Descripción general del balanceo de cargas del proxy SSL

El Balanceo de cargas de proxy SSL es un balanceador de cargas del proxy inverso que distribuye el tráfico SSL proveniente de Internet a instancias de máquinas virtuales (VM) en tu red de VPC de Google Cloud.

Cuando se usa el balanceo de cargas del proxy SSL para tu tráfico SSL, las conexiones SSL del usuario (TLS) finalizan en la capa de balanceo de cargas y, luego, se dirigen con proxies a las instancias de backend disponibles más cercanas disponibles mediante SSL (recomendado) o TCP. Para conocer los tipos de backends compatibles, consulta Backends.

Con el nivel Premium, el balanceo de cargas del proxy SSL se puede configurar como un servicio de balanceo de cargas global. Con el nivel Estándar, el balanceador de cargas del proxy SSL administra el balanceo de cargas de forma regional. Para obtener más información, consulta Comportamiento del balanceador de cargas en los niveles de servicio de red.

En este ejemplo, el tráfico de usuarios de Iowa y Boston finaliza en la capa del balanceo de cargas y se establece una conexión independiente para el backend seleccionado.

Cloud Load Balancing con finalización SSL (haz clic para ampliar)
Google Cloud Load Balancing con finalización SSL (haz clic para ampliar)

El balanceo de cargas del proxy SSL está diseñado para el tráfico que no es HTTP(S). En el caso del tráfico HTTP(S), te recomendamos que uses el Balanceo de cargas de HTTP(S).

Para obtener información sobre la diferencia entre los balanceadores de cargas de Google Cloud, consulta los siguientes documentos:

Ventajas

A continuación, se presentan algunos beneficios del uso del balanceo de cargas del proxy SSL:

  • Terminación de IPv6. El balanceo de cargas del proxy SSL admite direcciones IPv4 y direcciones IPv6 para el tráfico de clientes. Las solicitudes de clientes de IPv6 finalizan en la capa de balanceo de cargas y, luego, se dirigen mediante proxies IPv4 a tus VM.

  • Enrutamiento inteligente. El balanceador de cargas puede enrutar solicitudes a ubicaciones de backend en las que haya capacidad. Por el contrario, un balanceador de cargas L3/L4 debe dirigirse a backends regionales sin considerar la capacidad. El uso del enrutamiento inteligente permite el aprovisionamiento en N + 1 o N + 2 en lugar de x * N.

  • Mejor uso de backends: El procesamiento SSL puede consumir una gran cantidad de CPU si los algoritmos de cifrados que se usan no son eficientes en cuanto al uso de ese recurso. Para maximizar el rendimiento de CPU, usa certificados SSL ECDSA y TLS 1.2, y opta por el conjunto de algoritmos de cifrado ECDHE-ECDSA-AES128-GCM-SHA256 para SSL entre el balanceador de cargas y las instancias de backend.

  • Administración de certificados: Los certificados SSL orientados al cliente pueden ser certificados que obtienes y administras tú mismo (certificados autoadministrados) o certificados que Google obtiene y administra por ti (certificados administrados por Google). Cada uno de los certificados SSL administrados por Google admite hasta 100 dominios. Se admiten varios dominios para los certificados administrados por Google. Solo debes aprovisionar certificados en el balanceador de cargas. En las VM, puedes simplificar la administración mediante el uso de certificados autofirmados.

  • Parches de seguridad: Si surgen vulnerabilidades en la pila SSL o TCP, se aplican parches en el balanceador de cargas de forma automática para proteger las VM.

  • Compatibilidad con los siguientes puertos conocidos: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200 y 9300. Cuando usas certificados SSL administrados por Google con el balanceo de cargas del proxy SSL, el puerto de frontend que se usa para el tráfico debe ser 443 a fin de que puedan aprovisionarse y renovarse los certificados SSL administrados por Google.

  • Políticas de SSL. Las políticas de SSL te permiten controlar las características de SSL que el balanceador de cargas del proxy SSL negocia con los clientes.

  • Control geográfico sobre la ubicación en la que se finaliza TLS. El balanceador de cargas del proxy SSL finaliza TLS en ubicaciones distribuidas de manera global a fin de minimizar la latencia entre los clientes y el balanceador de cargas. Si necesitas control geográfico sobre la ubicación dónde se finaliza TLS, usa el balanceo de cargas de red y finaliza TLS en backends ubicados en regiones adecuadas para tus necesidades.

Arquitectura

Los siguientes son componentes de balanceadores de cargas de proxy SSL.

Reglas de reenvío y direcciones IP

Las reglas de reenvío enrutan el tráfico por dirección IP, puerto y protocolo a una configuración de balanceo de cargas que consiste de un proxy de destino y un servicio de backend.

Cada regla de reenvío proporciona una sola dirección IP que puedes usar en los registros DNS de tu aplicación. No se requiere balanceo de cargas basado en DNS. Puedes reservar una dirección IP estática para usarla o permitir que Cloud Load Balancing te asigne una. Te recomendamos reservar una dirección IP estática; de lo contrario, deberás actualizar tu registro DNS con la dirección IP efímera recién asignada cada vez que borres una regla de reenvío y crees una nueva.

Cada regla de reenvío externo que usas en un balanceador de cargas del proxy SSL puede hacer referencia exactamente a uno de los puertos enumerados en: Especificaciones de puertos para reglas de reenvío.

Proxies de destino

El balanceo de cargas del proxy SSL finaliza las conexiones SSL del cliente y crea conexiones nuevas con los backends. El proxy de destino enruta las solicitudes entrantes directamente al servicio de backend.

De forma predeterminada, la dirección IP de cliente original y la información del puerto no se conservan. Puedes conservar esta información mediante el protocolo PROXY.

Certificado SSL

Debes instalar uno o más certificados SSL en el proxy SSL de destino. Los proxies SSL de destino utilizan estos certificados para proteger las comunicaciones entre Google Front End (GFE) y el cliente. Estos pueden ser certificados SSL autoadministrados o administrados por Google. A fin de obtener más información sobre los límites y las cuotas de los certificados SSL, consulta Certificados SSL en la página de cuotas del balanceo de cargas.

Puedes crear políticas de SSL para controlar las características de SSL que negocia el balanceador de cargas. Para obtener más información, consulta Descripción general de las políticas de SSL.

Si bien enviar tráfico mediante TCP no encriptado entre la capa de balanceo de cargas y las instancias de backend te permite descargar el procesamiento de SSL de tus backends, también implica una reducción de la seguridad. Por lo tanto, no lo recomendamos. A fin de contar con la mayor seguridad, usa la encriptación de extremo a extremo en la implementación del balanceador de cargas del proxy SSL. Para obtener más información, consulta Encriptación del balanceador de cargas a los backends.

Para obtener información sobre cómo Google encripta el tráfico de los usuarios, consulta el informe Encriptación en tránsito en Google Cloud.

Servicios de backend

Los servicios de backend dirigen el tráfico entrante a uno o más backends conectados. Cada backend está compuesto por un grupo de instancias o un grupo de extremos de red, además de información sobre la capacidad de entrega del backend. La capacidad de entrega del backend se puede basar en CPU o en solicitudes por segundo (RPS).

Cada servicio de backend especifica las verificaciones de estado que se realizarán en los backends disponibles.

Para garantizar interrupciones mínimas a tus usuarios, puedes habilitar el vaciado de conexiones en los servicios de backend. Estas interrupciones pueden ocurrir cuando un backend se finaliza, se quita de forma manual, o lo quita un escalador automático. Si quieres obtener más información sobre el uso del vaciado de conexiones para minimizar las interrupciones del servicio, consulta Habilita el vaciado de conexiones.

Reglas de firewall

Un balanceador de cargas HTTP(S) externo requiere las siguientes reglas de firewall:

  • En el balanceador de cargas HTTP(S) externo, una regla de permiso de entrada que permite que el tráfico de Google Front End (GFE) llegue a tus backends.
    Para el balanceador de cargas HTTP(S) regional externo, una regla de permiso de entrada que permite el tráfico desde la subred de solo proxy.
  • Una regla de permiso de entrada que permita el tráfico de los rangos de sondelo de verificación de estado Para obtener más información sobre los sondeos de verificación de estado y por qué es necesario permitir el tráfico de ellos, consulta Sondea rangos de IP y reglas de firewall.

Los puertos de estas reglas de firewall deben configurarse de la siguiente manera:

  • Permite el tráfico al puerto de destino para cada verificación de estado del servicio de backend.

  • Para los backends de grupos de instancias: Determina los puertos que se configurarán mediante la asignación entre el puerto con nombre del servicio de backend y los números de puerto asociados con ese puerto con nombre en cada grupo de instancias. Los números de puerto pueden variar entre grupos de instancias asignados al mismo servicio de backend.

  • Para los backends de NEG GCE_VM_IP_PORT: permite el tráfico a los números de puerto de los extremos.

Las reglas de firewall se implementan a nivel de la instancia de VM, no en los proxies de GFE. No puedes usar las reglas de firewall de Google Cloud para evitar que el tráfico llegue al balanceador de cargas. Para el balanceador de cargas HTTP(S) externo, puedes usar Google Cloud Armor a fin de lograrlo.

Para los balanceadores de cargas de proxy SSL y TCP, los rangos de origen necesarios son los siguientes:

  • 130.211.0.0/22
  • 35.191.0.0/16

Estos rangos se aplican a las verificaciones de estado y a las solicitudes del GFE.

Direcciones IP de origen

La dirección IP de origen de los paquetes, como la ven los backends, no es la dirección IP externa de Google Cloud del balanceador de cargas. En otras palabras, existen dos conexiones TCP.

  • Sesión 1, que abarca desde el cliente original hasta el balanceador de cargas (GFE):

    • Dirección IP de origen: Es el cliente original (o la dirección IP externa si el cliente usa NAT o un proxy de reenvío).
    • Dirección IP de destino: Es la dirección IP del balanceador de cargas.
  • Conexión 2, desde el balanceador de cargas (GFE) hasta el extremo o la VM de backend:

    • Dirección IP de origen: Es una dirección IP en uno de los rangos especificados en Reglas de firewall.

    • Dirección IP de destino: Es la dirección IP interna del contenedor o la VM de backend en la red de VPC.

Preserva las direcciones IP de origen del cliente

Para preservar las direcciones IP de origen originales de las conexiones entrantes al balanceador de cargas, puedes configurar el balanceador de cargas a fin de que anteponga un encabezado de protocolo PROXY versión 1 que retenga la información de la conexión original. Si deseas obtener más información, consulta Actualiza el encabezado del protocolo de proxy para el proxy.

Puertos abiertos

Los balanceadores de cargas de proxy SSL son balanceadores de cargas de proxy inverso. El balanceador de cargas finaliza las conexiones entrantes y abre conexiones nuevas del balanceador de cargas a los backends. Estos balanceadores de cargas se implementan mediante proxies de Google Front End (GFE) en todo el mundo.

Los GFE tienen varios puertos abiertos para admitir otros servicios de Google que se ejecutan en la misma arquitectura. Para ver una lista de algunos de los puertos que pueden estar abiertos en los GFE, consulta Regla de reenvío: especificaciones de puertos. Es posible que haya otros puertos abiertos para otros servicios de Google que se ejecutan en GFE.

Ejecutar un análisis de puerto en la dirección IP de un balanceador de cargas basado en GFE no es útil desde la perspectiva de la auditoría por los siguientes motivos:

  • Por lo general, un análisis de puerto (por ejemplo, con nmap) no espera ningún paquete de respuesta o un paquete RST de TCP cuando realiza sondeos de TCP SYN. Los GFE enviarán paquetes SYN-ACK en respuesta a los sondeos de SYN de una variedad de puertos si el balanceador de cargas usa una dirección IP del nivel Premium. Sin embargo, los GFE solo envían paquetes a tus backends en respuesta a los paquetes enviados a la dirección IP del balanceador de cargas y al puerto de destino configurado en su regla de reenvío. Los paquetes enviados a direcciones IP de balanceador de cargas diferentes o la dirección IP del balanceador de cargas en un puerto que no se configuró en la regla de reenvío no dan como resultado que los paquetes se envíen a los backends del balanceador de cargas. Incluso sin ninguna configuración especial, la infraestructura de Google y los GFE proporcionan una defensa en profundidad para los ataques DSD y los desbordes de SYN.

  • Cualquier paquete de GFE en la flota de Google puede responder a los paquetes enviados a la dirección IP de tu balanceador de cargas. Sin embargo, el análisis de una combinación de direcciones IP del balanceador de cargas y del puerto de destino solo intercepta un solo GFE por conexión TCP. La dirección IP de tu balanceador de cargas no se asigna a un solo dispositivo o sistema. Por lo tanto, analizar la dirección IP de un balanceador de cargas basado en GFE no analiza todos los GFE de la flota de Google.

Con esto en mente, las siguientes son algunas formas más efectivas de auditar la seguridad de tus instancias de backend:

  • Un auditor de seguridad debe inspeccionar la configuración de reglas de reenvío para la configuración del balanceador de cargas. Las reglas de reenvío definen el puerto de destino para el que tu balanceador de cargas acepta paquetes y los reenvía a los backends. Para los balanceadores de cargas basados en GFE, cada regla de reenvío externo solo puede hacer referencia a un solo puerto TCP de destino.

  • Un auditor de seguridad debe inspeccionar la configuración de la regla de firewall aplicable a las VM de backend. Las reglas de firewall que configuras bloquean el tráfico desde los GFE hacia las VM de backend, pero no bloquean el tráfico entrante a los GFE. Para conocer las prácticas recomendadas, consulta la sección de reglas de firewall.

Distribución de tráfico

La forma en que un balanceador de cargas de proxy SSL distribuye el tráfico a sus backends depende del modo de balanceo y el método de hash seleccionado para elegir un backend (afinidad de sesión).

Cómo se distribuyen las conexiones

El balanceo de cargas de proxy TCP se puede configurar como un servicio de balanceo de cargas global con el nivel Premium y como un servicio regional en el nivel Estándar.

Para el nivel Premium (solo se aplica al balanceador de cargas HTTP(S) externo):

  • Solo puedes tener un servicio de backend, y este puede tener backends en varias regiones. Para el balanceo de cargas global, implementas tus backends en varias regiones, y el balanceador de cargas dirige automáticamente el tráfico a la región más cercana al usuario. Si una región está al máximo de capacidad, el balanceador de cargas dirige de forma automática las conexiones nuevas a otra región con capacidad disponible. Las conexiones de los usuarios existentes permanecen en la región actual.
  • Google hace pública la dirección IP del balanceador de cargas desde todos los puntos de presencia y en todo el mundo. Cada dirección IP del balanceador de cargas es Anycast global.
  • Si configuras un servicio de backend con backends en varias regiones, Google Front End (GFE) intenta dirigir las solicitudes a grupos de instancias de backend o NEG en buen estado en la región más cercana al usuario. Los detalles del proceso se detallan en esta página.

Para el nivel Estándar:

  • Google hace pública la dirección IP del balanceador de cargas desde los puntos de presencia asociados con la región de la regla de reenvío. El balanceador de cargas usa una dirección IP externa regional.

  • Puedes configurar backends en la misma región que la regla de reenvío. Se sigue aplicando este proceso, pero los GFE solo dirigen solicitudes a backends en buen estado en esa región.

Proceso de distribución de solicitudes:

El modo de balanceo y la elección del destino definen la capacidad total del backend desde la perspectiva de cada NEG zonal GCE_VM_IP_PORT, grupo de instancias zonal o zona de un grupo de instancias regional. La distribución dentro de una zona se realiza con el hashing coherente.

El balanceador de cargas usa el siguiente proceso:

  1. Los routers perimetrales anuncian la dirección IP externa de la regla de reenvío en los límites de la red de Google. Cada anuncio enumera un salto siguiente al sistema de balanceo de cargas de capa 3/4 (Maglev) lo más cerca posible del usuario.
  2. Los sistemas Maglev inspeccionan la dirección IP de origen del paquete entrante. Dirigen la solicitud entrante a los sistemas Maglev que los sistemas de geo IP de Google determinan que están lo más cerca posible del usuario.
  3. Los sistemas Maglev enrutan el tráfico a Google Front End (GFE) de primera capa. El GFE de la primera capa finaliza TLS si es necesario y, luego, enruta el tráfico a los GFE de la segunda capa de acuerdo con este proceso:
    1. Si un servicio de backend usa un grupo de instancias o backends de NEG GCE_VM_IP_PORT, los primeros GFE de capa prefieren los GFE de segunda capa que se encuentran en la región que contiene el grupo de instancias o NEG o cerca de ella.
    2. Para los buckets de backend y los servicios de backend con NEG híbridos, NEG sin servidores y de Internet, los GFE de la primera capa eligen GFE de segunda capa en un subconjunto de regiones, de modo que el tiempo de ida y vuelta entre los dos GFE es minimizado.

      La preferencia de GFE de segunda capa no es una garantía y puede cambiar de manera dinámica según las condiciones y el mantenimiento de la red de Google.

      Los GFE de segunda capa conocen el estado de la verificación de estado y el uso real de la capacidad del backend.

  4. La segunda capa de GFE dirige las solicitudes a backends en zonas dentro de su región.
  5. En el nivel Premium, a veces, los GFE de segunda capa envían solicitudes a backends en zonas de diferentes regiones. Este comportamiento se llama efecto secundario.
  6. El efecto secundario se rige por dos principios:

    • La propagación se puede realizar cuando todos los backends conocidos por un GFE de segunda capa están al máximo de capacidad o están en mal estado.
    • La segunda capa de GFE tiene información para los backends en buen estado y disponibles en zonas de otra región.

    Los GFE de segunda capa suelen configurarse para entregar un subconjunto de ubicaciones de backend.

    El comportamiento del efecto secundario no agota todas las zonas posibles de Google Cloud. Si necesitas dirigir el tráfico fuera de los backends en una zona en particular o en una región completa, debes configurar el escalador de capacidad en cero. Configurar backends para que fallen las verificaciones de estado no garantiza que el GFE de segunda capa se transmita a backends en zonas de otra región.

  7. Cuando se distribuyen solicitudes a backends, los GFE operan a nivel zonal.

    Con un número bajo de conexiones, los GFE de segunda capa a veces prefieren una zona en una región en lugar de las otras zonas. Esta preferencia es normal y esperada. La distribución entre las zonas de la región no se mantendrá incluso aunque el balanceador de cargas reciba más conexiones.

Modo de balanceo

Cuando agregas un backend al servicio de backend, debes establecer un modo de balanceo de cargas.

Para el balanceo de cargas de proxy SSL, el modo de balanceo puede ser CONNECTION o UTILIZATION.

Si el modo de balanceo de cargas es CONNECTION, la carga se distribuye según la cantidad de conexiones simultáneas que pueda controlar el backend. También debes especificar con exactitud uno de los siguientes parámetros: maxConnections (excepto para los grupos de instancias administrados regionales), maxConnectionsPerInstance o maxConnectionsPerEndpoint.

Si el modo de balanceo de cargas es UTILIZATION, la carga se distribuye según el uso de instancias en un grupo de instancias.

Para obtener información sobre cómo comparar los tipos de balanceador de cargas y los modos de balanceo admitidos, consulta Métodos de balanceo de cargas.

Afinidad de sesión

La afinidad de sesión envía todas las solicitudes del mismo cliente al mismo backend si este se encuentra en buen estado y tiene capacidad.

El balanceo de cargas de proxy SSL ofrece afinidad de IP de cliente, que reenvía todas las solicitudes de la misma dirección IP de cliente al mismo backend.

Conmutación por error

Si un backend se encuentra en mal estado, el tráfico se redireccionará de forma automática a los backends en buen estado dentro de la misma región. Si todos los backends de una región están en mal estado, el tráfico se distribuirá a los backends en buen estado en otras regiones (solo nivel Premium). Si todos los backends están en mal estado, el balanceador de cargas descartará el tráfico.

Balanceo de cargas para aplicaciones de GKE

Si compilas aplicaciones en Google Kubernetes Engine, puedes usar NEG independientes para balancear las cargas del tráfico directamente a los contenedores. Con los NEG independientes, eres responsable de crear el objeto Service que crea el NEG y, luego, asociar el NEG con el servicio de backend para que el balanceador de cargas pueda conectarse a los pods.

Documentación de GKE relacionada:

Limitaciones

  • Cada balanceador de cargas del proxy SSL tiene un solo recurso de servicio de backend. Los cambios en el servicio de backend no son instantáneos. Los cambios pueden llevar varios minutos en propagarse a Google Front End (GFE).

  • Los balanceadores de cargas del proxy SSL no admiten la autenticación basada en certificados de cliente, también denominada autenticación TLS mutua.

  • Aunque el balanceo de cargas del proxy SSL puede manejar el tráfico HTTPS, no lo recomendamos. Es mejor que uses el balanceo de cargas de HTTPS para ese tipo de tráfico. El balanceo de cargas de HTTP(S) también hace lo siguiente, lo que lo convierte en la mejor opción en la mayoría de los casos:

    • Negocia HTTP/2 y HTTP/3.
    • Rechaza solicitudes o respuestas HTTP no válidas.
    • Reenvía las solicitudes a diferentes VM según la ruta y el host de URL.
    • Se integra a Cloud CDN.
    • Distribuye la carga de la solicitud de manera más uniforme entre las instancias de backend, lo que proporciona un mejor aprovechamiento del backend. Los balanceos de cargas de HTTPS realizan solicitudes por separado, mientras que el balanceo de cargas del proxy SSL envía todos los bytes desde la misma conexión SSL o TCP hacia la misma instancia de backend.
  • Para los balanceadores de cargas del proxy SSL con certificados SSL administrados por Google, los puertos frontend deben incluir 443 para que los certificados se aprovisionen y renueven de forma correcta.

    El balanceo de cargas del proxy SSL se puede usar para otros protocolos que usan SSL, como IMAP y WebSockets mediante SSL.

  • Los balanceadores de cargas de proxy SSL solo admiten caracteres en minúsculas en dominios en un atributo de nombre común (CN) o un nombre de entidad alternativo (SAN) del certificado. Los certificados con caracteres en mayúscula en los dominios solo se muestran cuando se configuran como el certificado principal en el proxy de destino.

  • Los balanceadores de cargas de proxy SSL no admiten el intercambio de tráfico entre redes de VPC.

¿Qué sigue?