アプリケーション ロードバランサまたはプロキシ ネットワーク ロードバランサを作成する場合は、構成するリソースの 1 つがターゲット プロキシになります。ターゲット プロキシは、クライアントからの受信接続を終端し、ロードバランサからバックエンドへの新しい接続を作成します。
トラフィックは次のように処理されます。
ターゲット プロキシは 1 つ以上の転送ルールから参照されます。ターゲット プロキシは、ロードバランサの転送ルールで指定された IP アドレスとポートをリッスンします。
クライアントは、ロードバランサの転送ルールの IP アドレスとポートに接続します。
ターゲット プロキシがクライアント リクエストを受信します。次に、リクエストの宛先 IP アドレス / ポートと、ターゲット プロキシを参照する各転送ルールで構成された IP アドレス / ポートを比較します。一致するものが見つかると、ターゲット プロキシはクライアントのネットワーク接続を終端します。
ロードバランサのタイプに応じて、ターゲット プロキシは Google Front End(GFE)または Envoy プロキシを使用して接続を終端します。
ターゲット プロキシは、ロードバランサの URL マップ(アプリケーション ロードバランサにのみ適用)とバックエンド サービスの構成に従って、適切なバックエンド VM インスタンスまたはエンドポイントと新しい接続を確立します。
ターゲット プロキシのタイプ
Cloud Load Balancing は、構成するロードバランサのタイプに応じて異なるターゲット プロキシを使用します。
| ロードバランサ | ターゲット プロキシのタイプ | ターゲット プロキシのスコープ |
|---|---|---|
| グローバル外部アプリケーション ロードバランサ | ターゲット HTTP プロキシ ターゲット HTTPS プロキシ |
グローバル |
| 従来のアプリケーション ロードバランサ | ターゲット HTTP プロキシ ターゲット HTTPS プロキシ |
グローバル |
| リージョン外部アプリケーション ロードバランサ* | ターゲット HTTP プロキシ ターゲット HTTPS プロキシ |
リージョン |
| クロスリージョン内部アプリケーション ロードバランサ* | ターゲット HTTP プロキシ ターゲット HTTPS プロキシ |
グローバル |
| リージョン内部アプリケーション ロードバランサ* | ターゲット HTTP プロキシ ターゲット HTTPS プロキシ |
リージョン |
| グローバル外部プロキシ ネットワーク ロードバランサ | ターゲット SSL プロキシ ターゲット TCP プロキシ |
グローバル |
| 従来のプロキシ ネットワーク ロードバランサ | ターゲット SSL プロキシ ターゲット TCP プロキシ |
グローバル |
| リージョン外部プロキシ ネットワーク ロードバランサ* | ターゲット TCP プロキシ | リージョン |
| リージョン内部プロキシ ネットワーク ロードバランサ* | ターゲット TCP プロキシ | リージョン |
| クロスリージョン内部プロキシ ネットワーク ロードバランサ* | ターゲット TCP プロキシ | グローバル |
* このロードバランサには、Envoy ベースのロードバランサを使用する VPC ネットワークのリージョンごとにプロキシ専用サブネットが必要です。バックエンドへの接続は、このプロキシ専用サブネットから開始します。
Cloud Load Balancing は、次のリソースの組み合わせをサポートしています。
- 転送ルール > ターゲット HTTPS プロキシ > URL マップ > 1 つ以上のバックエンド サービス
- 転送ルール > ターゲット HTTP プロキシ > URL マップ > 1 つ以上のバックエンド サービス
- 転送ルール > ターゲット TCP プロキシ > 1 つのバックエンド サービス
- 転送ルール > ターゲット SSL プロキシ > 1 つのバックエンド サービス
上のリストには、ヘルスチェックとバックエンドは示されていません。
SSL 証明書
転送ルールでターゲット HTTPS プロキシまたはターゲット SSL プロキシを参照する Google Cloud プロキシ ロードバランサには、ロードバランサのターゲット プロキシ構成の一部として秘密鍵と SSL 証明書が必要になります。構成するロードバランサのタイプに応じて、Compute Engine SSL 証明書リソースまたは証明書マネージャーを使用します。
構成でサポートされている SSL 証明書については、SSL 証明書の概要をご覧ください。
使用可能なオプション機能
次のオプション機能は、特定の種類のロードバランサに関連付けられたターゲット プロキシで構成できます。詳しくは各トピックをご覧ください。
ターゲット プロキシを使用する
Google Cloud コンソールを使用してロードバランサを設定する場合は、ターゲット プロキシがフロントエンド構成の一部として暗黙的に設定されます。Google Cloud CLI または API を使用している場合は、ターゲット プロキシを明示的に構成する必要があります。
Google Cloud コンソールを使用して個々のターゲット プロキシを変更することはできません。ただし、ターゲット プロキシが関連付けられているロードバランサのフロントエンド構成を編集することで、ターゲット プロキシの特定の設定を更新できます。その他の変更を行うには、gcloud CLI または API を使用します。
ターゲット プロキシを削除するには、まずターゲット プロキシを参照している転送ルールを削除します。
注: クロスリージョン内部アプリケーション ロードバランサはプレビュー版です。Google Cloud コンソールでは、クロスリージョン内部アプリケーション ロードバランサを作成または管理することはできません。代わりに、beta バージョンの gcloud CLI コマンドと API 呼び出しを使用してください。
API
REST API でのターゲット プロキシ操作時に使用できるプロパティとメソッドについては、次のトピックをご覧ください。
- ターゲット HTTPS プロキシ: グローバル | リージョン
- ターゲット HTTP プロキシ: グローバル | リージョン
- ターゲット TCP プロキシ: グローバル | リージョン
- ターゲット SSL プロキシ: グローバル
gcloud CLI
gcloud CLI のリファレンス ドキュメントについては、次のトピックをご覧ください。
gcloud compute target-https-proxiesgcloud compute target-http-proxiesgcloud compute target-tcp-proxiesgcloud compute target-ssl-proxies
次のステップ
- Envoy ベースのロードバランサで使用されるプロキシ専用サブネットの詳細については、Envoy ベースのロードバランサのプロキシ専用サブネットをご覧ください。
- ターゲット プロキシが参照している SSL 証明書を更新する方法については、以下をご覧ください。
- セルフマネージド SSL 証明書の場合: 有効期限が切れる前に SSL 証明書を置換または更新する
- Google マネージド SSL 証明書の場合: 既存の SSL 証明書を置き換える