Présentation de l'équilibreur de charge réseau passthrough externe

Les équilibreurs de charge réseau passthrough externes sont des équilibreurs de charge régionaux de couche 4 qui distribuent du trafic externe entre les backends (groupes d'instances ou groupes de points de terminaison du réseau, aussi appelés NEG) dans la même région que l'équilibreur de charge. Ces backends doivent se trouver dans la même région et le même projet, mais peuvent se trouver sur des réseaux VPC différents.

Vous pouvez configurer un équilibreur de charge réseau passthrough externe pour le trafic TCP, UDP, ESP, GRE, ICMP et ICMPv6.

Les équilibreurs de charge réseau passthrough externes peuvent recevoir du trafic provenant de :

• N'importe quel client sur Internet
• VM Google Cloud avec adresses IP externes
• VM Google Cloud ayant accès à Internet via Cloud NAT ou une NAT basée sur une instance

Les équilibreurs de charge réseau passthrough externes présentent les caractéristiques suivantes :

• Un équilibreur de charge réseau passthrough externe est un service géré mis en œuvre à l'aide du réseau virtuel Andromeda et de Google Maglev.
• Le champ d'application d'un équilibreur de charge réseau passthrough externe est régional. Cela signifie que l'équilibreur de charge ne peut pas s'étendre sur plusieurs régions. Dans une même région, l'équilibreur de charge dessert toutes les zones.
• Les équilibreurs de charge réseau passthrough externes ne sont pas des proxys.
  • Les paquets à équilibrage de charge sont reçus par les VM de backend avec les adresses IP source et de destination de paquet, le protocole et, si celui-ci est basé sur le port, les ports source et de destination inchangés.
  • Les connexions à équilibrage de charge sont interrompues par les VM backend.
  • Les réponses provenant des VM backend vont directement aux clients. Elles ne passent pas par l'équilibreur de charge. Le terme utilisé dans le secteur est retour direct du serveur.

Les schémas suivants illustrent un équilibreur de charge réseau passthrough externe dont la règle de transfert possède l'adresse IP 120.1.1.1. L'équilibreur de charge réseau passthrough externe est configuré dans la région us-central1 avec ses backends situés dans la même région.

Les équilibreurs de charge réseau passthrough externes sont régionaux par défaut et ne sont compatibles qu'avec les backends situés dans la même région que leurs interfaces configurées. Toutefois, les paquets vers les équilibreurs de charge réseau passthrough externes peuvent toujours être envoyés depuis n'importe où sur Internet, que l'adresse IP de l'équilibreur de charge soit de niveau Premium ou Standard. Si l'adresse IP de l'équilibreur de charge est de niveau Premium, le trafic traverse le réseau backbone mondial de haute qualité de Google dans le but que les paquets pénètrent et quittent un point d'appairage périphérique de Google aussi proche que possible du client. Si l'adresse IP de l'équilibreur de charge est de niveau Standard, le trafic pénètre et quitte le réseau Google au point d'appairage le plus proche de la région Google Cloud où l'équilibreur de charge est configuré.

Dans le diagramme suivant, le trafic est acheminé depuis un utilisateur de Singapour vers l'équilibreur de charge réseau passthrough externe dans us-central1 (adresse IP de la règle de transfert 120.1.1.1).

Dans le diagramme suivant, le trafic est acheminé depuis un utilisateur en Iowa vers l'équilibreur de charge réseau passthrough externe dans us-central1 (adresse IP de la règle de transfert 120.1.1.1).

