本頁說明透過已連線的網路存取虛擬私有雲網路內部負載平衡器的各種情況。查看本頁資訊之前,您應該先熟悉下列指南中的概念:
使用虛擬私有雲網路對等互連
當您透過虛擬私人雲端網路對等互連,將您的虛擬私人雲端網路連線至另一個網路時,Google Cloud 會在網路之間共用子網路路徑。子網路路徑可允許來自對等互連網路的流量到達您網路的內部負載平衡器。只要符合以下條件,就可以獲得存取權:
- 您建立輸入防火牆規則,允許來自對等互連網路中用戶端 VM 的流量。使用虛擬私有雲網路對等互連時,系統不會在網路之間共用 Google Cloud 防火牆規則。
- 如果是區域內部應用程式負載平衡器,對等互連網路中的用戶端虛擬機器 (VM) 執行個體必須與內部負載平衡器位在相同地區。如果您設定全域存取權,則可略過這項限制。
您無法以虛擬私有雲端網路對等互連,選擇性地共用某些內部直通式網路負載平衡器、區域性內部 Proxy 網路負載平衡器或內部應用程式負載平衡器。所有內部負載平衡器都會自動共用。
您可以設定後端 VM 或端點,透過 HTTP 標頭 (例如 X-Forwarded-For) 控制存取權,限制負載平衡器的後端存取權。
使用 Cloud VPN 和 Cloud Interconnect
如果對等互連網路是透過 Cloud VPN 通道或專屬互連網路/合作夥伴互連網路的 VLAN 連結建立連線,您就可以存取當中的內部負載平衡器。對等互連網路可以是內部部署網路、另一個 Google Cloud 虛擬私有雲網路,或是由其他雲端供應商託管的虛擬網路。
透過 Cloud VPN 通道存取
當符合下列所有條件時,您可以透過 Cloud VPN 通道存取內部負載平衡器。
內部負載平衡器的網路中
- 如果全域存取功能已停用,Cloud VPN 閘道和通道必須位於與負載平衡器相同的區域。如果負載平衡器的轉送規則已啟用全域存取權,則可免除這項限制。
- 路徑必須提供從 Proxy 系統返回用戶端所在內部部署或對等互連網路的回應路徑。如果您使用動態轉送的 Cloud VPN 通道,請考量負載平衡器 Cloud VPN 網路的動態轉送模式。動態轉送模式會決定僅限 Proxy 子網路中的 Proxy 可使用的自訂動態路徑。
在對等互連網路中
對等互連網路必須至少有一個 Cloud VPN 通道,且具有通往定義內部負載平衡器所在子網路的路徑。
如果對等互連網路是另一個 Google Cloud VPC 網路:
對等互連網路的 Cloud VPN 閘道和通道可位於任何地區。
如果是使用動態轉送的 Cloud VPN 通道,VPC 網路的動態轉送模式會決定每個地區的用戶端可使用的路徑。如要為所有區域的用戶端提供一致的自訂動態路徑集,請使用全域動態轉送模式。
確認內部部署或對等互連網路防火牆允許傳送至負載平衡器轉送規則 IP 位址的封包。確認內部部署或對等互連網路防火牆允許從負載平衡器轉送規則的 IP 位址接收回應封包。
下圖概要說明透過 Cloud VPN 閘道及其相關通道存取內部負載平衡器時的主要概念。Cloud VPN 會使用 Cloud VPN 通道,將您的內部部署網路安全連線至Google Cloud 虛擬私有雲網路。
請注意下列與本範例相關的設定元素:
lb-network中已設定一個使用動態轉送的 Cloud VPN 通道。VPN 通道、閘道和 Cloud Router 都位於 REGION_A,也就是內部負載平衡器的元件所在地區。- 允許輸入的防火牆規則已設定為套用至執行個體群組 A 和 B 中的後端 VM,以便透過虛擬私有雲網路和內部部署網路的 IP 位址 (
10.1.2.0/24和192.168.1.0/24) 接收流量。由於沒有建立任何拒絕輸出的防火牆規則,因此系統會套用默示允許輸出規則。 - 從內部部署網路的用戶端 (包括從
192.168.1.0/24) 傳送至內部負載平衡器 IP 位址 (10.1.2.99) 的封包,會根據已設定的工作階段相依性,直接交付給健康狀態良好的後端 VM (例如vm-a2)。 - 來自後端 VM (例如
vm-a2) 的回覆會透過 VPN 通道傳送至內部部署用戶端。
如要排解 Cloud VPN 問題,請參閱 Cloud VPN 疑難排解。
透過 Cloud Interconnect 存取
當內部負載平衡器的網路符合下列所有條件時,您可以透過連線到負載平衡器所屬虛擬私有雲網路的內部部署對等互連網路存取該負載平衡器:
如果停用全域存取,VLAN 連結和 Cloud Router 必須與負載平衡器位於相同地區。如果負載平衡器的轉送規則已啟用全域存取權,則可免除這項限制。
內部部署路由器必須提供從負載平衡器後端到內部部署網路的回應路徑。專屬互連網路和合作夥伴互連網路的 VLAN 連結必須使用 Cloud Router,因此自訂動態路徑會提供回應路徑。負載平衡器網路的動態轉送模式,會決定負載平衡器可取得的自訂動態路徑組合。
確認地端防火牆允許傳送至負載平衡器轉送規則 IP 位址的封包。確認地端部署防火牆允許從負載平衡器轉送規則 IP 位址收到的回應封包。
透過 Cloud VPN 和 Cloud Interconnect 使用全域存取權
根據預設,用戶端必須位於相同網路中,或位於透過 VPC 網路對等互連連線的 VPC 網路中。您可以啟用全域存取權,允許任何區域的用戶端存取負載平衡器。
啟用全域存取權後,下列資源可位於任何區域:- Cloud Router
- Cloud VPN 閘道和通道
- VLAN 連結
在圖表中:
- 負載平衡器的前端和後端位於
REGION_A區域。 - Cloud Router 位於
REGION_B地區。 - Cloud Router 會與地端部署 VPN 路由器對等互連。
- 邊界閘道通訊協定 (BGP) 對等互連工作階段可透過 Cloud VPN 或 Cloud Interconnect (含直接對等互連或合作夥伴互連) 建立。
將 VPC 網路的動態轉送模式設為 global,即可在 REGION_B 中啟用 Cloud Router,通告負載平衡器 VPC 網路中任何地區的子網路路徑。
多個輸出路徑
在實際工作環境中,您應使用多個 Cloud VPN 通道或 VLAN 連結來執行備援。本節將說明使用多個通道或 VLAN 連結時的需求。
在下圖中,有兩個 Cloud VPN 通道將 lb-network 連線至內部部署網路。儘管此處使用的是 Cloud VPN 通道,但相同的原理也適用於 Cloud Interconnect。
您必須將每個通道或每個 VLAN 連結設為與內部負載平衡器位於相同地區。如果您已啟用全域存取權,則可略過這項規定。
多個通道或 VLAN 連結可提供額外的頻寬,也可做為備用路徑以供備援。
請注意下列幾點:
- 如果地端網路有兩條優先順序相同的路徑,且目的地都是
10.1.2.0/24,下一個躍點則對應至與內部負載平衡器位於相同區域的不同 VPN 通道,地端網路 (192.168.1.0/24) 就能使用等價多路徑路由 (ECMP) 將流量傳送至負載平衡器。 - 封包傳送至虛擬私有雲網路之後,內部負載平衡器會根據已設定的工作階段相依性,將封包分配到後端 VM。
- 如果
lb-network具有兩個路徑,每個路徑的目的地均為192.168.1.0/24,且下一個躍點對應至不同的 VPN 通道,則來自後端 VM 的回應可以根據網路中的路徑優先順序,透過各個通道傳送。如果採用的是不同的路徑優先順序,則其中一個通道可做為另一個通道的備援。如果採用的是相同優先順序,則會使用 ECMP 傳送回應。 - 來自後端 VM (例如
vm-a2) 的回覆會透過適當的通道,直接傳送至內部部署用戶端。從lb-network的角度來看,如果路徑或 VPN 通道發生變更,流量可能會透過其他通道輸出。這樣一來,如果進行中的連線中斷,則可能導致 TCP 工作階段重設。
後續步驟
- 如要設定及測試內部應用程式負載平衡器,請參閱「設定內部應用程式負載平衡器」。