Présentation de l'équilibreur de charge réseau proxy

Les équilibreurs de charge réseau proxy sont des équilibreurs de charge proxy inverse de couche 4 qui distribuent le trafic TCP aux backends de votre réseau cloud privé virtuel (VPC) Google Cloud ou d'autres environnements cloud. Le trafic est interrompu au niveau de la couche d'équilibrage de charge, puis transféré vers le backend disponible le plus proche à l'aide de TCP.

Les équilibreurs de charge réseau proxy sont destinés au trafic TCP uniquement, avec ou sans SSL. Pour le trafic HTTP(S), nous vous recommandons plutôt d'utiliser un équilibreur de charge d'application.

Les équilibreurs de charge réseau proxy sont compatibles avec les fonctionnalités suivantes :

  • Compatibilité avec tous les ports. Ces équilibreurs de charge autorisent tous les ports valides compris entre 1 et 65 535. Pour en savoir plus, consultez la section Spécifications de ports.
  • Remappage des ports. Le port utilisé par la règle de transfert de l'équilibreur de charge ne doit pas nécessairement correspondre au port utilisé lors des connexions à ses backends. Par exemple, la règle de transfert peut utiliser le port TCP 80, tandis que la connexion aux backends peut utiliser le port TCP 8080.
  • Relais l'adresse IP source d'origine. Vous pouvez utiliser le protocole de PROXY pour relayer l'adresse IP source et les informations de port du client aux backends de l'équilibreur de charge.

Le schéma suivant montre un exemple d'architecture d'équilibreur de charge réseau proxy.

Architecture de l'équilibreur de charge réseau proxy
Architecture de l'équilibreur de charge réseau proxy.

Les équilibreurs de charge réseau proxy sont disponibles dans les modes de déploiement suivants :

  • Équilibreur de charge réseau proxy externe : équilibre la charge du trafic provenant des clients sur Internet. Pour en savoir plus, consultez la page Architecture de l'équilibreur de charge réseau proxy externe.

    Mode de déploiement Niveau de service réseau Schéma d'équilibrage de charge Adresse IP Ports d'interface
    Externe global Niveau Premium EXTERNAL_MANAGED IPv4
    IPv6
    Peut faire référence à un seul port dans la plage 1-65535
    Classique

    Global au niveau Premium

    Régional au niveau Standard

    EXTERNAL IPv4
    IPv6 nécessite le niveau Premium
    Externe régional Niveau Premium ou Standard EXTERNAL_MANAGED IPv4
  • Équilibreur de charge réseau proxy interne : équilibre la charge du trafic au sein de votre réseau VPC ou de réseaux connectés à votre réseau VPC. Pour en savoir plus, consultez la page Architecture de l'équilibreur de charge réseau proxy interne.

    Mode de déploiement Niveau de service réseau Schéma d'équilibrage de charge Adresse IP Ports d'interface
    Régional interne Niveau Premium INTERNAL_MANAGED IPv4 Peut faire référence à un seul port dans la plage 1-65535
    Interne interrégional Niveau Premium INTERNAL_MANAGED IPv4

Le schéma d'équilibrage de charge est un attribut de la règle de transfert et du service de backend d'un équilibreur de charge qui indique si l'équilibreur de charge peut être utilisé pour le trafic interne ou externe. Le terme *_MANAGED dans le schéma d'équilibrage de charge indique que l'équilibreur de charge est mis en œuvre en tant que service géré sur Google Front End (GFE) ou en tant que service géré sur le service Open Source de proxy Envoy. Dans un schéma d'équilibrage de charge *_MANAGED, les requêtes sont acheminées vers GFE ou vers le proxy Envoy.

Équilibreur de charge réseau proxy externe

L'équilibreur de charge réseau proxy externe distribue le trafic provenant d'Internet vers les backends de votre réseau VPC Google Cloud, sur site ou dans d'autres environnements cloud. Ces équilibreurs de charge peuvent être déployés dans l'un des modes suivants : global, régional ou classique.

Les équilibreurs de charge réseau proxy externes sont compatibles avec les fonctionnalités suivantes :

  • Terminaison IPv6 Les équilibreurs de charge externes acceptent les adresses IPv6 et IPv4 pour le trafic client. Les requêtes client IPv6 sont interrompues au niveau de la couche d'équilibrage de charge, puis transmises par le biais d'un serveur proxy, via IPv4, à vos backends.
  • Déchargement TLS/SSL. Vous avez la possibilité d'utiliser un équilibreur de charge réseau proxy classique pour décharger TLS au niveau de la couche d'équilibrage de charge à l'aide d'un proxy SSL. Les nouvelles connexions transfèrent le trafic vers les backends disponibles les plus proches à l'aide du protocole SSL (recommandé) ou TCP.
    • Meilleure utilisation des backends. Le traitement SSL peut être très gourmand en ressources processeur si les algorithmes de chiffrements utilisés ne sont pas optimisés. Pour optimiser les performances des processeurs, utilisez des certificats ECDSA SSL et TLS 1.2, et privilégiez l'utilisation de la suite de chiffrement SSL ECDHE-ECDSA-AES128-GCM-SHA256 entre l'équilibreur de charge et vos instances backend.
    • Règles SSL. Les règles SSL vous permettent de contrôler les fonctionnalités SSL que votre équilibreur de charge négocie avec les clients.
  • Intégration à Google Cloud Armor. Vous pouvez utiliser les stratégies de sécurité Google Cloud Armor pour protéger votre infrastructure contre les attaques par déni de service distribué (DDoS) et d'autres attaques ciblées.
  • Contrôle géographique des emplacements où le protocole TLS est interrompu L'équilibreur de charge interrompt le protocole TLS dans les emplacements distribués à l'échelle mondiale, de manière à réduire la latence entre les clients et l'équilibreur de charge. Si vous avez besoin d'exercer un contrôle géographique sur ces emplacements, vous pouvez utiliser le niveau de réseau Standard pour forcer l'équilibreur de charge à interrompre le protocole TLS sur les backends situés dans une région spécifique uniquement. Pour en savoir plus, consultez la section Configurer le niveau Standard.
  • Compatibilité avec App Hub. Les ressources utilisées par les équilibreurs de charge réseau proxy externes régionaux peuvent être désignées comme services dans App Hub, en preview.

Dans le schéma suivant, le trafic des utilisateurs des villes A et B est interrompu au niveau de la couche d'équilibrage de charge et une connexion distincte est établie avec le backend sélectionné.

Équilibreur de charge réseau proxy avec terminaison SSL.
Équilibreur de charge réseau proxy avec terminaison SSL.

Pour en savoir plus, consultez la page Présentation de l'équilibreur de charge réseau proxy externe.

Équilibreur de charge réseau proxy interne

L'équilibreur de charge réseau proxy interne est un équilibreur de charge régional de couche 4 basé sur un proxy Envoy qui vous permet d'exécuter et d'effectuer le scaling de votre trafic de service TCP derrière une adresse IP interne accessible uniquement aux clients situés dans le même réseau VPC ou aux clients connectés à votre réseau VPC.

L'équilibreur de charge distribue le trafic TCP vers les backends hébergés sur Google Cloud, sur site ou dans d'autres environnements cloud. Ces équilibreurs de charge peuvent être déployés dans l'un des modes suivants : interrégional ou régional.

Les équilibreurs de charge réseau proxy internes sont compatibles avec les fonctionnalités suivantes :

  • Règles de localité. Dans un groupe d'instances backend ou un point de terminaison du réseau, vous pouvez configurer la manière dont les requêtes sont distribuées aux instances membres ou aux points de terminaison.
  • Accès mondial. Lorsque l'accès mondial est activé, les clients de n'importe quelle région peuvent accéder à l'équilibreur de charge.
  • Accès depuis des réseaux connectés. Vous pouvez rendre votre équilibreur de charges interne accessible aux clients à partir de réseaux autres que son propre réseau VPC Google Cloud. Les autres réseaux doivent être connectés au réseau VPC de l'équilibreur de charge à l'aide de l'appairage de réseaux VPC, de Cloud VPN ou de Cloud Interconnect.
  • Compatibilité avec App Hub. Les ressources utilisées par les équilibreurs de charge réseau proxy internes régionaux peuvent être désignées comme services dans App Hub, en preview.

Pour en savoir plus, consultez la page Présentation de l'équilibreur de charge réseau proxy interne.

Haute disponibilité et basculement interrégional

Vous pouvez configurer un équilibreur de charge réseau proxy interne interrégional dans plusieurs régions pour obtenir les avantages suivants :

  1. Si les backends d'une région spécifique sont indisponibles, le trafic bascule vers les backends d'une autre région sans heurt.

    L'exemple de déploiement de basculement interrégional présente les éléments suivants :

    • Un équilibreur de charge réseau proxy interne interrégional avec une adresse IP virtuelle d'interface dans la région A de votre réseau VPC. Vos clients sont également situés dans la région A.
    • Un service de backend global faisant référence aux backends des régions A et B de Google Cloud.
    • Lorsque les backends de la région A sont indisponibles, le trafic bascule vers la région B.
    Équilibreur de charge réseau proxy interne interrégional avec un déploiement de basculement interrégional.
    Équilibreur de charge réseau proxy interne interrégional avec un déploiement de basculement interrégional (cliquez pour agrandir).
  2. Les équilibreurs de charge réseau proxy internes interrégionaux peuvent également protéger votre application contre les pannes régionales complètes en diffusant vers votre client du trafic provenant des proxys et des backends d'une autre région.

    L'exemple de déploiement haute disponibilité présente les éléments suivants :

    • Un équilibreur de charge réseau proxy interne interrégional avec des adresses IP virtuelles d'interface dans les régions A et B de votre réseau VPC. Vos clients sont situés dans la région A.
    • Vous pouvez rendre l'équilibreur de charge accessible en utilisant des adresses IP virtuelles d'interface dans deux régions.

      Équilibreur de charge réseau proxy interne interrégional avec un déploiement haute disponibilité.
      Équilibreur de charge réseau proxy interne interrégional avec un déploiement haute disponibilité (cliquez sur pour agrandir).

Pour obtenir des informations sur la configuration d'un déploiement haute disponibilité, consultez les pages suivantes :