Les équilibreurs de charge réseau passthrough sont des équilibreurs de charge passthrough régionaux de couche 4. Ces équilibreurs de charge répartissent le trafic entre les backends de la même région que l'équilibreur de charge. Comme leur nom l'indique, les équilibreurs de charge réseau passthrough ne sont pas des proxys. Les paquets à équilibrage de charge sont reçus par les VM de backend avec les adresses IP source et de destination de paquet, le protocole et, si celui-ci est basé sur le port, les ports source et de destination inchangés. Les connexions à équilibrage de charge sont interrompues au niveau des backends. Les réponses provenant des VM backend vont directement aux clients. Elles ne passent pas par l'équilibreur de charge. Le terme utilisé dans le secteur est retour direct du serveur.
Le schéma suivant montre un exemple d'architecture d'équilibreur de charge réseau passthrough.
Vous pouvez utiliser un équilibreur de charge réseau passthrough dans les cas suivants :
- Vous devez transférer les paquets clients d'origine vers les backends sans proxy, par exemple, si vous souhaitez que l'adresse IP source du client soit conservée.
- Vous devez équilibrer la charge du trafic TCP, UDP, ESP, GRE, ICMP et ICMPv6. Vous devez également équilibrer la charge sur un port TCP qui n'est pas compatible avec les autres équilibreurs de charge.
- Il est possible que le trafic SSL soit déchiffré par vos backends plutôt que par l'équilibreur de charge. L'équilibreur de charge réseau passthrough ne peut pas effectuer cette tâche. Lorsque les backends déchiffrent le trafic SSL, la charge processeur augmente sur les VM.
- Vous pouvez gérer vous-même les certificats SSL de la VM de backend. Les certificats SSL gérés par Google ne sont disponibles que pour les équilibreurs de charge proxy.
- Vous disposez d'une configuration existante qui utilise un équilibreur de charge passthrough et vous souhaitez la transférer sans modification.
Les équilibreurs de charge réseau passthrough sont disponibles dans les modes de déploiement suivants.
Champ d'application | Type de trafic | Niveau de service réseau | Schéma d'équilibrage de charge † | Adresse IP | Ports d'interface | Liens | |
---|---|---|---|---|---|---|---|
Équilibreur de charge réseau passthrough externe
Équilibre la charge du trafic provenant des clients sur Internet. |
Régional | TCP, UDP, ESP, GRE, ICMP et ICMPv6 | Premium ou Standard | EXTERNAL | IPv4 et IPv6 | Un seul port, une plage de ports ou tous les ports | Détails de l'architecture |
Équilibreur de charge réseau passthrough interne
Équilibrez le trafic au sein de votre réseau VPC ou de réseaux connectés à votre réseau VPC. |
Régional | TCP, UDP, ICMP, ICMPv6, SCTP, ESP, AH et GRE | Premium | INTERNAL | IPv4 et IPv6 | Un seul port, une plage de ports ou tous les ports | Détails de l'architecture |
† Le schéma d'équilibrage de charge est un attribut de la règle de transfert et du service de backend d'un équilibreur de charge qui indique si l'équilibreur de charge peut être utilisé pour le trafic interne ou externe.
Équilibreurs de charge réseau passthrough externes
Les équilibreurs de charge réseau passthrough externes sont des équilibreurs de charge régionaux de couche 4 qui distribuent du trafic externe entre les backends (groupes d'instances ou groupes de points de terminaison du réseau, aussi appelés NEG) dans la même région que l'équilibreur de charge. Ces backends doivent se trouver dans la même région et le même projet, mais peuvent se trouver sur des réseaux VPC différents. Ces équilibreurs de charge sont basés sur Maglev et la pile de virtualisation de réseau Andromeda.
Les équilibreurs de charge réseau passthrough externes peuvent recevoir du trafic provenant de :
- N'importe quel client sur Internet
- VM Google Cloud avec adresses IP externes
- VM Google Cloud ayant accès à Internet via Cloud NAT ou une NAT basée sur une instance
Les équilibreurs de charge réseau passthrough externes ne sont pas des proxys. L'équilibreur de charge lui-même ne met pas fin aux connexions des utilisateurs. Les paquets à équilibrage de charge sont envoyés aux VM de backend avec leurs adresses IP source et de destination, leur protocole et, le cas échéant, leurs ports, inchangés. Les VM de backend mettent ensuite fin aux connexions des utilisateurs. Les réponses de ces VM de backend vont directement aux clients. Elles ne passent pas par l'équilibreur de charge. Ce processus est appelé retour direct du serveur.
