Externe Passthrough-Network-Load-Balancer sind regionale Layer-4-Load-Balancer, die externen Traffic auf Back-Ends (Instanzgruppen oder Netzwerk-Endpunktgruppen (NEGs)) in derselben Region wie der Load-Balancer verteilen. Diese Back-Ends müssen sich in derselben Region und demselben Projekt befinden, können sich jedoch in verschiedenen VPC-Netzwerken befinden.
Sie können einen externen Passthrough-Network Load Balancer für TCP-, UDP-, ESP-, GRE-, ICMP- und ICMPv6-Traffic konfigurieren.
Externe Passthrough-Network Load Balancer können Traffic von folgenden Quellen empfangen:
- Jedem Client im Internet
- Google Cloud-VMs mit externen IP-Adressen
- Google Cloud-VMs mit Internetzugriff über Cloud NAT oder instanzbasiertes NAT
Externe Passthrough-Network Load Balancer haben die folgenden Eigenschaften:
- Ein externer Passthrough-Network-Load-Balancer ist ein verwalteter Dienst, der mithilfe eines virtuellen Andromeda-Netzwerks und mit Google Maglev implementiert wird.
- Der Bereich eines externen Passthrough-Network Load Balancers ist regional. Das bedeutet, dass der Load-Balancer nicht mehrere Regionen umfassen kann. Innerhalb einer einzelnen Region werden alle Zonen vom Load-Balancer bedient.
- Externe Passthrough-Network Load Balancer sind keine Proxys.
- Pakete mit Load-Balancing werden von Backend-VMs mit den Quell- und Ziel-IP-Adressen des Pakets, dem Protokoll und den unveränderten Quell- und Zielports angezeigt, wenn das Protokoll portbasiert ist.
- Verbindungen mit Load-Balancing werden von den Back-End-VMs beendet.
- Antworten von den Backend-VMs werden direkt an die Clients gesendet, nicht über den Load-Balancer. Der Branchenbegriff hierfür ist direkte Serverrückgabe (DSR).
Die folgenden Diagramme zeigen einen externen Passthrough-Network Load Balancer, dessen Weiterleitungsregel die IP-Adresse 120.1.1.1
hat. Der externe Passthrough-Network Load Balancer ist in der Region us-central1
mit seinen Back-Ends in derselben Region konfiguriert.
Externe Passthrough-Network Load Balancer sind regional und unterstützen nur Back-Ends in derselben Region wie ihre konfigurierten Front-Ends. Pakete an externe Passthrough-Network Load Balancer können jedoch weiterhin von überall aus dem Internet gesendet werden, unabhängig davon, ob sich die IP-Adresse des Load Balancers in der Premium- oder Standardstufe befindet. Wenn sich die IP-Adresse des Load-Balancers in der Premium-Stufe befindet, durchquert der Traffic den hochwertigen globalen Backbone von Google mit der Absicht, dass die Pakete den Edge-Peering-Punkt von Google möglichst nah am Client betreten bzw. verlassen. Wenn sich die IP-Adresse des Load-Balancers in der Standardstufe befindet, betritt und verlässt der Traffic das Google-Netzwerk an einem Peering-Punkt, der derjenigen Google Cloud-Region am nächsten ist, in der der Load-Balancer konfiguriert ist.
Im folgenden Diagramm wird der Traffic von einem Nutzer in Singapur an den externen Passthrough-Network Load Balancer in us-central1
(Weiterleitungsregel-IP-Adresse 120.1.1.1
) weitergeleitet.
Im folgenden Diagramm wird der Traffic von einem Nutzer in Iowa an den externen Passthrough-Network Load Balancer in us-central1
(Weiterleitungsregel-IP-Adresse 120.1.1.1
) weitergeleitet.
Anwendungsfälle
In folgenden Fällen sollten Sie einen externen Passthrough-Network Load Balancer verwenden:
- Sie müssen Load-Balancing für Nicht-TCP-Traffic oder für einen TCP-Port verwenden, der nicht von anderen Load-Balancern unterstützt wird.
- Es ist zulässig, dass SSL-Traffic von Ihren Back-Ends und nicht vom Load-Balancer entschlüsselt wird. Der externe Passthrough-Network Load Balancer kann diese Aufgabe nicht ausführen. Wenn die Back-Ends den SSL-Traffic entschlüsseln, ist die CPU-Last auf den VMs höher.
- Sie können die SSL-Zertifikate der Backend-VM selbst verwalten. Von Google verwaltete SSL-Zertifikate sind nur für externe Application Load Balancer und externe Proxy-Network Load Balancer verfügbar.
- Sie müssen die ursprünglichen Pakete ohne Proxy weiterleiten. Zum Beispiel, wenn die Quell-IP-Adresse des Clients erhalten bleiben soll.
- Sie haben bereits eine Konfiguration, in der ein Pass-Through-Load-Balancer verwendet wird, und möchten sie ohne Änderungen migrieren.
- Sie benötigen erweiterten Netzwerk-DDoS-Schutz für Ihren externen Passthrough-Network Load Balancer. Weitere Informationen finden Sie unter Erweiterten DDoS-Netzwerkschutz mit Google Cloud Armor konfigurieren.
Load-Balancing für GKE-Anwendungen
Wenn Sie Anwendungen in GKE erstellen, empfehlen wir die Verwendung des integrierten GKE-Dienstcontrollers, der Google Cloud-Load-Balancer im Namen von GKE-Nutzern bereitstellt. Dies ist mit der eigenständigen Load-Balancing-Architektur identisch, mit dem Unterschied, dass der Lebenszyklus vollständig automatisiert ist und von GKE gesteuert wird.
Zugehörige GKE-Dokumentation:
Architektur
Die Architektur eines externen Passthrough-Network Load Balancers hängt davon ab, ob Sie einen Backend-Dienst-basierten externen Passthrough-Network Load Balancer oder einen Zielpool-basierten externen Passthrough-Network Load Balancer verwenden.
Backend-Dienst-basierter externer Passthrough-Network-Load-Balancer
Sie können externe Passthrough-Netzwerk-Load-Balancer mit einem regionalen Backend-Dienst erstellen, der das Verhalten des Load-Balancers definiert und wie er den Traffic auf seine Backends verteilt.
Backend-Dienst-basierte externe Passthrough-Netzwerk-Load-Balancer unterstützen IPv4- und IPv6-Traffic, mehrere Protokolle (TCP, UDP, ESP, GRE, ICMP und ICMPv6), verwaltete und nicht verwaltete Instanzgruppen-Backends , zonale NEG-Back-Ends mitGCE_VM_IP
Endpunkte (einschließlich Unterstützung fürMehrere Netzwerkschnittstellen ), detaillierte Steuerelemente für die Trafficverteilung (Verbindungs-Tracking ,Verbindungsausgleich ,Trafficsteuerung ,Gewichtetes Load-Balancing , undFailover-Richtlinien ) und ermöglichen die Verwendung von Nicht-Legacy-Systemdiagnosen, die dem Typ des Traffics (TCP, SSL, HTTP, HTTPS oder HTTP/2) entsprechen, den Sie verteilen.
Informationen zur Architektur finden Sie unter Externer Passthrough-Network Load Balancer mit einem regionalen Backend-Dienst.
Sie können auch einen vorhandenen Zielpool-basierten externen Passthrough-Network Load Balancer umstellen, um stattdessen einen Backend-Dienst zu verwenden. Eine Anleitung dazu finden Sie unter Externen Passthrough-Network Load Balancer von Zielpools zu Backend-Diensten umstellen.
Zielpool-basierter externer Passthrough-Network Load Balancer
Ein Zielpool ist das Legacy-Backend, das von den externen Passthrough-Network Load Balancern von Google Cloud unterstützt wird. Mit einem Zielpool wird eine Gruppe von Instanzen definiert, die eingehenden Traffic vom Load-Balancer empfangen sollen.
Zielpoolsbasierte externe Passthrough-Network Load Balancer unterstützen entweder TCP- oder UDP-Traffic. Weiterleitungsregeln für zielpoolbasierte externe Passthrough-Network Load Balancer unterstützen nur externe IPv4-Adressen.
Weitere Informationen finden Sie unter Externer Passthrough-Network Load Balancer mit Zielpool-Backend.
Externe Passthrough-Network Load Balancer mit anderen Google Cloud Load Balancern vergleichen
Informationen über die unterschiedlichen Google Cloud-Load-Balancer finden Sie in den folgenden Dokumenten: