プロキシ ネットワーク ロードバランサの概要

プロキシ ネットワーク ロードバランサは、 Google Cloud Virtual Private Cloud(VPC)ネットワークまたは他のクラウド環境のバックエンドに TCP トラフィックを分散するレイヤ 4 リバース プロキシ ロードバランサです。トラフィックはロード バランシング レイヤで終端し、TCP を使用して最も近い利用可能なバックエンドに転送されます。

プロキシ ネットワーク ロードバランサは、SSL の有無にかかわらず、TCP トラフィックのみを対象としています。HTTP(S) トラフィックにはアプリケーション ロードバランサを使用することをおすすめします。

プロキシ ネットワーク ロードバランサは、次の機能をサポートしています。

  • 外部ロードバランサの TLS / SSL オフロード。グローバル外部プロキシ ネットワーク ロードバランサまたは従来のプロキシ ネットワーク ロードバランサを使用し、SSL プロキシを使用してロード バランシング レイヤで TLS をオフロードできます。
  • すべてのポートをサポートします。これらのロードバランサは、1~65535 の中から有効なポートを使用できます。詳細については、ポートの仕様をご覧ください。
  • ポートの再マッピング。ロードバランサの転送ルールで使用されるポートは、バックエンドへの接続時に使用するポートと一致させる必要はありません。たとえば、転送ルールで TCP ポート 80 を使用し、バックエンドへの接続で TCP ポート 8080 を使用できます。
  • 元の送信元 IP アドレスのリレー。PROXY プロトコルを使用して、クライアントの送信元 IP アドレスとポート情報をロードバランサのバックエンドにリレーできます。

次の図は、プロキシ ネットワーク ロードバランサ アーキテクチャの例を示しています。

プロキシ ネットワーク ロードバランサのアーキテクチャ。
プロキシ ネットワーク ロードバランサのアーキテクチャ。

プロキシ ネットワーク ロードバランサは、次のデプロイモードで使用できます。

  • 外部プロキシ ネットワーク ロードバランサ: インターネット上のクライアントからのトラフィックをロードバランスします。アーキテクチャの詳細については、外部プロキシ ネットワーク ロードバランサのアーキテクチャをご覧ください。

    デプロイモード ネットワーク サービス ティア ロード バランシング スキーム IP アドレス フロントエンド ポート
    グローバル外部 プレミアム ティア EXTERNAL_MANAGED IPv4
    IPv6    		 1~65535 のポートを 1 つだけ参照
    従来

    グローバル(プレミアム ティア)

    リージョン(スタンダード ティア)

    		 EXTERNAL IPv4
    IPv6(プレミアム ティアが必要)
    リージョン外部 プレミアムまたはスタンダード ティア EXTERNAL_MANAGED IPv4

  • 内部プロキシ ネットワーク ロードバランサ: VPC ネットワーク内または VPC ネットワークに接続されているネットワーク内のトラフィックをロードバランスします。アーキテクチャの詳細については、内部プロキシ ネットワーク ロードバランサのアーキテクチャをご覧ください。

    デプロイモード ネットワーク サービス ティア ロード バランシング スキーム IP アドレス フロントエンド ポート
    リージョン内部 プレミアム ティア INTERNAL_MANAGED IPv4 1~65535 のポートを 1 つだけ参照
    クロスリージョン内部 プレミアム ティア INTERNAL_MANAGED IPv4

ロード バランシング スキームは、ロードバランサに関する転送ルールバックエンド サービスの属性であり、ロードバランサを内部トラフィックと外部トラフィックのどちらで使用できるかを示します。ロード バランシング スキームの *_MANAGED という用語は、ロードバランサが Google Front End(GFE)またはオープンソースの Envoy プロキシのマネージド サービスとして実装されていることを示します。*_MANAGED のロード バランシング スキームでは、GFE または Envoy プロキシにリクエストがルーティングされます。

外部プロキシ ネットワーク ロードバランサ

外部プロキシ ネットワーク ロードバランサは、インターネットから着信するトラフィックを Google Cloud VPC ネットワーク、オンプレミス、その他のクラウド環境のバックエンドに分散します。これらのロードバランサは、グローバル、リージョン、従来のいずれかのモードでデプロイできます。

外部プロキシ ネットワーク ロードバランサは、次の機能をサポートしています。

  • IPv6 ターミネーション。外部ロードバランサは、IPv4 アドレスと IPv6 アドレスの両方のクライアント トラフィックに対応しています。クライアントの IPv6 リクエストはロード バランシング レイヤで終端し、IPv4 経由でバックエンドにプロキシされます。

  • TLS/SSL オフロード。グローバル外部プロキシ ネットワーク ロードバランサまたは従来のプロキシ ネットワーク ロードバランサを使用し、SSL プロキシを使用してロード バランシング レイヤで TLS をオフロードできます。新しい接続は、SSL(推奨)または TCP のいずれかを使用して、最も近い利用可能なバックエンドに転送されます。デプロイの次の側面を構成できます。

