I bilanciatori del carico di rete proxy sono bilanciatori del carico proxy inversi di livello 4 che distribuiscono il traffico TCP nei backend della rete VPC (Virtual Private Cloud) di Google Cloud o in altri ambienti cloud. Il traffico viene terminato al livello di bilanciamento del carico e quindi inoltrato al backend più vicino disponibile tramite TCP.
I bilanciatori del carico di rete proxy sono destinati solo al traffico TCP, con o senza SSL. Per il traffico HTTP(S), consigliamo di utilizzare un bilanciatore del carico delle applicazioni.
I bilanciatori del carico di rete proxy supportano le seguenti funzionalità:
- Supporto per tutte le porte. Questi bilanciatori del carico consentono qualsiasi porta valida da 1-65535. Per ulteriori informazioni, consulta le specifiche della porta.
- Rimappatura delle porte. La porta utilizzata dalla regola di forwarding del bilanciatore del carico non deve necessariamente corrispondere a quella utilizzata per le connessioni ai rispettivi backend. Ad esempio, la regola di forwarding potrebbe utilizzare la porta TCP 80, mentre la connessione ai backend potrebbe utilizzare la porta TCP 8080.
- Inoltra l'indirizzo IP di origine originale. Puoi utilizzare il protocollo PROXY per comunicare le informazioni sulla porta e sull'indirizzo IP di origine del client ai backend del bilanciatore del carico.
Il seguente diagramma mostra un esempio di architettura del bilanciatore del carico di rete proxy.
I bilanciatori del carico di rete proxy sono disponibili nelle seguenti modalità di deployment.
| Modalità di deployment | Livello di servizio di rete | Schema di bilanciamento del carico † | Indirizzo IP | Porte di frontend | Link | |
|---|---|---|---|---|---|---|
| Bilanciatore del carico di rete proxy esterno
Bilancia il carico del traffico proveniente dai client su internet. |
Esterno globale | Livello Premium | EXTERNAL_MANAGED | IPv4 IPv6 |
Esatta una porta da 1‐65535 | Dettagli dell'architettura |
| Classico | Globale nel livello Premium Regionale nel livello Standard |
EXTERNAL | IPv4 IPv6 (solo nel livello Premium) |
|||
| Esterno regionale | Livello Premium o Standard | EXTERNAL_MANAGED | IPv4 | |||
| Bilanciatore del carico di rete proxy interno
Bilancia il carico del traffico all'interno della tua rete VPC o delle reti connesse alla tua rete VPC. |
Interno a livello di regione | Livello Premium | INTERNAL_MANAGED | IPv4 | Esatta una porta da 1‐65535 | Dettagli dell'architettura |
Interno tra regioni |
Livello Premium | INTERNAL_MANAGED | IPv4 |
† Lo schema di bilanciamento del carico è un attributo della regola di forwarding e del servizio di backend di un bilanciatore del carico e indica se il bilanciatore del carico può essere utilizzato per il traffico interno o esterno. Il termine *_MANAGED nello schema di bilanciamento del carico indica che il bilanciatore del carico è implementato come servizio gestito in Google Front End (GFE) o come servizio gestito nel proxy Envoy open source. In uno schema di bilanciamento del carico di tipo *_MANAGED, le richieste vengono instradate a GFE o al proxy Envoy.
Bilanciatore del carico di rete proxy esterno
Il bilanciatore del carico di rete proxy esterno distribuisce il traffico proveniente da internet nei backend nella tua rete VPC di Google Cloud, on-premise o in altri ambienti cloud. Il deployment di questi bilanciatori del carico può essere eseguito in una delle seguenti modalità: globale, regionale o classica.
I bilanciatori del carico di rete proxy esterni supportano le seguenti funzionalità:
- Terminazione IPv6. I bilanciatori del carico esterni supportano sia gli indirizzi IPv4 che IPv6 per il traffico client. Le richieste client IPv6 vengono terminate al livello del bilanciamento del carico e, successivamente, vengono inviate tramite proxy ai tuoi backend su IPv4.
- Offload TLS/SSL. Puoi utilizzare un bilanciatore del carico di rete proxy classico per trasferire TLS al livello di bilanciamento del carico utilizzando un proxy SSL. Le nuove connessioni inoltrano il traffico ai backend più vicini disponibili utilizzando SSL (consigliato) o TCP.
- Miglior utilizzo dei backend. L'elaborazione SSL può essere ad alta intensità
di CPU se le crittografie non lo sono. Per massimizzare le prestazioni della CPU, utilizza i certificati SSL ECDSA e TLS 1.2 e preferisci la suite di crittografia
ECDHE-ECDSA-AES128-GCM-SHA256per SSL tra il bilanciatore del carico e le istanze di backend. - Criteri SSL. I criteri SSL consentono di controllare le funzionalità di SSL negoziate dal bilanciatore del carico con i client.
