סקירה כללית של מאזן עומסי רשת בשרת proxy

מאזני עומסים מסוג Proxy Network הם מאזני עומסים של שרת proxy הפוך בשכבה 4, שמפיצים תעבורת TCP לשרתי קצה בענן הווירטואלי הפרטי (VPC) שלכם Google Cloud או בסביבות ענן אחרות. התעבורה מסתיימת בשכבת איזון העומסים ואז מועברת לשרת העורפי הזמין הקרוב ביותר באמצעות TCP.

מאזני עומסים של שרת proxy מיועדים לתנועת TCP בלבד, עם או בלי SSL. לתנועת HTTP(S), מומלץ להשתמש במקום זאת במאזן עומסים של אפליקציות.

מאזני עומסי רשת לשרת proxy תומכים בתכונות הבאות:

• הסרת העומס של TLS/SSL במאזני עומסים חיצוניים. אתם יכולים להשתמש במאזן עומסי רשת בשרת proxy חיצוני גלובלי או במאזן עומסי רשת בשרת proxy קלאסי כדי להעביר את עומס העבודה של TLS בשכבת איזון העומסים באמצעות שרת proxy של SSL.
• תמיכה בכל היציאות. מאזני העומסים האלה מאפשרים כל יציאה חוקית מ-1 עד 65535. מידע נוסף זמין במאמר בנושא מפרטים של יציאות.
• מיפוי מחדש של יציאות. היציאה שבה משתמש כלל ההעברה של מאזן העומסים לא חייבת להיות זהה ליציאה שבה משתמשים כשיוצרים חיבורים לשרתי הקצה שלו. לדוגמה, כלל ההעברה יכול להשתמש ביציאת TCP מספר 80, בעוד שהחיבור לשרתי הקצה יכול להשתמש ביציאת TCP מספר 8080.
• מעבירים את כתובת ה-IP המקורית של המקור. אתם יכולים להשתמש בפרוטוקול PROXY כדי להעביר את כתובת ה-IP של המקור של הלקוח ואת פרטי היציאה אל קצה העורף של מאזן העומסים.

בתרשים הבא מוצגת דוגמה לארכיטקטורה של מאזן עומסי רשת לשרת proxy.

מאזני עומסים של רשתות proxy זמינים במצבי הפריסה הבאים:

• מאזן עומסי רשת חיצוני לשרת proxy: מאזן עומסים של תנועה שמגיעה מלקוחות באינטרנט. פרטים על הארכיטקטורה מופיעים במאמר בנושא ארכיטקטורה של מאזן עומסי רשת חיצוני בשרת proxy.

  מצב פריסה	מסלול שירות רשת	סכמת איזון עומסים †	כתובת IP	יציאות של הקצה הקדמי
  חיצונית גלובלית	מסלול פרימיום	EXTERNAL_MANAGED	IPv4 IPv6	אפשר לציין בדיוק יציאה אחת מ-1 עד 65535
  קלאסי	גלובלי במסלול פרימיום אזורי במסלול הרגיל	חיצוני	‫IPv4 ‫IPv6 (נדרש מסלול פרימיום)
  חיצוני אזורי	מסלול פרימיום או מסלול רגיל	EXTERNAL_MANAGED	IPv4 IPv6 (תצוגה מקדימה)

• מאזן עומסי רשת פנימי לשרת proxy: מאזן עומסים של תעבורת נתונים בתוך רשת ה-VPC או רשתות שמחוברות לרשת ה-VPC. פרטים על הארכיטקטורה זמינים במאמר ארכיטקטורה של מאזן עומסי רשת פנימי לשרת proxy.

  מצב פריסה	מסלול שירות רשת	סכמת איזון עומסים †	כתובת IP	יציאות של הקצה הקדמי
  פנימי אזורי	מסלול פרימיום	INTERNAL_MANAGED	IPv4 IPv6 (תצוגה מקדימה)	אפשר לציין בדיוק יציאה אחת מ-1 עד 65535
  פנימיים בכמה אזורים	מסלול פרימיום	INTERNAL_MANAGED	IPv4 IPv6 (תצוגה מקדימה)

מאזן עומסי רשת חיצוני לשרת proxy

מאזן עומסי רשת חיצוני בשרת proxy מפזר תנועה שמגיעה מהאינטרנט אל קצה העורפי ברשת ה-VPC, בפריסה מקומית או בסביבות ענן אחרות. Google Cloud אפשר לפרוס את מאזני העומסים האלה באחד מהמצבים הבאים: גלובלי, אזורי או קלאסי.

