Auf dieser Seite werden Szenarien für den Zugriff auf einen internen Load-Balancer in Ihrem Virtual Private Cloud-Netzwerk (VPC) über ein verbundenes Netzwerk beschrieben. Bevor Sie sich die Informationen auf dieser Seite ansehen, sollten Sie mit den Konzepten in der folgenden Anleitung vertraut sein:
VPC-Netzwerk-Peering verwenden
Wenn Sie VPC-Netzwerk-Peering verwenden, um Ihr VPC-Netzwerk mit einem anderen Netzwerk zu verbinden, teilt Google Cloud die Subnetzrouten zwischen den Netzwerken. Über die Subnetzrouten kann der Traffic vom Peer-Netzwerk interne Load-Balancer in Ihrem Netzwerk erreichen. Der Zugriff ist nur möglich, wenn Folgendes zutrifft:
- Sie erstellen Firewallregeln, um eingehenden Traffic von Client-VMs im Peer-Netzwerk zuzulassen. Firewallregeln von Google Cloud werden nicht zwischen Netzwerken geteilt, wenn VPC-Netzwerk-Peering verwendet wird.
- Bei regionalen internen Application Load Balancern müssen sich Client-VM-Instanzen im Peer-Netzwerk in derselben Region befinden wie der interne Load-Balancer. Diese Einschränkung wird ignoriert, wenn Sie den globalen Zugriff konfigurieren.
Es ist nicht möglich, mit VPC-Netzwerk-Peering nur einige der internen Passthrough-Network Load Balancer, regionalen internen Proxy-Network Load Balancer oder interne Application Load Balancer freizugeben. Alle internen Load-Balancer werden automatisch freigegeben. Sie können den Zugriff auf die Backends des Load-Balancers mit Firewallregeln für Backend-VM-Instanzen beschränken.
Cloud VPN und Cloud Interconnect verwenden
Sie können über ein Peer-Netzwerk, das über einen Cloud VPN-Tunnel oder Interconnect-Anhang (VLAN) über Dedicated Interconnect oder Partner Interconnect verbunden ist, auf einen internen Load-Balancer zugreifen. Das Peer-Netzwerk kann ein lokales Netzwerk, ein weiteres Google Cloud-VPC-Netzwerk oder ein virtuelles Netzwerk sein, das von einem anderen Cloud-Anbieter gehostet wird.
Zugriff über Cloud VPN-Tunnel
Sie können über einen Cloud VPN-Tunnel auf einen internen Load-Balancer zugreifen, wenn alle der folgenden Bedingungen erfüllt sind.
Im Netzwerk des internen Load-Balancers
- Das Cloud-VPN-Gateway und die Tunnel müssen sich in derselben Region befinden wie der Load-Balancer, wenn der globale Zugriff deaktiviert ist. Wenn der globale Zugriff in der Weiterleitungsregel des Load-Balancers aktiviert ist, wird diese Einschränkung verhindert.
- Routen müssen Antwortpfade von Proxysystemen zurück an das lokale oder Peer-Netzwerk liefern, in dem sich der Client befindet. Wenn Sie Cloud VPN-Tunnel mit dynamischem Routing verwenden, beachten Sie den Modus für dynamisches Routing des Cloud VPN-Netzwerks des Load-Balancers. Der dynamische Routingmodus legt fest, welche benutzerdefinierten dynamischen Routen für Proxys im Nur-Proxy-Subnetz verfügbar sind.
Im Peer-Netzwerk
Das Peer-Netzwerk muss mindestens einen Cloud VPN-Tunnel mit Routen zum Subnetz haben, in dem der interne Load-Balancer definiert ist.
Wenn das Peer-Netzwerk ein anderes Google Cloud VPC-Netzwerk ist:
Das Cloud VPN-Gateway und die Tunnel des Peer-Netzwerks können sich in einer beliebigen Region befinden.
Bei Cloud VPN-Tunneln, die dynamisches Routing verwenden, bestimmt der Modus für dynamisches Routing des VPC-Netzwerks, welche Routen den Clients in den einzelnen Regionen zur Verfügung stehen. Mit dem globalen Modus für dynamisches Routing können Sie konsistente benutzerdefinierte dynamische Routen für Clients in allen Regionen bereitstellen.
Lokale oder Peer-Netzwerk-Firewalls müssen Pakete zulassen, die an die IP-Adresse der Weiterleitungsregel des Load-Balancers gesendet werden. Sorgen Sie dafür, dass lokale Firewalls oder Peer-Netzwerk-Firewalls Antwortpakete zulassen, die von der IP-Adresse der Weiterleitungsregel des Load-Balancers empfangen werden.
Das folgende Diagramm zeigt die wichtigsten Konzepte beim Zugriff auf einen internen Load-Balancer über ein Cloud VPN-Gateway und den zugehörigen Tunnel. Cloud VPN verbindet Ihr lokales Netzwerk über Cloud VPN-Tunnel sicher mit Ihrem Google Cloud VPC-Netzwerk.
Beachten Sie die folgenden Konfigurationselemente, die mit diesem Beispiel verknüpft sind:
- Im
lb-network
wurde ein Cloud VPN-Tunnel mit dynamischem Routing konfiguriert. VPN-Tunnel, Gateway und Cloud Router befinden sich alle in REGION_A. Das ist dieselbe Region, in der sich die Komponenten des internen Load-Balancers befinden. - Firewallregeln, die eingehenden Traffic zulassen, wurden für die Backend-VMs in den Instanzgruppen A und B konfiguriert. Auf diese Weise können sie Traffic von IP-Adressen im VPC-Netzwerk und vom lokalen Netzwerk empfangen,
10.1.2.0/24
und192.168.1.0/24
. Es wurden keine Firewallregeln für abzulehnenden ausgehenden Traffic erstellt. Daher gilt die implizierte Richtlinie zum Zulassen von ausgehendem Traffic. - Pakete, die von Clients in den lokalen Netzwerken gesendet werden, zum Beispiel von
192.168.1.0/24
an die IP-Adresse des internen Load Balancers10.1.2.99
, werden entsprechend der konfigurierten Sitzungsaffinität direkt an eine intakte Backend-VM wievm-a2
zugestellt. - Antworten, die von den Backend-VMs wie
vm-a2
gesendet werden, werden über den VPN-Tunnel an die lokalen Clients zugestellt.
Informationen zur Fehlerbehebung bei Cloud VPN finden Sie unter Cloud VPN-Fehlerbehebung.
Zugriff über Cloud Interconnect
Es ist möglich, von einem lokalen Peer-Netzwerk, das mit dem VPC-Netzwerk des Load-Balancers verbunden ist, auf einen internen Load-Balancer zuzugreifen. Dafür müssen im Netzwerk des Load-Balancers die folgenden Bedingungen erfüllt sein:
Wenn der globale Zugriff deaktiviert ist, müssen sich sowohl der VLAN-Anhang als auch der Cloud Router in derselben Region wie der Load-Balancer befinden. Wenn der globale Zugriff in der Weiterleitungsregel des Load-Balancers aktiviert ist, wird diese Einschränkung verhindert.
Lokale Router müssen Antwortpfade von den Back-Ends des Load-Balancers zum lokalen Netzwerk bereitstellen. VLAN-Anhänge für Dedicated Interconnect und Partner Interconnect müssen Cloud Router verwenden. Daher stellen benutzerdefinierte dynamische Routen Antwortpfade bereit. Welche dynamischen Routen erlernt werden, hängt vom Modus für dynamisches Routing des Netzwerks des Load-Balancers ab.
Lokale Firewalls lassen Pakete zu, die an die IP-Adresse der Weiterleitungsregel des Load-Balancers gesendet werden. Lokale Firewalls müssen Antwortpakete zulassen, die von der IP-Adresse der Weiterleitungsregel des Load-Balancers empfangen werden.
Globalen Zugriff mit Cloud VPN und Cloud Interconnect verwenden
Clients müssen sich standardmäßig im selben Netzwerk oder in einem VPC-Netzwerk befinden, das über VPC-Netzwerk-Peering verbunden ist. Sie können den globalen Zugriff aktivieren, damit Clients aus beliebigen Regionen auf Ihren Load-Balancer zugreifen können.
Für regionenübergreifende interne Proxy-Load Balancer ist der globale Zugriff standardmäßig aktiviert. Clients aus jeder Region können auf Ihren Load Balancer zugreifen. Wenn Sie bei regionalen internen Proxy-Network Load Balancern globalen Zugriff aktivieren, können sich die folgenden Ressourcen in einer beliebigen Region befinden:- Cloud Router
- Cloud VPN-Gateways und -Tunnel
- VLAN-Anhänge
Das Diagramm zeigt Folgendes:
- Das Frontend und die Back-Ends des Load-Balancers befinden sich in der Region
REGION_A
. - Der Cloud Router befindet sich in der Region
REGION_B
. - Der Cloud Router verbindet sich per Peering mit dem lokalen VPN-Router.
- Die Peering-Sitzung des Border Gateway Protocol (BGP) kann über Cloud VPN oder Cloud Interconnect mit Direct Peering oder Partner Interconnect erfolgen.
Der Modus für dynamisches Routing des VPC-Netzwerks ist auf global
festgelegt, um den Cloud Router in REGION_B
zu aktivieren und die Subnetzrouten für Subnetze in einer beliebigen Region des VPC-Netzwerks des Load-Balancers anzubieten.
Mehrere Pfade für ausgehenden Traffic
In Produktionsumgebungen sollten Sie mehrere Cloud VPN-Tunnel oder VLAN-Anhänge zur Redundanz verwenden. In diesem Abschnitt werden die Anforderungen bei der Verwendung mehrerer Tunnel oder VLAN-Anhänge erläutert.
Im folgenden Diagramm verbinden zwei Cloud VPN-Tunnel lb-network
mit einem lokalen Netzwerk. Hier werden Cloud VPN-Tunnel verwendet. Dieselben Prinzipien gelten jedoch auch für Cloud Interconnect.
Sie müssen die einzelnen Tunnel oder VLAN-Anhänge in der Region konfigurieren, in der sich auch der interne Load-Balancer befindet. Diese Anforderung wird ignoriert, wenn Sie den globalen Zugriff aktivieren.
Mehrere Tunnel oder VLAN-Anhänge können zusätzliche Bandbreite bieten oder als Standbypfade zur Redundanz dienen.
Beachten Sie die folgenden Aspekte:
- Traffic kann vom lokalen Netzwerk
192.168.1.0/24
an den Load-Balancer mit equal-cost multipath (ECMP) gesendet werden. Dafür muss das lokale Netzwerk zwei Routen mit gleicher Priorität und dem Ziel10.1.2.0/24
haben. Ein nächster Hop muss ein anderer VPN-Tunnel sein, der sich in derselben Region wie der interne Load-Balancer befindet. - Nachdem die Pakete an das VPC-Netzwerk zugestellt wurden, werden sie vom internen Load Balancer entsprechend der konfigurierten Sitzungsaffinität an Backend-VMs verteilt.
- Die Antworten von Backend-VMs können nach der Priorität der Routen im Netzwerk über verschiedene Tunnel zugestellt werden. Dafür muss das Netzwerk
lb-network
zwei Routen jeweils mit dem Ziel192.168.1.0/24
und einem nächsten Hop haben, der verschiedenen VPN-Tunneln entspricht. Wenn unterschiedliche Prioritäten für die Routen verwendet werden, kann ein Tunnel als Sicherung für die andere Route dienen. Werden dieselben Prioritäten verwendet, werden Antworten über ECMP zugestellt. - Von den Backend-VMs (etwa
vm-a2
) gesendete Antworten werden den lokalen Clients über den entsprechenden VPN-Tunnel direkt zugestellt. Wenn sich Routen oder VPN-Tunnel aus Sicht vonlb-network
ändern, wird der ausgehende Traffic möglicherweise über einen anderen Tunnel übertragen. Wenn dabei eine laufende Verbindung unterbrochen wird, kann es vorkommen, dass TCP-Sitzungen zurückgesetzt werden.
Nächste Schritte
- Informationen zum Konfigurieren und Testen eines regionalen internen Proxy-Network Load Balancer finden Sie unter Regionalen internen Proxy-Network Load Balancer einrichten.