Proxy-Netzwerk-Load-Balancer

Proxy-Netzwerk-Load-Balancer sind Layer-4-Reverse-Proxy-Load-Balancer, die TCP-Traffic auf Back-Ends in Ihrem Google Cloud-VPC-Netzwerk (Virtual Private Cloud) oder in anderen Cloud-Umgebungen verteilen. Der Traffic wird auf der Load Balancing-Ebene beendet und dann über TCP an das nächstgelegene verfügbare Backend weitergeleitet.

Proxy-Network-Load-Balancer sind nur für TCP-Traffic mit oder ohne SSL vorgesehen. Für HTTP(S)-Traffic empfehlen wir stattdessen die Verwendung eines Application Load Balancers.

Proxy-Network Load Balancer unterstützen die folgenden Features:

Unterstützung für alle Ports Diese Load Balancer lassen jeden gültigen Port von 1–65535 zu. Weitere Informationen finden Sie unter Angabe von Ports.
Neuzuordnung von Ports: Der von der Weiterleitungsregel des Load-Balancers verwendete Port muss nicht mit dem Port übereinstimmen, der beim Herstellen von Verbindungen zu seinen Back-Ends verwendet wird. Beispielsweise kann die Weiterleitungsregel den TCP-Port 80 verwenden, während die Verbindung zu den Back-Ends den TCP-Port 8080 verwenden kann.
Leitet die ursprüngliche Quell-IP-Adresse weiter. Sie können das PROXY-Protokoll verwenden, um die Quell-IP-Adresse und Portinformationen des Clients an die Load-Balancer-Back-Ends weiterzuleiten.

Das folgende Diagramm zeigt ein Beispiel für eine Proxy-Netzwerk-Load-Balancer-Architektur.

Architektur des Proxy-Network-Load-Balancers — Architektur des Network Load Balancers.

Proxy-Network Load Balancer sind in den folgenden Bereitstellungsmodi verfügbar:

Externer Proxy-Network Load Balancer: Führt Load-Balancing von Traffic von Clients im Internet aus. Weitere Informationen finden Sie unter Architektur des externen Proxy-Network Load Balancers.

Bereitstellungsmodus	Netzwerkdienststufe	Load-Balancing-Schema ^†	IP-Adresse	Frontend-Ports
Global extern	Premium-Stufe	EXTERNAL_MANAGED	IPv4 IPv6	Kann auf genau einen Port von 1–65535 verweisen
Klassisch	Global in Premium-Stufe Regional in der Standardstufe.	EXTERN	IPv4 IPv6 (Premium-Stufe erforderlich)
Regional, extern	Premium- oder Standardstufe	EXTERNAL_MANAGED	IPv4

Bereitstellungsmodus

Netzwerkdienststufe

Load-Balancing-Schema ^†

IP-Adresse

Frontend-Ports

Global extern

Premium-Stufe

EXTERNAL_MANAGED

IPv4
IPv6

Kann auf genau einen Port von 1–65535 verweisen

Klassisch

Global in Premium-Stufe

Regional in der Standardstufe.

EXTERN

IPv4
IPv6 (Premium-Stufe erforderlich)

Regional, extern

Premium- oder Standardstufe

EXTERNAL_MANAGED

IPv4

Interner Proxy-Network Load Balancer: Führt Load-Balancing von Traffic innerhalb Ihres VPC-Netzwerks oder der Netzwerke aus, die mit Ihrem VPC-Netzwerk verbunden sind. Weitere Informationen zur Architektur finden Sie unter Architektur des internen Proxy-Network Load Balancers.