מאזני עומסים חיצוניים של רשתות בשרת proxy תומכים בתכונות הבאות:

• סיום IPv6. מאזני העומסים החיצוניים תומכים בכתובות IPv4 וגם בכתובות IPv6 לתעבורת נתונים של לקוחות. בקשות IPv6 של לקוחות מסתיימות בשכבת איזון העומסים ואז מועברות דרך IPv4 או IPv6 (בתנאי שהקצה העורפי מוגדר כחיבור דו-ערכי) לקצה העורפי. שימו לב שמאזני עומסים קלאסיים תומכים רק בהעברת בקשות (proxying) דרך IPv4 לשרתים העורפיים (backend) שלכם.

• העברת עומס של TLS/SSL. אפשר להשתמש במאזן עומסי רשת גלובלי חיצוני בשרת proxy או במאזן עומסי רשת קלאסי בשרת proxy כדי להפחית עומס של TLS בשכבת איזון העומסים באמצעות שרת proxy של SSL. חיבורים חדשים מועברים לשרתי הקצה העורפי הזמינים הקרובים ביותר באמצעות SSL (מומלץ) או TCP. אתם יכולים להגדיר את ההיבטים הבאים של הפריסה:

  • ניצול טוב יותר של שרתי קצה עורפיים. עיבוד SSL יכול להיות מאוד אינטנסיבי מבחינת המעבד אם הצפנים שבהם נעשה שימוש לא יעילים מבחינת המעבד. כדי למקסם את הביצועים של ה-CPU, מומלץ להשתמש באישור SSL מסוג ECDSA וב-TLS 1.2, ועדיף להשתמש בסט אלגוריתמים להצפנה (cipher suite)‏ ECDHE-ECDSA-AES128-GCM-SHA256 ל-SSL בין מאזן העומסים לבין מופעי ה-Backend.
  • מדיניות SSL. מדיניות SSL מאפשרת לכם לקבוע את התכונות של SSL שמאזן העומסים מנהל משא ומתן לגביהן עם הלקוחות.

• שילוב עם Cloud Armor. אתם יכולים להשתמש במדיניות האבטחה של Cloud Armor כדי להגן על התשתית שלכם מפני התקפות מניעת שירות מבוזרות (DDoS) והתקפות ממוקדות אחרות.

• שליטה גיאוגרפית במיקום שבו מסתיים ה-TLS. מאזן העומסים מסיים את ה-TLS במיקומים שמופצים באופן גלובלי, כדי למזער את זמן האחזור בין הלקוחות לבין מאזן העומסים. אם אתם צריכים שליטה גיאוגרפית במיקום שבו מסתיים ה-TLS, אתם יכולים להשתמש במסלול הרגיל של רשתות כדי לחייב את מאזן העומסים לסיים את ה-TLS בקצה העורפי שנמצא רק באזור מסוים. פרטים נוספים מופיעים במאמר הגדרת מהדורת Standard.

• תמיכה במרכז האפליקציות. אפשר להגדיר את המשאבים שמשמשים מאזני עומסים גלובליים חיצוניים של רשתות proxy ומאזני עומסים אזוריים חיצוניים של רשתות proxy כשירותים באפליקציות ב-App Hub.

בתרשים הבא, התנועה ממשתמשים בעיר א' ובעיר ב' מסתיימת בשכבת איזון העומסים, ונוצר חיבור נפרד לשרת העורפי שנבחר.

פרטים נוספים זמינים במאמר סקירה כללית על מאזן עומסי רשת חיצוני בשרת proxy.

מאזן עומסי רשת פנימי לשרת proxy

מאזן עומסים פנימי מסוג Proxy של רשת הוא מאזן עומסים אזורי בשכבה 4 שמבוסס על Proxy של Envoy. הוא מאפשר להפעיל את תעבורת השירות TCP ולהרחיב אותה מאחורי כתובת IP פנימית שאפשר לגשת אליה רק מלקוחות באותה רשת VPC או מלקוחות שמחוברים לרשת ה-VPC.

מאזן העומסים מפזר את תעבורת ה-TCP אל קצה העורף (backend) שמתארח ב-Google Cloud, בשרתים מקומיים או בסביבות ענן אחרות. אפשר לפרוס את מאזני העומסים האלה באחד מהמצבים הבאים: בין-אזורי או אזורי.

