从负载平衡器到后端的加密

所有 Google Cloud 区域中的加密

系统会对 VPC 网络与对等互连的 VPC 网络中的所有虚拟机之间的流量进行加密。这包括物理边界内到虚拟机的流量(即集群内流量)。

基于代理的负载均衡器和后端之间的加密

对于某些负载均衡器类型,Google 会自动对位于 Google Cloud VPC 网络中的后端的流量进行加密。这称为自动网络级加密

此外,Google Cloud 还提供用于加密的后端服务安全协议

某些 Google Cloud 负载均衡器类型使用 Google Front End (GFE) 作为后端的客户端。其他类型使用 Envoy 代理

下表进行了总结。

基于代理的产品类型 后端的客户端 自动网络级加密 后端服务安全协议选项
全球外部 HTTP(S) 负载均衡器 GFE(包含 Envoy 软件以实现高级路由功能) HTTPS 和 HTTP/2
全局外部 HTTP(S) 负载均衡器(经典版) GFE HTTPS 和 HTTP/2
区域级外部 HTTP(S) 负载均衡器 Envoy 代理 HTTPS 和 HTTP/2
TCP 代理负载均衡器 GFE N/A。如果您想使用安全协议,请使用 SSL 代理负载均衡器。
SSL 代理负载均衡器 GFE SSL
内部 HTTP(S) 负载均衡器 Envoy 代理 HTTPS 和 HTTP/2
Traffic Director 客户端代理 HTTPS 和 HTTP/2

安全后端协议使用场景

在以下情况下,建议使用安全协议连接到后端实例:

  • 如果您需要建立从负载平衡器(或 Traffic Director)到后端实例的可审核加密连接。

  • 如果负载平衡器(通过互联网 NEG)连接到 Google Cloud 外部的后端实例。与互联网 NEG 后端的通信可能会传输到公共互联网。当负载平衡器连接到互联网 NEG 时,公共证书授权机构签名的证书必须满足验证要求

安全后端协议注意事项

使用安全后端服务协议时,请注意以下几点:

  • 负载平衡器的后端实例或端点必须使用与后端服务相同的协议。例如,如果后端服务协议是 HTTPS,则后端必须是 HTTPS 服务器。

  • 如果后端服务协议是 HTTP/2,那么您的后端必须使用 TLS。如需了解配置说明,请参阅在后端实例或端点上运行的软件的文档。

  • 您必须在后端实例或端点上安装私钥和证书,才能将其用作 HTTPS 或 SSL 服务器。这些证书不需要与负载平衡器的前端 SSL 证书相匹配。如需了解安装说明,请参阅在后端实例或端点上运行的软件的文档。

  • 当 GFE 启动与后端的 TLS 会话时,GFE 不会使用服务器名称指示 (SNI) 扩展程序。

  • 当 GFE 连接到 Google Cloud 内的后端时,GFE 会接受您的后端提供的任何证书。GFE 不执行证书验证。例如,即使在下列情况下,证书也被视为有效:

    • 该证书是自签名证书。
    • 该证书由未知证书授权机构 (CA) 签名。
    • 该证书已过期或尚未生效。
    • CNsubjectAlternativeName 特性与 Host 标头或 DNS PTR 记录不匹配。

安全前端协议

当您在配置中使用目标 HTTPS 或目标 SSL 代理时,Google Cloud 会使用安全前端协议。

HTTP(S) 负载平衡和 SSL 代理负载平衡使用 Google 的 BoringCrypto 库。如需详细了解 FIPS 140-2,请参阅 NIST 加密模块验证计划证书 #3678

内部 HTTP(S) 负载平衡使用 Google 的 BoringSSL 库。如需详细了解 FIPS 140-2,请参阅 Envoy 文档。Google 会以兼容 FIPS 模式的内部 HTTP(S) 负载平衡构建 Envoy 代理。

Traffic Director 支持采用符合 FIPS 模式构建的 Envoy 代理。