Os balanceadores de carga de rede de proxy são balanceadores de carga de proxy reverso de camada 4 que distribuem tráfego TCP para back-ends na rede de nuvem privada virtual (VPC) do Google Cloud ou em outros ambientes de nuvem. O tráfego é encerrado na camada de balanceamento de carga e encaminhado para o back-end mais próximo usando TCP.
Os balanceadores de carga da rede proxy são destinados apenas para tráfego TCP, com ou sem SSL. Para o tráfego HTTP(S), recomendamos o uso de um balanceador de carga de aplicativo.
Os balanceadores de carga de rede de proxy são compatíveis com os seguintes recursos:
- Suporte para todas as portas. Esses balanceadores de carga permitem qualquer porta válida de 1 a 65535. Para mais informações, consulte Especificações de porta.
- Remapeamento de portas. A porta usada pela regra de encaminhamento do balanceador de carga não precisa corresponder à porta usada ao fazer conexões com os back-ends. Por exemplo, para a regra de encaminhamento, é possível usar a porta TCP 80 enquanto a conexão com os back-ends pode usar a porta TCP 8080.
- Redireciona o endereço IP de origem original. É possível usar o protocolo PROXY para redirecionar o endereço IP de origem do cliente e as informações de porta para os back-ends do balanceador de carga.
O diagrama a seguir mostra um exemplo de arquitetura do balanceador de carga de rede.
Os balanceadores de carga de rede de proxy estão disponíveis nos modos de implantação a seguir.
Modo de implantação | Nível de serviço da rede | Esquema de balanceamento de carga † | Endereço IP | Portas de front-end | Links | |
---|---|---|---|---|---|---|
Balanceador de carga de rede de proxy externo
A carga equilibra o tráfego proveniente de clientes na Internet. |
Externo global | Nível Premium | EXTERNAL_MANAGED | IPv4 IPv6 |
Exatamente uma porta de 1 a 65535 | Detalhes da arquitetura |
Clássico | Global no nível Premium. Regional no nível Standard |
EXTERNAL | IPv4 IPv6 (somente no nível Premium) |
|||
Regional externo | Nível Premium ou Standard | EXTERNAL_MANAGED | IPv4 | |||
Balanceador de carga de rede de proxy interno
Faça o balanceamento de carga do tráfego nas redes VPC conectadas. |
Regional interno | Nível Premium | INTERNAL_MANAGED | IPv4 | Exatamente uma porta de 1 a 65535 | Detalhes da arquitetura |
Interno entre regiões |
Nível Premium | INTERNAL_MANAGED | IPv4 |
† O esquema de balanceamento de carga é um atributo na regra de encaminhamento e no serviço de back-end de um balanceador de carga e indica se o balanceador de carga pode ser usado para tráfego interno ou externo. O termo *_MANAGED
no esquema de balanceamento de carga indica que o balanceador de carga é implementado como um serviço gerenciado em Google Front Ends (GFEs) ou como um serviço gerenciado no proxy Envoy de código aberto. Em um esquema de balanceamento de carga *_MANAGED
, as solicitações são roteadas para o GFE ou o proxy Envoy.
Balanceador de carga de rede de proxy externo
O balanceador de carga de rede do proxy externo distribui o tráfego proveniente da Internet para back-ends na rede VPC do Google Cloud, no local ou em outros ambientes de nuvem. Eles podem ser implantados em um dos seguintes modos: global, regional ou clássico.
Os balanceadores de carga de rede de proxy externo são compatíveis com os seguintes recursos:
- Terminação IPv6 Os balanceadores de carga externos são compatíveis com endereços IPv4 e IPv6 para o tráfego do cliente. As solicitações IPv6 do cliente são encerradas na camada de balanceamento de carga e transmitidas por proxy pelo IPv4 para seus back-ends.
- Descarga de TLS/SSL. Você tem a opção de usar um balanceador de carga de rede de proxy clássico para descarregar o TLS na camada do balanceamento de carga usando um proxy SSL. As novas conexões encaminham o tráfego para os back-ends mais próximos usando SSL (recomendado) ou TCP.
- Melhor utilização dos back-ends. O processamento de SSL pode exigir muito da CPU se as criptografias usadas não forem eficientes. Para maximizar o desempenho da CPU, use certificados SSL ECDSA e TLS 1.2 e prefira o pacote de criptografia
ECDHE-ECDSA-AES128-GCM-SHA256
para SSL entre o balanceador de carga e as instâncias de back-end. - Políticas de SSL. As políticas de SSL permitem que você controle os recursos de SSL que o balanceador de carga de proxy SSL negocia com os clientes.
