代理网络负载均衡器是第 4 层反向代理负载均衡器,用于将 TCP 流量分配到您的 Google Cloud Virtual Private Cloud (VPC) 网络或其他云环境中的后端。流量会在负载均衡层终结,然后使用 TCP 转发到最近的可用后端。
代理网络负载均衡器仅适用于 TCP 流量(无论是否使用 SSL)。对于 HTTP(S) 流量,我们建议您改用应用负载均衡器。
代理网络负载均衡器支持以下功能:
- 支持所有端口。这些负载均衡器允许 1-65535 之间的任何有效端口。如需了解详情,请参阅端口规范。
- 端口重新映射。负载均衡器的转发规则使用的端口不必与连接到其后端时使用的端口匹配。例如,转发规则可以使用 TCP 端口 80,而与后端的连接可以使用 TCP 端口 8080。
- 中继原始来源 IP 地址。您可以使用 PROXY 协议将客户端的来源 IP 地址和端口信息中继到负载均衡器后端。
下图展示了一个代理网络负载均衡器架构示例。
代理网络负载均衡器可在以下部署模式下使用。
| 部署模式 | 网络服务层级 | 负载均衡方案 † | IP 地址 | 前端端口 | Links | |
|---|---|---|---|---|---|---|
| 外部代理网络负载均衡器
负载均衡来自互联网客户端的流量。 |
全球外部 | 高级层级 | EXTERNAL_MANAGED | IPv4 IPv6 |
1-65535 之间的一个端口 | 架构详情 |
| 传统版 | 在高级层级为全球级 在标准层级为区域级 |
外部 | IPv4 IPv6(仅限高级层级) |
|||
| 区域外部 | 高级层级或标准层级 | EXTERNAL_MANAGED | IPv4 | |||
| 内部代理网络负载均衡器
在 VPC 网络或连接到 VPC 网络的网络中对流量进行负载均衡。 |
区域内部 | 高级层级 | INTERNAL_MANAGED | IPv4 | 1-65535 之间的一个端口 | 架构详情 |
跨区域内部 |
高级层级 | INTERNAL_MANAGED | IPv4 |
† 负载均衡方案是负载均衡器转发规则和后端服务的一个属性,指示负载均衡器是可用于内部流量还是外部流量。负载均衡方案中的术语 *_MANAGED 表示负载均衡器作为 Google Front End (GFE) 上的代管式服务实现,或者作为开源 Envoy 代理上的代管式服务实现。在 *_MANAGED 负载均衡方案中,请求会路由到 GFE 或 Envoy 代理。
外部代理网络负载均衡器
外部代理网络负载均衡器将来自互联网的流量分配到您的 Google Cloud VPC 网络、本地或其他云环境的后端。这些负载均衡器可以采用以下模式之一部署:全球、区域或传统。
外部代理网络负载均衡器支持以下功能:
- IPv6 终结。外部负载均衡器同时支持使用 IPv4 和 IPv6 地址来路由客户端流量。客户端 IPv6 请求会在负载均衡层终结,然后通过 IPv4 代理到您的后端。
- TLS/SSL 分流。您可以选择使用传统代理网络负载均衡器,通过 SSL 代理在负载均衡层分流 TLS。新连接使用 SSL(推荐)或 TCP 将流量转发到最近的可用后端。
- 更好地利用后端。如果使用的加密算法不便于 CPU 高效运行,则 SSL 处理可能会占用大量 CPU 资源。为了最大限度地提高 CPU 性能,请使用 ECDSA SSL 证书和 TLS 1.2,并且优先选择
ECDHE-ECDSA-AES128-GCM-SHA256加密套件用于负载均衡器和后端实例之间的 SSL 处理。 - SSL 政策。利用 SSL 政策,您可以控制负载均衡器与客户端协商的 SSL 的功能。
- 更好地利用后端。如果使用的加密算法不便于 CPU 高效运行,则 SSL 处理可能会占用大量 CPU 资源。为了最大限度地提高 CPU 性能,请使用 ECDSA SSL 证书和 TLS 1.2,并且优先选择
- 与 Google Cloud Armor 集成。 您可以使用 Google Cloud Armor 安全政策保护您的基础架构免受分布式拒绝服务 (DDoS) 攻击和其他定向攻击。
- 控制 TLS 终止的地理位置。负载均衡器可在全球各处的地理位置终止 TLS,从而最大程度减少客户端与负载均衡器之间的延迟时间。如果您需要控制 TLS 终结的地理位置,可以使用标准网络层级强制负载均衡器在位于特定区域的后端上终止 TLS。如需了解详情,请参阅配置标准层级。
- 支持 App Hub。区域级外部代理网络负载均衡器使用的资源可以在 App Hub(预览版)中指定为服务。
在下图中,来自爱荷华州用户和波士顿用户的流量会在负载均衡层终止,然后系统会建立通向所选后端的独立连接。
如需了解详情,请参阅外部代理网络负载均衡器概览。
内部代理网络负载均衡器
内部代理网络负载均衡器是一种基于 Envoy 代理的区域级第 4 层负载均衡器,可让您在只能由同一 VPC 网络中的客户端或连接到您的 VPC 网络的客户端访问的内部 IP 地址后面运行和扩缩 TCP 服务流量。
负载均衡器将 TCP 流量分发到托管在 Google Cloud、本地或其他云环境中的后端。在以下一个模式下可以部署这些负载均衡器:跨区域模式或区域模式。
内部代理网络负载均衡器支持以下功能:
- 位置政策。在后端实例组或网络端点组中,您可以配置请求如何分配到成员实例或端点。
- 全球访问权限。启用全球访问权限后,任何区域的客户端都能访问负载均衡器。
- 从连接的网络访问。 您可以允许内部负载均衡器从其自身 Google Cloud VPC 网络之外的客户端访问内部负载均衡器。其他网络必须使用 VPC 网络对等互连、Cloud VPN 或 Cloud Interconnect 连接到负载均衡器的 VPC 网络。
- 支持 App Hub。区域级内部代理网络负载均衡器使用的资源可以在 App Hub(预览版)中指定为服务。
如需了解详情,请参阅内部代理网络负载均衡器概览。
高可用性和跨区域故障切换
您可以在多个区域中设置跨区域内部代理网络负载均衡器,以获享以下优势:
如果某个特定区域中的后端发生故障,流量可以安全地故障切换到另一个区域中的后端。
跨区域故障切换部署示例展示以下内容:
- 跨区域内部代理网络负载均衡器具有您的 VPC 网络的
RegionA区域中的前端 VIP 地址。您的客户端也位于RegionA区域。 - 引用
RegionA和RegionBGoogle Cloud 区域中的后端的全球后端服务。 - 当
RegionA区域中的后端发生故障时,流量会故障切换到RegionB区域。
具有跨区域故障切换部署的跨区域内部代理网络负载均衡器(点击可放大)。 - 跨区域内部代理网络负载均衡器具有您的 VPC 网络的
跨区域内部代理网络负载均衡器还可以从另一个区域的代理和后端向您的客户端传送流量,从而保护您的应用免受彻底的区域性中断的影响。
高可用性部署示例展示以下内容:
- VPC 网络的
RegionA和RegionB区域中具有前端 VIP 的跨区域内部代理网络负载均衡器。客户端位于RegionA区域。 您可以使负载均衡器可通过两个区域中的前端 VIP 访问。
具有高可用性部署的跨区域内部代理网络负载均衡器(点击可放大)。
- VPC 网络的
如需了解如何设置高可用性部署,请参阅: