Lorsque vous créez un équilibreur de charge d'application ou un équilibreur de charge réseau proxy, l'une des ressources que vous configurez est le proxy cible. Les proxys cibles interrompent les connexions entrantes émanant des clients et créent des connexions depuis l'équilibreur de charge vers les backends.
En règle générale, le trafic est géré selon le processus suivant :
Un proxy cible est référencé par une ou plusieurs règles de transfert. Le proxy cible écoute l'adresse IP et le port spécifiés par la règle de transfert de l'équilibreur de charge.
Un client établit une connexion avec l'adresse IP et le port de la règle de transfert de l'équilibreur de charge.
Le proxy cible reçoit la requête du client. Il compare ensuite l'adresse IP et le port de destination de la requête à l'adresse IP et au port configurés dans chaque règle de transfert faisant référence au proxy TCP cible. En cas de correspondance, le proxy cible met fin à la connexion réseau du client.
Selon le type d'équilibreur de charge, les proxys cibles interrompent les connexions à l'aide de Google Front End (GFE) ou de proxys Envoy.
Le proxy cible établit une nouvelle connexion à l'instance ou au point de terminaison de VM de backend approprié, comme déterminé par le mappage d'URL de l'équilibreur de charge (ne concerne que les équilibreurs de charge d'application) et la configuration du service de backend.
Types de proxys cibles
Cloud Load Balancing utilise différents proxys cibles en fonction du type d'équilibreur de charge que vous configurez.
| Équilibreur de charge | Type de proxy cible | Champ d'application du proxy cible |
|---|---|---|
| Équilibreur de charge d'application externe global | Proxy HTTP cible Proxy HTTPS cible |
Monde |
| Équilibreur de charge d'application classique | Proxy HTTP cible Proxy HTTPS cible |
Monde |
| Équilibreur de charge d'application externe régional * | Proxy HTTP cible Proxy HTTPS cible |
Régional |
| Équilibreur de charge d'application interne interrégional * | Proxy HTTP cible Proxy HTTPS cible |
Monde |
| Équilibreur de charge d'application interne régional * | Proxy HTTP cible Proxy HTTPS cible |
Régional |
| Équilibreur de charge réseau proxy externe global | Proxy SSL cible Proxy TCP cible |
Monde |
| Équilibreur de charge réseau proxy classique | Proxy SSL cible Proxy TCP cible |
Monde |
| Équilibreur de charge réseau proxy externe régional * | Proxy TCP cible | Régional |
| Équilibreur de charge réseau proxy interne régional * | Proxy TCP cible | Régional |
| Équilibreur de charge réseau proxy interne interrégional * | Proxy TCP cible | Monde |
* Cet équilibreur de charge nécessite un sous-réseau proxy réservé dans chaque région d'un réseau VPC dans lequel vous utilisez un équilibreur de charge basé sur Envoy. Les connexions au backend proviennent de ce sous-réseau proxy réservé.
Cloud Load Balancing accepte les combinaisons de ressources suivantes :
- Règle de transfert > proxy HTTPS cible > Mappage d'URL > un ou plusieurs services de backend
- Règle de transfert > Proxy HTTP cible > Mappage d'URL > un ou plusieurs services de backend
- Règle de transfert > Proxy TCP cible -> un service de backend
- Règle de transfert > Proxy SSL cible > un service de backend
Remarque : Les vérifications d'état et les backends n'apparaissent pas dans la liste précédente.
Certificats SSL
Les équilibreurs de charge proxy Google Cloud dont les règles de transfert font référence à un proxy HTTPS cible ou à un proxy SSL cible nécessitent une clé privée et un certificat SSL dans la configuration du proxy cible de l'équilibreur de charge. Selon le type d'équilibreur de charge que vous configurez, vous utilisez une ressource de certificat SSL Compute Engine ou un gestionnaire de certificats.
Pour savoir quel certificat SSL est compatible avec votre configuration, consultez la page Présentation des certificats SSL.
Fonctionnalités facultatives disponibles
Les fonctionnalités facultatives suivantes peuvent être configurées sur des proxys cibles associés à certains types d'équilibreurs de charge. Pour plus d'informations, consultez ces pages.
Utiliser des proxys cibles
Si vous utilisez la console Google Cloud pour configurer un équilibreur de charge, le proxy cible est configuré implicitement lors de la configuration de votre interface. Si vous utilisez Google Cloud CLI ou l'API, vous devez configurer explicitement le proxy cible.
Vous ne pouvez pas utiliser la console Google Cloud pour modifier des proxys cibles individuels. Toutefois, vous pouvez mettre à jour certains paramètres des proxys cibles en modifiant la configuration de l'interface de l'équilibreur de charge auquel ils sont associés. Utilisez la gcloud CLI ou l'API pour effectuer d'autres modifications.
Pour supprimer un proxy cible, veillez à supprimer d'abord les règles de transfert qui le référencent.
Remarque : L'équilibreur de charge d'application interne interrégional est en preview. Vous ne pouvez pas créer ni gérer l'équilibreur de charge d'application interne interrégional dans la console Google Cloud. Utilisez plutôt les versionsbeta des commandes de gcloud CLI et des appels d'API.
API
Pour obtenir une description des propriétés et des méthodes disponibles lorsque vous travaillez avec des proxys cibles via l'API REST, consultez les pages suivantes :
- Proxy HTTPS cible : Global | Régional
- Proxy HTTP cible : Global | Régional
- Proxy TCP cible : Global | Régional
- Proxy SSL cible : Global
gcloud CLI
Pour la documentation de référence de gcloud CLI, consultez les pages suivantes :
gcloud compute target-https-proxiesgcloud compute target-http-proxiesgcloud compute target-tcp-proxiesgcloud compute target-ssl-proxies
Étapes suivantes
- Pour en savoir plus sur les sous-réseaux proxy réservés utilisés par les équilibreurs de charge basés sur Envoy, consultez la page Sous-réseaux proxy réservés aux équilibreurs de charge basés sur Envoy.
- Pour mettre à jour le certificat SSL vers lequel votre proxy cible pointe :
- Pour les certificats SSL autogérés : Remplacer ou renouveler un certificat SSL avant son expiration.
- Pour les certificats SSL gérés par Google : Remplacer un certificat SSL existant