מאזני עומסים של פרוקסי ברשת הם מאזני עומסים של פרוקסי הפוך בשכבה 4 שמפיצים תעבורת TCP לשרתי קצה בענן הווירטואלי הפרטי (VPC) שלכם או בסביבות ענן אחרות. Google Cloud התעבורה מסתיימת בשכבת איזון העומסים ואז מועברת לשרת הקצה העורפי הזמין הקרוב ביותר באמצעות TCP.
מאזני עומסים של רשתות proxy מיועדים לתנועת TCP בלבד, עם או בלי SSL. לתנועת HTTP(S), מומלץ להשתמש במקום זאת במאזן עומסים של אפליקציות.
מאזני עומסי רשת לשרת proxy תומכים בתכונות הבאות:
- העברת עומס של TLS/SSL למאזני עומסים חיצוניים. אפשר להשתמש במאזן עומסי רשת בשרת proxy חיצוני גלובלי או במאזן עומסי רשת בשרת proxy קלאסי כדי להפחית את עומס ה-TLS בשכבת איזון העומסים באמצעות שרת proxy של SSL.
- תמיכה בכל היציאות. מאזני העומסים האלה מאפשרים כל יציאה חוקית מ-1 עד 65535. מידע נוסף זמין במאמר בנושא מפרטים של יציאות.
- מיפוי מחדש של יציאות. היציאה שבה משתמש כלל ההעברה של מאזן העומסים לא חייבת להיות זהה ליציאה שבה משתמשים כשיוצרים חיבורים לשרתי הקצה שלו. לדוגמה, כלל ההעברה יכול להשתמש ביציאת TCP מספר 80, בעוד שהחיבור לשרתי הקצה יכול להשתמש ביציאת TCP מספר 8080.
- מעבירים את כתובת ה-IP של המקור המקורי. אתם יכולים להשתמש בפרוטוקול PROXY כדי להעביר את כתובת ה-IP של המקור של הלקוח ופרטי היציאה אל קצה העורף של מאזן העומסים.
בתרשים הבא מוצגת דוגמה לארכיטקטורה של מאזן עומסי רשת לשרת proxy.
מאזני עומסי רשת לשרת proxy זמינים במצבי הפריסה הבאים:
מאזן עומסי רשת חיצוני בשרת proxy: מאזן העומסים מאזן את התנועה שמגיעה מלקוחות באינטרנט. פרטים על הארכיטקטורה מופיעים במאמר בנושא ארכיטקטורה של מאזן עומסי רשת חיצוני בשרת proxy.
מצב פריסה רמת שירות רשת סכמת איזון עומסים † כתובת IP יציאות של הקצה הקדמי חיצונית גלובלית מסלול פרימיום EXTERNAL_MANAGED IPv4
IPv6אפשר להפנות ליציאה אחת בלבד מ-1 עד 65535 קלאסי גלובלי במסלול פרימיום
אזורי במסלול רגיל
חיצוני IPv4
IPv6 (נדרש מסלול פרימיום)חיצוני אזורי מסלול פרימיום או מסלול רגיל EXTERNAL_MANAGED IPv4 מאזן עומסי רשת פנימי לשרת proxy: מאזן עומסים של תעבורת נתונים בתוך רשת ה-VPC או רשתות שמחוברות לרשת ה-VPC. פרטים על הארכיטקטורה זמינים במאמר ארכיטקטורה של מאזן עומסי רשת פנימי לשרת proxy.
מצב פריסה רמת שירות רשת סכמת איזון עומסים † כתובת IP יציאות של הקצה הקדמי פנימי אזורי מסלול פרימיום INTERNAL_MANAGED IPv4 אפשר להפנות ליציאה אחת בלבד מ-1 עד 65535 פנימי בכמה אזורים מסלול פרימיום INTERNAL_MANAGED IPv4
† סכמת איזון העומסים היא מאפיין של כלל ההעברה ושל שירות הקצה העורפי של מאזן העומסים, והיא מציינת אם אפשר להשתמש במאזן העומסים לתעבורה פנימית או חיצונית. המונח *_MANAGED בתוכנית איזון העומסים מציין שמנגנון איזון העומסים מיושם כשירות מנוהל בממשקי קצה של Google (GFE) או כשירות מנוהל בפרוקסי Envoy בקוד פתוח. בתוכנית איזון עומסים שהיא *_MANAGED, הבקשות מנותבות ל-GFE או ל-Envoy proxy.
