プロキシ ネットワーク ロードバランサは、TCP トラフィックを Google Cloud Virtual Private Cloud(VPC)ネットワークまたは他のクラウド環境のバックエンドに分散するレイヤ 4 リバース プロキシ ロードバランサです。トラフィックはロード バランシング レイヤで終端し、TCP を使用して最も近い利用可能なバックエンドに転送されます。
プロキシ ネットワーク ロードバランサは、SSL の有無にかかわらず、TCP トラフィックのみを対象としています。HTTP(S) トラフィックにはアプリケーション ロードバランサを使用することをおすすめします。
プロキシ ネットワーク ロードバランサは、次の機能をサポートしています。
- すべてのポートをサポートします。これらのロードバランサは、1~65535 の中から有効なポートを使用できます。詳細については、ポートの仕様をご覧ください。
- ポートの再マッピング。ロードバランサの転送ルールで使用されるポートは、バックエンドへの接続時に使用するポートと一致させる必要はありません。たとえば、転送ルールで TCP ポート 80 を使用し、バックエンドへの接続で TCP ポート 8080 を使用できます。
- 元の送信元 IP アドレスのリレー。PROXY プロトコルを使用して、クライアントの送信元 IP アドレスとポート情報をロードバランサのバックエンドにリレーできます。
次の図は、プロキシ ネットワーク ロードバランサ アーキテクチャの例を示しています。
プロキシ ネットワーク ロードバランサは次のデプロイモードで使用できます。
| デプロイモード | ネットワーク サービス ティア | ロード バランシング スキーム† | IP アドレス | フロントエンド ポート | リンク | |
|---|---|---|---|---|---|---|
| 外部プロキシ ネットワーク ロードバランサ インターネット上のクライアントから着信したトラフィックをロードバランスします。 |
グローバル外部 | プレミアム ティア | EXTERNAL_MANAGED | IPv4 IPv6 |
1~65535 の 1 ポートのみ | アーキテクチャの詳細 |
| 従来 | グローバル(プレミアム ティア) リージョン(スタンダード ティア) |
EXTERNAL | IPv4 IPv6(プレミアム ティアのみ) |
|||
| リージョン外部 | プレミアムまたはスタンダード ティア | EXTERNAL_MANAGED | IPv4 | |||
| 内部プロキシ ネットワーク ロードバランサ VPC ネットワーク内または VPC ネットワークに接続しているネットワーク内のトラフィックをロードバランスします。 |
リージョン内部 | プレミアム ティア | INTERNAL_MANAGED | IPv4 | 1~65535 の 1 ポートのみ | アーキテクチャの詳細 |
クロスリージョン内部 |
プレミアム ティア | INTERNAL_MANAGED | IPv4 |
† ロード バランシング スキームは、ロードバランサに関する転送ルールとバックエンド サービスの属性であり、ロードバランサを内部トラフィックと外部トラフィックのどちらで使用できるかを示します。ロード バランシング スキームの *_MANAGED という用語は、ロードバランサが Google Front End(GFE)またはオープンソースの Envoy プロキシのマネージド サービスとして実装されていることを示します。*_MANAGED のロード バランシング スキームでは、GFE または Envoy プロキシにリクエストがルーティングされます。
外部プロキシ ネットワーク ロードバランサ
外部プロキシ ネットワーク ロードバランサは、インターネットから着信するトラフィックを Google Cloud VPC ネットワーク、オンプレミス、その他のクラウド環境のバックエンドに分散します。これらのロードバランサは、グローバル、リージョン、従来のいずれかのモードでデプロイできます。
外部プロキシ ネットワーク ロードバランサは、次の機能をサポートしています。
- IPv6 終端。外部ロードバランサは、IPv4 アドレスと IPv6 アドレスの両方のクライアント トラフィックに対応しています。クライアントの IPv6 リクエストはロード バランシング レイヤで終端し、IPv4 経由でバックエンドにプロキシされます。
- TLS/SSL オフロード。従来のプロキシ ネットワーク ロードバランサを使用し、SSL プロキシを使用してロード バランシング レイヤで TLS をオフロードすることもできます。新しい接続は、SSL(推奨)または TCP のいずれかを使用して、最も近い利用可能なバックエンドにトラフィックを転送します。
- バックエンド使用率の向上。使用されている暗号の CPU 効率が良くない場合、SSL の処理によって CPU に多大な負荷がかかる可能性があります。CPU のパフォーマンスを最大化するには、ECDSA SSL 証明書と TLS 1.2 を使用し、ロードバランサとインスタンス間の SSL に
ECDHE-ECDSA-AES128-GCM-SHA256暗号スイートを使用します。 - SSL ポリシーSSL ポリシーによって、ロードバランサがクライアントとネゴシエートする SSL の機能を制御できます。
- バックエンド使用率の向上。使用されている暗号の CPU 効率が良くない場合、SSL の処理によって CPU に多大な負荷がかかる可能性があります。CPU のパフォーマンスを最大化するには、ECDSA SSL 証明書と TLS 1.2 を使用し、ロードバランサとインスタンス間の SSL に
- Google Cloud Armor とのインテグレーション。Google Cloud Armor セキュリティ ポリシーを使用すると、分散型サービス拒否攻撃(DDoS)などの標的型攻撃からインフラストラクチャを保護できます。
- TLS の終端ロケーションに対する地理的制御ロードバランサは、クライアントとロードバランサ間のレイテンシを最小限に抑えるため、グローバルに分散するロケーションで TLS を終了します。どこで TLS を終端するかを地理的に制御する必要がある場合は、スタンダード ネットワーク ティアを使用して、ロードバランサを特定のリージョンにのみ存在するバックエンドで TLS を終端させます。詳しくは、スタンダード ティアの構成をご覧ください。
- App Hub のサポート。リージョン外部プロキシ ネットワーク ロードバランサで使用されるリソースは、App Hub(プレビュー版)でサービスとして指定できます。
次の図では、アイオワとボストンのユーザーからのトラフィックがロード バランシング レイヤで終端し、選択したバックエンドとの個別の接続が確立されています。
詳細については、外部プロキシ ネットワーク ロードバランサの概要をご覧ください。
内部プロキシ ネットワーク ロードバランサ
内部プロキシ ネットワーク ロードバランサは、Envoy プロキシベースのリージョン レイヤ 4 ロードバランサです。これにより、同じ VPC ネットワーク内のクライアントまたは VPC ネットワークに接続されているクライアントのみがアクセスできる内部 IP アドレスの背後で TCP サービス トラフィックを実行し、スケーリングできます。
ロードバランサは、Google Cloud、オンプレミス、その他のクラウド環境でホストされているバックエンドに TCP トラフィックを分散します。これらのロードバランサは、クロスリージョンまたはリージョンのいずれかのモードでデプロイできます。
内部プロキシ ネットワーク ロードバランサは、次の機能をサポートしています。
- 局所性ポリシー。バックエンド インスタンス グループまたはネットワーク エンドポイント グループ内で、メンバー インスタンスまたはエンドポイントにリクエストを分散する方法を構成できます。
- グローバル アクセス。グローバル アクセスを有効にすると、どのリージョンのクライアントでもロードバランサにアクセスできます。
- 接続ネットワークからのアクセス。クライアントが Google Cloud VPC ネットワーク以外のネットワークから内部ロードバランサにアクセスできるようにすることができます。他のネットワークは、VPC ネットワーク ピアリング、Cloud VPN、Cloud Interconnect のいずれかを使用して、ロードバランサの VPC ネットワークに接続されている必要があります。
- App Hub のサポート。リージョン内部プロキシ ネットワーク ロードバランサで使用されるリソースは、App Hub(プレビュー版)でサービスとして指定できます。
詳細については、内部プロキシ ネットワーク ロードバランサの概要をご覧ください。
高可用性とクロスリージョン フェイルオーバー
複数のリージョンにクロスリージョン内部プロキシ ネットワーク ロードバランサを設定すると、次のメリットが得られます。
特定のリージョンのバックエンドが停止した場合、トラフィックは別のリージョンのバックエンドに正常にフェイルオーバーされます。
クロスリージョン フェイルオーバーのデプロイの例を次に示します。
- VPC ネットワークの
RegionAリージョンにフロントエンド VIP アドレスを持つクロスリージョン内部プロキシ ネットワーク ロードバランサがあります。クライアントもRegionAリージョンにあります。 - Google Cloud リージョンの
RegionAとRegionBのバックエンドを参照するグローバル バックエンド サービス。 RegionAリージョンのバックエンドが停止している場合、トラフィックはRegionBリージョンにフェイルオーバーされます。
クロスリージョン フェイルオーバー デプロイのクロスリージョン内部プロキシ ネットワーク ロードバランサデプロイ(クリックして拡大) - VPC ネットワークの
クロスリージョン内部プロキシ ネットワーク ロードバランサは、別のリージョンのプロキシとバックエンドからクライアントにトラフィックを提供することで、リージョンの完全な停止からアプリケーションを保護します。
高可用性のデプロイ例は次のとおりです。
- VPC ネットワーク内の
RegionAリージョンとRegionBリージョンにフロントエンド VIP があるクロスリージョン内部プロキシ ネットワーク ロードバランサ。クライアントはRegionAリージョンにあります。 2 つのリージョンのフロントエンド VIP を使用して、ロードバランサにアクセスできます。
高可用性デプロイのクロスリージョン内部プロキシ ネットワーク ロードバランサ(クリックして拡大)
- VPC ネットワーク内の
高可用性デプロイの設定方法については、以下をご覧ください。
- VM インスタンス グループのバックエンドを使用してクロスリージョン内部プロキシ ネットワーク ロードバランサを設定する
- ハイブリッド接続でクロスリージョン内部プロキシ ネットワーク ロードバランサを設定する