Panoramica del bilanciatore del carico di rete proxy

I bilanciatori del carico di rete proxy sono bilanciatori del carico proxy inverso di livello 4 che distribuiscono il traffico TCP ai backend nella tua Google Cloud rete Virtual Private Cloud (VPC) o in altri ambienti cloud. Il traffico viene terminato al livello di bilanciamento del carico e poi inoltrato al backend disponibile più vicino utilizzando TCP.

I bilanciatori del carico di rete proxy sono destinati solo al traffico TCP, con o senza SSL. Per il traffico HTTP(S), ti consigliamo di utilizzare un bilanciatore del carico delle applicazioni.

I bilanciatori del carico di rete proxy supportano le seguenti funzionalità:

Offload TLS/SSL per i bilanciatori del carico esterni. Puoi utilizzare un bilanciatore del carico di rete proxy esterno globale o un bilanciatore del carico di rete proxy classico per eseguire l'offload di TLS al livello di bilanciamento del carico utilizzando un proxy SSL.
Supporto per tutte le porte. Questi bilanciatori del carico consentono qualsiasi porta valida compresa tra 1 e 65535. Per ulteriori informazioni, consulta Specifiche delle porte.
Rimappatura delle porte. La porta utilizzata dalla regola di forwarding del bilanciatore del carico non deve corrispondere alla porta utilizzata per stabilire le connessioni ai relativi backend. Ad esempio, la regola di forwarding potrebbe utilizzare la porta TCP 80, mentre la connessione ai backend potrebbe utilizzare la porta TCP 8080.
Inoltra l'indirizzo IP di origine originale. Puoi utilizzare il protocollo PROXY per inoltrare le informazioni sulla porta e sull'indirizzo IP di origine del client ai backend del bilanciatore del carico.

Il seguente diagramma mostra un'architettura di esempio del bilanciatore del carico di rete proxy.

Architettura del bilanciatore del carico di rete proxy. — Architettura del bilanciatore del carico di rete proxy (fai clic per ingrandire).

I bilanciatori del carico di rete proxy sono disponibili nelle seguenti modalità di deployment:

Bilanciatore del carico di rete proxy esterno: bilancia il carico del traffico proveniente dai client su internet. Per i dettagli dell'architettura, consulta Architettura del bilanciatore del carico di rete proxy esterno architecture.

Modalità di deployment	Livello di servizio di rete	Schema di bilanciamento del carico ^†	Indirizzo IP	Porte di frontend
Esterno globale	Livello Premium	EXTERNAL_MANAGED	IPv4 IPv6	Può fare riferimento a una sola porta compresa tra 1 e 65535
Classico	Globale nel livello Premium Regionale nel livello Standard	EXTERNAL	IPv4 IPv6 (richiede il livello Premium)
Esterno regionale	Livello Premium o Standard	EXTERNAL_MANAGED	IPv4

Modalità di deployment

Livello di servizio di rete

Schema di bilanciamento del carico ^†

Indirizzo IP

Porte di frontend

Esterno globale

Livello Premium

EXTERNAL_MANAGED

IPv4
IPv6

Può fare riferimento a una sola porta compresa tra 1 e 65535

Classico

Globale nel livello Premium

Regionale nel livello Standard

EXTERNAL

IPv4
IPv6 (richiede il livello Premium)

Esterno regionale

Livello Premium o Standard

EXTERNAL_MANAGED

IPv4

Bilanciatore del carico di rete proxy interno: bilancia il carico del traffico all'interno della rete VPC o delle reti connesse alla rete VPC. Per i dettagli dell'architettura, consulta Architettura del bilanciatore del carico di rete proxy interno architecture.

Modalità di deployment	Livello di servizio di rete	Schema di bilanciamento del carico ^†	Indirizzo IP	Porte di frontend
Interno a livello di regione	Livello Premium	INTERNAL_MANAGED	IPv4	Può fare riferimento a una sola porta compresa tra 1 e 65535
Interno tra regioni	Livello Premium	INTERNAL_MANAGED	IPv4

^† Lo schema di bilanciamento del carico è un attributo della regola di forwarding e del servizio di backend di un bilanciatore del carico e indica se quest'ultimo può essere usato per il traffico interno o esterno. Il termine *_MANAGED nello schema di bilanciamento del carico indica che il bilanciatore del carico è implementato come un servizio gestito su Google Front End (GFE) o come un servizio gestito sul proxy Envoy open source. In uno schema di bilanciamento del carico di tipo *_MANAGED, le richieste vengono indirizzate a GFE o al proxy Envoy.

Bilanciatore del carico di rete proxy esterno

Il bilanciatore del carico di rete proxy esterno distribuisce il traffico proveniente da internet ai backend nella tua Google Cloud rete VPC, on-premise o in altri ambienti cloud. Questi bilanciatori del carico possono essere sottoposti a deployment in una delle seguenti modalità: globale, regionale o classica.

