I bilanciatori del carico di rete passthrough sono bilanciatori del carico passthrough regionali di livello 4. Questi bilanciatori del carico distribuiscono il traffico tra i backend nella stessa regione del bilanciatore del carico. Come suggerisce il nome, i bilanciatori del carico di rete passthrough non sono proxy. I pacchetti con bilanciamento del carico vengono ricevuti dalle VM di backend con gli indirizzi IP di origine e di destinazione, il protocollo e, se il protocollo è basato su porta, le porte di origine e di destinazione invariati. Le connessioni con bilanciamento del carico vengono terminate sui backend. Le risposte delle VM di backend vanno direttamente ai client, non tornano attraverso il bilanciatore del carico. Il termine del settore per questa operazione è direct server return (DSR).
Il seguente diagramma mostra un'architettura di esempio di un bilanciatore del carico di rete passthrough.
Utilizzeresti un bilanciatore del carico di rete passthrough nelle seguenti circostanze:
- Devi inoltrare i pacchetti client originali ai backend senza proxy, ad esempio se devi conservare l'indirizzo IP di origine del client.
- Devi bilanciare il carico del traffico TCP, UDP, ESP, GRE, ICMP e ICMPv6 oppure devi bilanciare il carico di una porta TCP non supportata da altri bilanciatori del carico.
- È accettabile che il traffico SSL venga decriptato dai backend anziché dal bilanciatore del carico. Il bilanciatore del carico di rete passthrough non può eseguire questa attività. Quando i backend decriptano il traffico SSL, il carico della CPU sulle VM è maggiore.
- Sei in grado di gestire autonomamente i certificati SSL della VM di backend. I certificati SSL gestiti da Google sono disponibili solo per i bilanciatori del carico proxy.
- Hai una configurazione esistente che utilizza un bilanciatore del carico passthrough e vuoi eseguirne la migrazione senza modifiche.
I bilanciatori del carico di rete passthrough sono disponibili nelle seguenti modalità di deployment.
| Ambito | Tipo di traffico | Livello di servizio di rete | Schema di bilanciamento del carico † | Indirizzo IP | Porte di frontend | Link | |
|---|---|---|---|---|---|---|---|
| Bilanciatore del carico di rete passthrough esterno regionale
Bilancia il carico del traffico proveniente dai client su internet. |
Regionale | TCP, UDP, ESP, GRE, ICMP, e ICMPv6 | Premium o Standard | EXTERNAL | IPv4 e IPv6 | Una singola porta, un intervallo di porte o tutte le porte | Dettagli dell'architettura |
| Bilanciatore del carico di rete passthrough interno
Bilancia il carico del traffico all'interno della rete VPC o delle reti connesse alla rete VPC. |
Regionale | TCP, UDP, ICMP, ICMPv6, SCTP, ESP, AH e GRE | Premium | INTERNAL | IPv4 e IPv6 | Una singola porta, un intervallo di porte o tutte le porte | Dettagli dell'architettura |
† Lo schema di bilanciamento del carico è un attributo della regola di forwarding e del servizio di backend di un bilanciatore del carico e indica se quest'ultimo può essere usato per il traffico interno o esterno.
Bilanciatori del carico di rete passthrough esterni regionali
I bilanciatori del carico di rete passthrough esterni regionali sono bilanciatori del carico regionali di livello 4 che distribuiscono il traffico esterno tra i backend (gruppi di istanze o gruppi di endpoint di rete (NEG)) nella stessa regione del bilanciatore del carico. Questi backend devono trovarsi nella stessa regione e nello stesso progetto, ma possono trovarsi in reti VPC diverse. Questi bilanciatori del carico sono basati su Maglev e sullo stack di virtualizzazione di rete Andromeda.
I bilanciatori del carico di rete passthrough esterni regionali possono ricevere traffico da:
- Qualsiasi client su internet
- Google Cloud VM con IP esterni
- Google Cloud VM che hanno accesso a internet tramite Cloud NAT o NAT basata su istanza
I bilanciatori del carico di rete passthrough esterni regionali non sono proxy. Il bilanciatore del carico stesso non termina le connessioni utente. I pacchetti con bilanciamento del carico vengono inviati alle VM di backend con gli indirizzi IP di origine e di destinazione, il protocollo e, se applicabile, le porte invariati. Le VM di backend terminano quindi le connessioni utente. Le risposte delle VM di backend vanno direttamente ai client, non tornano attraverso il bilanciatore del carico. Questa procedura è nota come direct server return (DSR).
Il seguente diagramma mostra un bilanciatore del carico di rete passthrough esterno regionale configurato nella regione us-central1 con i relativi backend nella stessa regione. Il traffico viene instradato da un utente a Singapore al bilanciatore del carico in us-central1 (indirizzo IP della regola di forwarding 120.1.1.1).
Se l'indirizzo IP del bilanciatore del carico è nel livello Premium, il traffico attraversa la rete backbone globale di alta qualità di Google con l'intento che i pacchetti entrino e escano da un punto di peering perimetrale di Google il più vicino possibile al client. Se l'indirizzo IP del bilanciatore del carico è nel livello Standard, il traffico entra ed esce dalla rete Google in un punto di peering più vicino alla Google Cloud regione in cui è configurato il bilanciatore del carico.
L'architettura di un bilanciatore del carico di rete passthrough esterno regionale varia a seconda che si utilizzi un servizio di backend o un pool di destinazione per configurare il backend.
Bilanciatori del carico basati sui servizi di backend
I bilanciatori del carico di rete passthrough esterni regionali possono essere creati con un servizio di backend regionale che definisce il comportamento del bilanciatore del carico e le modalità di distribuzione del traffico ai relativi backend. I bilanciatori del carico di rete passthrough esterni regionali basati sui servizi di backend supportano il traffico IPv4 e IPv6, più protocolli (TCP, UDP, ESP, GRE, ICMP e ICMPv6), backend di gruppi di istanze gestite e non gestite, backend di gruppi di endpoint di rete (NEG) zonali con endpoint GCE_VM_IP, controlli di distribuzione del traffico granulari, criteri di failover e consentono di utilizzare controlli di integrità non legacy che corrispondono al tipo di traffico (TCP, SSL, HTTP, HTTPS o HTTP/2) che stai distribuendo.
Il bilanciamento del carico su Google Kubernetes Engine (GKE) viene gestito utilizzando il controller del servizio GKE integrato . Inoltre, i bilanciatori del carico di rete passthrough esterni regionali basati sui servizi di backend sono supportati con App Hub.
Per i dettagli dell'architettura e ulteriori informazioni sulle funzionalità supportate, consulta la panoramica del bilanciatore del carico di rete passthrough esterno regionale basato sui servizi di backend.
Puoi eseguire la transizione di un bilanciatore del carico basato su pool di destinazione esistente per utilizzare invece un servizio di backend. Per istruzioni, consulta Eseguire la migrazione dei bilanciatori del carico dai pool di destinazione ai servizi di backend.
Bilanciatori del carico basati su pool di destinazione
Un pool di destinazione è il backend legacy supportato con i bilanciatori del carico di rete passthrough esterni regionali. Un pool di destinazione definisce un gruppo di istanze che devono ricevere il traffico in entrata dal bilanciatore del carico.
I bilanciatori del carico basati su pool di destinazione supportano il traffico TCP o UDP. Le regole di forwarding per i bilanciatori del carico di rete passthrough esterni regionali basati su pool di destinazione supportano solo gli indirizzi IPv4 esterni.
Bilanciatori del carico di rete passthrough interni
I bilanciatori del carico di rete passthrough interni distribuiscono il traffico tra le istanze di macchine virtuali (VM) interne nella stessa regione in una rete VPC (Virtual Private Cloud). Ti consentono di eseguire e scalare i servizi dietro un indirizzo IP interno accessibile solo ai sistemi nella stessa rete VPC o ai sistemi connessi alla rete VPC.
Questi bilanciatori del carico sono basati sullo stack di virtualizzazione di rete Andromeda. Supportano solo i backend regionali, in modo che tu possa scalare automaticamente in una regione, proteggendo il tuo servizio da errori a livello di zona. Inoltre, questo bilanciatore del carico può essere configurato solo nel livello Premium.
I bilanciatori del carico di rete passthrough interni risolvono molti casi d'uso. Le sezioni seguenti mostrano alcuni esempi di alto livello.
Accesso alle reti connesse
Puoi accedere a un bilanciatore del carico di rete passthrough interno nella rete VPC da una rete connessa utilizzando quanto segue:
- Peering di rete VPC
- Cloud VPN e Cloud Interconnect
Per esempi dettagliati, consulta Bilanciatori del carico di rete passthrough interni e reti connesse.
Servizio web a tre livelli
Puoi utilizzare i bilanciatori del carico di rete passthrough interni insieme ad altri bilanciatori del carico. Ad esempio, se incorpori bilanciatori del carico delle applicazioni esterni, il bilanciatore del carico delle applicazioni esterno è il livello web e si basa sui servizi dietro il bilanciatore del carico di rete passthrough interno.
Il seguente diagramma mostra un esempio di configurazione a tre livelli che utilizza bilanciatori del carico delle applicazioni esterni e bilanciatori del carico di rete passthrough interni:
Servizio web a tre livelli con accesso globale
Se abiliti l'accesso globale, le VM del livello web possono trovarsi in un'altra regione, come mostrato nel seguente diagramma.
Questo esempio di applicazione a più livelli mostra quanto segue:
- Un livello web accessibile da internet a livello globale che bilancia il carico del traffico con un bilanciatore del carico delle applicazioni esterno.
- Un livello di database con bilanciamento del carico di backend interno nella regione
us-east1a cui accede il livello web globale. - Una VM client che fa parte del livello web nella regione
europe-west1che accede al livello di database con bilanciamento del carico interno situato inus-east1.
Utilizzo dei bilanciatori del carico di rete passthrough interni come hop successivi
Puoi utilizzare un bilanciatore del carico di rete passthrough interno come gateway successivo a cui vengono inoltrati i pacchetti lungo il percorso verso la destinazione finale. Per farlo, imposta il bilanciatore del carico come hop successivo in una route statica.
Un bilanciatore del carico di rete passthrough interno dell'hop successivo elabora i pacchetti per tutto il traffico supportato, indipendentemente dalla regola di forwarding e dai protocolli del servizio di backend specificati durante la creazione del bilanciatore del carico.
Questa funzionalità supporta l'utilizzo di indirizzi IPv4 o IPv6.
Ecco un'architettura di esempio che utilizza un bilanciatore del carico di rete passthrough interno come hop successivo a un gateway NAT. Puoi instradare il traffico ai backend dell'appliance virtuale firewall o gateway tramite un bilanciatore del carico di rete passthrough interno.
Altri casi d'uso includono:
- Hub e spoke: scambio di route dell'hop successivo utilizzando il peering di rete VPC. Puoi configurare una topologia hub e spoke con le appliance virtuali firewall dell'hop successivo situate nella rete VPC
hub. Le route che utilizzano il bilanciatore del carico come hop successivo nella rete VPChubpossono essere utilizzabili in ogni retespoke. - Bilanciamento del carico su più interfacce di rete (
nic0anic7) sulle VM di backend.
Per ulteriori informazioni su questi casi d'uso, consulta Bilanciatori del carico di rete passthrough interni come hop successivi.
Bilanciatori del carico di rete passthrough interni e GKE
Per i dettagli su come GKE crea bilanciatori del carico di rete passthrough interni per i servizi, consulta la sezione Concetti del servizio LoadBalancer nella documentazione di GKE.
Bilanciatori del carico di rete passthrough interni e App Hub
Le risorse utilizzate dai bilanciatori del carico di rete passthrough interni possono essere designate come servizi in applicazioni App Hub.
Mappatura delle porte di Private Service Connect
I servizi di mappatura delle porte di Private Service Connect utilizzano i NEG di mappatura delle porte e hanno configurazioni simili ai bilanciatori del carico di rete passthrough interni. Tuttavia, i servizi di mappatura delle porte non bilanciano il carico del traffico. Private Service Connect inoltra invece il traffico alle porte di servizio sulle VM del producer di servizi in base alla porta di destinazione del client che riceve il traffico.
Se invii traffico a un servizio di mappatura delle porte dalla stessa rete VPC del servizio, i pacchetti vengono eliminati.
Per ulteriori informazioni, consulta Informazioni sulla mappatura delle porte di Private Service Connect.
Passaggi successivi
- Per informazioni dettagliate sull'architettura dei bilanciatori del carico di rete passthrough interni, consulta la panoramica dell'architettura del bilanciatore del carico di rete passthrough interno.
- Per informazioni dettagliate sull'architettura dei bilanciatori del carico di rete passthrough esterni regionali, consulta la panoramica dell'architettura del bilanciatore del carico di rete passthrough esterno regionale.