מאזן עומסי רשת חיצוני לשרת proxy
מאזן עומסי רשת חיצוני לשרת proxy מפזר תנועה שמגיעה מהאינטרנט אל קצה העורפי ברשת ה-VPC, בפריסה מקומית או בסביבות ענן אחרות. Google Cloud אפשר לפרוס את מאזני העומסים האלה באחד מהמצבים הבאים: גלובלי, אזורי או קלאסי.
מאזני עומסים חיצוניים בשרת proxy תומכים בתכונות הבאות:
- סיום IPv6. מאזני העומסים החיצוניים תומכים בכתובות IPv4 וגם בכתובות IPv6 לתעבורת נתונים של לקוחות. בקשות IPv6 של לקוחות מסתיימות בשכבת איזון העומסים ואז מועברות דרך IPv4 לשרתי הקצה העורפיים.
העברת עומס של TLS/SSL. אפשר להשתמש במאזן עומסי רשת גלובלי חיצוני בשרת proxy או במאזן עומסי רשת קלאסי בשרת proxy כדי להעביר את הטיפול ב-TLS לשכבת איזון העומסים באמצעות שרת proxy של SSL. חיבורים חדשים מועברים לשרתי הקצה העורפיים הזמינים הקרובים ביותר באמצעות SSL (מומלץ) או TCP. אתם יכולים להגדיר את ההיבטים הבאים של הפריסה:
- ניצול טוב יותר של שרתי קצה עורפיים. עיבוד SSL יכול להיות מאוד אינטנסיבי מבחינת השימוש במעבד אם הצפנים שבהם נעשה שימוש לא יעילים מבחינת המעבד. כדי למקסם את הביצועים של ה-CPU, מומלץ להשתמש באישור SSL מסוג ECDSA וב-TLS 1.2, ועדיף להשתמש בסט אלגוריתמים להצפנה (cipher suite) מסוג
ECDHE-ECDSA-AES128-GCM-SHA256ל-SSL בין מאזן העומסים לבין מופעי ה-Backend. - מדיניות SSL. כללי מדיניות SSL מאפשרים לכם לשלוט בתכונות של SSL שמאזן העומסים מנהל משא ומתן לגביהן עם הלקוחות.
- ניצול טוב יותר של שרתי קצה עורפיים. עיבוד SSL יכול להיות מאוד אינטנסיבי מבחינת השימוש במעבד אם הצפנים שבהם נעשה שימוש לא יעילים מבחינת המעבד. כדי למקסם את הביצועים של ה-CPU, מומלץ להשתמש באישור SSL מסוג ECDSA וב-TLS 1.2, ועדיף להשתמש בסט אלגוריתמים להצפנה (cipher suite) מסוג
שילוב עם Cloud Armor. אתם יכולים להשתמש במדיניות האבטחה של Cloud Armor כדי להגן על התשתית שלכם מפני התקפות מניעת שירות מבוזרות (DDoS) והתקפות ממוקדות אחרות.
שליטה גיאוגרפית במיקום שבו מסתיים ה-TLS. מאזן העומסים מסיים את ה-TLS במיקומים שמופצים באופן גלובלי, כדי למזער את זמן האחזור בין הלקוחות לבין מאזן העומסים. אם אתם צריכים שליטה גיאוגרפית על המקום שבו מסתיים ה-TLS, אתם יכולים להשתמש במסלול הרגיל של רשת כדי לאלץ את מאזן העומסים לסיים את ה-TLS בקצה העורפי שנמצא רק באזור מסוים. פרטים נוספים מופיעים במאמר הגדרת מהדורת Standard.
תמיכה ב-App Hub אפשר להגדיר את המשאבים שמשמשים מאזני עומסים גלובליים חיצוניים של רשתות proxy ומאזני עומסים אזוריים חיצוניים של רשתות proxy כשירותים באפליקציות ב-App Hub.
בתרשים הבא, התנועה ממשתמשים בעיר א' ובעיר ב' מסתיימת בשכבת איזון העומסים, ונוצר חיבור נפרד לשרת העורפי שנבחר.
פרטים נוספים זמינים במאמר סקירה כללית על מאזן עומסי רשת חיצוני בשרת proxy.
מאזן עומסי רשת פנימי לשרת proxy
מאזן עומסי רשת פנימי מסוג Proxy הוא מאזן עומסים אזורי בשכבה 4 שמבוסס על Envoy proxy, ומאפשר להפעיל ולהרחיב את תעבורת השירות TCP מאחורי כתובת IP פנימית שאפשר לגשת אליה רק מלקוחות באותה רשת VPC או מלקוחות שמחוברים לרשת ה-VPC.
מאזן העומסים מפזר את תעבורת ה-TCP אל שרתי קצה שמתארחים ב-Google Cloud, בשרתים מקומיים או בסביבות ענן אחרות. אפשר לפרוס את מאזני העומסים האלה באחד מהמצבים הבאים: בין-אזורי או אזורי.
מאזני עומסי רשת פנימיים לשרת proxy תומכים בתכונות הבאות:
- מדיניות בנושא רשויות מוניציפאליות. בקבוצת מופעים של עורף או בקבוצת נקודות קצה ברשת, אפשר להגדיר איך הבקשות מופצות למופעים או לנקודות קצה של חברים.
- גישה גלובלית. כשהגישה הגלובלית מופעלת, לקוחות מכל אזור יכולים לגשת למאזן העומסים.
- גישה מרשתות מחוברות. אתם יכולים להגדיר שמאזן העומסים הפנימי יהיה נגיש ללקוחות מרשתות מעבר לרשת ה-VPC שלו Google Cloud. הרשתות האחרות צריכות להיות מחוברות לרשת ה-VPC של מאזן העומסים באמצעות VPC Network Peering, Cloud VPN או Cloud Interconnect.
- תמיכה ב-App Hub אפשר להגדיר את המשאבים שמשמשים מאזני עומסי רשת פנימיים גלובליים לשרת proxy ומאזני עומסי רשת פנימיים אזוריים לשרת proxy כשירותים באפליקציות ב-App Hub.
פרטים נוספים זמינים במאמר סקירה כללית של מאזן עומסי רשת פנימי לשרת proxy.
זמינות גבוהה ומעבר לגיבוי במקרה של כשל באזור אחר
אתם יכולים להגדיר מאזן עומסי רשת פנימי לשרת proxy בכמה אזורים כדי ליהנות מהיתרונות הבאים:
אם שרתי קצה עורפיים באזור מסוים מושבתים, התנועה עוברת בצורה חלקה לשרתי קצה עורפיים באזור אחר.
בדוגמה לפריסת מעבר לגיבוי במקרה של כשל באזור אחר מוצגים הדברים הבאים:
- מאזן עומסי רשת פנימי חוצה אזורים עם כתובת VIP בחזית העורפית באזור א' של רשת ה-VPC. הלקוחות שלך נמצאים גם הם באזור א'.
- שירות לקצה העורפי גלובלי שמפנה לבק-אנד בGoogle Cloud אזור א' ובאזור ב'.
- כשהשרתים העורפיים באזור א' מושבתים, התעבורה עוברת לאזור ב'.
מאזן עומסי רשת פנימי לשרת proxy בין אזורים עם פריסת יתירות כשל בין אזורים (לחצו כדי להגדיל). מאזני עומסים פנימיים לשרת proxy באזורים שונים יכולים גם להגן על האפליקציה שלכם מפני הפסקות חשמל אזוריות מלאות, על ידי הצגת תעבורה ללקוח משרתי proxy ומבק-אנד באזור אחר.
בדוגמה לפריסה של זמינות גבוהה מוצגים הפרטים הבאים:
- מאזן עומסי רשת פנימי לשרת proxy בין אזורים עם כתובות VIP בקצה הקדמי באזור א' ובאזור ב' של רשת ה-VPC. הלקוחות שלך נמצאים באזור א'.
אתם יכולים להגדיר את מאזן העומסים כך שיהיה נגיש באמצעות כתובות VIP של קצה קדמי משני אזורים.
מאזן עומסי רשת פנימי לשרת proxy בין אזורים עם פריסה של זמינות גבוהה (לוחצים כדי להגדיל).
מידע על הגדרת פריסה של זמינות גבוהה זמין במאמרים הבאים:
- הגדרה של מאזן עומסי רשת פנימי לשרת proxy חוצה-אזורים עם קצה עורפי של קבוצת מכונות וירטואליות
- הגדרת מאזן עומסי רשת פנימי בשרת proxy בין אזורים עם קישוריות היברידית
שילוב עם Cloud NGFW
אתם יכולים להשתמש בכללים במדיניות חומת האש של Cloud NGFW כדי לשלוט בגישה לשרתי Envoy Proxy שמשמשים מאזני עומסים אזוריים פנימיים מסוג Proxy ומאזני עומסים פנימיים מסוג Proxy חוצי-אזורים. התכונות האלה נתמכות גם ב-Cloud NGFW Essentials וגם ב-Cloud NGFW Standard.
מידע נוסף מופיע במאמר בנושא שימוש במדיניות חומת אש אזורית ברשת כדי להגן על מאזני עומסים פנימיים של אפליקציות ועל מאזני עומסים פנימיים של רשת בשרת proxy.