    • バックエンド使用率の向上。使用されている暗号の CPU 効率が良くない場合、SSL の処理によって CPU に多大な負荷がかかる可能性があります。CPU のパフォーマンスを最大化するには、ECDSA SSL 証明書と TLS 1.2 を使用し、ロードバランサとインスタンス間の SSL に ECDHE-ECDSA-AES128-GCM-SHA256 暗号スイートを使用します。
    • SSL ポリシーSSL ポリシーによって、ロードバランサがクライアントとネゴシエートする SSL の機能を制御できます。

  • Cloud Armor とのインテグレーション。Cloud Armor セキュリティ ポリシーを使用すると、分散型サービス拒否攻撃(DDoS)などの標的型攻撃からインフラストラクチャを保護できます。

  • TLS の終端ロケーションに対する地理的制御ロードバランサは、クライアントとロードバランサ間のレイテンシを最小限に抑えるため、グローバルに分散するロケーションで TLS を終了します。どこで TLS を終端するかを地理的に制御する必要がある場合は、スタンダード ネットワーク ティアを使用して、ロードバランサを特定のリージョンにのみ存在するバックエンドで TLS を終端させます。詳しくは、スタンダード ティアの構成をご覧ください。

  • App Hub のサポート。リージョン外部プロキシ ネットワーク ロードバランサで使用されるリソースは、App Hub アプリケーションでサービスとして指定できます。

次の図では、都市 A と都市 B のユーザーからのトラフィックがロード バランシング レイヤで終端し、選択したバックエンドとの個別の接続が確立されています。

SSL 終端を使用するプロキシ ネットワーク ロードバランサ。
SSL 終端を使用するプロキシ ネットワーク ロードバランサ。

詳細については、外部プロキシ ネットワーク ロードバランサの概要をご覧ください。

内部プロキシ ネットワーク ロードバランサ

内部プロキシ ネットワーク ロードバランサは、Envoy プロキシベースのリージョン レイヤ 4 ロードバランサです。これにより、同じ VPC ネットワーク内のクライアントまたは VPC ネットワークに接続されているクライアントのみがアクセスできる内部 IP アドレスの背後で TCP サービス トラフィックを実行し、スケーリングできます。

ロードバランサは、Google Cloud、オンプレミス、または他のクラウド環境でホストされているバックエンドに TCP トラフィックを分散します。これらのロードバランサは、クロスリージョンまたはリージョンのいずれかのモードでデプロイできます。

内部プロキシ ネットワーク ロードバランサは、次の機能をサポートしています。

  • 局所性ポリシー。バックエンド インスタンス グループまたはネットワーク エンドポイント グループ内で、メンバー インスタンスまたはエンドポイントにリクエストを分散する方法を構成できます。
  • グローバル アクセス。グローバル アクセスを有効にすると、どのリージョンのクライアントでもロードバランサにアクセスできます。
  • 接続ネットワークからのアクセス。クライアントが Google CloudVPC ネットワーク以外のネットワークから内部ロードバランサにアクセスできるようにすることができます。他のネットワークは、VPC ネットワーク ピアリング、Cloud VPN、Cloud Interconnect のいずれかを使用して、ロードバランサの VPC ネットワークに接続されている必要があります。
  • App Hub のサポート。リージョン内部プロキシ ネットワーク ロードバランサで使用されるリソースは、App Hub アプリケーションでサービスとして指定できます。

詳細については、内部プロキシ ネットワーク ロードバランサの概要をご覧ください。

高可用性とクロスリージョン フェイルオーバー

複数のリージョンにクロスリージョン内部プロキシ ネットワーク ロードバランサを設定すると、次のメリットが得られます。

  1. 特定のリージョンのバックエンドが停止した場合、トラフィックは別のリージョンのバックエンドに正常にフェイルオーバーされます。

    クロスリージョン フェイルオーバーのデプロイは次のとおりです。

    • VPC ネットワークのリージョン A にフロントエンド VIP アドレスを持つクロスリージョン内部プロキシ ネットワーク ロードバランサがあります。クライアントもリージョン A にあります。
    • Google Cloud リージョン A とリージョン B のバックエンドを参照するグローバル バックエンド サービス。
    • リージョン A のバックエンドが停止すると、トラフィックはリージョン B にフェイルオーバーされます。
    クロスリージョン フェイルオーバー デプロイのクロスリージョン内部プロキシ ネットワーク ロードバランサ。
    クロスリージョン フェイルオーバー デプロイのクロスリージョン内部プロキシ ネットワーク ロードバランサデプロイ(クリックして拡大)

  2. クロスリージョン内部プロキシ ネットワーク ロードバランサは、別のリージョンのプロキシとバックエンドからクライアントにトラフィックを提供することで、リージョンの完全な停止からアプリケーションを保護します。

    高可用性のデプロイ例は次のとおりです。

    • VPC ネットワークのリージョン A とリージョン B にフロントエンド VIP があるクロスリージョン内部プロキシ ネットワーク ロードバランサ。クライアントはリージョン A にあります。

    • 2 つのリージョンのフロントエンド VIP を使用して、ロードバランサにアクセスできます。

      高可用性デプロイのクロスリージョン内部プロキシ ネットワーク ロードバランサ。
      高可用性デプロイのクロスリージョン内部プロキシ ネットワーク ロードバランサ(クリックして拡大)

高可用性デプロイの設定方法については、以下をご覧ください。