Ringkasan Load Balancer Jaringan proxy eksternal

Dokumen ini memperkenalkan konsep yang perlu Anda pahami untuk mengonfigurasi Load Balancer Jaringan proxy eksternal Google Cloud.

Load Balancer Jaringan proxy eksternal adalah load balancer reverse proxy yang mendistribusikan traffic TCP yang berasal dari internet ke instance virtual machine (VM) di jaringan Virtual Private Cloud (VPC) Google Cloud. Saat menggunakan Load Balancer Jaringan proxy eksternal, traffic pengguna TCP atau SSL yang masuk akan dihentikan di load balancer. Selanjutnya, koneksi baru akan meneruskan traffic ke backend terdekat yang tersedia dengan menggunakan TCP atau SSL (direkomendasikan). Untuk kasus penggunaan lainnya, lihat Ringkasan Load Balancer Jaringan Proxy.

Dengan Load Balancer Jaringan proxy eksternal, Anda dapat menggunakan satu alamat IP untuk semua pengguna di seluruh dunia. Load balancer akan otomatis merutekan traffic ke backend yang terdekat dengan pengguna.

Dalam contoh ini, traffic SSL dari pengguna di Iowa dan Boston dihentikan pada lapisan load balancing, dan koneksi terpisah dibuat ke backend yang dipilih.

Cloud Load Balancing dengan penghentian SSL.
Cloud Load Balancing dengan penghentian SSL (klik untuk memperbesar).

Mode operasi

Anda dapat mengonfigurasi Load Balancer Jaringan proxy eksternal dalam mode berikut:

  • Load Balancer Jaringan proxy klasik diterapkan di Google Front End (GFE) yang terdistribusi secara global. Load balancer ini dapat dikonfigurasi untuk menangani traffic TCP atau SSL dengan menggunakan masing-masing proxy TCP target atau proxy SSL target. Dengan Paket Premium, load balancer ini dapat dikonfigurasi sebagai layanan load balancing global. Dengan Paket Standar, load balancer ini dikonfigurasi sebagai layanan load balancing regional. Load Balancer Jaringan proxy klasik juga dapat digunakan untuk protokol lain yang menggunakan SSL, seperti WebSockets dan IMAP melalui SSL.
  • Load Balancer Jaringan proxy eksternal global diterapkan di GFE yang terdistribusi secara global dan mendukung kemampuan pengelolaan traffic lanjutan. Load balancer ini dapat dikonfigurasi untuk menangani traffic TCP atau SSL dengan menggunakan proxy TCP target atau proxy SSL target. Load balancer ini dikonfigurasi sebagai layanan load balancing global dengan Paket Premium. Load Balancer Jaringan proxy eksternal global juga dapat digunakan untuk protokol lain yang menggunakan SSL, seperti WebSockets dan IMAP melalui SSL.
  • Load Balancer Jaringan proxy eksternal regional diterapkan pada stack software Envoy proxy open source. {i>Router<i} hanya dapat menangani lalu lintas TCP. Load balancer ini dikonfigurasi sebagai layanan load balancing regional yang dapat menggunakan Paket Premium atau Standar.

Mengidentifikasi mode

Untuk menentukan mode load balancer, selesaikan langkah-langkah berikut.

Konsol

  1. Di konsol Google Cloud, buka halaman Load balancing.

    Buka Load balancing

  2. Di tab Load Balancer, jenis, protokol, dan region load balancer ditampilkan. Jika region ini kosong, load balancernya bersifat global.

    Tabel berikut merangkum cara mengidentifikasi mode load balancer.

    Mode load balancer Jenis load balancer Jenis akses Region
    Load Balancer Jaringan proxy klasik Jaringan (Proxy klasik) Eksternal
    Load Balancer Jaringan proxy eksternal global Jaringan (Proxy) Eksternal
    Load Balancer Jaringan proxy eksternal regional Jaringan (Proxy) Eksternal Menentukan wilayah

gcloud

  1. Gunakan perintah gcloud compute forwarding-rules describe:

    gcloud compute forwarding-rules describe FORWARDING_RULE_NAME
    
  2. Di output perintah, periksa skema load balancing, region, dan tingkat jaringan. Tabel berikut merangkum cara mengidentifikasi mode load balancer.

    Mode load balancer Skema load balancing Aturan penerusan Tingkat jaringan
    Load Balancer Jaringan proxy klasik EKSTERNAL Global Standar atau Premium
    Load Balancer Jaringan proxy eksternal global EXTERNAL_MANAGED Global Premium
    Load Balancer Jaringan proxy eksternal regional EXTERNAL_MANAGED Regional Standar atau Premium

Arsitektur

Diagram berikut menunjukkan komponen Load Balancer Jaringan proxy eksternal global dan regional.

Global

Diagram ini menunjukkan komponen deployment Load Balancer Jaringan proxy eksternal global. Arsitektur ini berlaku untuk Load Balancer Jaringan proxy eksternal global dan Load Balancer Jaringan proxy klasik di Paket Premium.

Komponen Load Balancer Jaringan proxy eksternal global.
Komponen Load Balancer Jaringan proxy eksternal global (klik untuk memperbesar).

Regional

Diagram ini menunjukkan komponen deployment Load Balancer Jaringan proxy eksternal regional.

Komponen Load Balancer Jaringan proxy eksternal regional.
Komponen Load Balancer Jaringan proxy eksternal regional (klik untuk memperbesar).

Berikut adalah komponen Load Balancer Jaringan proxy eksternal.

Subnet khusus proxy

Subnet khusus proxy menyediakan sekumpulan alamat IP yang digunakan Google untuk menjalankan proxy Envoy atas nama Anda. Anda harus membuat satu subnet khusus proxy di setiap region jaringan VPC tempat Anda menggunakan load balancer. Flag --purpose untuk subnet khusus proxy ini ditetapkan ke REGIONAL_MANAGED_PROXY. Semua load balancing berbasis Envoy regional di region dan jaringan VPC yang sama memiliki kumpulan proxy Envoy dari subnet khusus proxy yang sama.

VM backend atau endpoint dari semua load balancer di suatu region dan jaringan VPC menerima koneksi dari subnet khusus proxy.

Poin yang perlu diingat:

  • Subnet khusus proxy hanya digunakan untuk proxy Envoy, bukan backend Anda.
  • Alamat IP load balancer tidak berada di subnet khusus proxy. Alamat IP load balancer ditentukan oleh aturan penerusan terkelola eksternalnya.

Aturan penerusan dan alamat IP

Aturan penerusan merutekan traffic menurut alamat IP, port, dan protokol ke konfigurasi load balancing yang terdiri dari proxy target dan layanan backend.

Setiap aturan penerusan merujuk pada satu alamat IP yang dapat digunakan dalam data DNS untuk aplikasi Anda. Anda dapat mencadangkan alamat IP statis yang dapat digunakan atau membiarkan Cloud Load Balancing menetapkannya untuk Anda. Sebaiknya cadangkan alamat IP statis. Jika tidak, Anda harus memperbarui data DNS dengan alamat IP efemeral yang baru ditetapkan setiap kali Anda menghapus aturan penerusan dan membuat aturan baru.

Aturan penerusan eksternal yang digunakan dalam definisi load balancer ini dapat merujuk dengan tepat satu port dari 1-65535. Jika ingin mendukung beberapa port berturut-turut, Anda harus mengonfigurasi beberapa aturan penerusan. Beberapa aturan penerusan dapat dikonfigurasi dengan alamat IP virtual yang sama dan port yang berbeda. Oleh karena itu, Anda dapat melakukan proxy beberapa aplikasi dengan port khusus terpisah ke alamat IP virtual proxy TCP yang sama. Untuk mengetahui detail selengkapnya, baca bagian Spesifikasi port untuk aturan penerusan.

Untuk mendukung beberapa port berturut-turut, Anda harus mengonfigurasi beberapa aturan penerusan. Beberapa aturan penerusan dapat dikonfigurasi dengan alamat IP virtual yang sama dan port yang berbeda. Oleh karena itu, Anda dapat melakukan proxy beberapa aplikasi dengan port kustom terpisah ke alamat IP virtual proxy TCP yang sama.

Tabel berikut membandingkan berbagai jenis load balancer.

Mode load balancer Network Service Tier Aturan penerusan, alamat IP, dan skema load balancing Memilih rute dari internet ke frontend load balancer
Load Balancer Jaringan proxy klasik Paket Premium

Aturan penerusan eksternal global

Alamat IP eksternal global

Skema load balancing: EXTERNAL

Permintaan diarahkan ke GFE yang terdekat dengan klien di internet.
Paket Standar

Aturan penerusan eksternal regional

Alamat IP eksternal regional

Skema load balancing: EXTERNAL

Permintaan diarahkan ke GFE di region load balancer.
Load Balancer Jaringan proxy eksternal global Paket Premium

Aturan penerusan eksternal global

Alamat IP eksternal global

Skema load balancing: EXTERNAL_MANAGED

Permintaan diarahkan ke GFE yang terdekat dengan klien di internet.
Load Balancer Jaringan proxy eksternal regional Paket Premium dan Standar

Aturan penerusan eksternal regional

Alamat IP eksternal regional

Skema load balancing: EXTERNAL_MANAGED

Permintaan diarahkan ke proxy Envoy di region yang sama dengan load balancer.

Proxy target

Load Balancer Jaringan proxy eksternal menghentikan koneksi dari klien dan membuat koneksi baru ke backend. Target proxy merutekan koneksi baru ini ke layanan backend.

Bergantung pada jenis traffic yang perlu ditangani aplikasi, Anda dapat mengonfigurasi Load Balancer Jaringan proxy eksternal dengan proxy TCP target atau proxy SSL target.

  • Target proxy TCP: Mengonfigurasi load balancer dengan proxy TCP target jika Anda mengharapkan traffic TCP.
  • Proxy SSL target: Mengonfigurasi load balancer dengan proxy SSL target jika Anda mengharapkan traffic klien terenkripsi. Jenis load balancer ini hanya ditujukan untuk traffic non-HTTP(S). Untuk traffic HTTP(S), sebaiknya gunakan Load Balancer Aplikasi eksternal.

Secara default, proxy target tidak mempertahankan alamat IP klien asli dan informasi port. Anda dapat menyimpan informasi ini dengan mengaktifkan protokol PROXY pada proxy target.

Mode load balancer Network Service Tier Proxy target
Load Balancer Jaringan proxy klasik Paket Premium targetTcpProxies atau targetSslProxies
Paket Standar targetTcpProxies atau targetSslProxies
Load Balancer Jaringan proxy eksternal global Paket Premium targetTcpProxies atau targetSslProxies
Load Balancer Jaringan proxy eksternal regional Paket Premium dan Standar regionTargetTcpProxies

Sertifikat SSL

Sertifikat SSL hanya diperlukan jika Anda men-deploy Load Balancer Jaringan proxy eksternal global dan Load Balancer Jaringan proxy klasik dengan proxy SSL target.

Load Balancer Jaringan proxy eksternal yang menggunakan proxy SSL target memerlukan kunci pribadi dan sertifikat SSL sebagai bagian dari konfigurasi load balancer:

  • Google Cloud menyediakan dua metode konfigurasi untuk menetapkan kunci pribadi dan sertifikat SSL ke proxy SSL target: sertifikat SSL Compute Engine dan Pengelola Sertifikat. Untuk deskripsi setiap konfigurasi, lihat Metode konfigurasi sertifikat di ringkasan sertifikat SSL.

  • Google Cloud menyediakan dua jenis sertifikat: Dikelola sendiri dan dikelola Google. Untuk deskripsi setiap jenis, lihat Jenis sertifikat di ringkasan sertifikat SSL.

Layanan backend

Layanan backend mengarahkan traffic masuk ke satu atau beberapa backend yang terpasang. Setiap backend terdiri dari grup instance atau grup endpoint jaringan dan informasi tentang kapasitas penayangan backend. Kapasitas penayangan backend dapat didasarkan pada CPU atau permintaan per detik (RPS).

Setiap load balancer memiliki satu resource layanan backend yang menentukan health check yang akan dilakukan untuk backend yang tersedia.

Perubahan yang dilakukan pada layanan backend tidak langsung diterapkan. Diperlukan waktu beberapa menit agar perubahan diterapkan ke GFE. Untuk memastikan agar pengguna tidak terganggu, Anda dapat mengaktifkan pengurasan koneksi di layanan backend. Gangguan tersebut dapat terjadi saat backend dihentikan, dihapus secara manual, atau dihapus oleh penskala otomatis. Untuk mempelajari lebih lanjut cara menggunakan pengosongan koneksi guna meminimalkan gangguan layanan, lihat Mengaktifkan pengosongan koneksi.

Untuk mengetahui informasi selengkapnya tentang resource layanan backend, lihat Ringkasan layanan backend.

Tabel berikut menentukan fitur backend yang didukung.

Mode load balancer Backend yang didukung di layanan backend
Grup instance NEGARA ZONA NEG Internet NEG Tanpa Server NEG Hybrid NEG Private Service Connect GKE
Load Balancer Jaringan proxy klasik Menggunakan NEG zona mandiri
Load Balancer Jaringan proxy eksternal global GCE_VM_IP_PORT jenis endpoint *
Load Balancer Jaringan proxy eksternal regional GCE_VM_IP_PORT jenis endpoint Khusus NEG regional Tambahkan NEG Private Service Connect

* Hanya didukung untuk protokol SSL.

Backend dan jaringan VPC

Semua backend harus ditempatkan di project yang sama, tetapi dapat ditempatkan di jaringan VPC yang berbeda. Berbagai jaringan VPC tidak perlu dihubungkan menggunakan Peering Jaringan VPC karena sistem proxy GFE berkomunikasi langsung dengan backend di jaringan VPC masing-masing.

Protokol untuk berkomunikasi dengan backend

Saat mengonfigurasi layanan backend untuk Load Balancer Jaringan proxy eksternal, Anda menetapkan protokol yang digunakan layanan backend untuk berkomunikasi dengan backend.

  • Untuk Load Balancer Jaringan proxy klasik, Anda dapat memilih TCP atau SSL.
  • Untuk Load Balancer Jaringan proxy eksternal global, Anda dapat memilih TCP atau SSL.
  • Untuk Load Balancer Jaringan proxy eksternal regional, Anda dapat menggunakan TCP.

Load balancer hanya menggunakan protokol yang Anda tentukan, dan tidak berupaya menegosiasikan koneksi dengan protokol lain.

Aturan firewall

Aturan firewall berikut diperlukan:

  • Untuk Load Balancer Jaringan proxy klasik, aturan firewall allow masuk untuk mengizinkan traffic dari GFE menjangkau backend Anda.
  • Untuk Load Balancer Jaringan proxy eksternal global, aturan firewall allow masuk untuk mengizinkan traffic dari GFE menjangkau backend Anda.
  • Untuk Load Balancer Jaringan proxy eksternal regional, aturan firewall masuk untuk mengizinkan traffic dari subnet khusus proxy untuk menjangkau backend Anda.
  • Aturan firewall allow masuk untuk mengizinkan traffic dari rentang pemeriksaan health check untuk menjangkau backend Anda. Untuk mengetahui informasi selengkapnya tentang pemeriksaan health check dan alasan pentingnya mengizinkan traffic dari pemeriksaan tersebut, lihat Memeriksa rentang IP dan aturan firewall.

Aturan firewall diterapkan di tingkat instance VM, bukan di tingkat proxy GFE. Anda tidak dapat menggunakan aturan firewall untuk mencegah traffic mencapai load balancer.

Port untuk aturan firewall ini harus dikonfigurasi sebagai berikut:

  • Mengizinkan traffic ke port tujuan untuk setiap health check layanan backend.
  • Untuk backend grup instance: tentukan port yang akan dikonfigurasi dengan pemetaan antara port bernama layanan backend dan nomor port yang terkait dengan port bernama tersebut di setiap grup instance. Nomor port dapat bervariasi di antara grup instance yang ditetapkan ke layanan backend yang sama.
  • Untuk backend NEG zona GCE_VM_IP_PORT NEG: izinkan traffic ke nomor port endpoint.

Tabel berikut merangkum rentang alamat IP sumber yang diperlukan untuk aturan firewall.

Mode load balancer Rentang sumber health check Rentang sumber permintaan
Load Balancer Jaringan proxy klasik
  • 35.191.0.0/16
  • 130.211.0.0/22
Rentang ini berlaku untuk pemeriksaan health check dan permintaan dari GFE.
Load Balancer Jaringan proxy eksternal global
  • 35.191.0.0/16
  • 130.211.0.0/22
Rentang ini berlaku untuk pemeriksaan health check dan permintaan dari GFE.
Load Balancer Jaringan proxy eksternal regional 1, 2
  • 35.191.0.0/16
  • 130.211.0.0/22
Rentang ini berlaku untuk pemeriksaan health check.

1 Pemberian rentang rentang pemeriksaan health check Google yang diizinkan tidak diperlukan untuk NEG hybrid. Namun, jika menggunakan kombinasi NEG campuran dan zona dalam satu layanan backend, Anda harus mengizinkan rentang pemeriksaan health check Google untuk NEG zona.

2 Untuk NEG internet regional, health check bersifat opsional. Traffic dari load balancer yang menggunakan NEG internet regional berasal dari subnet khusus proxy dan kemudian diterjemahkan NAT (dengan menggunakan Cloud NAT) ke alamat IP NAT yang dialokasikan secara manual atau otomatis. Traffic ini mencakup pemeriksaan health check dan permintaan pengguna dari load balancer ke backend. Untuk mengetahui detailnya, lihat NEG Regional: Gunakan Cloud NAT untuk keluar.

Alamat IP sumber

Alamat IP sumber untuk paket, seperti yang terlihat oleh backend, bukan alamat IP eksternal Google Cloud untuk load balancer. Dengan kata lain, ada dua koneksi TCP.

Untuk Load Balancer Jaringan proxy klasik dan Load Balancer Jaringan proxy eksternal global:
  • Koneksi 1, dari klien asli ke load balancer (GFE):

    • Alamat IP sumber: klien asli (atau alamat IP eksternal jika klien berada di belakang NAT atau proxy penerusan).
    • Alamat IP tujuan: alamat IP load balancer Anda.
  • Koneksi 2, dari load balancer (GFE) ke endpoint atau VM backend:

    • Alamat IP sumber: Alamat IP di salah satu rentang yang ditentukan dalam Aturan firewall.

    • Alamat IP tujuan: alamat IP internal VM backend atau container di jaringan VPC.

Untuk Load Balancer Jaringan proxy eksternal regional:
  • Koneksi 1, dari klien asli ke load balancer (subnet khusus proxy):

    • Alamat IP sumber: klien asli (atau alamat IP eksternal jika klien berada di belakang NAT atau proxy penerusan).
    • Alamat IP tujuan: alamat IP load balancer Anda.
  • Koneksi 2, dari load balancer (subnet khusus proxy) ke VM backend atau endpoint:

    • Alamat IP sumber: alamat IP di subnet khusus proxy yang digunakan bersama oleh semua load balancer berbasis Envoy yang di-deploy di region dan jaringan yang sama dengan load balancer.

    • Alamat IP tujuan: alamat IP internal VM backend atau container di jaringan VPC.

Port yang terbuka

Load Balancer Jaringan proxy eksternal adalah load balancer reverse proxy. Load balancer menghentikan koneksi yang masuk, lalu membuka koneksi baru dari load balancer ke backend. Load balancer ini diterapkan menggunakan proxy Google Front End (GFE) di seluruh dunia.

GFE memiliki beberapa port terbuka untuk mendukung layanan Google lainnya yang berjalan pada arsitektur yang sama. Saat menjalankan pemindaian port, Anda mungkin melihat port terbuka lainnya untuk layanan Google lainnya yang berjalan di GFE.

Menjalankan pemindaian port pada alamat IP load balancer berbasis GFE tidak berguna dari perspektif audit karena alasan berikut:

  • Pemindaian port (misalnya, dengan nmap) umumnya mengharapkan tidak ada paket respons atau paket TCP RST saat melakukan pemeriksaan TCP SYN. GFE akan mengirim paket SYN-ACK sebagai respons terhadap pemeriksaan SYN hanya untuk port yang aturan penerusannya telah Anda konfigurasi. GFE hanya mengirim paket ke backend Anda sebagai respons terhadap paket yang dikirim ke alamat IP load balancer Anda dan port tujuan yang dikonfigurasi pada aturan penerusannya. Paket yang dikirim ke alamat IP atau port yang berbeda tidak dikirim ke backend Anda.

    GFE menerapkan fitur keamanan seperti Google Cloud Armor. Dengan Google Cloud Armor Standard, GFE memberikan perlindungan yang selalu aktif dari serangan DDoS berbasis protokol dan volumetrik serta SYN flood. Perlindungan ini tersedia meskipun Anda belum mengonfigurasi Google Cloud Armor secara eksplisit. Anda hanya akan dikenai biaya jika mengonfigurasi kebijakan keamanan, atau jika mendaftar ke Managed Protection Plus.

  • Paket yang dikirim ke alamat IP load balancer Anda dapat dijawab oleh GFE apa pun di fleet Google. Namun, pemindaian alamat IP load balancer dan kombinasi port tujuan hanya akan menginterogasi satu GFE per koneksi TCP. Alamat IP load balancer Anda tidak ditetapkan ke satu perangkat atau sistem. Oleh karena itu, pemindaian alamat IP load balancer berbasis GFE tidak memindai semua GFE di fleet Google.

Dengan mempertimbangkan hal itu, berikut adalah beberapa cara yang lebih efektif untuk mengaudit keamanan instance backend Anda:

  • Auditor keamanan harus memeriksa konfigurasi aturan penerusan untuk konfigurasi load balancer. Aturan penerusan menentukan port tujuan tempat load balancer menerima paket dan meneruskannya ke backend. Untuk load balancer berbasis GFE, setiap aturan penerusan eksternal hanya dapat mereferensikan satu port TCP tujuan.

  • Auditor keamanan harus memeriksa konfigurasi aturan firewall yang berlaku untuk VM backend. Aturan firewall yang Anda tetapkan akan memblokir traffic dari GFE ke VM backend, tetapi tidak memblokir traffic masuk ke GFE. Untuk praktik terbaik, lihat bagian aturan firewall.

Arsitektur VPC Bersama

Load Balancer Jaringan proxy klasik dan Load Balancer Jaringan proxy eksternal regional mendukung deployment yang menggunakan jaringan VPC Bersama. VPC Bersama memungkinkan Anda mempertahankan pemisahan tanggung jawab yang jelas antara administrator jaringan dan developer layanan. Tim pengembangan Anda dapat berfokus pada pembuatan layanan dalam project layanan, dan tim infrastruktur jaringan dapat menyediakan serta mengelola load balancing. Jika Anda belum memahami VPC Bersama, baca dokumentasi ringkasan VPC Bersama.

Alamat IP Aturan penerusan Proxy target Komponen backend
Alamat IP eksternal harus ditentukan dalam project yang sama dengan load balancer. Aturan penerusan eksternal harus ditentukan dalam project yang sama dengan backend instance (project layanan). Proxy TCP atau SSL target harus ditetapkan dalam project yang sama dengan backend instance.

Untuk Load Balancer Jaringan proxy klasik, layanan backend global harus ditentukan dalam project yang sama dengan backend instance. Instance ini harus berada dalam grup instance yang disertakan ke layanan backend sebagai backend. Health check yang terkait dengan layanan backend harus ditentukan dalam project yang sama dengan layanan backend.

Untuk Load Balancer Jaringan proxy eksternal regional, VM backend biasanya berada di project layanan. Layanan backend dan health check regional harus ditentukan dalam project layanan tersebut.

Distribusi traffic

Saat menambahkan grup instance backend atau NEG ke layanan backend, tentukan mode load balancing, yang menentukan metode yang mengukur beban backend dan kapasitas target.

Untuk Load Balancer Jaringan proxy eksternal, mode balancing dapat berupa CONNECTION atau UTILIZATION:

  • Jika mode load balancing adalah CONNECTION, beban akan disebarkan berdasarkan jumlah total koneksi yang dapat ditangani backend.
  • Jika mode load balancing adalah UTILIZATION, beban akan disebarkan berdasarkan penggunaan instance dalam grup instance. Mode penyeimbangan ini hanya berlaku untuk backend grup instance VM.

Cara traffic didistribusikan di antara backend bergantung pada mode load balancer.

Load Balancer Jaringan proxy klasik

Untuk Load Balancer Jaringan proxy klasik, mode balancing digunakan untuk memilih backend yang paling disukai (grup instance atau NEG). Traffic kemudian didistribusikan secara round robin di antara instance atau endpoint dalam backend.

Cara koneksi didistribusikan

Load Balancer Jaringan proxy klasik dapat dikonfigurasi sebagai layanan load balancing global dengan Paket Premium, dan sebagai layanan regional di Tingkat Standar.

Mode balancing dan pilihan target menentukan kelengkapan backend dari perspektif setiap NEG GCE_VM_IP_PORT zona, grup instance zona, atau zona grup instance regional. Traffic kemudian didistribusikan dalam suatu zona menggunakan hashing yang konsisten.

Untuk Paket Premium:

  • Anda hanya dapat memiliki satu layanan backend, dan layanan backend dapat memiliki backend di beberapa region. Untuk load balancing global, Anda men-deploy backend di beberapa region, dan load balancer secara otomatis mengarahkan traffic ke region yang paling dekat dengan pengguna. Jika suatu region mencapai kapasitas, load balancer akan otomatis mengarahkan koneksi baru ke region lain dengan kapasitas yang tersedia. Koneksi pengguna yang ada tetap berada di region saat ini.

  • Google mengiklankan alamat IP load balancer Anda dari semua titik kehadiran, di seluruh dunia. Setiap alamat IP load balancer adalah anycast global.

  • Jika Anda mengonfigurasi layanan backend dengan backend di beberapa region, Google Front End (GFE) akan mencoba mengarahkan permintaan ke grup instance backend atau NEG yang responsif di region yang paling dekat dengan pengguna.

Untuk Paket Standar:

  • Google mengiklankan alamat IP load balancer Anda dari titik kehadiran yang terkait dengan region aturan penerusan. Load balancer menggunakan alamat IP eksternal regional.

  • Anda hanya dapat mengonfigurasi backend di region yang sama dengan aturan penerusan. Load balancer hanya mengarahkan permintaan ke backend yang responsif di satu region tersebut.

Load Balancer Jaringan proxy eksternal global

Untuk Load Balancer Jaringan proxy eksternal global, distribusi traffic didasarkan pada mode load balancing dan kebijakan lokalitas load balancing.

Mode balancing menentukan bobot dan fraksi traffic yang akan dikirim ke setiap grup (grup instance atau NEG). Kebijakan lokalitas load balancing (LocalityLbPolicy) menentukan cara backend dalam grup di-load balanced.

Saat layanan backend menerima traffic, layanan tersebut akan mengarahkan traffic ke backend (grup instance atau NEG) terlebih dahulu sesuai dengan mode penyeimbangan backend. Setelah backend dipilih, traffic kemudian didistribusikan di antara instance atau endpoint di grup backend tersebut sesuai dengan kebijakan lokalitas load balancing.

Untuk informasi selengkapnya, lihat referensi berikut:

Cara koneksi didistribusikan

Load Balancer Jaringan proxy eksternal global dapat dikonfigurasi sebagai layanan load balancing global dengan Paket Premium

Mode balancing dan pilihan target menentukan kelengkapan backend dari perspektif setiap NEG GCE_VM_IP_PORT zona, atau grup instance zona. Lalu lintas kemudian didistribusikan di dalam suatu zona dengan menggunakan {i>hashing<i} yang konsisten.

  • Anda hanya dapat memiliki satu layanan backend, dan layanan backend dapat memiliki backend di beberapa region. Untuk load balancing global, Anda men-deploy backend di beberapa region, dan load balancer secara otomatis mengarahkan traffic ke region yang paling dekat dengan pengguna. Jika suatu region mencapai kapasitas, load balancer akan otomatis mengarahkan koneksi baru ke region lain dengan kapasitas yang tersedia. Koneksi pengguna yang ada tetap berada di region saat ini.

  • Google mengiklankan alamat IP load balancer Anda dari semua titik kehadiran, di seluruh dunia. Setiap alamat IP load balancer adalah anycast global.

  • Jika Anda mengonfigurasi layanan backend dengan backend di beberapa region, Google Front End (GFE) akan mencoba mengarahkan permintaan ke grup instance backend atau NEG yang responsif di region yang paling dekat dengan pengguna.

Load Balancer Jaringan proxy eksternal regional

Untuk Load Balancer Jaringan proxy eksternal regional, distribusi traffic didasarkan pada mode load balancing dan kebijakan lokalitas load balancing.

Mode balancing menentukan bobot dan fraksi traffic yang harus dikirim ke setiap grup (grup instance atau NEG). Kebijakan lokalitas load balancing (LocalityLbPolicy) menentukan cara backend dalam grup di-load balanced.

Saat layanan backend menerima traffic, layanan tersebut akan mengarahkan traffic ke backend (grup instance atau NEG) terlebih dahulu sesuai dengan mode penyeimbangan backend. Setelah backend dipilih, traffic kemudian didistribusikan di antara instance atau endpoint di grup backend tersebut sesuai dengan kebijakan lokalitas load balancing.

Untuk informasi selengkapnya, lihat referensi berikut:

Afinitas sesi

Afinitas sesi mengirimkan semua permintaan dari klien yang sama ke backend yang sama jika backend responsif dan memiliki kapasitas.

Load Balancer Jaringan proxy eksternal (global dan regional) menawarkan jenis afinitas sesi berikut:

  • NONE. Afinitas sesi tidak ditetapkan untuk load balancer.
  • Afinitas IP klien, yang meneruskan semua permintaan dari alamat IP klien yang sama ke backend yang sama.

Failover

Jika backend tidak responsif, traffic akan otomatis dialihkan ke backend yang responsif dalam region yang sama. Jika semua backend dalam suatu region tidak responsif, traffic akan didistribusikan ke backend yang responsif di region lain (khusus mode global dan klasik). Jika semua backend tidak responsif, load balancer akan menghapus traffic.

Load balancing untuk aplikasi GKE

Jika mem-build aplikasi di Google Kubernetes Engine, Anda dapat menggunakan NEG mandiri untuk melakukan load balancing traffic langsung ke container. Dengan NEG mandiri, Anda bertanggung jawab untuk membuat objek Service yang membuat NEG, lalu mengaitkan NEG dengan layanan backend agar load balancer dapat terhubung ke Pod.

Untuk dokumentasi terkait, lihat Load balancing berbasis container melalui NEG zona mandiri.

Batasan

  • Anda tidak dapat membuat Load Balancer Jaringan proxy eksternal regional di Paket Premium menggunakan Konsol Google Cloud. Sebagai gantinya, gunakan gcloud CLI atau API.

  • Load Balancer Jaringan proxy eksternal global tidak membuat koneksi TCP ke backend hingga klien mengirimkan data ke load balancer. Artinya, aplikasi yang bergantung pada server (atau backend) untuk mengirim paket data pertama tidak akan berfungsi.

  • Batasan berikut hanya berlaku untuk Load Balancer Jaringan proxy klasik dan Load Balancer Jaringan proxy eksternal global yang di-deploy dengan proxy target SSL:

    • Load Balancer Jaringan proxy klasik dan Load Balancer Jaringan proxy eksternal global tidak mendukung autentikasi berbasis sertifikat klien, yang juga dikenal sebagai autentikasi TLS bersama.

    • Load Balancer Jaringan proxy klasik dan Load Balancer Jaringan proxy eksternal global hanya mendukung karakter huruf kecil di domain dalam atribut nama umum (CN) atau atribut nama alternatif subjek (SAN) pada sertifikat. Sertifikat dengan karakter huruf besar dalam domain hanya ditampilkan jika ditetapkan sebagai sertifikat utama di proxy target.

Langkah selanjutnya