Descripción general del balanceo de cargas del proxy SSL

El Balanceo de cargas de proxy SSL es un balanceador de cargas del proxy inverso que distribuye el tráfico SSL proveniente de Internet a instancias de máquinas virtuales (VM) en tu red de VPC de Google Cloud.

Cuando se usa el balanceo de cargas del proxy SSL para tu tráfico SSL, las conexiones SSL del usuario (TLS) finalizan en la capa de balanceo de cargas y, luego, se dirigen con proxies a las instancias de backend disponibles más cercanas disponibles mediante SSL (recomendado) o TCP. Para conocer los tipos de backends compatibles, consulta Backends.

Con el nivel Premium, el balanceo de cargas del proxy SSL se puede configurar como un servicio de balanceo de cargas global. Con el nivel Estándar, el balanceador de cargas del proxy SSL administra el balanceo de cargas de forma regional. Para obtener más información, consulta Comportamiento del balanceador de cargas en los niveles de servicio de red.

En este ejemplo, el tráfico de usuarios de Iowa y Boston finaliza en la capa del balanceo de cargas y se establece una conexión independiente para el backend seleccionado.

Cloud Load Balancing con finalización SSL (haz clic para ampliar)
Google Cloud Load Balancing con finalización SSL (haz clic para ampliar)

El balanceo de cargas del proxy SSL está diseñado para el tráfico que no es HTTP(S). En el caso del tráfico HTTP(S), te recomendamos que uses el Balanceo de cargas de HTTP(S).

Para obtener información sobre la diferencia entre los balanceadores de cargas de Google Cloud, consulta los siguientes documentos:

Ventajas

A continuación, se presentan algunos beneficios del uso del balanceo de cargas del proxy SSL:

  • Terminación de IPv6. El balanceo de cargas del proxy SSL admite direcciones IPv4 y direcciones IPv6 para el tráfico de clientes. Las solicitudes de clientes de IPv6 finalizan en la capa de balanceo de cargas y, luego, se dirigen mediante proxies IPv4 a tus VM.

  • Enrutamiento inteligente. El balanceador de cargas puede enrutar solicitudes a ubicaciones de backend en las que haya capacidad. Por el contrario, un balanceador de cargas L3/L4 debe dirigirse a backends regionales sin considerar la capacidad. El uso del enrutamiento inteligente permite el aprovisionamiento en N + 1 o N + 2 en lugar de x * N.

  • Mejor uso de backends: El procesamiento SSL puede consumir una gran cantidad de CPU si los algoritmos de cifrados que se usan no son eficientes en cuanto al uso de ese recurso. Para maximizar el rendimiento de CPU, usa certificados SSL ECDSA y TLS 1.2, y opta por el conjunto de algoritmos de cifrado ECDHE-ECDSA-AES128-GCM-SHA256 para SSL entre el balanceador de cargas y las instancias de backend.

  • Administración de certificados: Los certificados SSL orientados al cliente pueden ser certificados que obtienes y administras tú mismo (certificados autoadministrados), o certificados que Google obtiene y administra por ti (certificados administrados por Google). Cada uno de los certificados SSL administrados por Google admite hasta 100 dominios. Se admiten varios dominios para los certificados administrados por Google. Solo debes aprovisionar certificados en el balanceador de cargas. En las VM, puedes simplificar la administración mediante el uso de certificados autofirmados.

  • Parches de seguridad: Si surgen vulnerabilidades en la pila SSL o TCP, se aplican parches en el balanceador de cargas de forma automática para proteger las VM.

  • Compatibilidad con los siguientes puertos conocidos: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200 y 9300. Cuando usas certificados SSL administrados por Google con el balanceo de cargas del proxy SSL, el puerto de frontend que se usa para el tráfico debe ser 443 a fin de que puedan aprovisionarse y renovarse los certificados SSL administrados por Google.

  • Políticas de SSL. Las políticas de SSL te permiten controlar las características de SSL que el balanceador de cargas del proxy SSL negocia con los clientes.

  • Control geográfico sobre la ubicación en la que se finaliza TLS. El balanceador de cargas del proxy SSL finaliza TLS en ubicaciones distribuidas de manera global a fin de minimizar la latencia entre los clientes y el balanceador de cargas. Si necesitas control geográfico sobre la ubicación dónde se finaliza TLS, usa el balanceo de cargas de red y finaliza TLS en backends ubicados en regiones adecuadas para tus necesidades.

Comportamiento del balanceador de cargas en los niveles de servicio de red

El balanceo de cargas de proxy TCP se puede configurar como un servicio de balanceo de cargas global con el nivel Premium y como un servicio regional en el nivel Estándar.

Nivel Premium

Solo puedes tener un servicio de backend, y este puede tener backends en varias regiones. Para el balanceo de cargas global, implementas tus backends en varias regiones, y el balanceador de cargas dirige automáticamente el tráfico a la región más cercana al usuario. Si una región está al máximo de capacidad, el balanceador de cargas dirige de forma automática las conexiones nuevas a otra región con capacidad disponible. Las conexiones de los usuarios existentes permanecen en la región actual.

El tráfico se asigna a los backends como se indica a continuación:

  1. Cuando un cliente envía una solicitud, el servicio de balanceo de cargas determina el origen aproximado de la solicitud a partir de la dirección IP de origen.
  2. El servicio de balanceo de cargas determina las ubicaciones de los backends que son propiedad del servicio de backend, su capacidad general y su uso actual general.
  3. Si las instancias de backend más cercanas al usuario tienen capacidad disponible, la solicitud se reenvía al conjunto de backends más cercano.
  4. Las solicitudes entrantes a la región determinada se distribuyen de manera uniforme entre todas las instancias de backend disponibles en esa región. Sin embargo, en cargas muy pequeñas, la distribución puede parecer desigual.
  5. Si no hay instancias de backend en buen estado con capacidad disponible en una región determinada, el balanceador de cargas envía la solicitud a la siguiente región más cercana con capacidad disponible.

Nivel Estándar

En el nivel Estándar, el balanceo de cargas de proxy TCP es un servicio regional. Todos sus backends deben estar ubicados en la región que usa la dirección IP externa y la regla de reenvío del balanceador de cargas.

Arquitectura

Los siguientes son componentes de balanceadores de cargas de proxy SSL.

Reglas de reenvío y direcciones IP

Las reglas de reenvío enrutan el tráfico por dirección IP, puerto y protocolo a una configuración de balanceo de cargas que consiste de un proxy de destino y un servicio de backend.

Cada regla de reenvío proporciona una sola dirección IP que puedes usar en los registros DNS de tu aplicación. No se requiere balanceo de cargas basado en DNS. Puedes reservar una dirección IP estática para usarla o permitir que Cloud Load Balancing te asigne una. Te recomendamos reservar una dirección IP estática; de lo contrario, deberás actualizar tu registro DNS con la dirección IP efímera recién asignada cada vez que borres una regla de reenvío y crees una nueva.

Cada regla de reenvío externo que usas en un balanceador de cargas del proxy SSL puede hacer referencia exactamente a uno de los puertos enumerados en: Especificaciones de puertos para reglas de reenvío.

Proxies de destino

El balanceo de cargas del proxy SSL finaliza las conexiones SSL del cliente y crea conexiones nuevas con los backends. El proxy de destino enruta las solicitudes entrantes directamente al servicio de backend.

De forma predeterminada, la dirección IP de cliente original y la información del puerto no se conservan. Puedes conservar esta información mediante el protocolo PROXY.

Certificado SSL

Debes instalar uno o más certificados SSL en el proxy SSL de destino.

Los proxies SSL de destino utilizan estos certificados para proteger las comunicaciones entre Google Front End (GFE) y el cliente. Estos pueden ser certificados SSL autoadministrados o administrados por Google.

A fin de obtener más información sobre los límites y las cuotas de los certificados SSL, consulta Certificados SSL en la página de cuotas del balanceo de cargas.

A fin de contar con la mayor seguridad, usa la encriptación de extremo a extremo en la implementación del balanceador de cargas del proxy SSL. Para obtener más información, consulta Encriptación del balanceador de cargas a los backends.

Para obtener información sobre cómo Google encripta el tráfico de los usuarios, consulta el informe Encriptación en tránsito en Google Cloud.

Servicios de backend

Los servicios de backend dirigen el tráfico entrante a uno o más backends conectados. Cada backend está compuesto por un grupo de instancias o un grupo de extremos de red, además de información sobre la capacidad de entrega del backend. La capacidad de entrega del backend se puede basar en CPU o en solicitudes por segundo (RPS).

Cada servicio de backend especifica las verificaciones de estado que se realizarán en los backends disponibles.

Para garantizar interrupciones mínimas a tus usuarios, puedes habilitar el vaciado de conexiones en los servicios de backend. Estas interrupciones pueden ocurrir cuando un backend se finaliza, se quita de forma manual, o lo quita un escalador automático. Si quieres obtener más información sobre el uso del vaciado de conexiones para minimizar las interrupciones del servicio, consulta Habilita el vaciado de conexiones.

Reglas de firewall

Las instancias de backend deben permitir conexiones desde los rangos de verificación de estado o GFE del balanceador de cargas. Esto significa que debes crear una regla de firewall de permiso de entrada para el tráfico de 130.211.0.0/22 y 35.191.0.0/16 a tus instancias o extremos de backend. Estos rangos de direcciones IP se usan como orígenes para los paquetes de verificación de estado y para todos los paquetes con balanceo de cargas que se envían a tus backends.

Los puertos que configures para esta regla de firewall deben cumplir con estos requisitos:

  • Permitir el tráfico hacia el puerto de destino necesario para la verificación de estado configurada de cada servicio de backend.

  • Para los backends de grupos de instancias: permite el tráfico al puerto de destino que coincide con los números de puerto a los que se suscribe el puerto con nombre del servicio de backend.

  • Para los backends de NEG GCE_VM_IP_PORT: permite el tráfico a los puertos de los extremos en los NEG.

Las reglas de firewall se implementan a nivel de la instancia de VM, no en los proxies de Google Front End (GFE). No puedes usar las reglas de firewall de Google Cloud para evitar que el tráfico llegue al balanceador de cargas.

Para obtener más información sobre los sondeos de verificación de estado y por qué es necesario permitir el tráfico de 130.211.0.0/2235.191.0.0/16, consulta Rangos de IP del sondeo y reglas de firewall.

Direcciones IP de origen

Las direcciones IP de origen de los paquetes, vistas por los contenedores o instancias de máquina virtual (VM) de backend, son una dirección IP de estos rangos:

  • 35.191.0.0/16
  • 130.211.0.0/22

La dirección IP de origen para el tráfico real del balanceo de cargas es la misma que la de los rangos de IP del sondeo de verificación de estado.

Las direcciones IP de origen del tráfico, vistas por los backends, no son la dirección IP externa de Google Cloud del balanceador de cargas. En otras palabras, existen dos sesiones HTTP, SSL o TCP:

  • Sesión 1, que abarca desde el cliente original hasta el balanceador de cargas (GFE):

    • Dirección IP de origen: Es el cliente original (o la dirección IP externa si el cliente usa NAT).
    • Dirección IP de destino: Es la dirección IP del balanceador de cargas.
  • Sesión 2, que abarca desde el balanceador de cargas (GFE) hasta el contenedor o la VM de backend:

    • Dirección IP de origen: Es una dirección IP en uno de estos rangos: 35.191.0.0/16130.211.0.0/22.

      No puedes predecir la dirección real de origen.

    • Dirección IP de destino: Es la dirección IP interna del contenedor o la VM de backend en la red de nube privada virtual (VPC).

Preserva las direcciones IP de origen del cliente

Para preservar las direcciones IP de origen originales de las conexiones entrantes al balanceador de cargas, puedes configurar el balanceador de cargas a fin de que anteponga un encabezado de protocolo PROXY versión 1 que retenga la información de la conexión original. Si deseas obtener más información, consulta Actualiza el encabezado del protocolo de proxy para el proxy.

Puertos abiertos

Los balanceadores de cargas de proxy SSL son balanceadores de cargas de proxy inverso. El balanceador de cargas finaliza las conexiones entrantes y abre nuevas conexiones entre el balanceador de cargas y los backends. Google Front End (GFE) proporciona la función de proxy inverso.

Las reglas de firewall que configuras bloquean el tráfico desde los GFE hacia las instancias de backend, pero no bloquean el tráfico entrante a los GFE.

Los balanceadores de cargas del proxy SSL tienen varios puertos abiertos para admitir otros servicios de Google que se ejecutan en la misma arquitectura. Si ejecutas un escaneo de puertos o de seguridad sobre la dirección IP externa de tu balanceador de cargas, parecerá que hay puertos adicionales abiertos.

Esto no afecta a los balanceadores de cargas de proxy SSL. Las reglas de reenvío externas que se usan en la definición de un balanceador de cargas del proxy SSL pueden hacer referencia exactamente a uno de los puertos enumerados en: Especificaciones de puertos para reglas de reenvío. El tráfico con un puerto de destino de TCP diferente no se reenvía al backend del balanceador de cargas.

Distribución de tráfico

La forma en que un balanceador de cargas de proxy TCP distribuye el tráfico a sus backends depende del modo de balanceo y el método de hash seleccionado para elegir un backend (afinidad de sesión).

Modo de balanceo

Cuando agregas un backend al servicio de backend, debes establecer un modo de balanceo de cargas.

Para el balanceo de cargas de proxy SSL, el modo de balanceo puede ser CONNECTION o UTILIZATION.

Si el modo de balanceo de cargas es CONNECTION, la carga se distribuye según la cantidad de conexiones simultáneas que pueda controlar el backend. También debes especificar con exactitud uno de los siguientes parámetros: maxConnections (excepto para los grupos de instancias administrados regionales), maxConnectionsPerInstance o maxConnectionsPerEndpoint.

Si el modo de balanceo de cargas es UTILIZATION, la carga se distribuye según el uso de instancias en un grupo de instancias.

Para obtener información sobre cómo comparar los tipos de balanceador de cargas y los modos de balanceo admitidos, consulta Métodos de balanceo de cargas.

Afinidad de sesión

La afinidad de sesión envía todas las solicitudes del mismo cliente al mismo backend si este se encuentra en buen estado y tiene capacidad.

El balanceo de cargas de proxy SSL ofrece afinidad de IP de cliente, que reenvía todas las solicitudes de la misma dirección IP de cliente al mismo backend.

Conmutación por error

Si un backend se encuentra en mal estado, el tráfico se redireccionará de forma automática a los backends en buen estado dentro de la misma región. Si todos los backends de una región están en mal estado, el tráfico se distribuirá a los backends en buen estado en otras regiones (solo nivel Premium). Si todos los backends están en mal estado, el balanceador de cargas descartará el tráfico.

Notas y limitaciones de uso

  • Si bien enviar tráfico mediante TCP no encriptado entre la capa de balanceo de cargas y las instancias de backend te permite descargar el procesamiento de SSL de tus backends, también implica una reducción de la seguridad. Por lo tanto, no lo recomendamos.

  • Puedes crear políticas de SSL con la herramienta de línea de comandos de gcloud.

  • Cada balanceador de cargas del proxy SSL tiene un solo recurso de servicio de backend. Los cambios en el servicio de backend no son instantáneos. Los cambios pueden llevar varios minutos en propagarse a Google Front End (GFE).

  • Los balanceadores de cargas del proxy SSL no admiten la autenticación basada en certificados de cliente, también denominada autenticación TLS mutua.

  • Aunque el balanceo de cargas del proxy SSL puede manejar el tráfico HTTPS, no lo recomendamos. Es mejor que uses el balanceo de cargas de HTTPS para ese tipo de tráfico. El balanceo de cargas de HTTP(S) también hace lo siguiente, lo que lo convierte en la mejor opción en la mayoría de los casos:

    • Negocia HTTP/2 y SPDY/3.1.
    • Rechaza solicitudes o respuestas HTTP no válidas.
    • Reenvía las solicitudes a diferentes VM según la ruta y el host de URL.
    • Se integra a Cloud CDN.
    • Distribuye la carga de la solicitud de manera más uniforme entre las instancias de backend, lo que proporciona un mejor aprovechamiento del backend. Los balanceos de cargas de HTTPS realizan solicitudes por separado, mientras que el balanceo de cargas del proxy SSL envía todos los bytes desde la misma conexión SSL o TCP hacia la misma instancia de backend.
  • Para los balanceadores de cargas del proxy SSL con certificados SSL administrados por Google, los puertos frontend deben incluir 443 para que los certificados se aprovisionen y renueven de forma correcta.

    El balanceo de cargas del proxy SSL se puede usar para otros protocolos que usan SSL, como IMAP y WebSockets mediante SSL.

¿Qué sigue?