Bereitstellungsmodus	Netzwerkdienststufe	Load-Balancing-Schema ^†	IP-Adresse	Frontend-Ports
Regional intern	Premium-Stufe	INTERNAL_MANAGED	IPv4	Kann auf genau einen Port von 1–65535 verweisen
Regionsübergreifend intern	Premium-Stufe	INTERNAL_MANAGED	IPv4	Kann auf genau einen Port von 1–65535 verweisen

^† Das Load-Balancing-Schema ist ein Attribut für die Weiterleitungsregel und den Backend-Dienst eines Load-Balancers und gibt an, ob der Load-Balancer für internen oder externen Traffic verwendet werden kann. Der Begriff *_MANAGED im Load-Balancing-Schema gibt an, dass der Load-Balancer als verwalteter Dienst auf Google Front Ends (GFEs) oder dem Open-Source-Envoy-Proxy implementiert wird. In einem Load-Balancing-Schema, das *_MANAGED ist, werden Anfragen entweder an das GFE oder an den Envoy-Proxy weitergeleitet.

Externer Proxy-Network Load Balancer

Der externe Proxy-Network Load Balancer verteilt den aus dem Internet kommenden Traffic auf Back-Ends in Ihrem Google Cloud-VPC-Netzwerk, lokal oder in anderen Cloud-Umgebungen. Diese Load Balancer können in einem der folgenden Modi bereitgestellt werden: global, regional oder klassisch.

Externe Proxy-Network Load Balancer unterstützen die folgenden Features:

IPv6-Beendigung Die externen Load-Balancer unterstützen sowohl IPv4- als auch IPv6-Adressen für Clienttraffic. IPv6-Anfragen von Clients werden auf der Ebene des Load-Balancings beendet und dann über IPv4 an die Back-Ends weitergeleitet.
TLS/SSL-Auslagerung. Sie haben die Möglichkeit, einen klassischen Proxy-Network-Load-Balancer zu verwenden, um TLS auf der Load-Balancing-Ebene mithilfe eines SSL-Proxys auszulagern. Neue Verbindungen leiten Traffic entweder über SSL (empfohlen) oder TCP zu den nächstgelegenen verfügbaren Back-Ends weiter.
- Bessere Auslastung von Back-Ends Die SSL-Verarbeitung kann sehr CPU-intensiv sein, wenn die verwendeten Chiffren nicht CPU-effizient sind. Sie können die CPU-Leistung maximieren, indem Sie ECDSA-SSL-Zertifikate sowie TLS 1.2 verwenden und bevorzugt die Cipher Suite ECDHE-ECDSA-AES128-GCM-SHA256 für SSL zwischen dem Load-Balancer und Ihren Backend-Instanzen verwenden.
- SSL-Richtlinien Mit SSL-Richtlinien können Sie die Features von SSL steuern, die Ihr Load-Balancer mit Clients aushandelt.
Einbindung in Google Cloud Armor. Sie können die Sicherheitsrichtlinien von Google Cloud Armor verwenden, um Ihre Infrastruktur vor DDoS-Angriffen (Distributed Denial of Service) und anderen gezielten Angriffen zu schützen.
Beendigung von TLS geografisch steuern Der Load-Balancer beendet TLS an global verteilten Orten, um die Latenz zwischen Clients und dem Load-Balancer zu minimieren. Wenn Sie steuern müssen, wo TLS geografisch beendet wird, können Sie mithilfe der Standard-Netzwerkstufe erzwingen, dass der Load-Balancer TLS auf Back-Ends beendet, die sich nur in einer bestimmten Region befinden. Weitere Informationen finden Sie unter Standardstufe konfigurieren.
Unterstützung für App Hub. Ressourcen, die von regionalen externen Proxy-Netzwerk-Load-Balancern verwendet werden, können in App Hub als Dienste festgelegt werden. Diese befindet sich in der Vorschau.

Im folgenden Diagramm wird der Traffic von Nutzern in Iowa und Boston auf der Load-Balancing-Ebene beendet und es wird eine separate Verbindung zum ausgewählten Back-End aufgebaut.

Proxy-Netzwerk-Load-Balancer mit SSL-Beendigung.

Weitere Informationen finden Sie unter Übersicht über den externen Proxy-Netzwerk-Load-Balancer.

Interner Proxy-Network Load Balancer

Der interne Proxy-Netzwerk-Load-Balancer ist ein Envoy-Proxy-basierter regionaler Layer-4-Load-Balancer, mit dem Sie Ihren TCP-Diensttraffic hinter einer internen IP-Adresse ausführen und skalieren können, auf die nur Clients im selben VPC-Netzwerk oder Clients, die mit Ihrem VPC-Netzwerk verbunden sind, Zugriff haben.

Der Load-Balancer verteilt TCP-Traffic an Back-Ends, die in Google Cloud, lokal oder in anderen Cloud-Umgebungen gehostet werden. Diese Load-Balancer können in einem der folgenden Modi bereitgestellt werden: regionenübergreifend oder regional.

Interne Proxy-Network Load Balancer unterstützen die folgenden Features:

Standortrichtlinien. Innerhalb einer Backend-Instanzgruppe oder Netzwerk-Endpunktgruppe können Sie konfigurieren, wie Anfragen an Mitgliedsinstanzen oder -Endpunkte verteilt werden.
Globaler Zugriff. Wenn der globale Zugriff aktiviert ist, können Clients aus jeder Region auf den Load Balancer zugreifen.
Zugriff aus verbundenen Netzwerken. Sie können Ihren internen Load-Balancer für Clients aus Netzwerken über das eigene Google Cloud-VPC-Netzwerk hinaus zugänglich machen. Die anderen Netzwerke müssen über VPC-Netzwerk-Peering, Cloud VPN oder Cloud Interconnect mit dem VPC-Netzwerk des Load Balancers verbunden sein.
Unterstützung für App Hub. Ressourcen, die von regionalen internen Proxy-Netzwerk-Load-Balancern verwendet werden, können in App Hub als Dienste festgelegt werden. Diese befindet sich in der Vorschau.

Weitere Informationen finden Sie unter Übersicht über den internen Proxy-Netzwerk-Load-Balancer.

Hochverfügbarkeit und regionsübergreifender Failover

Sie können einen regionenübergreifenden internen Proxy-Network Load Balancer in mehreren Regionen einrichten, um folgende Vorteile zu erhalten:

Wenn Back-Ends in einer bestimmten Region ausfallen, wird der Traffic ordnungsgemäß auf die Back-Ends in einer anderen Region umgeleitet.

Das Beispiel für die regionenübergreifende Failover-Bereitstellung zeigt Folgendes:
- Ein regionenübergreifender interner Proxy-Network Load Balancer mit einer Frontend-VIP-Adresse in der Region RegionA Ihres VPC-Netzwerks. Ihre Clients befinden sich ebenfalls in der Region RegionA.
- Ein globaler Backend-Dienst, der auf die Backends in den Google Cloud-Regionen RegionA und RegionB verweist.
- Wenn die Backends in der Region RegionA ausfallen, wird der Traffic auf die Region RegionB umgeleitet.
Netzwerkübergreifender interner Proxy-Network Load Balancer mit regionenübergreifender Failover-Bereitstellung (zum Vergrößern klicken)
Regionsübergreifende interne Proxy-Network Load Balancer können Ihre Anwendung auch vor kompletten regionalen Ausfällen schützen, indem sie den Traffic von Proxies und Back-Ends in einer anderen Region an Ihren Client weiterleiten.

Das Bereitstellungsbeispiel für Hochverfügbarkeit zeigt Folgendes:
- Ein regionenübergreifender interner Proxy-Network Load Balancer mit Front-End-VIPs in den Regionen RegionA und RegionB in Ihrem VPC-Netzwerk. Ihre Clients befinden sich in der Region RegionA.
- Sie können den Load Balancer über Frontend-VIPs aus zwei Regionen zugänglich machen.
  
  Netzwerkübergreifender interner Proxy-Network Load Balancer mit Hochverfügbarkeitsbereitstellung (klicken Sie zum Vergrößern).

Informationen zum Einrichten einer Hochverfügbarkeitsbereitstellung finden Sie unter: