从负载平衡器到后端的加密

所有 Google Cloud 区域中的加密

系统会对 VPC 网络与对等互连的 VPC 网络中的所有虚拟机之间的流量进行加密。这包括物理边界内到虚拟机的流量(即集群内流量)。

GFE 和后端之间的加密

对于以下负载平衡器类型,Google 会自动对 Google 前端 (GFE) 和位于 Google Cloud VPC 网络的后端之间的流量进行加密:

  • HTTP(S) 负载均衡
  • TCP 代理负载平衡
  • SSL 代理负载平衡

安全后端协议选项

创建后端服务时,您需要选择后端服务协议。以下后端服务为后端提供了安全连接:

  • 对于 HTTP(S) 负载平衡:HTTPS 和 HTTP/2
  • 对于内部 HTTP(S) 负载平衡:HTTPS 和 HTTP/2
  • 对于 SSL 代理负载平衡:SSL
  • 对于 Traffic Director:HTTPS 和 HTTP/2

当 HTTP(S) 负载平衡或 SSL 代理负载平衡使用安全协议连接到后端时,GFE 是 HTTPS 或 SSL 客户端。当内部 HTTP(S) 负载平衡使用安全协议连接到后端时,Envoy 代理即为 HTTPS 客户端。

当使用 Traffic Director 配置的客户端代理通过安全后端服务协议连接到后端时,客户端代理就是 SSL 或 HTTPS 客户端。

安全后端协议使用场景

在以下情况下,建议使用安全协议连接到后端实例:

  • 如果您需要建立从负载平衡器(或 Traffic Director)到后端实例的可审核加密连接。

  • 如果负载平衡器(通过互联网 NEG)连接到 Google Cloud 外部的后端实例。与互联网 NEG 后端的通信可能会传输到公共互联网。当负载平衡器连接到互联网 NEG 时,公共证书授权机构签名的证书必须满足验证要求

安全后端协议注意事项

使用安全后端服务协议时,请注意以下几点:

  • 负载平衡器的后端实例或端点必须使用与后端服务相同的协议。例如,如果后端服务协议是 HTTPS,则后端必须是 HTTPS 服务器。

  • 如果后端服务协议是 HTTP/2,那么您的后端必须使用 TLS。如需了解配置说明,请参阅在后端实例或端点上运行的软件的文档。

  • 您必须在后端实例或端点上安装私钥和证书,才能将其用作 HTTPS 或 SSL 服务器。这些证书不需要与负载平衡器的前端 SSL 证书相匹配。如需了解安装说明,请参阅在后端实例或端点上运行的软件的文档。

  • 当 GFE 启动与后端的 TLS 会话时,GFE 不会使用服务器名称指示 (SNI) 扩展程序。

  • 当 GFE 连接到 Google Cloud 内的后端时,GFE 会接受您的后端提供的任何证书。GFE 不执行证书验证。例如,即使在下列情况下,证书也被视为有效:

    • 该证书是自签名证书。
    • 该证书由未知证书授权机构 (CA) 签名。
    • 该证书已过期或尚未生效。
    • CNsubjectAlternativeName 特性与 Host 标头或 DNS PTR 记录不匹配。

安全前端协议

当您在配置中使用目标 HTTPS 或目标 SSL 代理时,Google Cloud 会使用安全前端协议。

HTTP(S) 负载平衡和 SSL 代理负载平衡使用 Google 的 BoringCrypto 库。如需详细了解 FIPS 140-2,请参阅 NIST 加密模块验证计划证书 #3678

内部 HTTP(S) 负载平衡使用 Google 的 BoringSSL 库。如需详细了解 FIPS 140-2,请参阅 Envoy 文档。Google 会以兼容 FIPS 模式的内部 HTTP(S) 负载平衡构建 Envoy 代理。

Traffic Director 支持采用符合 FIPS 模式构建的 Envoy 代理。