Le schéma suivant montre un équilibreur de charge réseau passthrough externe configuré dans la région us-central1
avec ses backends situés dans la même région. Le trafic est acheminé depuis un utilisateur singapourien vers l'équilibreur de charge dans la région us-central1
(adresse IP de la règle de transfert 120.1.1.1
).
Si l'adresse IP de l'équilibreur de charge est de niveau Premium, le trafic traverse le réseau backbone mondial de haute qualité de Google dans le but que les paquets pénètrent et quittent un point d'appairage périphérique de Google aussi proche que possible du client. Si l'adresse IP de l'équilibreur de charge est de niveau Standard, le trafic pénètre et quitte le réseau Google au point d'appairage le plus proche de la région Google Cloud où l'équilibreur de charge est configuré.
L'architecture d'un équilibreur de charge réseau passthrough externe varie selon que vous utilisez un service de backend ou un pool cible pour configurer le backend.
Équilibreurs de charge basés sur un service de backend
Les équilibreurs de charge réseau passthrough externes peuvent être créés avec un service de backend régional, lequel définit le comportement de l'équilibreur de charge et la façon dont il répartit le trafic vers ses backends. Les équilibreurs de charge réseau passthrough externes basés sur un service de backend acceptent le trafic IPv4 et IPv6, plusieurs protocoles (TCP, UDP, ESP, GRE, ICMP et ICMPv6), les backends de groupes d'instances gérés et non gérés, les backends de groupes de points de terminaison du réseau (NEG) zonaux avec des points de terminaison GCE_VM_IP
, les contrôles précis de la distribution du trafic et les règles de basculement. Ils vous permettent d'utiliser des vérifications d'état non héritées correspondant au type de trafic (TCP, SSL, HTTP, HTTPS ou HTTP/2) que vous distribuez.
L'équilibrage de charge vers Google Kubernetes Engine (GKE) est géré à l'aide du contrôleur de service GKE intégré. En outre, les équilibreurs de charge réseau passthrough externes basés sur un service de backend sont compatibles avec App Hub, qui est en version bêta.
Pour en savoir plus sur l'architecture et sur les fonctionnalités compatibles, consultez la page Présentation de l'équilibreur de charge réseau passthrough externe basé sur un service de backend.
Vous pouvez transformer un équilibreur de charge basé sur un pool cible existant pour qu'il utilise un service de backend. Pour obtenir des instructions, consultez la page Migrer des équilibreurs de charge entre les pools cibles et les services de backend.
Équilibreurs de charge basés sur un pool cible
Le pool cible est l'ancien backend compatible avec les équilibreurs de charge réseau passthrough externes. Un pool cible définit un groupe d'instances qui doivent recevoir le trafic entrant de l'équilibreur de charge.
Les équilibreurs de charge basés sur un pool cible acceptent le trafic TCP ou UDP. Les règles de transfert des équilibreurs de charge réseau passthrough externes basés sur un pool cible n'acceptent que les adresses IPv4 externes.
Pour en savoir plus, consultez la page Présentation de l'équilibreur de charge réseau passthrough externe basé sur un pool cible.
Équilibreurs de charge réseau passthrough internes
Les équilibreurs de charge réseau passthrough internes répartissent le trafic entre les instances de machines virtuelles (VM) internes de la même région sur un réseau de cloud privé virtuel (VPC). Ils vous permettent d'exécuter et de faire évoluer vos services derrière une adresse IP interne accessible uniquement aux systèmes du même réseau VPC ou des systèmes connectés à votre réseau VPC.
Ces équilibreurs de charge sont basés sur la pile de virtualisation de réseau Andromeda. Ils ne sont compatibles qu'avec les backends régionaux, ce qui vous permet d'effectuer un autoscaling sur une région afin de protéger votre service des défaillances zonales. De plus, cet équilibreur de charge ne peut être configuré qu'avec le niveau Premium.
Les équilibreurs de charge réseau passthrough internes répondent à de nombreux cas d'utilisation. Les sections suivantes présentent quelques exemples généraux.
Accès aux réseaux connectés
Vous pouvez accéder à un équilibreur de charge réseau passthrough interne de votre réseau VPC à partir d'un réseau connecté à l'aide des éléments suivants :
- Appairage de réseaux VPC
- Cloud VPN et Cloud Interconnect
Pour obtenir des exemples détaillés, consultez la page Équilibreurs de charge réseau passthrough internes et réseaux connectés.
Service Web à trois niveaux
Vous pouvez utiliser des équilibreurs de charge réseau passthrough internes avec d'autres équilibreurs de charge. Par exemple, si vous incorporez des équilibreurs de charge d'application externes, l'équilibreur de charge d'application externe est le niveau Web et repose sur des services derrière l'équilibreur de charge réseau passthrough interne.
Le schéma suivant illustre un exemple de configuration à trois niveaux qui utilise des équilibreurs de charge d'application externes et des équilibreurs de charge réseau passthrough internes :
Services Web à trois niveaux avec accès mondial
Si vous activez l'accès mondial, vos VM de niveau Web peuvent se trouver dans une autre région, comme illustré dans le schéma suivant.
Cet exemple d'application multiniveau présente les éléments suivants :
- Un niveau Web disponible dans le monde entier qui gère l'équilibrage de charge du trafic via un équilibreur de charge d'application externe.
- Un niveau de base de données backend soumis à l'équilibrage de charge interne dans la région
us-east1
auquel accède le niveau Web mondial - Une VM cliente qui fait partie du niveau Web dans la région
europe-west1
qui accède au niveau de base de données soumis à l'équilibrage de charge interne situé dansus-east1
Utiliser des équilibreurs de charge réseau passthrough internes en tant que sauts suivants
Vous pouvez utiliser un équilibreur de charge réseau passthrough interne en tant que passerelle suivante vers laquelle les paquets sont transférés le long de la route menant à leur destination finale. Pour ce faire, vous définissez l'équilibreur de charge comme saut suivant dans une route statique.
Un équilibreur de charge réseau passthrough interne utilisé en tant que saut suivant traite les paquets pour tout le trafic compatible, quel que soit le protocole de règle de transfert et de service de backend que vous avez spécifié lors de la création de l'équilibreur de charge.
Voici un exemple d'architecture utilisant un équilibreur de charge réseau passthrough interne comme saut suivant vers une passerelle NAT. Vous pouvez acheminer le trafic vers les backends de vos dispositifs virtuels de pare-feu ou de passerelle via un équilibreur de charge réseau passthrough interne.
Voici quelques cas d'utilisation supplémentaires :
- Réseau en étoile : échanger des routes de saut suivant via l'appairage de réseaux VPC. Vous pouvez configurer une topologie en étoile avec vos dispositifs virtuels de pare-feu de saut suivant situés dans le réseau VPC
hub
. Les routes utilisant l'équilibreur de charge en tant que saut suivant dans le réseau VPChub
peuvent être utilisées dans chaque réseauspoke
. - Équilibrage de charge vers plusieurs interfaces réseau (
nic0
ànic7
) sur les VM de backend.
Pour en savoir plus sur ces cas d'utilisation, consultez la section Équilibreurs de charge réseau passthrough internes comme sauts suivants.
Équilibreurs de charge réseau passthrough internes et GKE
Pour en savoir plus sur la manière dont GKE crée des équilibreurs de charge réseau passthrough internes pour les services, consultez la page Concepts du service LoadBalancer dans la documentation de GKE.
Équilibreurs de charge réseau passthrough internes et App Hub
Les ressources utilisées par les équilibreurs de charge réseau passthrough internes peuvent être désignées comme services dans App Hub, en version bêta.
Mappage des ports Private Service Connect
Les services de mappage de port Private Service Connect utilisent des NEG de mappage de port et ont des configurations semblables aux équilibreurs de charge réseau passthrough internes. Cependant, les services de mappage de port n'équilibrent pas la charge du trafic. À la place, Private Service Connect transfère le trafic vers les ports de service sur les VM du producteur de services en fonction du port de destination du client qui reçoit le trafic.
Si vous envoyez du trafic vers un service de mappage de port à partir du même réseau VPC que le service, les paquets sont supprimés.
Pour en savoir plus, consultez la section À propos du mappage des ports Private Service Connect.
Étape suivante
- Pour obtenir des informations détaillées sur l'architecture des équilibreurs de charge réseau passthrough internes, consultez la page Présentation de l'architecture de l'équilibreur de charge réseau passthrough interne.
- Pour obtenir des informations détaillées sur l'architecture des équilibreurs de charge réseau passthrough externes, consultez la page Présentation de l'architecture de l'équilibreur de charge réseau passthrough externe.