SSL Proxy 負載平衡概念

Google Cloud SSL Proxy Load Balancing 會在負載平衡層終止使用者安全資料傳輸層 (SSL) (傳輸層安全標準 (TLS)) 連線,然後使用 SSL 或 TCP 通訊協定平衡各個執行個體之間的連線。Cloud SSL Proxy 適用於非 HTTP(S) 流量,對於 HTTP(S) 流量,則建議改用 HTTP(S) 負載平衡

SSL 負載平衡支援用戶端流量的 IPv4 和 IPv6 位址。用戶端 IPv6 要求會在負載平衡層終止,透過 IPv4 進行 Proxy 處理後,再傳送至後端。

總覽

針對 SSL 流量使用 SSL (TLS) Proxy 時,您可以在負載平衡層終止 SSL 工作階段,然後使用 SSL (建議) 或 TCP 將流量轉送至虛擬機器執行個體。

SSL Proxy 提供可在全球部署的負載平衡服務。您可以在多個地區部署執行個體,負載平衡器會自動將流量導向至具有容量的最近地區。如果最近地區的容量已達上限,負載平衡器就會自動將新的連線導向至另一個有可用容量的地區。現有的使用者連線會保留在目前所在地區。

請注意,全球化負載平衡需要使用網路服務級別的進階級,否則系統將依地區處理負載平衡。

為了獲得最佳安全性,請在 SSL Proxy 部署中使用端對端加密。如要這麼做,請將後端服務設為接受透過 SSL 傳輸的流量。這可確保在 SSL Proxy 層解密的用戶端流量會先再次加密,再傳送至後端執行個體。這種端對端的加密作業需要您在執行個體上佈建憑證和金鑰,以便執行個體執行 SSL 處理作業。

SSL Proxy 的優點:

  • 智慧型轉送:負載平衡器可將要求轉送至有容量的後端位置。相反地,L3/L4 負載平衡器則必須將要求轉送至地區性後端,不必考量有無容量。使用智慧型轉送可讓您在 N+1 或 N+2 (而不是 x*N) 進行佈建。
  • 提高虛擬機器執行個體的使用率:如果使用的加密方式無法發揮 CPU 效率,SSL 處理作業可能會耗費大量 CPU 資源。如要發揮 CPU 最佳效能,請使用 ECDSA SSL 憑證 (TLS 1.2),並優先選擇負載平衡器和執行個體之間的 SSL ECDHE-ECDSA-AES128-GCM-SHA256 加密套件。
  • 憑證管理:客戶用 SSL 憑證可以是您自行取得及管理的憑證 (「自行管理的憑證」),也可以是 Google 為您取得及管理的憑證 (「Google 代管的憑證」)。您只需要在負載平衡器上佈建憑證。對於虛擬機器執行個體,您可以使用自行簽署的憑證簡化管理作業。
  • 安全性修補:如果 SSL 或 TCP 堆疊出現安全漏洞,我們會自動在負載平衡器套用修補程式,確保您的執行個體安全無虞。
  • SSL Proxy 負載平衡支援通訊埠 25、43、110、143、195、443、465、587、700、993、995、1883 和 5222。將 Google 代管的 SSL 憑證 與 SSL Proxy 負載平衡搭配使用時,流量的前端通訊埠必須為 443,Google 代管的 SSL 憑證才能進行佈建與更新。
  • 您可以將 SSL 政策與 SSL Proxy 負載平衡搭配使用。

注意事項:

  • 您可以在負載平衡層和執行個體之間,透過未加密的 TCP 傳送流量。雖然此種做法可讓您從執行個體卸載 SSL 處理作業,但會降低負載平衡層和執行個體之間的安全性,因此我們不建議這麼做。
  • SSL Proxy 可以處理 HTTPS,但我們不建議這麼做。對於 HTTPS 流量,請改為使用 HTTPS 負載平衡。詳情請參閱常見問題
  • 您可以使用 gcloud 指令列工具建立 SSL 政策
  • SSL Proxy 負載平衡器不支援以用戶端憑證為基礎的驗證,這種驗證方式又稱為雙向 TLS 驗證。

下列各節說明 SSL Proxy 負載平衡的運作方式。

具有 SSL Proxy 的 Google Cloud Load Balancing

使用 SSL Proxy 負載平衡時,SSL 連線會在負載平衡層終止,然後經由 Proxy 傳送至最近的可用執行個體群組。

在此範例中,來自愛荷華州和波士頓使用者的流量會在負載平衡層終止,並與所選後端執行個體建立單獨的連線。

具有 SSL 終止功能的 Google Cloud Load Balancing (按一下可放大)
具有 SSL 終止功能的 Google Cloud Load Balancing (按一下可放大)

傳回路徑

GCP 會在您的虛擬私人雲端網路之外建立特殊路徑,以進行健康狀態檢查。如需這項功能的完整資訊,請參閱負載平衡器傳回路徑一節。

對 TLS 終止位置進行地理位置控制

SSL Proxy 負載平衡器終止 TLS 的位置分散在世界各地,這樣可縮短用戶端與負載平衡器之間的延遲。如果需要對 TLS 終止位置進行地理位置控制,請改用 GCP 網路負載平衡,並在符合所需地區中的後端終止 TLS。

開啟的通訊埠

SSL Proxy 負載平衡器是反向 Proxy 負載平衡器。這類的負載平衡器會終止連入的連線,然後從負載平衡器開啟連至後端的新連線。反向 Proxy 功能由 Google Front Ends (GFE) 提供。

您設定的防火牆規則會封鎖 GFE 到後端的流量,但不會封鎖傳入 GFE 的流量。

SSL Proxy 負載平衡器具有多個開啟的通訊埠,以支援在同一架構上執行的其他 Google 服務。如果您對負載平衡器的外部 IP 位址執行安全性或通訊埠掃描,其他通訊埠會顯示為開啟。

這不會影響 SSL Proxy 負載平衡器。外部轉送規則 (用於定義 SSL 負載平衡器) 只能參照 TCP 通訊埠 25、43、110、143、195、443、465、587、700、993、995、1883 和 5222。使用不同 TCP 目標通訊埠的流量不會轉送至負載平衡器的後端。

常見問題

在哪些情況下適合使用 HTTPS 負載平衡,而不是 SSL Proxy 負載平衡?

雖然 SSL Proxy 可處理 HTTPS 流量,但 HTTPS 負載平衡具備其他功能,因此在多數情況下為更理想的選擇。

HTTPS 負載平衡具備下列其他功能:

  • 與 HTTP/2 和 SPDY/3.1 進行交涉
  • 拒絕無效的 HTTP 要求或回應
  • 根據網址主機和路徑將要求轉送至不同的執行個體群組
  • Cloud CDN 整合
  • 更平均地分散執行個體間的要求負載,從而提供更好的執行個體使用率。HTTPS 分別對每個要求進行負載平衡,而 SSL Proxy 將來自同一 SSL 或 TCP 連線的所有位元組傳送至相同的執行個體

Google Cloud 的 SSL Proxy 負載平衡功能可用於其他使用 SSL 的通訊協定,例如 Websockets 和透過 SSL 的 IMAP 存取。

我可以查看與負載平衡層連線的原始 IP 位址嗎?

可以,您可以設定負載平衡器來前置 PROXY 通訊協定版本 1 標頭,藉此保留原始連線資訊。詳情請參閱更新 Proxy 的 Proxy 通訊協定標頭的相關說明。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Load Balancing