Panoramica del bilanciatore del carico di rete proxy

I bilanciatori del carico di rete proxy sono bilanciatori del carico di reverse proxy di livello 4 che distribuiscono il traffico TCP ai backend nella rete VPC (Virtual Private Cloud) di Google Cloud o in altri ambienti cloud. Il traffico viene terminato al livello di bilanciamento del carico e poi inoltrato al backend disponibile più vicino utilizzando TCP.

I bilanciatori del carico di rete proxy sono destinati solo al traffico TCP, con o senza SSL. Per il traffico HTTP(S), consigliamo di utilizzare un bilanciatore del carico delle applicazioni .

I bilanciatori del carico di rete proxy supportano le seguenti funzionalità:

  • Supporto per tutte le porte. Questi bilanciatori del carico consentono qualsiasi porta valida 1-65535. Per ulteriori informazioni, consulta le specifiche delle porte.
  • Rimappatura delle porte. La porta utilizzata dalla regola di inoltro del bilanciatore del carico non deve corrispondere alla porta utilizzata per effettuare connessioni ai relativi backend. Per Ad esempio, la regola di forwarding potrebbe utilizzare la porta TCP 80, mentre la connessione I backend possono utilizzare la porta TCP 8080.
  • Ritrasmette l'indirizzo IP di origine originale. Puoi utilizzare il protocollo PROXY per ritrasmettere le informazioni sulla porta e sull'indirizzo IP di origine del client ai backend del bilanciatore del carico.

Il seguente diagramma mostra un'architettura di bilanciamento del carico di rete proxy di esempio.

Architettura del bilanciatore del carico di rete proxy.
Architettura del bilanciatore del carico di rete proxy
.

I bilanciatori del carico di rete proxy sono disponibili nelle seguenti modalità di deployment:

  • Bilanciatore del carico di rete proxy esterno: bilancia il carico del traffico proveniente dai client su internet. Per maggiori dettagli sull'architettura, vedi Architettura del bilanciatore del carico di rete del proxy esterno.

    Modalità di deployment Livello di servizio di rete Schema di bilanciamento del carico Indirizzo IP Porte frontend
    Esterno globale Livello Premium EXTERNAL_MANAGED IPv4
    IPv6
    Può fare riferimento esattamente a una porta tra 1-65535
    Classico

    Globale nel livello Premium

    Regionale nel livello Standard

    EXTERNAL IPv4
    IPv6 (richiede il livello Premium)
    Esterno regionale Livello Premium o Standard EXTERNAL_MANAGED IPv4
  • Bilanciatore del carico di rete proxy interno: bilancia il carico del traffico all'interno della rete VPC o delle reti connesse alla rete VPC. Per i dettagli sull'architettura, consulta Architettura del bilanciatore del carico di rete proxy interno.

    Modalità di deployment Livello di servizio di rete Schema di bilanciamento del carico Indirizzo IP Porte frontend
    Interno a livello di regione Livello Premium INTERNAL_MANAGED IPv4 Può fare riferimento esattamente a una porta tra 1-65535
    Interno tra regioni Livello Premium INTERNAL_MANAGED IPv4

Lo schema di bilanciamento del carico è un attributo della regola di inoltro e del servizio di backend di un bilanciatore del carico e indica se quest'ultimo può essere usato per il traffico interno o esterno. Il termine *_MANAGED nello schema di bilanciamento del carico indica che il bilanciatore del carico è implementato come servizio gestito su Google Front End (GFE) o come servizio gestito sul proxy Envoy open source. In un schema di bilanciamento del carico *_MANAGED, le richieste vengono instradate al GFE o al proxy Envoy.

Bilanciatore del carico di rete proxy esterno

Il bilanciatore del carico di rete proxy esterno distribuisce il traffico proveniente da internet a di backend nella tua rete VPC di Google Cloud, on-premise in altri ambienti cloud. Questi bilanciatori del carico possono essere implementati in una delle seguenti modalità: globale, a livello di regione o classica.

I bilanciatori del carico di rete proxy esterni supportano le seguenti funzionalità:

