建立應用程式負載平衡器或 Proxy 網路負載平衡器時,您設定的其中一項資源就是目標 Proxy。目標 Proxy 會終止來自用戶端的連入連線,並建立從負載平衡器到後端的新連線。
大致來說,流量的處理方式如下:
目標 Proxy 可以為一或多項轉送規則提供資料。目標 Proxy 會監聽負載平衡器轉送規則指定的 IP 位址和通訊埠。
用戶端連線至負載平衡器轉送規則的 IP 位址和通訊埠。
目標 Proxy 會接收用戶端要求。接著,系統會將要求的目的地 IP 位址和通訊埠,與參照目標 Proxy 的每個轉送規則中設定的 IP 位址和通訊埠進行比較。如果找到相符項目,目標 Proxy 會終止用戶端的網路連線。
視負載平衡器類型而定,目標 Proxy 會使用 Google Front End (GFE) 或 Envoy Proxy 終止連線。
目標 Proxy 會根據負載平衡器的網址對應 (僅適用於應用程式負載平衡器)、TLS 路由 (僅適用於特定 Proxy 網路負載平衡器) 和後端服務設定,建立與適當後端 VM 執行個體或端點的新連線。
目標 Proxy 類型
Cloud Load Balancing 會根據您設定的負載平衡器類型,使用不同的目標 Proxy。
| 負載平衡器 | 目標 Proxy 類型 | 目標 Proxy 範圍 | 目標 Proxy 參照 |
|---|---|---|---|
| 全域外部應用程式負載平衡器 | 目標 HTTP Proxy 目標 HTTPS Proxy |
全球 | 目標 Proxy 參照網址對應。 |
| 傳統版應用程式負載平衡器 | 目標 HTTP Proxy 目標 HTTPS Proxy |
全球 | 目標 Proxy 參照網址對應。 |
| 區域性外部應用程式負載平衡器 * | 目標 HTTP Proxy 目標 HTTPS Proxy |
區域 | 目標 Proxy 參照網址對應。 |
| 跨區域內部應用程式負載平衡器 * | 目標 HTTP Proxy 目標 HTTPS Proxy |
全球 | 目標 Proxy 參照網址對應。 |
| 區域性內部應用程式負載平衡器 * | 目標 HTTP Proxy 目標 HTTPS Proxy |
區域 | 目標 Proxy 參照網址對應。 |
| 全域外部 Proxy 網路負載平衡器 | 目標 SSL Proxy 目標 TCP Proxy |
全球 | 目標 Proxy 會參照單一後端服務。 |
| 傳統版 Proxy 網路負載平衡器 | 目標 SSL Proxy 目標 TCP Proxy |
全球 | 目標 Proxy 會參照單一後端服務。 |
| 區域性外部 Proxy 網路負載平衡器 * | 目標 TCP Proxy | 區域 | 目標 Proxy 會參照單一後端服務或一或多個 TLS 路由。 |
| 區域性內部 Proxy 網路負載平衡器 * | 目標 TCP Proxy | 區域 | 目標 Proxy 會參照單一後端服務或一或多個 TLS 路由。 |
| 跨區域內部 Proxy 網路負載平衡器 * | 目標 TCP Proxy | 全球 | 目標 Proxy 會參照單一後端服務或一或多個 TLS 路由。 |
* 如果您使用 Envoy 型負載平衡器,則虛擬私有雲網路的每個區域都必須有僅限 Proxy 的子網路。連往後端的連線來自這個僅限 Proxy 的子網路。
Cloud Load Balancing 支援下列資源組合:
- 轉送規則 > 目標 HTTPS Proxy > 網址對應 > 一或多個後端服務
- 轉送規則 > 目標 HTTP Proxy > 網址對應 > 一或多個後端服務
- 轉送規則 > 目標 TCP Proxy > 一個後端服務
- 轉送規則 > 目標 TCP Proxy > 一或多個 TLS 路徑 > 一或多個後端服務
- 轉送規則 > 目標 SSL Proxy > 一個後端服務
前述清單未顯示健康狀態檢查和後端。
SSL 憑證
Google Cloud 轉送規則參照目標 HTTPS Proxy 或目標 SSL Proxy 的 Proxy 負載平衡器,需要私密金鑰和 SSL 憑證,做為負載平衡器目標 Proxy 設定的一部分。視您設定的負載平衡器類型而定,您可以使用 Compute Engine SSL 憑證資源或 Certificate Manager。
如要瞭解設定支援哪些 SSL 憑證,請參閱安全資料傳輸層 (SSL) 憑證總覽。
選用功能
您可以在與特定類型負載平衡器相關聯的目標 Proxy 上設定下列選用功能。詳情請參閱相關主題。
使用目標 Proxy
如果您使用 Google Cloud 控制台設定負載平衡器,系統會在您設定前端時,一併隱含地設定目標 Proxy。如果您使用 Google Cloud CLI 或 API,則必須明確設定目標 Proxy。
您無法使用 Google Cloud 控制台修改個別目標 Proxy。 不過,您可以編輯目標 Proxy 相關聯的負載平衡器前端設定,更新目標 Proxy 的特定設定。如要進行其他變更,請使用 gcloud CLI 或 API。
如要刪除目標 Proxy,請務必先刪除使用該 Proxy 資料的所有轉送規則。
API
如需透過 REST API 使用目標 Proxy 時可用的屬性和方法說明,請參閱下列主題:
gcloud CLI
如需 gcloud CLI 參考資料說明文件,請參閱下列主題:
gcloud compute target-https-proxiesgcloud compute target-http-proxiesgcloud compute target-tcp-proxiesgcloud compute target-ssl-proxies
後續步驟
- 如要進一步瞭解 Envoy 型負載平衡器使用的僅限 Proxy 子網路,請參閱「Envoy 型負載平衡器的僅限 Proxy 子網路」。
- 如要更新目標 Proxy 指向的 SSL 憑證:
- 自行管理的 SSL 憑證: 在 SSL 憑證到期前更換或續約
- Google 代管的 SSL 憑證: 更換現有的 SSL 憑證