Subnet solo proxy per i bilanciatori del carico basati su Envoy

In questa pagina viene spiegato come utilizzare le subnet solo proxy utilizzate dai bilanciatori del carico basati su Envoy. Una subnet solo proxy fornisce un pool di proxy riservati esclusivamente ai proxy Envoy utilizzati dai bilanciatori del carico. Non può essere utilizzata per nessun altro scopo. In ogni momento, in ogni area geografica di una rete VPC può essere attiva una sola subnet solo proxy.

I proxy interrompono le connessioni in entrata e valutano dove indirizzare ciascuna richiesta HTTP(S) in base alla mappa URL, all'affinità sessione del servizio di backend, alla modalità di bilanciamento di ogni gruppo di istanze di backend o NEG e ad altri fattori.

  1. Un client stabilisce una connessione all'indirizzo IP e alla porta della regola di forwarding del bilanciatore del carico.

  2. Ogni proxy rimane in ascolto sull'indirizzo IP e sulla porta specificati dalla corrispondente regola di forwarding del bilanciatore del carico. Uno dei proxy riceve e termina la connessione di rete del client.

  3. Il proxy stabilisce una connessione alla VM o all'endpoint di backend appropriato in un NEG, come stabilito dalla mappa URL e dai servizi di backend del bilanciatore del carico.

A ogni proxy del bilanciatore del carico è assegnato un indirizzo IP interno. I pacchetti inviati da un proxy a una VM o a un endpoint di backend hanno un indirizzo IP di origine dalla subnet solo proxy.I proxy per tutti i bilanciatori del carico in un'area geografica utilizzano indirizzi IP interni da una singola subnet solo proxy in quell'area geografica della rete VPC.

Devi creare subnet solo proxy indipendentemente dal fatto che la rete sia in modalità automatica o personalizzata. Una subnet solo proxy deve fornire 64 o più indirizzi IP. Corrisponde a un prefisso composto da un massimo di /26 caratteri. La dimensione consigliata per la subnet è /23 (512 indirizzi solo proxy).

L'allocazione del proxy è a livello di VPC, non a livello del bilanciatore del carico. Devi creare una subnet solo proxy in ogni area geografica di una rete virtuale (VPC) in cui utilizzi i bilanciatori del carico basati su Envoy. Se esegui il deployment di più bilanciatori del carico nella stessa area geografica e nella stessa rete VPC, condividono la stessa subnet solo proxy per il bilanciamento del carico.

La subnet solo proxy non può essere utilizzata per nessun altro scopo. L'indirizzo IP per la regola di forwarding del bilanciatore del carico non proviene dalla subnet solo proxy. Inoltre, gli indirizzi IP delle VM e degli endpoint di backend non provengono dalla subnet solo proxy.

Bilanciatori del carico supportati

I seguenti bilanciatori del carico richiedono subnet solo proxy:

In che modo le subnet solo proxy si adattano all'architettura del bilanciatore del carico

Il seguente diagramma mostra le risorse Google Cloud richieste per un bilanciatore del carico HTTP(S) esterno a livello di area geografica.

Componenti del bilanciatore del carico HTTP(S) esterno a un'area geografica (fai clic per ingrandire)
Componenti del bilanciatore del carico HTTP(S) esterni a livello di area geografica (fai clic per ingrandire)

Il seguente diagramma mostra le risorse Google Cloud richieste per un bilanciatore del carico HTTP(S) interno.

Componenti numerati del bilanciatore del carico HTTP(S) interno (fai clic per ingrandire)
Componenti numerati del bilanciatore del carico HTTP(S) interno (fai clic per ingrandire)

Come mostrato nei diagrammi, un deployment del bilanciatore del carico basato su Envoy richiede almeno due subnet:

  • Le VM di backend e gli endpoint di backend del bilanciatore del carico utilizzano una singola subnet il cui intervallo di indirizzi IP principali è 10.1.2.0/24 (in questo esempio). Questa subnet non è una subnet solo proxy. Puoi utilizzare più subnet per le VM e gli endpoint di backend se si trovano nella stessa area geografica del bilanciatore del carico. Per i bilanciatori del carico HTTP(S) interni, anche l'indirizzo IP del bilanciatore del carico associato alla regola di forwarding deve essere presente in questa subnet.
  • La subnet solo proxy è "10.129.0.0/23" (in questo esempio).

Creazione di una subnet solo proxy

La creazione di una subnet solo proxy è essenzialmente la stessa procedura di creazione di qualsiasi subnet, tranne che per l'aggiunta di alcuni flag.

