מאזני עומסים פנימיים של אפליקציות (ALB) ורשתות מקושרות

בדף הזה מתוארים תרחישים לגישה למאזן עומסים פנימי ברשת הענן הווירטואלי הפרטי (VPC) מרשת מחוברת. לפני שקוראים את המידע בדף הזה, כדאי להכיר את המושגים במדריך הבא:

שימוש בקישור בין רשתות VPC שכנות (peering)

כשמשתמשים בקישור בין רשתות VPC שכנות (peering) כדי לחבר את רשת ה-VPC לרשת אחרת,Google Cloud משתף את מסלולי תת-הרשת בין הרשתות. המסלולים של רשת המשנה מאפשרים לתנועה מהרשת העמיתה להגיע למאזני עומסים פנימיים ברשת שלכם. הגישה מותרת אם התנאים הבאים מתקיימים:

  • יוצרים כללים של חומת אש לתעבורת נכנסת כדי לאפשר תעבורת נתונים ממכונות וירטואליות של לקוחות ברשת השכנה. Google Cloud כללים של חומת אש לא משותפים בין רשתות כשמשתמשים בקישור בין רשתות שכנות (peering) של VPC.
  • במאזני עומסים פנימיים אזוריים של אפליקציות, מכונות וירטואליות של לקוחות ברשת העמיתים צריכות להיות באותו אזור כמו מאזן העומסים הפנימי. המגבלה הזו לא חלה אם מגדירים גישה גלובלית.

אי אפשר לשתף באופן סלקטיבי רק חלק ממאזני עומסי הרשת הפנימיים להעברת סיגנל ללא שינוי, ממאזני עומסי הרשת האזוריים הפנימיים לשרת proxy או ממאזני העומסים הפנימיים של אפליקציות באמצעות שיוך רשתות VPC. כל מאזני העומסים הפנימיים משותפים אוטומטית. אתם יכולים להגביל את הגישה לשרתי הקצה העורפי של מאזן העומסים על ידי הגדרת מכונות וירטואליות או נקודות קצה של הקצה העורפי כדי לשלוט בגישה באמצעות כותרות HTTP (לדוגמה, X-Forwarded-For).

שימוש ב-Cloud VPN וב-Cloud Interconnect

אפשר לגשת למאזן עומסים פנימי מרשת שכנה שמחוברת דרך מנהרת Cloud VPN או דרך צירוף ל-VLAN לחיבור Dedicated Interconnect או Partner Interconnect. הרשת השכנה יכולה להיות רשת מקומית, רשת VPC אחרת או רשת וירטואלית שמארח ספק אחר של שירותי ענן. Google Cloud

גישה דרך מנהרות Cloud VPN

אפשר לגשת למאזן עומסים פנימי דרך מנהרת Cloud VPN אם כל התנאים הבאים מתקיימים.

ברשת של מאזן העומסים הפנימי

  • אם הגישה הגלובלית מושבתת, השער והמנהרות של Cloud VPN ומאזן העומסים צריכים להיות באותו אזור. אם הגישה הגלובלית מופעלת בכלל ההעברה של מאזן העומסים, ההגבלה הזו לא חלה.
  • המסלולים צריכים לספק נתיבי תגובה ממערכות פרוקסי בחזרה לרשת המקומית או לרשת עמיתים שבה נמצא הלקוח. אם אתם משתמשים במנהרות Cloud VPN עם ניתוב דינמי, כדאי לשקול את מצב הניתוב הדינמי של רשת Cloud VPN של מאזן העומסים. מצב הניתוב הדינמי קובע אילו מסלולים דינמיים מותאמים אישית זמינים לשרתי proxy ברשת המשנה proxy-only.

ברשת העמיתים

ברשת העמיתה צריך להיות לפחות מנהרת Cloud VPN אחת עם מסלולים לתת-הרשת שבה מוגדר מאזן העומסים הפנימי.

אם הרשת השכנה היא רשת VPC אחרת: Google Cloud

  • השער והמנהרות של Cloud VPN ברשת העמיתים יכולים להיות ממוקמים בכל אזור.

  • במנהרות Cloud VPN שמשתמשות בניתוח דינמי, מצב הניתוב הדינמי של רשת ה-VPC קובע אילו מסלולים זמינים ללקוחות בכל אזור. כדי לספק ללקוחות בכל האזורים קבוצה עקבית של מסלולים דינמיים בהתאמה אישית, צריך להשתמש במצב ניתוב דינמי גלובלי.

  • מוודאים שחומות האש ברשת המקומית או ברשת השכנה מאפשרות חבילות שנשלחות לכתובת ה-IP של כלל ההעברה של מאזן העומסים. צריך לוודא שחומות האש ברשת המקומית או ברשת העמיתים מאפשרות מעבר של חבילות תגובה שמתקבלות מכתובת ה-IP של כלל ההעברה של מאזן העומסים.

הדיאגרמה הבאה מדגישה מושגי מפתח בעת גישה למאזן עומסים פנימי דרך שער Cloud VPN והמנהרה המשויכת שלו. שירות Cloud VPN מחבר באופן מאובטח את הרשת המקומית שלכם לרשתGoogle Cloud VPC באמצעות מנהרות Cloud VPN.

איזון עומסים פנימי ו-Cloud VPN.
איזון עומסים פנימי ו-Cloud VPN (לחצו כדי להגדיל).

שימו לב לרכיבי ההגדרה הבאים שמשויכים לדוגמה הזו:

  • באיור lb-network, הוגדרה מנהרת Cloud VPN שמשתמשת בניתוב דינמי. מנהרת ה-VPN, השער ו-Cloud Router ממוקמים כולם באזור REGION_A, שהוא אותו אזור שבו ממוקמים הרכיבים של מאזן העומסים הפנימי.
  • הגדרנו כללי חומת אש שמאפשרים תעבורת נתונים נכנסת (ingress) למכונות הווירטואליות העורפיות (backend) בקבוצות המכונות A ו-B, כדי שהן יוכלו לקבל תעבורת נתונים מכתובות IP ברשת ה-VPC ומהרשת המקומית, 10.1.2.0/24 ו-192.168.1.0/24. לא נוצרו כללים לחומת האש שדוחים תעבורת נתונים יוצאת, ולכן חל כלל משתמע שמאשר תעבורת נתונים יוצאת.
  • חבילות שנשלחות מלקוחות ברשתות המקומיות, כולל מ-192.168.1.0/24, לכתובת ה-IP של מאזן העומסים הפנימי, 10.1.2.99, מועברות ישירות למכונה וירטואלית תקינה בקצה העורפי, כמו vm-a2, בהתאם לזיקה לסשן שהוגדרה.
  • תשובות שנשלחות ממכונות וירטואליות בעורף (כמו vm-a2) מועברות דרך מנהרת ה-VPN ללקוחות המקומיים.

לפתרון בעיות ב-Cloud VPN, אפשר לעיין במאמר בנושא פתרון בעיות ב-Cloud VPN.

גישה דרך Cloud Interconnect

אפשר לגשת למאזן עומסים פנימי מרשת מקומית מקושרת שמחוברת לרשת ה-VPC של מאזן העומסים, אם כל התנאים הבאים מתקיימים ברשת של מאזן העומסים הפנימי:

  • אם הגישה הגלובלית מושבתת, גם צירוף ה-VLAN וגם Cloud Router צריכים להיות באותו אזור כמו מאזן העומסים. אם הגישה הגלובלית מופעלת בכלל ההעברה של מאזן העומסים, ההגבלה הזו לא חלה.

  • נתבים מקומיים צריכים לספק נתיבי תגובה מהקצה העורפי של מאזן העומסים לרשת המקומית. חיבורי VLAN ל-Dedicated Interconnect ול-Partner Interconnect חייבים להשתמש ב-Cloud Routers, ולכן מסלולים דינמיים בהתאמה אישית מספקים נתיבי תגובה. קבוצת המסלולים הדינמיים המותאמים אישית שהם לומדים תלויה במצב הניתוב הדינמי של הרשת של מאזן העומסים.

  • מוודאים שחומות האש המקומיות מאפשרות חבילות שנשלחות לכתובת ה-IP של כלל ההעברה של מאזן העומסים. מוודאים שחומות האש המקומיות מאפשרות מעבר של חבילות תגובה שמתקבלות מכתובת ה-IP של כלל ההעברה של מאזן העומסים.

שימוש בגישה גלובלית עם Cloud VPN ו-Cloud Interconnect

כברירת מחדל, הלקוחות צריכים להיות באותה רשת או ברשת VPC שמחוברת באמצעות VPC Network Peering. אתם יכולים להפעיל גישה גלובלית כדי לאפשר ללקוחות מכל אזור לגשת למאזן העומסים שלכם.

כשמפעילים גישה גלובלית, אפשר למקם את המשאבים הבאים בכל אזור:
  • Cloud Routers
  • שערי Cloud VPN ומנהרות
  • צירופים ל-VLAN

בתרשים:

  • הקצה הקדמי והבק-אנד של מאזן העומסים נמצאים באזור REGION_A.
  • ‫Cloud Router נמצא באזור REGION_B.
  • ה-Cloud Router מבצע פעולת עמיתים עם נתב ה-VPN המקומי.
  • אפשר להשתמש ב-Cloud VPN או ב-Cloud Interconnect עם Direct Peering או Partner Interconnect כדי להגדיר סשן של Border Gateway Protocol ‏ (BGP) peering.
איזון עומסים פנימי עם גישה גלובלית.
איזון עומסים פנימי עם גישה גלובלית (לחצו כדי להגדיל).

מצב הניתוב הדינמי של רשת ה-VPC מוגדר ל-global כדי לאפשר ל-Cloud Router ב-REGION_B לפרסם את מסלולי תת-הרשתות של תת-הרשתות בכל אזור ברשת ה-VPC של מאזן העומסים.

מספר נתיבי יציאה

בסביבות ייצור, מומלץ להשתמש בכמה מנהרות Cloud VPN או בחיבורי VLAN לצורך יתירות. בקטע הזה מפורטות הדרישות לשימוש בכמה מנהרות או קבצים מצורפים של VLAN.

בתרשים הבא, שתי מנהרות Cloud VPN מחברות בין lb-network לרשת מקומית. למרות שבמקרה הזה נעשה שימוש במנהרות Cloud VPN, אותם עקרונות חלים גם על Cloud Interconnect.

איזון עומסים פנימי ומנהרות Cloud VPN מרובות.
איזון עומסים פנימי ומספר מנהרות Cloud VPN (לחצו כדי להגדיל).

צריך להגדיר כל מנהרה או כל צירוף ל-VLAN באותו אזור שבו נמצא מאזן העומסים הפנימי. הדרישה הזו לא חלה אם הפעלתם גישה גלובלית.

חיבורים לכמה מנהרות או רשתות VLAN יכולים לספק רוחב פס נוסף או לשמש כנתיבי גיבוי לצורך יתירות.

חשוב לזכור:

  • אם ברשת המקומית יש שני נתיבים עם אותם סדרי עדיפויות, כל אחד עם יעד של 10.1.2.0/24 וצעד הבא שמתאים למנהרת VPN שונה באותו אזור כמו מאזן העומסים הפנימי, אפשר לשלוח תנועה מהרשת המקומית (192.168.1.0/24) למאזן העומסים באמצעות ריבוי נתיבים בעלות שווה (ECMP).
  • אחרי שהמנות מועברות לרשת ה-VPC, מאזן העומסים הפנימי מחלק אותן למכונות וירטואליות בעורף בהתאם לזיקה לסשן שהוגדרה.
  • אם ל-lb-network יש שני נתיבים, כל אחד עם היעד 192.168.1.0/24 וקפיצה הבאה שמתאימה למנהרות VPN שונות, אפשר להעביר תגובות ממכונות וירטואליות בעורף דרך כל מנהרה בהתאם לעדיפות של הנתיבים ברשת. אם משתמשים בעדיפויות שונות של נתיבים, מנהרה אחת יכולה לשמש כגיבוי למנהרה אחרת. אם משתמשים באותן עדיפויות, התשובות מועברות באמצעות ECMP.
  • תשובות שנשלחות ממכונות וירטואליות של קצה העורף (כמו vm-a2) מועברות ישירות ללקוחות המקומיים דרך המנהרה המתאימה. מנקודת המבט של lb-network, אם יש שינויים בנתיבים או במנהרות VPN, יכול להיות שתעבורת הנתונים היוצאת תצא באמצעות מנהרה אחרת. אם החיבור באמצע התהליך מופרע, יכול להיות שסשן ה-TCP יאופס.

המאמרים הבאים