP e verifica che il JWT firmato nell'intestazione della richiesta sia firmato da Google e che la rivendicazione aud (pubblico) contenga il numero di progetto in cui è definito il bilanciatore del carico.

IAP non è compatibile con Cloud CDN. IAP non è supportato con bilanciatori del carico delle applicazioni esterni regionali e bilanciatori del carico di rete proxy (interni ed esterni).
Abilita l'autenticazione dell'origine privata, che concede a un bilanciatore del carico delle applicazioni esterno l'accesso a lungo termine a un bucket Amazon Simple Storage Service (Amazon S3) privato o ad altri archivi di oggetti compatibili. Cloud CDN (e quindi l'autenticazione dell'origine privata) non è supportato con Application Load Balancer esterni regionali e Application Load Balancer interni regionali.

Log

Le richieste inviate tramite proxy a un backend esterno vengono registrate in Cloud Logging nello stesso modo in cui vengono registrate le richieste per altri backend.

Per ulteriori informazioni, consulta le seguenti risorse:

Se abiliti Cloud CDN per un bilanciatore del carico delle applicazioni esterno utilizzando un backend esterno, vengono registrati anche gli hit della cache.

Elaborazione delle intestazioni con backend esterni

Bilanciatori del carico delle applicazioni esterni globali e bilanciatori del carico delle applicazioni classici

Quando un bilanciatore del carico delle applicazioni globale o classico usa come proxy le richieste a un backend esterno, regola le intestazioni HTTP nei seguenti modi:

Alcune intestazioni sono unite. Quando sono presenti più istanze della stessa chiave di intestazione (ad esempio Via), il bilanciatore del carico combina i valori in un unico elenco separato da virgole per una singola chiave di intestazione. Solo le intestazioni i cui valori possono essere rappresentati come elenchi separati da virgole vengono unite. Le altre intestazioni, come Set-Cookie, non vengono mai unite.
Le intestazioni vengono inserite correttamente quando il protocollo del servizio di backend è HTTP o HTTPS:
- La prima lettera della chiave dell'intestazione e ogni lettera che segue un trattino (-) sono in maiuscolo per garantire la compatibilità con i client HTTP/1.1. Ad esempio, user-agent viene cambiato in User-Agent e content-encoding viene cambiato in Content-Encoding.
- Alcune intestazioni, come Accept-CH (suggerimenti client), vengono convertite in modo da corrispondere alla rappresentazione standard di lettere miste.
Vengono aggiunte alcune intestazioni o dei valori. Gli Application Load Balancer esterni aggiungono o modificano sempre determinate intestazioni, ad esempio Via e X-Forwarded-For.

Application Load Balancer esterni regionali e Application Load Balancer interni regionali

Non esiste un'elaborazione speciale delle intestazioni per i bilanciatori del carico basati su Envoy che utilizzano i NEG internet. Per informazioni su come Envoy elabora le intestazioni, consulta manipolazione delle intestazioni HTTP.

Limitazioni

Esamina la sezione del servizio di backend per conoscere le limitazioni associate alla configurazione dei NEG internet come backend.
Quando modifichi un bilanciatore del carico per cambiare il backend da un NEG internet a un altro tipo di backend oppure cambi il backend da qualsiasi altro tipo di backend a un NEG internet, l'applicazione ha un tempo di inattività temporaneo di circa 30-90 secondi. Ad esempio, durante questo tempo di inattività, i client che inviano richieste ad Application Load Balancer esterni globali vedono gli errori 502 con il codice di errore failed_to_connect_to_backend. Questo è un comportamento previsto.
Le seguenti funzionalità avanzate di gestione del traffico non sono supportate con i backend di NEG internet globali:
- Richiedi mirroring
- Criterio di nuovo tentativo
- Criteri di traffico (inclusi i criteri di località del bilanciamento del carico, l'affinità sessione e il rilevamento di outlier)
Esamina la sezione Gateway Cloud NAT per conoscere le limitazioni associate ai gateway NAT configurati su subnet solo proxy.

Quote e limiti

Ai NEG internet si applicano le quote e i limiti seguenti:

Puoi configurare il numero di NEG con endpoint di rete esterni consentito dalla quota di gruppi di endpoint di rete esistente.
Il numero di NEG per servizio di backend dipende dal tipo di NEG internet (globale o regionale):
- Per i NEG globali, puoi aggiungere un solo backend NEG internet allo stesso servizio di backend.
- Per i NEG a livello di regione, puoi aggiungere fino a 50 NEG internet allo stesso servizio di backend.
Il numero di endpoint per NEG dipende anche dal tipo di NEG internet (globale o regionale):
- Per i NEG globali, puoi aggiungere un solo endpoint a un NEG internet.
- Per i NEG a livello di regione, puoi aggiungere fino a 256 endpoint a un NEG internet.

Per ulteriori informazioni, consulta la quota backend NEG e la quota endpoint per NEG.

Prezzi

Il traffico in uscita verso endpoint NEG internet esterni viene addebitato alle tariffe in uscita da internet per il networking del livello Premium. L'origine si basa sulla località del client e la destinazione si basa sulla località dell'endpoint pubblico.

Se hai configurato un gateway Cloud NAT per mappare la subnet solo proxy del bilanciatore del carico basato su Envoy a livello di regione, ti verranno addebitati costi per Cloud NAT. I gateway Cloud NAT allocati per i bilanciatori del carico comportano addebiti orari equivalenti a una rete con più di 32 istanze VM. Per i dettagli, consulta i prezzi di Cloud NAT.

Per ulteriori informazioni, consulta i prezzi di Cloud Load Balancing.