  • Terminazione IPv6. I bilanciatori del carico esterni supportano sia gli indirizzi IPv4 sia gli indirizzi IPv6 per il traffico client. Cliente Le richieste IPv6 vengono terminate al livello di bilanciamento del carico e quindi inviate tramite proxy ai tuoi backend tramite IPv4.
  • Offload TLS/SSL. Puoi utilizzare un bilanciatore del carico di rete proxy classico per offload TLS a livello di bilanciamento del carico utilizzando un proxy SSL. Nuove connessioni inoltra il traffico ai backend più vicini disponibili utilizzando (consigliato) o TCP.
    • Migliore utilizzo dei backend. L'elaborazione SSL può essere molto intensiva per la CPU se le crittografie utilizzate non sono efficienti per la CPU. Per massimizzare la CPU, delle prestazioni, utilizzano certificati SSL ECDSA e TLS 1.2 e preferiscono Suite di crittografia ECDHE-ECDSA-AES128-GCM-SHA256 per SSL tra il caricamento dal bilanciatore del carico e dalle istanze di backend.
    • Criteri SSL. SSL criteri ti offrono la possibilità per controllare le funzionalità di SSL negoziate dal bilanciatore del carico clienti.
  • Integrazione con Google Cloud Armor. Puoi utilizzare i criteri di sicurezza di Google Cloud Armor per proteggere la tua infrastruttura dagli attacchi DDoS (distributed denial-of-service) e da altri attacchi mirati.
  • Controllo geografico sulla località in cui TLS viene terminato. Il bilanciatore del carico termina TLS in località distribuite a livello globale, in modo da ridurre al minimo la latenza tra i client e il bilanciatore del carico. Se hai bisogno di dati geografici dove viene terminato il TLS, puoi utilizzare il livello di rete Standard forzare il bilanciatore del carico a terminare TLS sui backend che si trovano in solo in una regione specifica. Per maggiori dettagli, vedi Configurare il livello standard.
  • Supporto per App Hub. Le risorse utilizzate dai bilanciatori del carico di rete proxy esterni regionali possono essere designate come servizi in App Hub, che è in anteprima.

Nel seguente diagramma, il traffico proveniente dagli utenti delle città A e B termina al livello del bilanciamento del carico e viene stabilita una connessione separata con il backend selezionato.

Bilanciatore del carico di rete proxy con terminazione SSL.
Bilanciatore del carico di rete proxy con terminazione SSL.

Per maggiori dettagli, vedi Panoramica del bilanciatore del carico di rete proxy esterno.

Bilanciatore del carico di rete proxy interno

Il bilanciatore del carico di rete proxy interno è un Envoy bilanciatore del carico di livello 4 regionale basato su proxy che ti consente di eseguire e scalare il traffico del servizio TCP dietro un indirizzo IP interno accessibile solo ai client nella stessa rete VPC o ai client connessi rete VPC.

Il bilanciatore del carico distribuisce il traffico TCP ai backend ospitati su Google Cloud, on-premise o in altri ambienti cloud. Questi vengono caricati Il deployment dei bilanciatori può essere eseguito in una delle seguenti modalità: tra regioni o regionale.

I bilanciatori del carico di rete proxy interni supportano le seguenti funzionalità:

  • Norme relative alla località. All'interno di un gruppo di istanze di backend o di un gruppo di endpoint di rete, puoi configurare la modalità di distribuzione delle richieste alle istanze o agli endpoint dei membri.
  • Accesso globale. Quando l'accesso globale è abilitato, i client di qualsiasi regione possono per accedere al bilanciatore del carico.
  • Accesso da reti connesse. Puoi rendere il bilanciatore del carico interno accessibile ai client da reti diverse dalla propria rete VPC di Google Cloud. Le altre reti devono essere collegate al carico utilizzando il peering di rete VPC, Cloud VPN o Cloud Interconnect.
  • Assistenza per App Hub. Risorse utilizzate da i bilanciatori del carico di rete proxy interni regionali possono essere designati come servizi App Hub, che è in anteprima.

Per maggiori dettagli, vedi Panoramica del bilanciatore del carico di rete proxy interno.

Disponibilità elevata e failover tra regioni

Puoi configurare un bilanciatore del carico di rete proxy interno tra regioni in più regioni per recuperare i seguenti vantaggi:

  1. Se i backend in una determinata regione non sono attivi, il failover del traffico verso i backend in un'altra regione avviene in modo controllato.

    L'esempio di deployment di failover tra regioni mostra quanto segue:

    • Un bilanciatore del carico di rete proxy interno tra regioni con un indirizzo VIP frontend nella regione A della rete VPC. I tuoi clienti si trovano anche nella regione A.
    • Un servizio di backend globale che fa riferimento ai backend nelle regioni A e B di Google Cloud.
    • Quando i backend nella regione A non sono disponibili, il traffico viene trasferito alla regione B.
    Bilanciatore del carico di rete proxy interno tra regioni con un deployment di failover tra regioni.
    Bilanciatore del carico di rete proxy interno tra regioni con un deployment di failover tra regioni (fai clic per ingrandire).
  2. I bilanciatori del carico di rete proxy interni tra regioni possono anche proteggere la tua applicazione completa le interruzioni regionali gestendo il traffico verso il tuo client dai proxy e backend in un'altra regione.

    L'esempio di deployment ad alta disponibilità mostra quanto segue:

    • Un bilanciatore del carico di rete proxy interno tra regioni con VIP frontend nelle regioni A e B della rete VPC. I tuoi clienti si trovano nella regione A.
    • Puoi rendere accessibile il bilanciatore del carico utilizzando VIP frontend di due regioni.

      Bilanciatore del carico di rete proxy interno tra regioni con deployment ad alta disponibilità.
      Bilanciatore del carico di rete proxy interno tra regioni con deployment ad alta disponibilità (fai clic per ingrandire).

Per informazioni su come configurare un deployment ad alta disponibilità, consulta: