Ringkasan Load Balancer Jaringan proxy eksternal

Dokumen ini memperkenalkan konsep yang perlu Anda pahami untuk mengonfigurasi Network Load Balancer proxy eksternal Google Cloud.

Load Balancer Jaringan proxy eksternal adalah load balancer proxy terbalik yang mendistribusikan traffic TCP yang berasal dari internet ke instance virtual machine (VM) di jaringan Virtual Private Cloud (VPC) Google Cloud Anda. Saat menggunakan Load Balancer Jaringan proxy eksternal, traffic TCP atau SSLyang masuk akan dihentikan di load balancer. Koneksi baru kemudian meneruskan traffic ke backend terdekat yang tersedia menggunakan TCP atau SSL (direkomendasikan). Untuk mengetahui kasus penggunaan lainnya, lihat Ringkasan Load Balancer Jaringan Proxy.

Load Balancer Jaringan proxy eksternal memungkinkan Anda menggunakan satu alamat IP untuk semua pengguna di seluruh dunia. Load balancer secara otomatis merutekan traffic ke backend yang paling dekat dengan pengguna.

Dalam contoh ini, traffic SSL dari pengguna di Kota A dan Kota B dihentikan di lapisan load balancing, dan koneksi terpisah dibuat ke backend yang dipilih.

Cloud Load Balancing dengan penghentian SSL.
Cloud Load Balancing dengan penghentian SSL (klik untuk memperbesar).

Mode operasi

Anda dapat mengonfigurasi Load Balancer Jaringan proxy eksternal dalam mode berikut:

  • Load Balancer Jaringan proxy klasik diterapkan di Google Front End (GFE) yang didistribusikan secara global. Load balancer ini dapat dikonfigurasi untuk menangani traffic TCP atau SSL dengan menggunakan proxy TCP target atau proxy SSL target. Dengan Paket Premium, load balancer ini dapat dikonfigurasi sebagai layanan load balancing global. Dengan Paket Standar, load balancer ini dikonfigurasi sebagai layanan load balancing regional. Load Balancer Jaringan proxy klasik juga dapat digunakan untuk protokol lain yang menggunakan SSL, seperti WebSocket dan IMAP melalui SSL.
  • Load Balancer Jaringan proxy eksternal global diterapkan di GFE yang didistribusikan secara global dan mendukung kemampuan pengelolaan traffic lanjutan. Load balancer ini dapat dikonfigurasi untuk menangani traffic TCP atau SSL dengan menggunakan proxy TCP target atau proxy SSL target. Load balancer ini dikonfigurasi sebagai layanan load balancing global dengan Paket Premium. Network Load Balancer proxy eksternal global juga dapat digunakan untuk protokol lain yang menggunakan SSL, seperti WebSocket dan IMAP melalui SSL.
  • Load Balancer Jaringan proxy eksternal regional diterapkan pada stack software proxy Envoy open source. Protokol ini hanya dapat menangani traffic TCP. Load balancer ini dikonfigurasi sebagai layanan load balancing regional yang dapat menggunakan Paket Premium atau Standar.

Mengidentifikasi mode

Untuk menentukan mode load balancer, selesaikan langkah-langkah berikut.

Konsol

  1. Di konsol Google Cloud, buka halaman Load balancing.

    Buka Load balancing

  2. Di tab Load Balancers, jenis, protokol, dan wilayah load balancer akan ditampilkan. Jika region kosong, load balancer adalah global.

    Tabel berikut meringkas cara mengidentifikasi mode load balancer.

    Mode load balancer Jenis load balancer Jenis akses Wilayah
    Load Balancer Jaringan proxy klasik Jaringan (Proxy klasik) Eksternal
    Load Balancer Jaringan proxy eksternal global Jaringan (Proxy) Eksternal
    Load Balancer Jaringan proxy eksternal regional Jaringan (Proxy) Eksternal Menentukan region

gcloud

  1. Gunakan perintah gcloud compute forwarding-rules describe:

    gcloud compute forwarding-rules describe FORWARDING_RULE_NAME
    
  2. Di output perintah, periksa skema load balancing, region, dan tingkat jaringan. Tabel berikut meringkas cara mengidentifikasi mode load balancer.

    Mode load balancer Skema load balancing Aturan penerusan Tingkat jaringan
    Load Balancer Jaringan proxy klasik EKSTERNAL Global Standar atau Premium
    Load Balancer Jaringan proxy eksternal global EXTERNAL_MANAGED Global Premium
    Load Balancer Jaringan proxy eksternal regional EXTERNAL_MANAGED Regional Standar atau Premium

Arsitektur

Diagram berikut menunjukkan komponen Load Balancer Jaringan proxy eksternal.

Global

Diagram ini menunjukkan komponen deployment Load Balancer Jaringan proxy eksternal global. Arsitektur ini berlaku untuk Load Balancer Jaringan proxy eksternal global dan Load Balancer Jaringan proxy klasik di Paket Premium.

Komponen Load Balancer Jaringan proxy eksternal global.
Komponen Load Balancer Jaringan proxy eksternal global (klik untuk memperbesar).

Regional

Diagram ini menunjukkan komponen deployment Load Balancer Jaringan proxy eksternal regional.

Komponen Load Balancer Jaringan proxy eksternal regional.
Komponen Load Balancer Jaringan proxy eksternal regional (klik untuk memperbesar).

Berikut adalah komponen Load Balancer Jaringan proxy eksternal.

Subnet khusus proxy

Catatan: Subnet khusus proxy hanya diperlukan untuk Load Balancer Jaringan proxy eksternal regional.

Subnet khusus proxy menyediakan sekumpulan alamat IP yang digunakan Google untuk menjalankan proxy Envoy atas nama Anda. Anda harus membuat satu subnet khusus proxy di setiap region jaringan VPC tempat Anda menggunakan load balancer. Flag --purpose untuk subnet khusus proxy ini ditetapkan ke REGIONAL_MANAGED_PROXY. Semua load balancer berbasis Envoy regional di region dan jaringan VPC yang sama berbagi kumpulan proxy Envoy dari subnet khusus proxy yang sama.

VM backend atau endpoint dari semua load balancer di region dan jaringan VPC menerima koneksi dari subnet khusus proxy.

Poin yang perlu diingat:

  • Subnet khusus proxy hanya digunakan untuk proxy Envoy, bukan backend Anda.
  • Alamat IP load balancer tidak berada di subnet khusus proxy. Alamat IP load balancer ditentukan oleh aturan penerusan terkelola eksternalnya.

Aturan penerusan dan alamat IP

Aturan penerusan merutekan traffic berdasarkan alamat IP, port, dan protokol ke konfigurasi load balancing yang terdiri dari proxy target dan layanan backend.

Spesifikasi alamat IP. Setiap aturan penerusan mereferensikan satu alamat IP yang dapat Anda gunakan dalam data DNS untuk aplikasi Anda. Anda dapat mencadangkan alamat IP statis yang dapat digunakan atau membiarkan Cloud Load Balancing menetapkannya untuk Anda. Sebaiknya Anda mencadangkan alamat IP statis. Jika tidak, Anda harus memperbarui data DNS dengan alamat IP sementara yang baru ditetapkan setiap kali Anda menghapus aturan penerusan dan membuat aturan baru.

Spesifikasi port. Aturan penerusan eksternal yang digunakan dalam definisi load balancer ini dapat mereferensikan tepat satu port dari 1-65535. Jika ingin mendukung beberapa port berturut-turut, Anda perlu mengonfigurasi beberapa aturan pengalihan. Beberapa aturan penerusan dapat dikonfigurasi dengan alamat IP virtual yang sama dan port yang berbeda; oleh karena itu, Anda dapat melakukan proxy beberapa aplikasi dengan port kustom terpisah ke alamat IP virtual proxy TCP yang sama. Untuk mengetahui detail selengkapnya, lihat Spesifikasi port untuk aturan penerusan.

Untuk mendukung beberapa port berturut-turut, Anda harus mengonfigurasi beberapa aturan penerusan. Beberapa aturan penerusan dapat dikonfigurasi dengan alamat IP virtual yang sama dan port yang berbeda. Oleh karena itu, Anda dapat melakukan proxy beberapa aplikasi dengan port kustom terpisah ke alamat IP virtual proxy TCP yang sama.

Tabel berikut menunjukkan persyaratan aturan penerusan untuk Load Balancer Jaringan proxy eksternal.

Mode load balancer Network Service Tier Aturan penerusan, alamat IP, dan skema load balancing Pemilihan rute dari internet ke frontend load balancer
Load Balancer Jaringan proxy klasik Paket Premium

Aturan penerusan external global

Alamat IP eksternal global

Skema load balancing: EXTERNAL

Permintaan yang dirutekan ke GFE yang paling dekat dengan klien di internet.
Paket Standar

Aturan penerusan regional external

Alamat IP eksternal regional

Skema load balancing: EXTERNAL

Permintaan yang dirutekan ke GFE di region load balancer.
Load Balancer Jaringan proxy eksternal global Paket Premium

Aturan penerusan external global

Alamat IP eksternal global

Skema load balancing: EXTERNAL_MANAGED

Permintaan yang dirutekan ke GFE yang paling dekat dengan klien di internet.
Load Balancer Jaringan proxy eksternal regional Paket Premiumdan Standar

Aturan penerusan regional external

Alamat IP eksternal regional

Skema load balancing: EXTERNAL_MANAGED

Permintaan yang dirutekan ke proxy Envoy di region yang sama dengan load balancer.

Aturan penerusan dan jaringan VPC

Bagian ini menjelaskan cara aturan penerusan yang digunakan oleh Load Balancer Aplikasi eksternal dikaitkan dengan jaringan VPC.

Mode load balancer Penautan jaringan VPC
Load Balancer Jaringan proxy eksternal global

Load Balancer Jaringan proxy klasik

Tidak ada jaringan VPC terkait.

Aturan penerusan selalu menggunakan alamat IP yang berada di luar jaringan VPC. Oleh karena itu, aturan penerusan tidak memiliki jaringan VPC terkait.

Load Balancer Jaringan proxy eksternal regional

Jaringan VPC aturan penerusan adalah jaringan tempat subnet khusus proxy telah dibuat. Anda menentukan jaringan saat membuat aturan penerusan.

Proxy target

Load Balancer Jaringan proxy eksternal menghentikan koneksi dari klien dan membuat koneksi baru ke backend. Proxy target merutekan koneksi baru ini ke layanan backend.

Bergantung pada jenis traffic yang perlu ditangani aplikasi Anda, Anda dapat mengonfigurasi Load Balancer Jaringan proxy eksternal dengan proxy TCP target atau proxy SSL target.

  • Proxy TCP target: Konfigurasikan load balancer dengan proxy TCP target jika Anda mengharapkan traffic TCP.
  • Target proxy SSL: Konfigurasikan load balancer dengan proxy SSL target jika Anda mengharapkan traffic klien yang terenkripsi. Jenis load balancer ini hanya ditujukan untuk traffic non-HTTP(S). Untuk traffic HTTP(S), sebaiknya Anda menggunakan Load Balancer Aplikasi eksternal.

Secara default, proxy target tidak mempertahankan alamat IP klien dan informasi port asli. Anda dapat mempertahankan informasi ini dengan mengaktifkan protokol PROXY di proxy target.

Tabel berikut menunjukkan persyaratan proxy target untuk Load Balancer Jaringan proxy eksternal.

Mode load balancer Network Service Tier Proxy target
Load Balancer Jaringan proxy klasik Paket Premium targetTcpProxies atau targetSslProxies
Paket Standar targetTcpProxies atau targetSslProxies
Load Balancer Jaringan proxy eksternal global Paket Premium targetTcpProxies atau targetSslProxies
Load Balancer Jaringan proxy eksternal regional Paket Premium dan Standar regionTargetTcpProxies

Sertifikat SSL

Sertifikat SSL hanya diperlukan jika Anda men-deploy Load Balancer Jaringan proxy eksternal global dan Load Balancer Jaringan proxy klasik dengan proxy SSL target.

Load Balancer Jaringan proxy eksternal yang menggunakan proxy SSL target memerlukan kunci pribadi dan sertifikat SSL sebagai bagian dari konfigurasi load balancer.

  • Google Cloud menyediakan dua metode konfigurasi untuk menetapkan kunci pribadi dan sertifikat SSL ke proxy SSL target: sertifikat SSL Compute Engine dan Certificate Manager. Untuk mengetahui deskripsi setiap konfigurasi, lihat Metode konfigurasi sertifikat di ringkasan sertifikat SSL.

  • Google Cloud menyediakan dua jenis sertifikat: Dikelola sendiri dan dikelola Google. Untuk mengetahui deskripsi setiap jenis, lihat Jenis sertifikat di ringkasan sertifikat SSL.

Layanan backend

Layanan backend mengarahkan traffic masuk ke satu atau beberapa backend yang terpasang. Setiap backend terdiri dari grup instance atau grup endpoint jaringan dan informasi tentang kapasitas penyaluran backend. Kapasitas penayangan backend dapat didasarkan pada CPU atau permintaan per detik (RPS).

Setiap load balancer memiliki satu resource layanan backend yang menentukan health check yang akan dilakukan untuk backend yang tersedia.

Perubahan yang dilakukan pada layanan backend tidak langsung diterapkan. Diperlukan waktu beberapa menit agar perubahan diterapkan ke GFE. Untuk memastikan gangguan minimal bagi pengguna, Anda dapat mengaktifkan pengosongan koneksi di layanan backend. Gangguan tersebut dapat terjadi saat backend dihentikan, dihapus secara manual, atau dihapus oleh autoscaler. Untuk mempelajari lebih lanjut cara menggunakan pengosongan koneksi untuk meminimalkan gangguan layanan, lihat Mengaktifkan pengosongan koneksi.

Untuk informasi selengkapnya tentang resource layanan backend, lihat Ringkasan layanan backend.

Tabel berikut menentukan berbagai backend yang didukung di layanan backend Load Balancer Jaringan proxy eksternal.

Mode load balancer Backend yang didukung di layanan backend
Grup instance NEG Zona NEG Internet NEG Serverless NEG Hybrid NEG Private Service Connect GKE
Load Balancer Jaringan proxy klasik Menggunakan NEG zona mandiri
Load Balancer Jaringan proxy eksternal global * Endpoint jenis GCE_VM_IP_PORT *
Load Balancer Jaringan proxy eksternal regional Endpoint jenis GCE_VM_IP_PORT Khusus NEG regional Menambahkan NEG Private Service Connect

* Load Balancer Jaringan proxy eksternal global mendukung grup instance IPv4 dan IPv6 (dual stack) serta backend NEG zonal dengan endpoint GCE_VM_IP_PORT.

Backend dan jaringan VPC

Untuk backend Load Balancer Jaringan proxy eksternal global dan Load Balancer Jaringan proxy klasik, semua instance backend dari backend grup instance dan semua endpoint backend dari backend NEG harus berada di project yang sama. Namun, backend grup instance atau NEG dapat menggunakan jaringan VPC yang berbeda di project tersebut. Jaringan VPC yang berbeda tidak perlu terhubung menggunakan Peering Jaringan VPC karena GFE berkomunikasi langsung dengan backend di jaringan VPC masing-masing.

Untuk backend Load Balancer Jaringan proxy eksternal regional, hal berikut berlaku:

  • Untuk grup instance, NEG zona, dan NEG konektivitas campuran, semua backend harus berada di project dan region yang sama dengan layanan backend. Namun, load balancer dapat mereferensikan backend yang menggunakan jaringan VPC yang berbeda di project yang sama dengan layanan backend (kemampuan ini dalam Pratinjau). Konektivitas antara jaringan VPC load balancer dan jaringan VPC backend dapat dikonfigurasi menggunakan Peering Jaringan VPC, tunnel Cloud VPN, lampiran VLAN Cloud Interconnect, atau framework Network Connectivity Center.

    Definisi jaringan backend

    • Untuk NEG zonal dan NEG campuran, Anda menentukan jaringan VPC secara eksplisit saat membuat NEG.
    • Untuk grup instance terkelola, jaringan VPC ditentukan dalam template instance.
    • Untuk grup instance tidak terkelola, jaringan VPC grup instance ditetapkan agar cocok dengan jaringan VPC antarmuka nic0 untuk VM pertama yang ditambahkan ke grup instance.

    Persyaratan jaringan backend

    Jaringan backend Anda harus memenuhi salah satu persyaratan jaringan berikut:

    • Jaringan VPC backend harus sama persis dengan jaringan VPC aturan penerusan.

    • Jaringan VPC backend harus terhubung ke jaringan VPC aturan penerusan menggunakan Peering Jaringan VPC. Anda harus mengonfigurasi pertukaran rute subnet untuk mengizinkan komunikasi antara subnet khusus proxy di jaringan VPC aturan penerusan dan subnet yang digunakan oleh instance backend atau endpoint.

  • Jaringan VPC backend dan jaringan VPC aturan penerusan harus berupa jari-jari VPC di hub Network Connectivity Center yang sama. Filter impor dan ekspor harus mengizinkan komunikasi antara subnet khusus proxy di jaringan VPC aturan penerusan dan subnet yang digunakan oleh instance atau endpoint backend.
  • Untuk semua jenis backend lainnya, semua backend harus berada di jaringan dan region VPC yang sama.

Backend dan antarmuka jaringan

Jika Anda menggunakan backend grup instance, paket akan selalu dikirim ke nic0. Jika Anda ingin mengirim paket ke NIC yang berbeda, gunakan backend NEG.

Jika Anda menggunakan backend NEG zonal, paket akan dikirim ke antarmuka jaringan apa pun yang diwakili oleh endpoint di NEG. Endpoint NEG harus berada di jaringan VPC yang sama dengan jaringan VPC yang ditentukan secara eksplisit oleh NEG.

Protokol untuk berkomunikasi dengan backend

Saat mengonfigurasi layanan backend untuk Load Balancer Jaringan proxy eksternal, Anda menetapkan protokol yang digunakan layanan backend untuk berkomunikasi dengan backend.

  • Untuk Load Balancer Jaringan proxy klasik, Anda dapat memilih TCP atau SSL.
  • Untuk Load Balancer Jaringan proxy eksternal global, Anda dapat memilih TCP atau SSL.
  • Untuk Load Balancer Jaringan proxy eksternal regional, Anda dapat menggunakan TCP.

Load balancer hanya menggunakan protokol yang Anda tentukan, dan tidak mencoba melakukan negosiasi koneksi dengan protokol lain.

Aturan firewall

Aturan firewall berikut diperlukan:

  • Untuk Load Balancer Jaringan proxy klasik, aturan firewall allow masuk untuk mengizinkan traffic dari GFE menjangkau backend Anda.

  • Untuk Load Balancer Jaringan proxy eksternal global, aturan firewall allow masuk untuk mengizinkan traffic dari GFE menjangkau backend Anda.

  • Untuk Load Balancer Jaringan proxy eksternal regional, aturan firewall masuk untuk mengizinkan traffic dari subnet khusus proxy untuk menjangkau backend Anda.

  • Aturan firewall allow ingress untuk mengizinkan traffic dari rentang pemeriksaan health check menjangkau backend Anda. Untuk mengetahui informasi selengkapnya tentang pemeriksaan health check dan alasan perlunya mengizinkan traffic dari pemeriksaan tersebut, lihat Memeriksa aturan firewall dan rentang IP.

Aturan firewall diterapkan di tingkat instance VM, bukan di tingkat proxy GFE. Anda tidak dapat menggunakan aturan firewall untuk mencegah traffic mencapai load balancer.

Port untuk aturan firewall ini harus dikonfigurasi sebagai berikut:

  • Izinkan traffic ke port tujuan untuk setiap health check layanan backend.
  • Untuk backend grup instance: tentukan port yang akan dikonfigurasi oleh pemetaan antara port bernama layanan backend dan nomor port yang terkait dengan port bernama tersebut di setiap grup instance. Nomor port dapat bervariasi di antara grup instance yang ditetapkan ke layanan backend yang sama.
  • Untuk backend NEG zonal GCE_VM_IP_PORT NEG: izinkan traffic ke nomor port endpoint.

Tabel berikut merangkum rentang alamat IP sumber yang diperlukan untuk aturan firewall.

Mode load balancer Rentang sumber health check Rentang sumber permintaan
Load Balancer Jaringan proxy eksternal global
  • 35.191.0.0/16
  • 130.211.0.0/22

Untuk traffic IPv6 ke backend:

  • 2600:2d00:1:b029::/64
Sumber traffic GFE bergantung pada jenis backend:
  • Grup instance dan NEG zona (GCE_VM_IP_PORT):
    • 130.211.0.0/22
    • 35.191.0.0/16

    Untuk traffic IPv6 ke backend:

    • 2600:2d00:1:1::/64
Load Balancer Jaringan proxy klasik
  • 35.191.0.0/16
  • 130.211.0.0/22
Rentang ini berlaku untuk pemeriksaan dan permintaan health check dari GFE.
Load Balancer Jaringan proxy eksternal regional *, †
  • 35.191.0.0/16
  • 130.211.0.0/22

Untuk traffic IPv6 ke backend:

  • 2600:2d00:1:b029::/64
Rentang ini berlaku untuk probe health check.

* Mencantumkan rentang probe health check Google dalam daftar yang diizinkan tidak diperlukan untuk NEG hibrida. Namun, jika Anda menggunakan kombinasi NEG campuran dan zonal dalam satu layanan backend, Anda harus mengizinkan rentang probe pemeriksaan kesehatan Google untuk NEG zonal.

Untuk NEG internet regional, health check bersifat opsional. Traffic dari load balancer yang menggunakan NEG internet regional berasal dari subnet khusus proxy, lalu diterjemahkan NAT (dengan menggunakan Cloud NAT) ke alamat IP NAT yang dialokasikan secara manual atau otomatis. Traffic ini mencakup pemeriksaan health check dan permintaan pengguna dari load balancer ke backend. Untuk mengetahui detailnya, lihat NEG regional: Menggunakan Cloud NAT untuk keluar.

Alamat IP sumber

Alamat IP sumber untuk paket, seperti yang dilihat oleh backend, bukan alamat IP eksternal Google Cloud dari load balancer. Dengan kata lain, ada dua koneksi TCP.

Untuk Load Balancer Jaringan proxy klasik dan Load Balancer Jaringan proxy eksternal global:
  • Koneksi 1, dari klien asli ke load balancer (GFE):

    • Alamat IP sumber: klien asli (atau alamat IP eksternal jika klien berada di balik NAT atau proxy penerusan).
    • Alamat IP tujuan: alamat IP load balancer Anda.
  • Koneksi 2, dari load balancer (GFE) ke VM atau endpoint backend:

    • Alamat IP sumber: alamat IP dalam salah satu rentang yang ditentukan di Aturan firewall.

    • Alamat IP tujuan: alamat IP internal VM atau penampung backend di jaringan VPC.

Untuk Load Balancer Jaringan proxy eksternal regional:
  • Koneksi 1, dari klien asli ke load balancer (subnet khusus proxy):

    • Alamat IP sumber: klien asli (atau alamat IP eksternal jika klien berada di balik NAT atau proxy penerusan).
    • Alamat IP tujuan: alamat IP load balancer Anda.
  • Koneksi 2, dari load balancer (subnet khusus proxy) ke VM atau endpoint backend:

    • Alamat IP sumber: alamat IP di subnet khusus proxy yang digunakan bersama di antara semua load balancer berbasis Envoy yang di-deploy di region dan jaringan yang sama dengan load balancer.

    • Alamat IP tujuan: alamat IP internal VM atau penampung backend di jaringan VPC.

Port yang terbuka

Load Balancer Jaringan proxy eksternal adalah load balancer reverse proxy. Load balancer menghentikan koneksi yang masuk, lalu membuka koneksi baru dari load balancer ke backend. Load balancer ini diterapkan menggunakan proxy Google Front End (GFE) di seluruh dunia.

GFE memiliki beberapa port terbuka untuk mendukung layanan Google lainnya yang berjalan di arsitektur yang sama. Saat menjalankan pemindaian port, Anda mungkin melihat port terbuka lainnya untuk layanan Google lain yang berjalan di GFE.

Menjalankan pemindaian port pada alamat IP load balancer berbasis GFE tidak berguna dari perspektif audit karena alasan berikut:

  • Pemindaian port (misalnya, dengan nmap) umumnya tidak mengharapkan paket respons atau paket TCP RST saat melakukan probing TCP SYN. GFE akan mengirim paket SYN-ACK sebagai respons terhadap probe SYN hanya untuk port tempat Anda telah mengonfigurasi aturan penerusan. GFE hanya mengirim paket ke backend sebagai respons terhadap paket yang dikirim ke alamat IP load balancer dan port tujuan yang dikonfigurasi pada aturan penerusannya. Paket yang dikirim ke alamat IP atau port yang berbeda tidak dikirim ke backend Anda.

    GFE menerapkan fitur keamanan seperti Google Cloud Armor. Dengan Google Cloud Armor Standard, GFE memberikan perlindungan yang selalu aktif dari serangan DDoS volumetrik dan berbasis protokol serta serangan bertubi-tubi menggunakan SYN. Perlindungan ini tersedia meskipun Anda belum mengonfigurasi Google Cloud Armor secara eksplisit. Anda hanya akan ditagih jika mengonfigurasi kebijakan keamanan, atau jika mendaftar ke Managed Protection Plus.

  • Paket yang dikirim ke alamat IP load balancer Anda dapat dijawab oleh GFE apa pun di fleet Google; namun, memindai alamat IP load balancer dan kombinasi port tujuan hanya menginterogasi satu GFE per koneksi TCP. Alamat IP load balancer Anda tidak ditetapkan ke satu perangkat atau sistem. Dengan demikian, memindai alamat IP load balancer berbasis GFE tidak akan memindai semua GFE di fleet Google.

Dengan mempertimbangkan hal tersebut, berikut beberapa cara yang lebih efektif untuk mengaudit keamanan instance backend Anda:

  • Auditor keamanan harus memeriksa konfigurasi aturan penerusan untuk konfigurasi load balancer. Aturan penerusan menentukan port tujuan yang digunakan load balancer untuk menerima paket dan meneruskannya ke backend. Untuk load balancer berbasis GFE, setiap aturan penerusan eksternal hanya dapat mereferensikan satu port TCP tujuan.

  • Auditor keamanan harus memeriksa konfigurasi aturan firewall yang berlaku untuk VM backend. Aturan firewall yang Anda tetapkan memblokir traffic dari GFE ke VM backend, tetapi tidak memblokir traffic masuk ke GFE. Untuk praktik terbaik, lihat bagian aturan firewall.

Arsitektur VPC Bersama

Load Balancer Jaringan proxy eksternal regional dan Load Balancer Jaringan proxy klasik mendukung deployment yang menggunakan jaringan VPC Bersama. VPC Bersama memungkinkan Anda mempertahankan pemisahan tanggung jawab yang jelas antara administrator jaringan dan developer layanan. Tim pengembangan Anda dapat berfokus pada pembuatan layanan dalam project layanan, dan tim infrastruktur jaringan dapat menyediakan dan mengelola load balancing. Jika Anda belum memahami VPC Bersama, baca dokumentasi ringkasan VPC Bersama.

Alamat IP Aturan penerusan Proxy target Komponen backend
Alamat IP eksternal harus ditentukan dalam project yang sama dengan load balancer. Aturan penerusan eksternal harus ditentukan dalam project yang sama dengan instance backend (project layanan). Proxy TCPatau SSL target harus ditentukan dalam project yang sama dengan instance backend.

Untuk Load Balancer Jaringan proxy klasik, layanan backend global harus ditentukan dalam project yang sama dengan instance backend. Instance ini harus berada dalam grup instance yang dilampirkan ke layanan backend sebagai backend. Health check yang terkait dengan layanan backend harus ditentukan dalam project yang sama dengan layanan backend.

Untuk Load Balancer Jaringan proxy eksternal regional, VM backend biasanya terletak di project layanan. Layanan backend dan health check regional harus ditentukan di project layanan tersebut.

Distribusi traffic

Saat menambahkan grup instance backend atau NEG ke layanan backend, Anda menentukan mode load balancing, yang menentukan metode yang mengukur beban backend dan kapasitas target.

Untuk Load Balancer Jaringan proxy eksternal, mode penyeimbangan dapat berupa CONNECTION atau UTILIZATION:

  • Jika mode load balancing adalah CONNECTION, beban akan disebarkan berdasarkan jumlah total koneksi yang dapat ditangani backend.
  • Jika mode load balancing adalah UTILIZATION, beban akan didistribusikan berdasarkan penggunaan instance dalam grup instance. Mode penyeimbangan ini hanya berlaku untuk backend grup instance VM.

Distribusi traffic di seluruh backend ditentukan oleh mode balancing load balancer.

Load Balancer Jaringan proxy klasik

Untuk Network Load Balancer proxy klasik, mode balancing digunakan untuk memilih backend yang paling menguntungkan (grup instance atau NEG). Traffic kemudian didistribusikan dengan cara round robin di antara instance atau endpoint dalam backend.

Cara koneksi didistribusikan

Load Balancer Jaringan proxy klasik dapat dikonfigurasi sebagai layanan load balancing global dengan Paket Premium, dan sebagai layanan regional di Paket Standar.

Mode penyeimbangan dan pilihan target menentukan kelengkapan backend dari perspektif setiap NEG GCE_VM_IP_PORT zona, grup instance zona, atau zona grup instance regional. Traffic kemudian didistribusikan dalam zona menggunakan hashing yang konsisten.

Untuk Paket Premium:

  • Anda hanya dapat memiliki satu layanan backend, dan layanan backend dapat memiliki backend di beberapa region. Untuk load balancing global, Anda men-deploy backend di beberapa region, dan load balancer secara otomatis mengarahkan traffic ke region yang paling dekat dengan pengguna. Jika suatu region sudah mencapai kapasitas, load balancer akan otomatis mengarahkan koneksi baru ke region lain dengan kapasitas yang tersedia. Koneksi pengguna yang sudah ada tetap berada di region saat ini.

  • Google mengiklankan alamat IP load balancer Anda dari semua titik kehadiran, di seluruh dunia. Setiap alamat IP load balancer adalah anycast global.

  • Jika Anda mengonfigurasi layanan backend dengan backend di beberapa region, Google Front End (GFE) akan mencoba mengarahkan permintaan ke grup instance backend atau NEG yang sehat di region yang paling dekat dengan pengguna.

Untuk Paket Standar:

  • Google mengiklankan alamat IP load balancer Anda dari titik kehadiran yang terkait dengan region aturan penerusan. Load balancer menggunakan alamat IP eksternal regional.

  • Anda hanya dapat mengonfigurasi backend di region yang sama dengan aturan penerusan. Load balancer hanya mengarahkan permintaan ke backend yang responsif di satu region tersebut.

Load Balancer Jaringan proxy eksternal global

Untuk Load Balancer Jaringan proxy eksternal global, distribusi traffic didasarkan pada mode load balancing dan kebijakan lokalitas load balancing.

Mode balancing menentukan bobot dan fraksi traffic yang akan dikirim ke setiap grup (grup instance atau NEG). Kebijakan lokalitas load balancing (LocalityLbPolicy) menentukan cara backend dalam grup di-load balancing.

Saat menerima traffic, layanan backend akan mengarahkan traffic terlebih dahulu ke backend (grup instance atau NEG) sesuai dengan mode balancing backend. Setelah backend dipilih, traffic kemudian didistribusikan di antara instance atau endpoint dalam grup backend tersebut sesuai dengan kebijakan lokalitas load balancing.

Untuk informasi selengkapnya, lihat referensi berikut:

Cara koneksi didistribusikan

Load Balancer Jaringan proxy eksternal global dapat dikonfigurasi sebagai layanan load balancing global dengan Paket Premium

Mode penyeimbangan dan pilihan target menentukan kelengkapan backend dari perspektif setiap NEG GCE_VM_IP_PORT zonal, atau grup instance zonal. Traffic kemudian didistribusikan dalam zona menggunakan hashing yang konsisten.

  • Anda hanya dapat memiliki satu layanan backend, dan layanan backend dapat memiliki backend di beberapa region. Untuk load balancing global, Anda men-deploy backend di beberapa region, dan load balancer secara otomatis mengarahkan traffic ke region yang paling dekat dengan pengguna. Jika suatu region sudah mencapai kapasitas, load balancer akan otomatis mengarahkan koneksi baru ke region lain dengan kapasitas yang tersedia. Koneksi pengguna yang sudah ada tetap berada di region saat ini.

  • Google mengiklankan alamat IP load balancer Anda dari semua titik kehadiran, di seluruh dunia. Setiap alamat IP load balancer adalah anycast global.

  • Jika Anda mengonfigurasi layanan backend dengan backend di beberapa region, Google Front End (GFE) akan mencoba mengarahkan permintaan ke grup instance backend atau NEG yang sehat di region yang paling dekat dengan pengguna.

Load Balancer Jaringan proxy eksternal regional

Untuk Load Balancer Jaringan proxy eksternal regional, distribusi traffic didasarkan pada mode load balancing dan kebijakan lokalitas load balancing.

Mode balancing menentukan bobot dan fraksi traffic yang harus dikirim ke setiap backend (grup instance atau NEG). Kebijakan lokalitas load balancing (LocalityLbPolicy) menentukan cara backend dalam grup di-load balancing.

Saat menerima traffic, layanan backend akan mengarahkan traffic terlebih dahulu ke backend (grup instance atau NEG) sesuai dengan mode balancing-nya. Setelah backend dipilih, traffic kemudian didistribusikan di antara instance atau endpoint dalam grup backend tersebut sesuai dengan kebijakan lokalitas load balancing.

Untuk informasi selengkapnya, lihat referensi berikut:

Afinitas sesi

Afinitas sesi mengirim semua permintaan dari klien yang sama ke backend yang sama jika backend tersebut berfungsi dengan baik dan memiliki kapasitas.

Load Balancer Jaringan proxy eksternal menawarkan jenis afinitas sesi berikut:

  • NONE. Afinitas sesi tidak ditetapkan untuk load balancer.
  • Afinitas IP klien, yang meneruskan semua permintaan dari alamat IP klien yang sama ke backend yang sama.

Failover

Failover untuk Load Balancer Jaringan proxy eksternal berfungsi sebagai berikut:

  • Jika backend tidak responsif, traffic akan otomatis dialihkan ke backend yang responsif dalam region yang sama.
  • Jika semua backend dalam suatu region tidak responsif, traffic akan didistribusikan ke backend yang responsif di region lain (khusus mode global dan klasik).
  • Jika semua backend tidak responsif, load balancer akan menghentikan traffic.

Load balancing untuk aplikasi GKE

Jika membuat aplikasi di Google Kubernetes Engine, Anda dapat menggunakan NEG mandiri untuk melakukan load balancing traffic langsung ke container. Dengan NEG mandiri, Anda bertanggung jawab untuk membuat objek Service yang membuat NEG, lalu mengaitkan NEG dengan layanan backend sehingga load balancer dapat terhubung ke Pod.

Untuk dokumentasi terkait, lihat Load balancing berbasis container melalui NEG zona mandiri.

Batasan

  • Anda tidak dapat membuat Network Load Balancer proxy eksternal regional di Paket Premium menggunakan konsol Google Cloud. Selain itu, hanya region yang mendukung Paket Standar yang tersedia untuk load balancer ini di konsol Google Cloud. Gunakan gcloud CLI atau API.
  • Batasan berikut hanya berlaku untuk Load Balancer Jaringan proxy klasik dan Load Balancer Jaringan proxy eksternal global yang di-deploy dengan proxy target SSL:

    • Load Balancer Jaringan proxy klasik dan Load Balancer Jaringan proxy eksternal global tidak mendukung autentikasi berbasis sertifikat klien, yang juga dikenal sebagai autentikasi TLS timbal balik.

    • Load Balancer Jaringan proxy klasik dan Load Balancer Jaringan proxy eksternal global hanya mendukung karakter huruf kecil di domain dalam atribut nama umum (CN) atau atribut nama alternatif subjek (SAN) dari sertifikat. Sertifikat dengan karakter huruf besar di domain hanya ditampilkan jika ditetapkan sebagai sertifikat utama di proxy target.

Langkah selanjutnya