I bilanciatori del carico di rete proxy esterni supportano le seguenti funzionalità:

Terminazione IPv6. I bilanciatori del carico esterni supportano sia indirizzi IPv4 sia indirizzi IPv6 per il traffico client. Le richieste client da indirizzi IPv6 vengono terminate al livello del bilanciamento del carico e, successivamente, vengono inviate tramite proxy ai tuoi backend su IPv4.
Offload TLS/SSL. Puoi utilizzare un bilanciatore del carico di rete proxy esterno globale o un bilanciatore del carico di rete proxy classico per eseguire l'offload di TLS al livello di bilanciamento del carico utilizzando un proxy SSL. Le nuove connessioni vengono inoltrate ai backend disponibili più vicini utilizzando SSL (consigliato) o TCP. Puoi configurare i seguenti aspetti del deployment:
- Migliore utilizzo dei backend. L'elaborazione SSL può richiedere un utilizzo intensivo della CPU se le crittografie utilizzate non sono efficienti per la CPU. Per massimizzare le prestazioni della CPU, utilizza i certificati SSL ECDSA e TLS 1.2 e preferisci la suite di crittografia ECDHE-ECDSA-AES128-GCM-SHA256 per SSL tra il bilanciatore del carico e le istanze di backend.
- Policy SSL. Le policy SSL ti consentono di controllare le funzionalità di SSL che il bilanciatore del carico negozia con i client.
Integrazione con Cloud Armor. Puoi utilizzare le policy di sicurezza di Cloud Armor per proteggere la tua infrastruttura da attacchi distributed denial of service (DDoS) e altri attacchi mirati.
Controllo geografico del punto in cui viene terminato TLS. Il bilanciatore del carico termina TLS in località distribuite a livello globale, in modo da ridurre al minimo la latenza tra i client e il bilanciatore del carico. Se hai bisogno di un controllo geografico del punto in cui viene terminato TLS, puoi utilizzare il livello di rete Standard per forzare il bilanciatore del carico a terminare TLS solo sui backend che si trovano in una regione specifica. Per i dettagli, consulta Configurazione del livello Standard.
Supporto per App Hub. Le risorse utilizzate dai bilanciatori del carico di rete proxy esterni globali e dai bilanciatori del carico di rete proxy esterni regionali possono essere designate come servizi nelle applicazioni App Hub.

Nel seguente diagramma, il traffico degli utenti nella città A e nella città B viene terminato al livello di bilanciamento del carico e viene stabilita una connessione separata al backend selezionato.

Bilanciatore del carico di rete proxy con terminazione SSL.

Per maggiori dettagli, consulta Panoramica del bilanciatore del carico di rete proxy esterno.

Bilanciatore del carico di rete proxy interno

Il bilanciatore del carico di rete proxy interno è un bilanciatore del carico di livello 4 regionale basato su proxy Envoy che ti consente di eseguire e scalare il traffico del servizio TCP utilizzando un indirizzo IP interno accessibile solo ai client nella stessa rete VPC o ai client connessi alla tua rete VPC.

Il bilanciatore del carico distribuisce il traffico TCP ai backend ospitati su Google Cloud, on-premise o in altri ambienti cloud. Questi bilanciatori del carico possono essere sottoposti a deployment in una delle seguenti modalità: tra regioni o regionale.

I bilanciatori del carico di rete proxy interni supportano le seguenti funzionalità:

Policy di località. All'interno di un gruppo di istanza di backend o di un gruppo di endpoint di rete, puoi configurare la modalità di distribuzione delle richieste alle istanze o agli endpoint membri.
Accesso globale. Quando l'accesso globale è abilitato, i client di qualsiasi regione possono accedere al bilanciatore del carico.
Accesso dalle reti connesse. Puoi rendere il bilanciatore del carico interno accessibile ai client di reti diverse dalla sua Google Cloud rete VPC. Le altre reti devono essere connesse alla rete VPC del bilanciatore del carico utilizzando il peering di rete VPC, Cloud VPN o Cloud Interconnect.
Supporto per App Hub. Le risorse utilizzate dai bilanciatori del carico di rete proxy interni globali e dai bilanciatori del carico di rete proxy interni regionali possono essere designate come servizi nelle applicazioni App Hub.

Per maggiori dettagli, consulta Panoramica del bilanciatore del carico di rete proxy interno.

Alta affidabilità e failover tra regioni

Puoi configurare un bilanciatore del carico di rete proxy interno tra regioni in più regioni per ottenere i seguenti vantaggi:

Se i backend in una regione specifica non sono attivi, il traffico esegue il failover ai backend in un'altra regione in modo graduale.

L'esempio di deployment di failover tra regioni mostra quanto segue:
- Un bilanciatore del carico di rete proxy interno tra regioni con un indirizzo VIP di frontend nella regione A della rete VPC. Anche i client si trovano nella regione A.
- Un servizio di backend globale che fa riferimento ai backend nella Google Cloud regione A e nella regione B.
- Quando i backend nella regione A non sono attivi, il traffico esegue il failover alla regione B.
Bilanciatore del carico di rete proxy interno tra regioni con un deployment di failover tra regioni (fai clic per ingrandire).
I bilanciatori del carico di rete proxy interni tra regioni possono anche proteggere l'applicazione da interruzioni complete a livello di regione, servendo il traffico al client da proxy e backend in un'altra regione.

L'esempio di deployment ad alta affidabilità mostra quanto segue:
- Un bilanciatore del carico di rete proxy interno tra regioni con VIP di frontend nella regione A e nella regione B della rete VPC. I client si trovano nella regione A.
- Puoi rendere accessibile il bilanciatore del carico utilizzando i VIP di frontend di due regioni.
  
  Bilanciatore del carico di rete proxy interno tra regioni con deployment ad alta affidabilità (fai clic per ingrandire).

Per informazioni su come configurare un deployment ad alta affidabilità, consulta:

Integrazione con Cloud NGFW

Puoi utilizzare le regole nelle policy firewall di Cloud NGFW per controllare l'accesso ai proxy Envoy utilizzati dai bilanciatori del carico di rete proxy interni regionali e dai bilanciatori del carico di rete proxy interni tra regioni. Sia Cloud NGFW Essentials che Cloud NGFW Standard supportano queste funzionalità.

Per ulteriori informazioni, consulta Utilizzare le policy firewall di rete regionali per proteggere i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni.