このページでは、Envoy ベースのロードバランサで使用されるプロキシ専用サブネットを操作する方法について説明します。プロキシ専用サブネットは、ロードバランサが使用する Envoy プロキシ専用として予約された IP アドレスのプールを提供します。 Google Cloud 他の目的には使用できません。
プロキシは受信接続を終端し、URL マップ、バックエンド サービスのセッション アフィニティ、各バックエンド インスタンス グループまたは NEG の分散モード、その他の要素に基づいて各リクエストを実行する場所を評価します。
クライアントは、ロードバランサの転送ルールの IP アドレスとポートに接続します。
各プロキシは、対応するロードバランサの転送ルールで指定された IP アドレスとポートでリッスンします。いずれかのプロキシがクライアントのネットワーク接続を受信して終端します。
プロキシは、NEG 内の適切なバックエンド VM またはエンドポイントと接続を確立します。これは、ロードバランサの URL マップとバックエンド サービスによって決まります。
各ロードバランサのプロキシには内部 IP アドレスが割り当てられます。プロキシからバックエンド VM またはエンドポイントに送信されるパケットには、プロキシ専用サブネットからの送信元 IP アドレスが含まれています。
プロキシ専用サブネットは他の目的に使用できません。プロキシ専用サブネットからは、ロードバランサの転送ルールの IP アドレスは取得されません。また、バックエンド VM とエンドポイントの IP アドレスも、プロキシ専用サブネットから取得されません。
サポートされているロードバランサ
次の Envoy ベースのロードバランサには、プロキシ専用サブネットが必要です。
目的が
GLOBAL_MANAGED_PROXYのプロキシ専用サブネット:特定のネットワークとリージョンでは、目的が
GLOBAL_MANAGED_PROXYの単一のプロキシ専用サブネットが、そのリージョン内のすべてのクロスリージョン内部アプリケーション ロードバランサ間で共有されます。VPC ネットワークの各リージョンで同時にアクティブにできる、目的がGLOBAL_MANAGED_PROXYのサブネットは 1 つだけです。
目的が
REGIONAL_MANAGED_PROXYのプロキシ専用サブネット:- リージョン外部アプリケーション ロードバランサ
- リージョン内部アプリケーション ロードバランサ
- リージョン外部プロキシ ネットワーク ロードバランサ
- リージョン内部プロキシ ネットワーク ロードバランサ
特定のネットワークとリージョンでは、目的が
REGIONAL_MANAGED_PROXYの単一のプロキシ専用サブネットがすべてのリージョン Envoy ベースのロードバランサ間で共有されます。VPC ネットワークの各リージョンで同時にアクティブにできる、目的がREGIONAL_MANAGED_PROXYのサブネットは 1 つだけです。
プロキシ専用サブネットとロードバランサのアーキテクチャの関係
次の図は、リージョン内部アプリケーション ロードバランサに必要なリソースを示しています。 Google Cloud
図に示すように、Envoy ベースのロードバランサのデプロイには少なくとも 2 つのサブネットが必要です。
- ロードバランサのバックエンド VM とバックエンドのエンドポイントは、プライマリ IP アドレスの範囲が
10.1.2.0/24(この例では)の単一のサブネットを使用します。このサブネットは、プロキシ専用のサブネットではありません。サブネットがロードバランサと同じリージョンにある場合、バックエンド VM とエンドポイントに複数のサブネットを使用できます。内部アプリケーション ロードバランサの場合、転送ルールに関連付けられたロードバランサの IP アドレスをこのサブネット内に配置することもできます(ただし、必須ではありません)。 - プロキシ専用サブネットは
10.129.0.0/23(この例では)です。
プロキシ専用サブネットの推奨サイズ
プロキシ専用サブネットでは 64 個以上の IP アドレスを指定する必要があります。これは、/26 以下のプレフィックス長に対応します。まず、/23 プレフィックス(512 プロキシ専用アドレス)を持つプロキシ専用サブネットから始めて、トラフィックの変化に応じてサイズを変更することをおすすめします。
プロキシは、ロードバランサ レベルではなく VPC レベルで割り当てられます。Envoy ベースのロードバランサを使用する VPC ネットワークの各リージョンに、プロキシ専用サブネットを 1 つ作成する必要があります。同じリージョンおよび同じ VPC ネットワーク内に複数のロードバランサをデプロイすると、ロード バランシング用に同じプロキシ専用サブネットが共有されます。Envoy ベースのロードバランサは、トラフィックのニーズに基づき、トラフィックを処理するために必要なプロキシの数を自動的にスケーリングします。
プロキシが追加されるごとに、1 時間あたりの追加料金が発生します。プロキシ専用サブネットの課金方法については、Cloud Load Balancing の料金ドキュメントでプロキシ インスタンスの料金をご覧ください。