מאזני עומסי רשת פנימיים לשרת proxy תומכים בתכונות הבאות:

• סיום IPv6. מאזני העומסים הפנימיים תומכים בכתובות IPv4 וגם בכתובות IPv6 לתנועת לקוחות. בקשות IPv6 של לקוחות מסתיימות בשכבת איזון העומסים ואז מועברות דרך IPv4 או IPv6 (בתנאי שהקצה העורפי מוגדר כחיבור דו-ערכי) לקצה העורפי.
• מדיניות בנושא רשות מוניציפאלית. בקבוצת מופעים של קצה עורפי או בקבוצת נקודות קצה ברשת, אפשר להגדיר איך הבקשות מופצות למופעים או לנקודות קצה של חברים.
• גישה גלובלית. כשמופעלת גישה גלובלית, לקוחות מכל אזור יכולים לגשת למאזן העומסים.
• גישה מרשתות מחוברות. אתם יכולים להגדיר שמאזן העומסים הפנימי יהיה נגיש ללקוחות מרשתות מעבר לרשת ה-VPC שלו Google Cloud. הרשתות האחרות צריכות להיות מחוברות לרשת ה-VPC של מאזן העומסים באמצעות שירותי VPC Network Peering,‏ Cloud VPN או Cloud Interconnect.
• תמיכה במרכז האפליקציות. אפשר להגדיר משאבים שמשמשים מאזני עומסים גלובליים פנימיים לשרת proxy ומאזני עומסים אזוריים פנימיים לשרת proxy כשירותים במרכז האפליקציות.

פרטים נוספים זמינים במאמר סקירה כללית של מאזן עומסי רשת פנימי לשרת proxy.

זמינות גבוהה ומעבר לשני אזורים במקרה של כשל

אתם יכולים להגדיר מאזן עומסי רשת פנימי בשרת proxy בכמה אזורים כדי ליהנות מהיתרונות הבאים:

1. אם השרתים העורפיים באזור מסוים מושבתים, התנועה עוברת בצורה חלקה לשרתים העורפיים באזור אחר.

   בדוגמה לפריסת מעבר לגיבוי בענן בין אזורים מוצגים הפרטים הבאים:

   • מאזן עומסי רשת פנימי בשרת proxy בין אזורים עם כתובת VIP בחזית באזור א' של רשת ה-VPC. הלקוחות שלך נמצאים גם באזור א'.
   • שירות לקצה העורפי גלובלי שמפנה לקצה העורפי בGoogle Cloud אזור א' ובאזור ב'.
   • כשהשרתים העורפיים באזור א' מושבתים, התנועה עוברת לאזור ב'.

   

2. מאזני עומסים פנימיים לשרת proxy ברחבי אזורים יכולים גם להגן על האפליקציה מפני הפסקות שירות אזוריות מלאות, על ידי העברת תעבורה ללקוח משרתי proxy ומשרתי קצה עורפי באזור אחר.

   בדוגמה לפריסה של זמינות גבוהה מוצגים הפרטים הבאים:

   • מאזן עומסי רשת פנימי חוצה אזורים עם כתובות VIP של קצה קדמי באזור א' ובאזור ב' של רשת ה-VPC. הלקוחות שלך ממוקמים באזור א'.

   • אפשר להגדיר את מאזן העומסים כך שיהיה נגיש באמצעות כתובות VIP של חזית העורף משני אזורים.

     

מידע על הגדרת פריסה של זמינות גבוהה זמין במאמרים הבאים:

• הגדרה של מאזן עומסי רשת פנימי לשרת proxy בין אזורים עם מערכות בק-אנד של קבוצות מופעי מכונה
• הגדרת מאזן עומסי רשת פנימי לשרת proxy בין אזורים עם קישוריות היברידית

שילוב עם Cloud NGFW

אפשר להשתמש בכללים במדיניות חומת האש של Cloud NGFW כדי לשלוט בגישה לשרתי ה-proxy של Envoy שמשמשים מאזני עומסים אזוריים פנימיים מסוג proxy ומאזני עומסים פנימיים מסוג proxy חוצה-אזורים. התכונות האלה נתמכות גם ב-Cloud NGFW Essentials וגם ב-Cloud NGFW Standard.

מידע נוסף זמין במאמר בנושא שימוש במדיניות אזורית של חומת אש ברשת כדי להגן על מאזני עומסים פנימיים של אפליקציות ועל מאזני עומסים פנימיים של רשת בשרת proxy.