- Miglior utilizzo dei backend. L'elaborazione SSL può essere ad alta intensità
di CPU se le crittografie non lo sono. Per massimizzare le prestazioni della CPU, utilizza i certificati SSL ECDSA e TLS 1.2 e preferisci la suite di crittografia
- Integrazione con Google Cloud Armor. Puoi utilizzare i criteri di sicurezza di Google Cloud Armor per proteggere la tua infrastruttura da attacchi DDoS (Distributed Denial-of-Service) e altri attacchi mirati.
- Controllo geografico sulle zone di terminazione del protocollo TLS. Il bilanciatore del carico termina il protocollo TLS in località distribuite a livello globale, in modo da ridurre al minimo la latenza tra i client e il bilanciatore del carico. Se hai bisogno di un controllo geografico sul punto in cui viene terminato il protocollo TLS, puoi utilizzare il livello di rete Standard per forzare il bilanciatore del carico a terminare il protocollo TLS solo sui backend che si trovano in una regione specifica. Per maggiori dettagli, consulta Configurazione del livello standard.
- Supporto per App Hub. Le risorse utilizzate dai bilanciatori del carico di rete proxy esterni regionali possono essere designate come servizi in App Hub, che è in anteprima.
Nel seguente diagramma, il traffico proveniente dagli utenti in Iowa e Boston termina al livello di bilanciamento del carico e viene stabilita una connessione separata con il backend selezionato.
Per maggiori dettagli, vedi Panoramica del bilanciatore del carico di rete proxy esterno.
Bilanciatore del carico di rete proxy interno
Il bilanciatore del carico di rete proxy interno è un bilanciatore del carico di livello 4 regionale basato su proxy Envoy che consente di eseguire e scalare il traffico di servizio TCP dietro un indirizzo IP interno accessibile solo ai client nella stessa rete VPC o ai client connessi alla tua rete VPC.
Il bilanciatore del carico distribuisce il traffico TCP a backend ospitati in Google Cloud, on-premise o in altri ambienti cloud. Il deployment di questi bilanciatori del carico può essere eseguito in una delle seguenti modalità: tra regioni o regioni.
I bilanciatori del carico di rete proxy interni supportano le seguenti funzionalità:
- Norme relative alle località. All'interno di un gruppo di istanza di backend o di un gruppo di endpoint di rete, puoi configurare la modalità di distribuzione delle richieste alle istanze o agli endpoint dei membri.
- Accesso globale. Se l'accesso globale è abilitato, i client di qualsiasi regione possono accedere al bilanciatore del carico.
- Accesso dalle reti connesse. Puoi rendere il bilanciatore del carico interno accessibile ai client da reti esterne alla propria rete VPC Google Cloud. Le altre reti devono essere connesse alla rete VPC del bilanciatore del carico utilizzando peering di rete VPC, Cloud VPN o Cloud Interconnect.
- Supporto per App Hub. Le risorse utilizzate dai bilanciatori del carico di rete proxy interni regionali possono essere designate come servizi in App Hub, che è in anteprima.
Per maggiori dettagli, vedi Panoramica del bilanciatore del carico di rete proxy interno.
Alta disponibilità e failover tra regioni
Puoi configurare un bilanciatore del carico di rete proxy interno tra regioni in più regioni per ottenere i seguenti vantaggi:
Se i backend in una determinata regione sono inattivi, il traffico esegue il failover sui backend in un'altra regione in modo controllato.
L'esempio di deployment di failover tra regioni mostra quanto segue:
- Un bilanciatore del carico di rete proxy interno tra regioni con un indirizzo VIP frontend nella regione
RegionAdella tua rete VPC. I tuoi clienti si trovano anche nella regioneRegionA. - Un servizio di backend globale che fa riferimento ai backend nelle regioni Google Cloud
RegionAeRegionB. - Quando i backend nella regione
RegionAsono inattivi, il traffico non riesce verso la regioneRegionB.
Bilanciatore del carico di rete proxy interno tra regioni con deployment di failover tra regioni (fai clic per ingrandire). - Un bilanciatore del carico di rete proxy interno tra regioni con un indirizzo VIP frontend nella regione
I bilanciatori del carico di rete proxy interni tra regioni possono anche proteggere la tua applicazione da interruzioni regionali complete gestendo il traffico al tuo client da proxy e backend in un'altra regione.
L'esempio di deployment ad alta disponibilità mostra quanto segue:
- Un bilanciatore del carico di rete proxy interno tra regioni con VIP frontend nelle regioni
RegionAeRegionBnella tua rete VPC. I tuoi clienti si trovano nella regioneRegionA. Puoi rendere accessibile il bilanciatore del carico utilizzando VIP frontend da due regioni.
Bilanciatore del carico di rete proxy interno tra regioni con deployment ad alta disponibilità (fai clic per ingrandire).
- Un bilanciatore del carico di rete proxy interno tra regioni con VIP frontend nelle regioni
Per informazioni su come configurare un deployment ad alta disponibilità, consulta:
- Configura un bilanciatore del carico di rete proxy interno tra regioni con backend di gruppi di istanze VM
- Configura un bilanciatore del carico di rete proxy interno tra regioni con connettività ibrida