Envoy ベースのロードバランサと Secure Web Proxy Envoy プロキシ
Envoy ベースのロードバランサと Secure Web Proxy の両方を同じ VPC に構成する場合は、次の点に注意してください。
Envoy ベースのロードバランサと Secure Web Proxy の両方が、同じプロキシ専用サブネットの IP アドレスを使用します。
両方のサービスの IP アドレス要件に対応するには、
/22サブネットなど、より大きなプロキシ専用サブネットの使用を検討してください。これにより、両方の構成に十分なアドレス空間が確保されます。プロキシ容量をモニタリングして、IP アドレスの使用状況を追跡することをおすすめします。これにより、サービスを中断する可能性があるプロキシ専用サブネットの枯渇を防ぐことができます。
プロキシ専用サブネットを作成する
ネットワークが自動モードかカスタムモードかにかかわらず、Envoy ベースのロードバランサにはプロキシ専用サブネットを作成する必要があります。プロキシ専用サブネットの作成は、サブネットの作成と基本的に同じ手順です。ただし、いくつかのフラグを追加します。
プロキシ専用サブネットの場合、ロードバランサに応じて、--purpose を REGIONAL_MANAGED_PROXY または GLOBAL_MANAGED_PROXY に設定する必要があります。
既存のサブネットをプロキシ専用サブネットとして再利用することはできません。Envoy ベースのロードバランサがある各リージョンに新しいサブネットを作成する必要があります。これは、subnets update コマンドがサブネットの --purpose フィールドの変更を許可しないためです。
リージョン ロードバランサの転送ルールを作成する前に、ロードバランサのプロキシで使用するプロキシ専用サブネットを作成する必要があります。リージョンのプロキシ専用サブネットを最初に作成せずにロードバランサを構成すると、ロードバランサの作成プロセスでエラーが発生します。
コンソール
- Google Cloud Console で、[VPC ネットワーク] ページに移動します。
[VPC ネットワーク] ページに移動 - プロキシ専用サブネットを追加する共有 VPC ネットワークの名前をクリックします。
- [サブネットを追加] をクリックします。
- 名前を入力します。
- リージョンを選択します。
- [目的] を次のいずれかに設定します。
- リージョン ロードバランサの場合: リージョン マネージド プロキシ
- クロスリージョン ロードバランサの場合: クロスリージョンのマネージド プロキシ
- IP アドレス範囲を入力します。
- [追加] をクリックします。
gcloud
プロキシ専用サブネットを作成するには、gcloud compute networks subnets create コマンドを実行します。
gcloud compute networks subnets create SUBNET_NAME \
--purpose=SUBNET_PURPOSE \
--role=ACTIVE \
--region=REGION \
--network=VPC_NETWORK_NAME \
--range=CIDR_RANGE
フィールドは次のように定義されています。
- SUBNET_NAME は、プロキシ専用サブネットの名前です。
- SUBNET_PURPOSE は、サブネットの目的です。ロードバランサに応じて、
REGIONAL_MANAGED_PROXYまたはGLOBAL_MANAGED_PROXYに設定します。 - REGION は、プロキシ専用サブネットのリージョンです。
- VPC_NETWORK_NAME は、サブネットを含む VPC ネットワークの名前です。
- CIDR_RANGE は、サブネットのプライマリ IP アドレスの範囲です。サブネット マスクの長さは
26以下にして、リージョン内のプロキシで 64 個以上の IP アドレスを使用できるようにします。推奨されるサブネット マスクの長さは/23です。
完全な構成例については、プロキシ専用サブネットの構成をご覧ください。
プロキシ専用サブネットからの接続を受け入れるには、バックエンドにファイアウォール ルールを構成する必要があります。ファイアウォール ルールの設定を含む完全な構成例については、以下をご覧ください。
- リージョン外部アプリケーション ロードバランサを設定する
- リージョン内部アプリケーション ロードバランサを設定する
- リージョン内部プロキシ ネットワーク ロードバランサを設定する
- リージョン外部プロキシ ネットワーク ロードバランサを設定する
- クロスリージョン内部アプリケーション ロードバランサを設定する
- クロスリージョン内部プロキシ ネットワーク ロードバランサを設定する
プロキシの可用性
リージョンに新しいロードバランサに対応するのに十分なプロキシ容量がない場合があります。 Google Cloud その場合、ロードバランサの作成時に Google Cloud コンソールでプロキシの可用性に関する警告メッセージが表示されます。この問題を解決するには、次のいずれかを行います。
- ロードバランサに別のリージョンを選択します。これは、別のリージョンにバックエンドがある場合には現実的な選択肢となります。
- プロキシ専用サブネットがすでに割り当てられている VPC ネットワークを選択します。
- 容量の問題が解決するまで待ちます。
プロキシ専用サブネットのサイズ / アドレス範囲を変更する
ロードバランサによって処理されるトラフィックの量が増加した場合は、プロキシ専用サブネットのサイズを大きくして、より多くの Envoy プロキシをロードバランサに割り当てる必要があります。
プライマリ アドレス範囲と同じ方法(expand-ip-range コマンドを使用)で、プロキシ専用サブネットを拡張することはできません。代わりに、要件を満たすバックアップ プロキシ専用サブネットを作成し、アクティブなロールに昇格する必要があります。これは、リージョンごと、および VPC ネットワークごとにアクティブにできるプロキシ専用サブネットは 1 つだけで、サブネットのプライマリ IP アドレス範囲の拡張が可能なためです。
プロキシ専用サブネットをバックアップからアクティブに切り替えても、新しい接続は中断しません。
- 新しくアクティブになったプロキシ専用サブネットは新しい接続に使用されます。
- 以前アクティブだったプロキシ専用サブネットは、新しい接続に使用されなくなります。
- Google Cloud は、以前アクティブで、現在はバックアップのプロキシ専用サブネット内のプロキシから既存の接続のドレインを開始します。
各 VPC ネットワークでは、リージョンごとにアクティブとバックアップのプロキシ専用サブネットをそれぞれ 1 つだけ作成できます。
コンソール
同じリージョンにバックアップのプロキシ専用サブネットを作成します。必要なプライマリ IP アドレス範囲を指定します。
- Google Cloud Console で、[VPC ネットワーク] ページに移動します。
[VPC ネットワーク] ページに移動 - プロキシ専用サブネットを追加する共有 VPC ネットワークの名前をクリックします。
- [サブネットを追加] をクリックします。
- 名前を入力します。
- リージョンを選択します。
- [目的] を次のいずれかに設定します。
- リージョン ロードバランサの場合: リージョン マネージド プロキシ
- クロスリージョン ロードバランサの場合: クロスリージョンのマネージド プロキシ
- [ロール] で [バックアップ] を選択します。
- IP アドレス範囲を入力します。
- [追加] をクリックします。
- Google Cloud Console で、[VPC ネットワーク] ページに移動します。
バックアップのプロキシ専用サブネットのプライマリ IP アドレス範囲が含まれるように、バックエンド VM またはエンドポイントに適用する上り(内向き)許可ファイアウォール ルールを作成または変更します。
バックアップのプロキシ専用サブネットをアクティブ ロールに昇格します。また、前にアクティブだったプロキシ専用サブネットをバックアップ ロールに降格します。
- Google Cloud Console で、[VPC ネットワーク] ページに移動します。
[VPC ネットワーク] ページに移動 - 変更する共有 VPC ネットワークの名前をクリックします。
- [ロード バランシング用に予約されているプロキシ専用サブネット] で、前の手順で作成したバックアップ サブネットを見つけます。
- [有効化] をクリックします。
- オプションの [ドレイン タイムアウト] を指定します。
- [サブネットを有効にします] をクリックします。
- Google Cloud Console で、[VPC ネットワーク] ページに移動します。
接続がタイムアウトしたか、バックエンド VM またはエンドポイントへの接続が以前アクティブだったプロキシ専用サブネットのプロキシから行われていないことを確認したら、次の操作を行います。
- 以前アクティブだったプロキシ専用サブネットのプライマリ IP アドレス範囲が含まれないように、バックエンド VM またはエンドポイントに適用される上り(内向き)許可ファイアウォール ルールを変更します。
- 以前にアクティブだった(現在はバックアップの)プロキシ専用サブネットを削除して、サブネットがプライマリ IP アドレス範囲に使用していた IP アドレスを解放します。
gcloud
以下の手順では、アクティブなプロキシ専用サブネットがすでに存在していることを前提としています。
同じリージョンにバックアップのプロキシ専用サブネットを作成します。必要なプライマリ IP アドレス範囲を指定し、
--role=BACKUPフラグを設定して gcloud compute networks subnets create コマンドを実行します。gcloud compute networks subnets create BACKUP_PROXY_ONLY_SUBNET_NAME \ --purpose=SUBNET_PURPOSE \ --role=BACKUP \ --region=REGION \ --network=VPC_NETWORK_NAME \ --range=BACKUP_PROXY_ONLY_SUBNET_RANGE
次のように置き換えます。
BACKUP_PROXY_ONLY_SUBNET_NAME: 新しく作成したバックアップ プロキシ専用サブネットの名前SUBNET_PURPOSE: 新しく作成したバックアップ プロキシ専用サブネットの目的REGION: 新しく作成したバックアップ プロキシ専用サブネットのリージョン。これは、現在アクティブなプロキシ専用サブネットと同じリージョンにする必要があります。REGION: 新しく作成したバックアップ プロキシ専用サブネットのネットワーク。これは、現在アクティブなプロキシ専用サブネットと同じネットワークである必要があります。BACKUP_PROXY_ONLY_SUBNET_RANGE: 新しく作成したバックアップのプロキシ専用サブネットの CIDR 範囲
バックアップ プロキシ専用サブネットのプライマリ IP アドレス範囲が含まれるように、バックエンド VM またはエンドポイントに適用する上り(内向き)許可ファイアウォール ルールを作成または変更します。ファイアウォール ルールで、アクティブなサブネットからの接続が許可されている必要があります。
gcloud compute firewall-rules update PROXY_ONLY_SUBNET_FIREWALL_RULE \ --source-ranges ACTIVE_PROXY_ONLY_SUBNET_RANGE,BACKUP_PROXY_ONLY_SUBNET_RANGE
次のように置き換えます。
PROXY_ONLY_SUBNET_FIREWALL_RULE: プロキシ専用サブネットからのトラフィックがバックエンド インスタンスまたはエンドポイントに到達することを許可するファイアウォール ルールの名前ACTIVE_PROXY_ONLY_SUBNET_RANGE: 現在アクティブなプロキシ専用サブネットの CIDR 範囲
新しいサブネットを更新して、リージョン内の
ACTIVEプロキシ専用サブネットに設定し、古いサブネットが廃棄されるのを待ちます。また、前にアクティブだったプロキシ専用サブネットをバックアップ ロールに降格します。IP アドレス範囲をすぐにドレインするには、
--drain-timeoutを0sに設定します。サブネット内のアドレスが割り当てられているプロキシへのすべての接続がすぐに終了します。gcloud compute networks subnets update BACKUP_PROXY_ONLY_SUBNET_NAME \ --region=REGION \ --role=ACTIVE \ --drain-timeout=CONNECTION_DRAINING_TIMEOUT
次のように置き換えます。
CONNECTION_DRAINING_TIMEOUTには、以前アクティブだったプロキシ専用サブネットのプロキシから既存の接続を移行するために必要な時間を秒数で指定します。 Google Cloud
ドレイン ステータスをモニタリングするには、
listまたはdescribeコマンドを使用します。ドレインの実行中、サブネットのステータスはDRAININGになります。gcloud compute networks subnets list
ドレインが完了するまで待ちます。古いプロキシ専用サブネットがドレインされると、サブネットのステータスは
READYになります。プロキシ専用サブネットのファイアウォール ルールを更新して、新しいサブネットからの接続のみを許可します。
gcloud compute firewall-rules PROXY_ONLY_SUBNET_FIREWALL_RULE \ --source-ranges BACKUP_PROXY_ONLY_SUBNET_RANGE
バックエンド VM またはエンドポイントへの接続が、以前アクティブだったプロキシ専用サブネットのプロキシから行われていないことを確認したら、古いサブネットを削除できます。
gcloud compute networks subnets delete ACTIVE_PROXY_ONLY_SUBNET_NAME \ --region=REGION
プロキシ専用サブネットの目的を移行する
以前に --purpose=INTERNAL_HTTPS_LOAD_BALANCER でプロキシ専用サブネットを作成した場合は、VPC ネットワークと同じリージョンで他の Envoy ベースのロードバランサを作成する前に、サブネットの目的を REGIONAL_MANAGED_PROXY に移行する必要があります。
コンソール
Google Cloud コンソールを使用してロードバランサを作成する場合は、ロードバランサの作成中に、以前に作成したプロキシ専用サブネットの目的を、--purpose=INTERNAL_HTTPS_LOAD_BALANCER から REGIONAL_MANAGED_PROXY に移行するように求められます。
gcloud
既存のプロキシ専用サブネットの目的を --purpose=INTERNAL_HTTPS_LOAD_BALANCER から REGIONAL_MANAGED_PROXY に変更するには、次のコマンドを使用します。
gcloud compute networks subnets update PROXY_ONLY_SUBNET \
--purpose=REGIONAL_MANAGED_PROXY \
--region=REGION
プロキシ専用サブネットの目的を --purpose=INTERNAL_HTTPS_LOAD_BALANCER から REGIONAL_MANAGED_PROXY に移行しても、ダウンタイムは発生しません。変更はすぐに反映されます。
プロキシ専用サブネットを削除する
プロキシ専用サブネットを削除すると、プライマリ IP アドレス範囲が解放され、その範囲を別の用途に利用できます。 Google Cloud では、プロキシ専用サブネットの削除リクエストを受信すると、次のルールに従って対応します。
同じリージョンと VPC ネットワークに 1 つ以上のリージョン ロードバランサがある場合、アクティブなプロキシ専用サブネットは削除できません。
バックアップのプロキシ専用サブネットが同じリージョンと VPC ネットワークに存在する場合、アクティブなプロキシ専用サブネットは削除できません。
バックアップを削除する前にアクティブなプロキシ専用サブネットを削除しようとすると、「Invalid resource usage: Cannot delete ACTIVE subnetwork because a BACKUP subnetwork exists.」(無効なリソースの使用: バックアップ サブネットワークが存在するため、アクティブなサブネットワークを削除できません)というエラー メッセージが表示されます。
より詳細なルールは次のとおりです。
特定のリージョンと VPC ネットワークにリージョン ロードバランサが定義されていない場合は、そのリージョンのプロキシ専用サブネットを削除できます。バックアップのプロキシ専用サブネットが存在する場合は、これを削除してからアクティブなプロキシ専用サブネットを削除します。
特定のリージョンと VPC ネットワークで定義されたリージョン ロードバランサが 1 つ以上ある場合、アクティブなプロキシ専用サブネットは削除できません。ただし、バックアップのプロキシ専用サブネットをアクティブなロールに昇格させると、以前アクティブだったプロキシ専用サブネットがバックアップ ロールに自動的に降格します。接続が切断された後、バックアップのプロキシ専用サブネットを削除できます。
詳細については、VPC ネットワークのドキュメントのサブネットの削除をご覧ください。
制限事項
プロキシ専用サブネットには、次の制約があります。
2 つの
REGIONAL_MANAGED_PROXYプロキシまたは 2 つのINTERNAL_HTTPS_LOAD_BALANCERプロキシを使用できないのと同じように、同じネットワークとリージョンにINTERNAL_HTTPS_LOAD_BALANCERとREGIONAL_MANAGED_PROXYの両方のサブネットを配置することはできません。1 つのリージョンと VPC ネットワークには、アクティブとバックアップのプロキシ専用サブネットをそれぞれ 1 つずつ作成できます。
リージョンとネットワークにプロキシ専用サブネットが作成されていない場合は、バックアップのプロキシ専用サブネットは作成できません。
サブネットを更新することで、プロキシ専用サブネットのロールをバックアップからアクティブに切り替えることができます。これにより、 Google Cloud は以前アクティブだったプロキシ専用サブネットを自動的にバックアップに変更します。プロキシ専用サブネットのロールを明示的にバックアップに設定することはできません。
プロキシ専用サブネットのコネクション ドレイン期間(
--drain-timeout)内は、プロキシ専用サブネットのロールをバックアップからアクティブに変更できません。プロキシ専用サブネットは VPC Flow Logs をサポートしていません。
次のステップ
- VM インスタンス グループのバックエンドを使用してリージョン外部アプリケーション ロードバランサを設定する
- 共有 VPC 環境でリージョン外部アプリケーション ロードバランサを設定する
- VM インスタンス グループのバックエンドを使用してリージョン内部アプリケーション ロードバランサを設定する
- 共有 VPC 環境でリージョン内部アプリケーション ロードバランサまたはクロスリージョン内部アプリケーション ロードバランサを設定する
- VM インスタンス グループのバックエンドを使用してリージョン内部プロキシ ネットワーク ロードバランサを設定する
- VM インスタンス グループのバックエンドを使用してリージョン外部プロキシ ネットワーク ロードバランサを設定する
- VM インスタンス グループのバックエンドを使用してクロスリージョン内部プロキシ ネットワーク ロードバランサを設定する