Cas d'utilisation

Utilisez un équilibreur de charge réseau passthrough externe dans les cas suivants :

• Vous devez équilibrer la charge du trafic non-TCP ou la charge d'un port TCP qui n'est pas gérée par les autres équilibreurs de charge.
• Il est possible que le trafic SSL soit déchiffré par vos backends plutôt que par l'équilibreur de charge. L'équilibreur de charge réseau passthrough externe ne peut pas effectuer cette tâche. Lorsque les backends déchiffrent le trafic SSL, la charge processeur augmente sur les VM.
• Vous acceptez les certificats SSL autogérés de la VM de backend. Les certificats SSL gérés par Google ne sont disponibles que pour les équilibreurs de charge d'application externes et les équilibreurs de charge réseau proxy externes.
• Vous devez transférer les paquets d'origine sans proxy. Par exemple, si vous souhaitez que l'adresse IP source du client soit conservée.
• Vous disposez d'une configuration existante qui utilise un équilibreur de charge pass-through et vous souhaitez la transférer sans modification.
• Vous avez besoin d'une protection DDoS avancée pour votre équilibreur de charge réseau passthrough externe. Pour en savoir plus, consultez la page Configurer la protection DDoS avancée du réseau à l'aide de Google Cloud Armor.

Équilibrage de charge pour les applications GKE

Si vous créez des applications dans GKE, nous vous recommandons d'utiliser le contrôleur de service GKE intégré, qui déploie des équilibreurs de charge Google Cloud pour le compte des utilisateurs de GKE. Il s'agit de la même architecture que l'architecture d'équilibrage de charge autonome, sauf que son cycle de vie est entièrement automatisé et contrôlé par GKE.

Documentation GKE associée :

• Exposer des applications à l'aide des services
• Configurer l'équilibrage de charge TCP/UDP

Architecture

L'architecture d'un équilibreur de charge réseau passthrough externe varie selon que vous utilisez un équilibreur de charge réseau passthrough externe basé sur un service de backend ou basé sur un pool cible.

Équilibreur de charge réseau passthrough externe basé sur un service de backend

Vous pouvez créer des équilibreurs de charge réseau passthrough externes avec un service de backend régional qui définit le comportement de l'équilibreur de charge et la façon dont il répartit le trafic vers ses backends. Les équilibreurs de charge réseau passthrough externes basés sur un service de backend sont compatibles avec le trafic IPv4 et IPv6, plusieurs protocoles (TCP, UDP, ESP, GRE, ICMP et ICMPv6), des backends de groupes d'instances gérés et non gérés, des backends de NEG zonaux utilisant des points de terminaison GCE_VM_IP (et qui sont aussi compatibles avec plusieurs interfaces réseau), des contrôles ultraprécis de la répartition du trafic (suivi des connexions, drainage de connexion, orientation du trafic, équilibrage de charge pondéré et règles de basculement). Ils vous permettent également d'utiliser des vérifications d'état non héritées correspondant au type de trafic (TCP, SSL, HTTP, HTTPS ou HTTP/2) que vous distribuez.

Pour en savoir plus, consultez la section Équilibreur de charge réseau passthrough externe avec un service de backend régional.

Vous pouvez également transformer un équilibreur de charge réseau passthrough externe basé sur un pool cible existant pour qu'il utilise un service de backend à la place. Pour obtenir des instructions, consultez la section Transition des équilibreurs de charge réseau passthrough externes depuis des pools cibles vers des services de backend.

Équilibreur de charge réseau passthrough externe basé sur un pool cible

Le pool cible est l'ancien backend compatible avec les équilibreurs de charge réseau passthrough externes de Google Cloud. Un pool cible définit un groupe d'instances qui doivent recevoir le trafic entrant de l'équilibreur de charge.

Les équilibreurs de charge réseau passthrough externes basés sur un pool cible acceptent le trafic TCP ou UDP. Les règles de transfert des équilibreurs de charge réseau passthrough externes basés sur un pool cible n'acceptent que les adresses IPv4 externes.

Pour en savoir plus, consultez la section Équilibreur de charge réseau passthrough externe avec un backend de pool cible.

Comparer les équilibreurs de charge réseau passthrough externes à d'autres équilibreurs de charge Google Cloud

Pour en savoir plus sur les différences entre les équilibreurs de charge Google Cloud, consultez les documents suivants :

• Présentation de l'équilibrage de charge
• Choisir un équilibreur de charge
• Fonctionnalités de l'équilibreur de charge