Non puoi riutilizzare una subnet esistente come subnet solo proxy; devi creare una nuova subnet in ogni area geografica che abbia un bilanciatore del carico basato su Envoy. Ciò è in parte dovuto al fatto che il comando subnets update non consente la modifica del campo --purpose di una subnet. Per la subnet solo proxy, --purpose deve essere impostato su REGIONAL_MANAGED_PROXY.

Per i bilanciatori del carico HTTP(S) interni, --purpose=REGIONAL_MANAGED_PROXY è l'impostazione preferita anche se --purpose=INTERNAL_HTTPS_LOAD_BALANCER funziona anche.

Devi creare una subnet solo proxy da utilizzare con i bilanciatori del carico' prima di creare le regole di forwarding per i bilanciatori del carico a livello di area geografica. Se tenti di configurare un bilanciatore del carico senza prima creare una subnet solo proxy per l'area geografica, il processo di creazione del bilanciatore del carico ha esito negativo.

console

  1. In Google Cloud Console, vai alla pagina Reti VPC.
    Vai alla pagina Reti VPC
  2. Fai clic sul nome della rete VPC condivisa a cui vuoi aggiungere una subnet solo proxy.
  3. Fai clic su Aggiungi subnet.
  4. Inserisci un nome.
  5. Seleziona un'area geografica.
  6. Imposta Finalità su Proxy gestito a livello di area geografica.
  7. Inserisci un intervallo di indirizzi IP.
  8. Fai clic su Aggiungi.

gcloud

Il comando gcloud compute networks subnetscreate crea una subnet solo proxy.

gcloud compute networks subnets create SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=VPC_NETWORK_NAME \
    --range=CIDR_RANGE

I campi sono definiti come segue:

  • SUBNET_NAME è il nome della subnet solo proxy.
  • REGION è l'area geografica della subnet solo proxy.
  • VPC_NETWORK_NAME è il nome della rete VPC che contiene la subnet.
  • CIDR_RANGE è l'intervallo di indirizzi IP principali della subnet. Devi utilizzare una maschera di subnet non più lunga di 26, in modo che almeno 64 indirizzi IP siano disponibili per i proxy nell'area geografica. La lunghezza consigliata per la subnet mask è /23.

Per un esempio di configurazione completa, consulta la sezione Configurare la subnet solo proxy.

Devi configurare una regola firewall per i backend per accettare connessioni dalla subnet solo proxy. Per un esempio di configurazione completa, inclusa la configurazione di regole firewall, fai riferimento a quanto segue:

Disponibilità del proxy

A volte le aree geografiche Google Cloud non hanno una capacità proxy sufficiente per un nuovo bilanciatore del carico. In questo caso, Google Cloud Console fornisce un messaggio di avviso sulla disponibilità del proxy durante la creazione del bilanciatore del carico. Per risolvere il problema, puoi eseguire una delle seguenti operazioni:

  • Seleziona un'area geografica diversa per il bilanciatore del carico. Può essere una soluzione pratica se hai backend in un'altra area geografica.
  • Seleziona una rete VPC che ha già una subnet solo proxy allocata.
  • Attendi che il problema di capacità venga risolto.

Modifica delle dimensioni o dell'intervallo di indirizzi di una subnet solo proxy

Quando modifichi il numero di backend nel deployment, potrebbe essere necessario modificare le dimensioni o l'intervallo di indirizzi della subnet solo proxy.

Non puoi espandere una subnet solo proxy nello stesso modo in cui faresti per un intervallo di indirizzi principale (con il comando expand-ip-range). Devi però creare una subnet solo proxy di backup che soddisfi le tue esigenze e poi promuoverla al ruolo attivo. Questo perché solo una subnet solo proxy può essere attiva per area geografica e rete VPC, perché puoi espandere solo un intervallo di indirizzi IP principali di subnet.

Il passaggio da una subnet solo proxy da backup a attiva non interrompe le nuove connessioni:

  • Per le nuove connessioni viene utilizzata la subnet solo proxy appena attivata.
  • La subnet solo proxy precedentemente attiva (ora di backup) non viene più utilizzata per le nuove connessioni.
  • Google Cloud inizia a svuotare le connessioni esistenti dai proxy nella subnet solo proxy precedentemente attiva (ora di backup).

Puoi creare una sola subnet attiva e una sola proxy di backup per area geografica per ogni rete VPC.

console

  1. Crea una subnet solo proxy di backup nella stessa area geografica, specificando un intervallo di indirizzi IP principali che soddisfi le tue esigenze

    1. In Google Cloud Console, vai alla pagina Reti VPC.
      Vai alla pagina Reti VPC
    2. Fai clic sul nome della rete VPC condivisa a cui vuoi aggiungere una subnet solo proxy.
    3. Fai clic su Aggiungi subnet.
    4. Inserisci un nome.
    5. Seleziona un'area geografica.
    6. Imposta Finalità su Proxy gestito a livello di area geografica.
    7. Per il Ruolo, seleziona Backup.
    8. Inserisci un intervallo di indirizzi IP.
    9. Fai clic su Aggiungi.
  2. Crea o modifica regole firewall di autorizzazione in entrata che si applicano alle VM o agli endpoint di backend in modo che includano l'intervallo di indirizzi IP principali della subnet solo proxy di backup.

  3. Promuovi la subnet solo proxy di backup nel ruolo attivo. Questa azione rende anche la subnet solo proxy attiva in precedenza al ruolo di backup:

    1. In Google Cloud Console, vai alla pagina Reti VPC.
      Vai alla pagina Reti VPC
    2. Fai clic sul nome della rete VPC condivisa che vuoi modificare.
    3. In Subnet solo proxy riservate per il bilanciamento del carico, individua la subnet di backup creata nel passaggio precedente.
    4. Fai clic su Activate (Attiva).
    5. Specifica un Timeout di svuotamento facoltativo.
    6. Fai clic su Attiva la subnet.
  4. Dopo il timeout per lo svuotamento della connessione o dopo aver verificato che le connessioni alle VM o agli endpoint di backend non provengano da proxy nella subnet solo proxy precedentemente attiva (ora di backup), puoi:

    • Modifica le regole firewall di autorizzazione in entrata che si applicano alle VM o agli endpoint di backend in modo che non includano l'intervallo di indirizzi IP principali della subnet solo proxy precedentemente attiva (ora di backup).
    • Elimina la subnet solo proxy precedentemente attivata (ora di backup) per rilasciare gli indirizzi IP utilizzati dalla subnet per l'intervallo di indirizzi IP principali.

gcloud

  1. Crea una subnet solo proxy di backup nella stessa area geografica, specificando un intervallo di indirizzi IP principali che soddisfi le tue esigenze, utilizzando il comando gcloud compute networks subnets create con il flag --role=BACKUP.

    gcloud compute networks subnets create BACKUP_PROXY_SUBNET \
       --purpose=REGIONAL_MANAGED_PROXY \
       --role=BACKUP \
       --region=REGION \
       --network=VPC_NETWORK_NAME \
       --range=CIDR_RANGE
    
  2. Crea o modifica le regole firewall di autorizzazione in entrata che si applicano alle VM o agli endpoint di backend in modo che includano l'intervallo di indirizzi IP principali della subnet solo proxy di backup.

  3. Il seguente comando gcloud promuove una subnet solo proxy di backup nel ruolo attivo e retrocede la subnet solo proxy precedentemente attiva al ruolo di backup:

    gcloud compute networks subnets update BACKUP_PROXY_SUBNET \
       --region=REGION \
       --role=ACTIVE \
       --drain-timeout=CONNECTION_DRAINING_TIMEOUT
    

    Sostituisci quanto segue:

    • BACKUP_PROXY_SUBNET: il nome della subnet solo proxy di backup appena creata
    • REGION: l'area geografica della subnet di backup creata di recente solo proxy
    • CONNECTION_DRAINING_TIMEOUT: il tempo, in secondi, utilizzato da Google Cloud per eseguire la migrazione delle connessioni esistenti dai proxy nella subnet solo proxy precedentemente attiva
  4. Dopo il timeout per lo svuotamento della connessione o dopo aver verificato che le connessioni alle VM o agli endpoint di backend non provengano da proxy nella subnet solo proxy precedentemente attiva (ora di backup), puoi:

    • Modifica le regole firewall di autorizzazione in entrata che si applicano alle VM o agli endpoint di backend in modo che non includano l'intervallo di indirizzi IP principali della subnet solo proxy precedentemente attiva (ora di backup).
    • Elimina la subnet solo proxy precedentemente attiva (ora di backup) per rilasciare gli indirizzi IP utilizzati dalla subnet per l'intervallo di indirizzi IP principali.

Esempio: modifica di una subnet solo proxy

Questa sezione include una configurazione di esempio che mostra i passaggi necessari per modificare la subnet solo proxy in un'area geografica.

  1. Crea una subnet solo proxy di backup dedicata all'area geografica.

    gcloud compute networks subnets create new-l7ilb-backend-subnet-us-west1 \
       --purpose=REGIONAL_MANAGED_PROXY \
       --role=BACKUP \
       --region=us-west1 \
       --network=default \
       --range=10.130.0.0/23
    
  2. Aggiorna il firewall di backend per accettare le connessioni dalla nuova subnet.

    gcloud compute firewall-rules update l7-ilb-firewall \
       --source-ranges 10.129.0.0/23,10.130.0.0/23
    
  3. Aggiorna la nuova subnet, impostandola come subnet solo proxy ACTIVE nell'area geografica e in attesa dello svuotamento della vecchia subnet.

    gcloud compute networks subnets update new-l7ilb-ip-range-us-west1 \
       --drain-timeout 1h --role ACTIVE
    

    Per svuotare immediatamente un intervallo di indirizzi IP, imposta --drain-timeout su 0s. In questo modo, le connessioni ai proxy che hanno indirizzi assegnati nella subnet che viene svuotata vengono terminate immediatamente.

  4. Monitora lo stato dello svuotamento utilizzando un comando list o describe. Lo stato della subnet è DRAINING durante lo svuotamento.

    gcloud compute networks subnets list
    

    Attendi che termini lo svuotamento. Quando la subnet solo proxy precedente è svuotata, lo stato della subnet è READY.

  5. Aggiorna la regola firewall di backend per consentire solo le connessioni dalla nuova subnet.

    gcloud compute firewall-rules update l7-ilb-firewall \
       --source-ranges 10.130.0.0/23
    
  6. Elimina la vecchia subnet.

    gcloud compute networks subnets delete l7ilb-ip-range-us-west1 \
       --region us-west1
    

Eliminazione di una subnet solo proxy

L'eliminazione di una subnet solo proxy rilascia il suo intervallo di indirizzi IP principale in modo che tu possa utilizzarlo per un altro scopo. Google Cloud applica le seguenti regole quando riceve una richiesta di eliminazione di una subnet solo proxy:

  • Impossibile eliminare una subnet solo proxy attiva se è presente almeno un bilanciatore del carico a livello di area geografica nella stessa area geografica e nella stessa rete VPC.

  • Impossibile eliminare una subnet solo proxy attiva se è presente una subnet solo proxy di backup nella stessa area geografica e nella stessa rete VPC.

    Se provi a eliminare una subnet solo proxy attiva prima di eliminare il backup, viene visualizzato il seguente messaggio di errore: "Utilizzo risorse non valido: impossibile eliminare la subnet ATTIVA perché è presente una subnet di BACKUP."

Praticamente queste regole hanno il seguente effetto:

  • Se in una determinata area geografica e rete VPC non è definito alcun bilanciatore del carico a livello di area geografica, puoi eliminare le subnet solo proxy in tale area geografica. Se esiste una subnet solo proxy di backup, devi prima eliminarla per poter eliminare la subnet solo proxy attiva.

  • Se hai almeno un bilanciatore del carico a livello di area geografica definito in una determinata area geografica e rete VPC, non puoi eliminare la subnet solo proxy attiva, ma puoi promuovere una subnet solo proxy di backup nel ruolo attivo, che retrocede automaticamente al ruolo di backup la subnet solo proxy precedentemente attiva. Dopo aver svuotato le connessioni, puoi eliminare la subnet di backup solo (in precedenza attiva) solo del proxy.

Per ulteriori informazioni, consulta l'articolo sull'eliminazione delle subnet nella documentazione di rete VPC.

Limitazioni

I seguenti vincoli si applicano alle subnet solo proxy:

  • Non puoi avere sia una subnet INTERNAL_HTTPS_LOAD_BALANCER che una subnet REGIONAL_MANAGED_PROXY nella stessa rete e nella stessa area geografica, nello stesso modo in cui non puoi avere due proxy REGIONAL_MANAGED_PROXY o due proxy INTERNAL_HTTPS_LOAD_BALANCER.

  • Puoi creare una sola subnet attiva e una sola proxy di backup in ogni area geografica in ogni rete VPC.

  • Non puoi creare una subnet solo proxy di backup a meno che tu non abbia già creato una subnet solo proxy attiva in quell'area geografica e nella rete.

  • Puoi cambiare il ruolo di una subnet solo proxy da backup ad attiva aggiornando la subnet. Quando lo fai, Google Cloud modifica automaticamente la copia di backup della subnet solo proxy precedentemente attiva. Non puoi impostare esplicitamente il ruolo di una subnet solo proxy per il backup aggiornandolo.

  • Durante il periodo di svuotamento della connessione solo proxy, (--drain-timeout), non puoi modificare il ruolo di una subnet solo proxy da backup ad attivo.

  • Google Cloud non avvisa se la subnet solo proxy esaurisce gli indirizzi IP.

  • Le subnet solo proxy non supportano i log di flusso VPC.

Passaggi successivi