I bilanciatori del carico di rete passthrough sono bilanciatori del carico passthrough di livello 4 a livello di regione. Questi bilanciatori del carico distribuiscono il traffico tra i backend nella stessa regione del bilanciatore del carico. Come suggerisce il nome, i bilanciatori del carico di rete passthrough non sono proxy. I pacchetti bilanciati in base al carico vengono ricevuti dalle VM di backend con gli indirizzi IP di origine e di destinazione, il protocollo e, se il protocollo è basato su porta, le porte di origine e di destinazione invariati. Le connessioni bilanciate in base al carico terminano ai backend. Le risposte delle VM di backend vengono inviate direttamente ai client, non tramite il bilanciatore del carico. Il termine di settore per questo tipo di operazione è direct server return (DSR).
Il seguente diagramma mostra un'architettura di bilanciatore del carico di rete passthrough di esempio.
Un bilanciatore del carico di rete passthrough viene utilizzato nelle seguenti circostanze:
- Devi inoltrare i pacchetti del client originale ai backend senza proxy, ad esempio se devi conservare l'indirizzo IP di origine del client.
- Devi bilanciare il carico del traffico TCP, UDP, ESP, GRE, ICMP e ICMPv6 oppure devi bilanciare il carico di una porta TCP non supportata da altri bilanciatori del carico.
- È accettabile che il traffico SSL venga decriptato dai backend anziché dal bilanciatore del carico. Il bilanciatore del carico di rete passthrough non può eseguire questa operazione. Quando i backend decriptano il traffico SSL, il carico della CPU sulle VM è maggiore.
- Puoi gestire autonomamente i certificati SSL della VM di backend. I certificati SSL gestiti da Google sono disponibili solo per i bilanciatori del carico proxy.
- Hai una configurazione esistente che utilizza un bilanciatore del carico passthrough e vuoi eseguire la migrazione senza modifiche.
I bilanciatori del carico di rete passthrough sono disponibili nelle seguenti modalità di deployment.
| Ambito | Tipo di traffico | Livello di servizio di rete | Schema di bilanciamento del carico † | Indirizzo IP | Porte frontend | Link | |
|---|---|---|---|---|---|---|---|
| Bilanciatore del carico di rete passthrough esterno
Bilancia il carico del traffico proveniente dai client su internet. |
Regionale | TCP, UDP, ESP, GRE, ICMP, e ICMPv6 | Premium o Standard | EXTERNAL | IPv4 e IPv6 | Una singola porta, un intervallo di porte o tutte le porte | Dettagli sull'architettura |
| Bilanciatore del carico di rete passthrough interno
Bilancia il carico del traffico all'interno della tua rete VPC o delle reti collegate alla tua rete VPC. |
Regionale | TCP, UDP, ICMP, ICMPv6, SCTP, ESP, AH e GRE | Premium | INTERNAL | IPv4 e IPv6 | Una singola porta, un intervallo di porte o tutte le porte | Dettagli sull'architettura |
† Lo schema di bilanciamento del carico è un attributo della regola di inoltro e del servizio di backend di un bilanciatore del carico e indica se quest'ultimo può essere usato per il traffico interno o esterno.
Bilanciatori del carico di rete passthrough esterni
I bilanciatori del carico di rete passthrough esterni sono bilanciatori del carico di livello 4 a livello di regione che distribuiscono il traffico esterno tra i backend (gruppi di istanze o gruppi di endpoint di rete (NEG)) nella stessa regione del bilanciatore del carico. Questi backend devono trovarsi nella stessa regione e nello stesso progetto, ma possono trovarsi in reti VPC diverse. Questi bilanciatori del carico sono basati su Maglev e sullo stack di virtualizzazione di rete Andromeda.
I bilanciatori del carico di rete passthrough esterni possono ricevere traffico da:
- Qualsiasi cliente su internet
- VM Google Cloud con IP esterni
- VM Google Cloud con accesso a internet tramite Cloud NAT o NAT basata su istanza
I bilanciatori del carico di rete passthrough esterni non sono proxy. Il bilanciatore del carico stesso non termina le connessioni degli utenti. I pacchetti con bilanciamento del carico vengono inviati alle VM di backend con gli indirizzi IP di origine e di destinazione, il protocollo e, se applicabile, le porte invariati. Le VM di backend terminano quindi le connessioni degli utenti. Le risposte provenienti dalle VM di backend vengono inviate direttamente ai client, non tramite il bilanciatore del carico. Questa procedura è nota come direct server return (DSR).
Il seguente diagramma mostra un bilanciatore del carico di rete passthrough esterno configurato nella regione us-central1 con i relativi backend situati nella stessa regione. Il traffico viene indirizzato da un utente di Singapore al bilanciatore del carico in us-central1 (indirizzo IP regola di forwarding 120.1.1.1).
Se l'indirizzo IP del bilanciatore del carico appartiene al livello Premium, il traffico attraversa la rete backbone globale di alta qualità di Google con l'intento che i pacchetti entrino ed escano da un punto di peering di Google il più vicino possibile al client. Se l'indirizzo IP del bilanciatore del carico appartiene al livello Standard, il traffico entra ed esce dalla rete Google nel punto di peering più vicino alla regione Google Cloud in cui è configurato il bilanciatore del carico.
L'architettura di un bilanciatore del carico di rete passthrough esterno dipende dal fatto che tu utilizzi un servizio di backend o un pool di destinazione per configurare il backend.
Bilanciatori del carico basati sui servizi di backend
Puoi creare bilanciatori del carico di rete passthrough esterni con un servizio di backend regionale che definisce il comportamento del bilanciatore del carico e le modalità di distribuzione del traffico ai suoi backend. I bilanciatori del carico di rete passthrough esterni basati su servizi di backend supportano il traffico IPv4 e IPv6, più protocolli (TCP, UDP, ESP, GRE, ICMP e ICMPv6), backend di gruppi di istanze gestite e non gestite, backend di gruppi di endpoint di rete zonali (NEG) con endpoint GCE_VM_IP, controlli di distribuzione del traffico granulari, criteri di failover e ti consentono di utilizzare controlli di integrità non legacy corrispondenti al tipo di traffico (TCP, SSL, HTTP, HTTPS o HTTP/2) che stai distribuendo.
Il bilanciamento del carico su Google Kubernetes Engine (GKE) viene gestito utilizzando il controller del servizio GKE integrato. Inoltre, i bilanciatori del carico di rete passthrough esterni basati su servizi di backend sono supportati con App Hub, che è in anteprima.
Per informazioni dettagliate sull'architettura e sulle funzionalità supportate, consulta la panoramica del bilanciatore del carico di rete passthrough esterno basato sul servizio di backend.
Puoi eseguire la transizione di un bilanciatore del carico basato su pool di destinazione esistente per utilizzare invece un servizio di backend. Per istruzioni, vedi Eseguire la migrazione dei bilanciatori del carico dai pool di destinazione ai servizi di backend.
Bilanciatori del carico basati su pool di destinazione
Un pool di destinazione è il backend precedente supportato con i bilanciatori del carico di rete passthrough esterni. Un pool di destinazione definisce un gruppo di istanze che deve ricevere il traffico in entrata dal bilanciatore del carico.
I bilanciatori del carico basati sui pool di destinazione supportano il traffico TCP o UDP. Le regole di inoltro per i bilanciatori del carico di rete passthrough esterni basati su pool di destinazione supportano solo gli indirizzi IPv4 esterni.
Per i dettagli dell'architettura, consulta la Panoramica del bilanciatore del carico di rete passthrough esterno basato su pool di destinazione.
Bilanciatori del carico di rete passthrough interni
I bilanciatori del carico di rete passthrough interni distribuiscono il traffico tra le istanze di macchine virtuali (VM) interne nella stessa regione in una rete Virtual Private Cloud (VPC). Ti consentono di eseguire e scalare i servizi dietro un indirizzo IP interno accessibile solo ai sistemi nella stessa rete VPC o ai sistemi connessi alla tua rete VPC.
Questi bilanciatori del carico sono basati sullo stack di virtualizzazione di rete Andromeda. Supportano solo i backend regionali, in modo da poter eseguire la scalabilità automatica in una regione e proteggere il servizio da errori a livello di zona. Inoltre, questo bilanciatore del carico può essere configurato solo nel livello Premium.
I bilanciatori del carico di rete passthrough interni soddisfano molti casi d'uso. Le sezioni seguenti mostrano alcuni esempi di alto livello.
Accesso alle reti connesse
Puoi accedere a un bilanciatore del carico di rete passthrough interno nella tua rete VPC da una rete connessa utilizzando quanto segue:
- Peering di rete VPC
- Cloud VPN e Cloud Interconnect
Per esempi dettagliati, consulta Bilanciatori del carico di rete passthrough interni e reti connesse.
Servizio web a tre livelli
Puoi utilizzare i bilanciatori del carico di rete passthrough interni in combinazione con altri bilanciatori del carico. Ad esempio, se incorpori bilanciatori del carico delle applicazioni esterni, il bilanciatore del carico delle applicazioni esterno è il livello web e si basa sui servizi dietro il bilanciatore del carico di rete passthrough interno.
Il seguente diagramma mostra un esempio di configurazione a tre livelli che utilizza bilanciatori del carico delle applicazioni esterni e bilanciatori del carico di rete passthrough interni:
Servizio web a tre livelli con accesso globale
Se attivi l'accesso globale, le VM di livello web possono trovarsi in un'altra regione, come mostrato nel seguente diagramma.
Questo esempio di applicazione a più livelli mostra quanto segue:
- Un livello web disponibile a livello globale e rivolto a internet che esegue il bilanciamento del carico del traffico con un bilanciatore del carico delle applicazioni esterno.
- Un livello di database backend bilanciato del carico nella regione
us-east1a cui accede il livello web globale. - Una VM client che fa parte del livello web nella regione
europe-west1che accede al livello del database bilanciato interno inus-east1.
Utilizzo di bilanciatori del carico di rete passthrough interni come hop successivi
Puoi utilizzare un bilanciatore del carico di rete passthrough interno come gateway successivo a cui i pacchetti vengono inoltrati lungo il percorso fino alla destinazione finale. Per farlo, imposta il bilanciatore del carico come hop successivo in una route statica.
Un bilanciatore del carico di rete passthrough interno di hop successivo elabora i pacchetti per tutto il traffico supportato, indipendentemente dai protocolli della regola di inoltro e del servizio di backend specificati al momento della creazione del bilanciatore del carico.
Questa funzionalità supporta l'utilizzo di indirizzi IPv4 o IPv6 (Anteprima).
Di seguito è riportata un'architettura di esempio che utilizza un bilanciatore del carico di rete passthrough interno come hop successivo per un gateway NAT. Puoi instradare il traffico ai backend delle appliance virtuali firewall o gateway tramite un bilanciatore del carico di rete passthrough interno.
Ulteriori casi d'uso includono:
- Hub e spoke: scambio di route di hop successivo tramite il peering di rete VPC. Puoi configurare una topologia hub e spoke con le tue appliance virtuali firewall di hop successivo situate nella rete VPC
hub. Le route che utilizzano il bilanciatore del carico come hop successivo nella rete VPChubpossono essere utilizzate in ogni retespoke. - Bilanciamento del carico su più interfacce di rete (
nic0tramitenic7) sulle VM di backend.
Per ulteriori informazioni su questi casi d'uso, consulta Bilanciatori del carico di rete passthrough interni come hop successivi.
Bilanciatori del carico di rete passthrough interni e GKE
Per informazioni dettagliate su come GKE crea bilanciatori del carico di rete passthrough interni per i servizi, consulta Concetti del servizio LoadBalancer nella documentazione di GKE.
Bilanciatori del carico di rete passthrough interni e App Hub
Le risorse utilizzate dai bilanciatori del carico di rete passthrough interni possono essere designate come servizi in App Hub, che è in preview.
Mappatura delle porte Private Service Connect
I servizi di mappatura delle porte Private Service Connect utilizzano NEG di mappatura delle porte e hanno configurazioni simili ai bilanciatori del carico di rete passthrough interni. Tuttavia, i servizi di mappatura delle porte non bilanciano il traffico. Private Service Connect inoltra invece il traffico alle porte di servizio sulle VM dei producer di servizi in base alla porta di destinazione del client che riceve il traffico.
Se invii traffico a un servizio di mappatura delle porte dalla stessa rete VPC del servizio, i pacchetti vengono ignorati.
Per ulteriori informazioni, consulta Informazioni sulla mappatura delle porte di Private Service Connect.
Passaggi successivi
- Per informazioni dettagliate sull'architettura dei bilanciatori del carico di rete passthrough interni, consulta la Panoramica dell'architettura dei bilanciatori del carico di rete passthrough interni.
- Per informazioni dettagliate sull'architettura dei bilanciatori del carico di rete passthrough esterni, consulta la Panoramica dell'architettura dei bilanciatori del carico di rete passthrough esterni.