Visão geral do balanceador de carga da rede proxy

Os balanceadores de carga de rede de proxy são balanceadores de carga de proxy reverso de camada 4 que distribuem tráfego TCP para back-ends na rede de nuvem privada virtual (VPC) do Google Cloud ou em outros ambientes de nuvem. O tráfego é encerrado na camada de balanceamento de carga e encaminhado para o back-end mais próximo usando TCP.

Os balanceadores de carga da rede proxy são destinados apenas para tráfego TCP, com ou sem SSL. Para o tráfego HTTP(S), recomendamos o uso de um balanceador de carga de aplicativo.

Os balanceadores de carga de rede de proxy são compatíveis com os seguintes recursos:

  • Suporte para todas as portas. Esses balanceadores de carga permitem qualquer porta válida de 1 a 65535. Para mais informações, consulte Especificações de porta.
  • Remapeamento de portas. A porta usada pela regra de encaminhamento do balanceador de carga não precisa corresponder à porta usada ao fazer conexões com os back-ends. Por exemplo, para a regra de encaminhamento, é possível usar a porta TCP 80 enquanto a conexão com os back-ends pode usar a porta TCP 8080.
  • Redireciona o endereço IP de origem original. É possível usar o protocolo PROXY para redirecionar o endereço IP de origem do cliente e as informações de porta para os back-ends do balanceador de carga.

O diagrama a seguir mostra um exemplo de arquitetura do balanceador de carga de rede.

Arquitetura do balanceador de carga da rede proxy.
Arquitetura do balanceador de carga da rede proxy.

Os balanceadores de carga de rede de proxy estão disponíveis nos modos de implantação a seguir.

  • Balanceador de carga de rede de proxy externo: faz o balanceamento de carga do tráfego de clientes na Internet. Para detalhes da arquitetura, consulte Arquitetura do balanceador de carga de rede de proxy externo.

    Modo de implantação Nível de serviço da rede Esquema de balanceamento de carga Endereço IP Portas de front-end
    Global externo Nível Premium EXTERNAL_MANAGED IPv4
    IPv6
    Pode referenciar exatamente uma porta de 1 a 65.535
    Clássico

    Global no nível Premium.

    Regional no nível Standard

    EXTERNAL IPv4
    IPv6 (exige o nível Premium)
    Regional externo Nível Premium ou Standard EXTERNAL_MANAGED IPv4
  • Balanceador de carga de rede de proxy interno: faz o balanceamento de carga do tráfego na rede VPC ou nas redes conectadas à rede VPC. Saiba mais em Arquitetura do balanceador de carga de rede de proxy interno.

    Modo de implantação Nível de serviço da rede Esquema de balanceamento de carga Endereço IP Portas de front-end
    Regional interno Nível Premium INTERNAL_MANAGED IPv4 Pode referenciar exatamente uma porta de 1 a 65.535
    Interno entre regiões Nível Premium INTERNAL_MANAGED IPv4

O esquema de balanceamento de carga é um atributo na regra de encaminhamento e no serviço de back-end de um balanceador de carga e indica se o balanceador de carga pode ser usado para tráfego interno ou externo. O termo *_MANAGED no esquema de balanceamento de carga indica que o balanceador de carga é implementado como um serviço gerenciado em Google Front Ends (GFEs) ou como um serviço gerenciado no proxy Envoy de código aberto. Em um esquema de balanceamento de carga *_MANAGED, as solicitações são roteadas para o GFE ou o proxy Envoy.

Balanceador de carga de rede de proxy externo

O balanceador de carga de rede do proxy externo distribui o tráfego proveniente da Internet para back-ends na rede VPC do Google Cloud, no local ou em outros ambientes de nuvem. Eles podem ser implantados em um dos seguintes modos: global, regional ou clássico.

Os balanceadores de carga de rede de proxy externo são compatíveis com os seguintes recursos:

  • Terminação IPv6 Os balanceadores de carga externos são compatíveis com endereços IPv4 e IPv6 para o tráfego do cliente. As solicitações IPv6 do cliente são encerradas na camada de balanceamento de carga e transmitidas por proxy pelo IPv4 para seus back-ends.
  • Descarga de TLS/SSL. Você tem a opção de usar um balanceador de carga de rede de proxy clássico para descarregar o TLS na camada do balanceamento de carga usando um proxy SSL. As novas conexões encaminham o tráfego para os back-ends mais próximos usando SSL (recomendado) ou TCP.
    • Melhor utilização dos back-ends. O processamento de SSL pode exigir muito da CPU se as criptografias usadas não forem eficientes. Para maximizar o desempenho da CPU, use certificados SSL ECDSA e TLS 1.2 e prefira o pacote de criptografia ECDHE-ECDSA-AES128-GCM-SHA256 para SSL entre o balanceador de carga e as instâncias de back-end.
    • Políticas de SSL. As políticas de SSL permitem que você controle os recursos de SSL que o balanceador de carga de proxy SSL negocia com os clientes.
  • Integração com o Google Cloud Armor. É possível usar as políticas de segurança do Google Cloud Armor para proteger sua infraestrutura contra ataques distribuídos de negação de serviço (DDoS) e outros ataques direcionados.
  • Controle geográfico sobre o local em que o TLS é encerrado. O balanceador de carga HTTPS encerra o TLS em locais que são distribuídos globalmente, de modo a minimizar a latência entre os clientes e o balanceador de carga. Se você precisar de controle geográfico sobre o local em que o TLS é encerrado, use o nível de rede padrão para forçar o balanceador de carga a encerrar o TLS em back-ends localizados somente em uma região específica. Para detalhes, consulte Como configurar o nível padrão.
  • Suporte para o App Hub Os recursos usados por balanceadores de carga de rede de proxy externos regionais podem ser designados como serviços no App Hub, que está em pré-lançamento.

No diagrama a seguir, o tráfego de usuários em Iowa e Boston termina na camada de balanceamento de carga, e uma conexão separada é estabelecida para o back-end selecionado.

Balanceador de carga de rede proxy com terminação SSL.
Balanceador de carga de rede proxy com terminação SSL.

Para mais detalhes, consulte Visão geral do balanceador de carga de rede de proxy externo.

Balanceador de carga de rede de proxy interno

O balanceador de carga de proxy TCP regional interno é um balanceador de carga regional baseado no proxy Envoy de Camada 4. Com ele, é possível executar e escalonar o tráfego do serviço TCP atrás de um endereço IP interno acessível apenas a clientes na mesma rede VPC ou aos clientes conectados à rede VPC.

O balanceador de carga distribui o tráfego TCP para back-ends hospedados no Google Cloud, no local ou em outros ambientes em nuvem. Esses balanceadores de carga podem ser implantados em um dos seguintes modos: entre regiões ou regionais.

Os balanceadores de carga de rede de proxy interno são compatíveis com os seguintes recursos:

  • Políticas de localidade. Em um grupo de instâncias de back-end ou de endpoint de rede, é possível configurar como as solicitações são distribuídas para instâncias ou endpoints de membro.
  • Acesso global. Quando o acesso global está ativado, clientes de qualquer região podem acessar o balanceador de carga.
  • Acesso a partir de redes conectadas. É possível tornar seu balanceador de carga interno acessível para clientes de redes além da própria rede VPC do Google Cloud. As outras redes precisam estar conectadas à rede VPC do balanceador de carga usando o peering de rede VPC, o Cloud VPN ou o Cloud Interconnect.
  • Suporte para o App Hub Os recursos usados por balanceadores de carga de rede de proxy internos regionais podem ser designados como serviços no App Hub, que está em pré-lançamento.

Para mais detalhes, consulte Visão geral do balanceador de carga de rede do proxy interno.

Alta disponibilidade e failover entre regiões

É possível configurar um balanceador de carga de rede de proxy interno entre regiões em várias regiões para ter os seguintes benefícios:

  1. Se os back-ends de uma determinada região estiverem inativos, o tráfego fará o failover para os back-ends de outra região normalmente.

    O exemplo de implantação do failover entre regiões mostra o seguinte:

    • Um balanceador de carga de rede de proxy interno entre regiões com um endereço VIP de front-end na região RegionA da sua rede VPC. Seus clientes também estão localizados na região RegionA.
    • Um serviço de back-end global que faz referência aos back-ends nas regiões do Google Cloud RegionA e RegionB.
    • Quando os back-ends da região RegionA estão inativos, o tráfego faz o failover para a região RegionB.
    Balanceador de carga de rede de proxy interno entre regiões com uma implantação de failover entre regiões.
    Balanceador de carga de rede de proxy interno entre regiões com implantação de failover entre regiões (clique para ampliar).
  2. Os balanceadores de carga de rede proxy internos entre regiões também podem proteger o aplicativo contra interrupções regionais completas, veiculando o tráfego de proxies e back-ends de outra região para seu cliente.

    O exemplo de implantação de alta disponibilidade mostra o seguinte:

    • Um balanceador de carga de rede de proxy interno entre regiões com VIPs de front-end nas regiões RegionA e RegionB na sua rede VPC. Seus clientes estão localizados na região RegionA.
    • É possível tornar o balanceador de carga acessível usando VIPs de front-end de duas regiões.

      Balanceador de carga de rede de proxy interno entre regiões com implantação de alta disponibilidade.
      Balanceador de carga de rede de proxy interno entre regiões com implantação de alta disponibilidade (clique para ampliar).

Para mais informações sobre como configurar uma implantação de alta disponibilidade, consulte: