所有 Google Cloud 區域的加密方式
虛擬私有雲網路和對等互連虛擬私有雲網路中的所有 VM 對 VM 流量都會經過加密。
Proxy 負載平衡器與後端之間的加密
對於部分 Proxy 負載平衡器 (請參閱表 1),Google 會自動將流量轉送至位於 Google Cloud 虛擬私有雲網路中的後端,這就是所謂的自動網路層級加密。自動網路層級加密功能僅適用於與下列類型後端的通訊:
- 執行個體群組
- 區域性 NEG (
GCE_VM_IP_PORT端點)
此外, Google Cloud 也提供安全通訊協定選項,可加密與後端服務的通訊內容。
有些 Google Cloud 負載平衡器會使用 Google Front End (GFE) 做為後端的用戶端,其他則會使用開放原始碼 Envoy Proxy。無論在何種情況下,負載平衡器均支援 RFC 8446 第 9.1 節中列出的 TLS 1.3 加密套件。對於 TLS 1.2 以下版本,負載平衡器支援與 COMPATIBLE SSL 政策設定檔相關聯的加密套件。
下表摘要說明用於將流量加密至後端的 Proxy 負載平衡器。
| Proxy 負載平衡器 | Proxy (用戶端到後端) | 自動網路層級加密 | 後端服務通訊協定選項 |
|---|---|---|---|
| 全域外部應用程式負載平衡器 | GFE (搭配 Envoy 軟體的進階轉送功能) | HTTP、HTTPS 和 HTTP/2 如果您需要在傳輸至後端時進行可稽核的加密,請選擇 HTTPS 或 HTTP/2。 |
|
| 傳統版應用程式負載平衡器 | GFE | HTTP、HTTPS 和 HTTP/2 如果您需要在傳輸至後端時進行可稽核的加密,請選擇 HTTPS 或 HTTP/2。 |
|
| 區域性外部應用程式負載平衡器 | Envoy Proxy | HTTP、HTTPS 和 HTTP/2 如果您需要在傳輸至後端時進行可稽核的加密,請選擇 HTTPS 或 HTTP/2。 |
|
| 區域性內部應用程式負載平衡器 | Envoy Proxy | HTTP、HTTPS 和 HTTP/2 如果您需要在傳輸至後端時進行可稽核的加密,請選擇 HTTPS 或 HTTP/2。 |
|
| 跨區域內部應用程式負載平衡器 | Envoy Proxy | HTTP、HTTPS 和 HTTP/2 如果您需要在傳輸至後端時進行可稽核的加密,請選擇 HTTPS 或 HTTP/2。 |
|
| 全域外部 Proxy 網路負載平衡器 | GFE (搭配 Envoy 軟體的進階轉送功能) | SSL 或 TCP 如果您需要在傳送至後端時使用可稽核的加密方式,請為後端服務通訊協定選擇 SSL。 |
|
| 傳統版 Proxy 網路負載平衡器 | GFE | SSL 或 TCP 如果您需要在傳送至後端時使用可稽核的加密方式,請為後端服務通訊協定選擇 SSL。 |
|
| 區域性外部 Proxy 網路負載平衡器 | Envoy Proxy | TCP | |
| 區域性內部 Proxy 網路負載平衡器 | Envoy Proxy | TCP | |
| 跨區域內部 Proxy 網路負載平衡器 | Envoy Proxy | TCP | |
| Cloud Service Mesh | 用戶端 Proxy | HTTPS 和 HTTP/2 |
安全後端通訊協定用途
在下列情況下,建議使用安全通訊協定連線至後端執行個體:
當您需要從負載平衡器 (或 Cloud Service Mesh) 連到後端執行個體的可稽核加密連線。
當負載平衡器透過網際網路 NEG 連線至Google Cloud 外部的後端執行個體。與網際網路 NEG 後端之間的通訊可能會透過公開網際網路傳送。當負載平衡器連線至網際網路 NEG 時,公開 CA 簽署的憑證必須符合驗證要求。
安全後端通訊協定注意事項
當使用安全後端服務通訊協定時,請注意下列事項:
負載平衡器的後端執行個體或端點必須使用與後端服務相同的通訊協定來提供。舉例來說,如果後端服務通訊協定是 HTTPS,則後端必須是 HTTPS 伺服器。
如果後端服務通訊協定是 HTTP/2,則後端必須使用傳輸層安全標準 (TLS)。如需設定操作說明,請參閱在後端執行個體或端點上執行的軟體說明文件。
後端執行個體或端點上必須安裝私密金鑰和憑證,才能做為 HTTPS 或 SSL 伺服器使用。這些憑證不需要與負載平衡器的前端 SSL 憑證相符。如需安裝操作說明,請參閱在後端執行個體或端點上執行的軟體說明文件。
除了採用網際網路 NEG 後端的 HTTPS 負載平衡器以外,負載平衡器不會使用伺服器名稱指示 (SNI) 擴充功能連線至後端。
負載平衡器連線至 Google Cloud中的後端時,會接受後端提供的任何憑證。在這種情況下,負載平衡器只會執行最低程度的憑證驗證。
舉例來說,憑證在以下情況中視為有效:
- 自行簽署的憑證。
- 憑證由未知的憑證授權單位 (CA) 簽署。
- 憑證已過期或尚未生效。
CN和subjectAlternativeName屬性與Host標頭或 DNS PTR 記錄不符。
自 2025 年 4 月 28 日起,負載平衡器只會接受含有 X509v3 金鑰用途擴充功能的 RSA 憑證,且同時包含數位簽名和金鑰加密參數。詳情請參閱相關的 2025 年 1 月 24 日版本資訊。
安全前端通訊協定
如果您在設定中使用目標 HTTPS 或目標 SSL Proxy,Google Cloud 會使用安全前端通訊協定。
外部應用程式負載平衡器和外部 Proxy 網路負載平衡器會使用 Google 的 BoringCrypto 程式庫。如需 FIPS 140-2 的詳細資料,請參閱 NIST 密碼編譯模組驗證計畫憑證 #3678 相關說明。
內部應用程式負載平衡器會使用 Google 的 BoringSSL 程式庫。如需 FIPS 140-2 的詳細資料,請參閱 Envoy 說明文件。Google 會在符合 FIPS 規範的模式下,為內部應用程式負載平衡器建構 Envoy Proxy。
Cloud Service Mesh 支援在符合 FIPS 規範的模式下建構的 Envoy Proxy。