- Melhor utilização dos back-ends. O processamento de SSL pode exigir muito da CPU se as criptografias usadas não forem eficientes. Para maximizar o desempenho da CPU, use certificados SSL ECDSA e TLS 1.2 e prefira o pacote de criptografia
- Integração com o Google Cloud Armor. É possível usar as políticas de segurança do Google Cloud Armor para proteger sua infraestrutura contra ataques distribuídos de negação de serviço (DDoS) e outros ataques direcionados.
- Controle geográfico sobre o local em que o TLS é encerrado. O balanceador de carga HTTPS encerra o TLS em locais que são distribuídos globalmente, de modo a minimizar a latência entre os clientes e o balanceador de carga. Se você precisar de controle geográfico sobre o local em que o TLS é encerrado, use o nível de rede padrão para forçar o balanceador de carga a encerrar o TLS em back-ends localizados somente em uma região específica. Para detalhes, consulte Como configurar o nível padrão.
- Suporte para o App Hub Os recursos usados por balanceadores de carga de rede de proxy externos regionais podem ser designados como serviços no App Hub, que está em pré-lançamento.
No diagrama a seguir, o tráfego de usuários em Iowa e Boston termina na camada de balanceamento de carga, e uma conexão separada é estabelecida para o back-end selecionado.
Para mais detalhes, consulte Visão geral do balanceador de carga de rede de proxy externo.
Balanceador de carga de rede de proxy interno
O balanceador de carga de proxy TCP regional interno é um balanceador de carga regional baseado no proxy Envoy de Camada 4. Com ele, é possível executar e escalonar o tráfego do serviço TCP atrás de um endereço IP interno acessível apenas a clientes na mesma rede VPC ou aos clientes conectados à rede VPC.
O balanceador de carga distribui o tráfego TCP para back-ends hospedados no Google Cloud, no local ou em outros ambientes em nuvem. Esses balanceadores de carga podem ser implantados em um dos seguintes modos: entre regiões ou regionais.
Os balanceadores de carga de rede de proxy interno são compatíveis com os seguintes recursos:
- Políticas de localidade. Em um grupo de instâncias de back-end ou de endpoint de rede, é possível configurar como as solicitações são distribuídas para instâncias ou endpoints de membro.
- Acesso global. Quando o acesso global está ativado, clientes de qualquer região podem acessar o balanceador de carga.
- Acesso a partir de redes conectadas. É possível tornar seu balanceador de carga interno acessível para clientes de redes além da própria rede VPC do Google Cloud. As outras redes precisam estar conectadas à rede VPC do balanceador de carga usando o peering de rede VPC, o Cloud VPN ou o Cloud Interconnect.
- Suporte para o App Hub Os recursos usados por balanceadores de carga de rede de proxy internos regionais podem ser designados como serviços no App Hub, que está em pré-lançamento.
Para mais detalhes, consulte Visão geral do balanceador de carga de rede do proxy interno.
Alta disponibilidade e failover entre regiões
É possível configurar um balanceador de carga de rede de proxy interno entre regiões em várias regiões para ter os seguintes benefícios:
Se os back-ends de uma determinada região estiverem inativos, o tráfego fará o failover para os back-ends de outra região normalmente.
O exemplo de implantação do failover entre regiões mostra o seguinte:
- Um balanceador de carga de rede de proxy interno entre regiões com um endereço VIP de front-end na região
RegionA
da sua rede VPC. Seus clientes também estão localizados na regiãoRegionA
. - Um serviço de back-end global que faz referência aos back-ends nas regiões do Google Cloud
RegionA
eRegionB
. - Quando os back-ends da região
RegionA
estão inativos, o tráfego faz o failover para a regiãoRegionB
.
- Um balanceador de carga de rede de proxy interno entre regiões com um endereço VIP de front-end na região
Os balanceadores de carga de rede proxy internos entre regiões também podem proteger o aplicativo contra interrupções regionais completas, veiculando o tráfego de proxies e back-ends de outra região para seu cliente.
O exemplo de implantação de alta disponibilidade mostra o seguinte:
- Um balanceador de carga de rede de proxy interno entre regiões com VIPs de front-end nas regiões
RegionA
eRegionB
na sua rede VPC. Seus clientes estão localizados na regiãoRegionA
. É possível tornar o balanceador de carga acessível usando VIPs de front-end de duas regiões.
- Um balanceador de carga de rede de proxy interno entre regiões com VIPs de front-end nas regiões
Para mais informações sobre como configurar uma implantação de alta disponibilidade, consulte:
- Configurar um balanceador de carga de rede de proxy interno entre regiões com back-ends de grupos de instâncias de VM
- Configurar um balanceador de carga de rede de proxy interno entre regiões com conectividade híbrida