Questo documento introduce i concetti che devi comprendere per configurare un bilanciatore del carico delle applicazioni esterno.
Un bilanciatore del carico delle applicazioni esterno è un bilanciatore del carico di livello 7 basato su proxy che ti consente di eseguire e scalare i servizi dietro un singolo indirizzo IP esterno. Il bilanciatore del carico delle applicazioni esterno distribuisce il traffico HTTP e HTTPS ai backend ospitati su una serie di piattaformeTrusted Cloud (come Compute Engine, Google Kubernetes Engine (GKE) e Cloud Storage), nonché ai backend esterni connessi a internet o tramite connettività ibrida. Per maggiori dettagli, consulta Panoramica del bilanciatore del carico delle applicazioni: casi d'uso.
Modalità di funzionamento
Questo bilanciatore del carico è disponibile in modalità regionale e d'ora in poi viene chiamato bilanciatore del carico delle applicazioni esterno regionale. Il bilanciatore del carico è implementato come un servizio gestito basato sul proxy Envoy open source. Include funzionalità di gestione avanzata del traffico come il mirroring del traffico, la suddivisione del traffico in base al peso e le trasformazioni delle intestazioni basate su richieste o risposte. La modalità regionale garantisce che tutti i client e i backend si trovino in una regione specificata. Utilizza questo bilanciatore del carico se vuoi pubblicare contenuti da una sola geolocalizzazione (ad esempio per soddisfare le normative di conformità).
Architettura
Per il deployment di un bilanciatore del carico delle applicazioni esterno sono necessarie le seguenti risorse:
Solo per i bilanciatori del carico delle applicazioni esterni regionali, viene utilizzata una subnet solo proxy per inviare connessioni dal bilanciatore del carico ai backend.
Una regola di forwarding esterno specifica un indirizzo IP esterno, una porta e un proxy HTTP(S) di destinazione. I client utilizzano l'indirizzo IP e la porta per connettersi al bilanciatore del carico.
Un proxy HTTP(S) di destinazione riceve una richiesta dal client. Il proxy HTTP(S) valuta la richiesta utilizzando la mappa URL per prendere decisioni di routing del traffico. Il proxy può anche autenticare le comunicazioni utilizzando i certificati SSL.
- Per il bilanciamento del carico HTTPS, il proxy HTTPS di destinazione utilizza certificati SSL per dimostrare la propria identità ai client. Un proxy HTTPS di destinazione supporta fino al numero documentato di certificati SSL.
Il proxy HTTP(S) utilizza una mappa URL per determinare il routing in base agli attributi HTTP (come il percorso della richiesta, i cookie o le intestazioni). In base alla decisione di routing, il proxy inoltra le richieste del client a servizi di backend o bucket di backend specifici. La mappa degli URL può specificare azioni aggiuntive, come l'invio di reindirizzamenti ai client.
Un servizio di backend distribuisce le richieste ai backend integri.
Un controllo di integrità monitora periodicamente la preparazione dei backend. In questo modo si riduce il rischio che le richieste vengano inviate a backend che non possono soddisfarle.
Regole firewall per i backend per accettare i probe del controllo di integrità. I bilanciatori del carico delle applicazioni esterni regionali richiedono una regola firewall aggiuntiva per consentire al traffico dalla subnet solo proxy di raggiungere i backend.
- Regionale
Questo diagramma mostra i componenti di un deployment del bilanciatore del carico delle applicazioni esterno regionale.
Componenti del bilanciatore del carico delle applicazioni esterno regionale (fai clic per ingrandire).
Subnet solo proxy
La subnet solo proxy fornisce un insieme di indirizzi IP che Google utilizza per eseguire
i proxy Envoy per tuo conto. Devi creare una subnet solo proxy in ogni regione di una rete VPC in cui utilizzi bilanciatori del carico delle applicazioni esterni regionali.
Il flag --purpose per questa subnet solo proxy è impostato su
REGIONAL_MANAGED_PROXY. Tutti i bilanciatori del carico basati su Envoy a livello di regione nella stessa regione e nella stessa rete VPC condividono un pool di proxy Envoy della stessa subnet solo proxy. Inoltre:
- Le subnet solo proxy vengono utilizzate solo per i proxy Envoy, non per i backend.
- Le VM o gli endpoint di backend di tutti i bilanciatori del carico delle applicazioni esterni regionali in una regione e nella rete VPC ricevono connessioni dalla subnet solo proxy.
- L'indirizzo IP del bilanciatore del carico delle applicazioni esterno regionale non si trova nella subnet solo proxy. L'indirizzo IP del bilanciatore del carico è definito dalla relativa regola di forwarding gestita esterna, descritta di seguito.
Se in precedenza hai creato una subnet solo proxy con
--purpose=INTERNAL_HTTPS_LOAD_BALANCER, migra lo
scopo della subnet a
REGIONAL_MANAGED_PROXY prima di poter creare altri bilanciatori del carico basati su Envoy
nella stessa regione della rete
VPC.
Regole di forwarding e indirizzi IP
Le regole di forwarding instradano il traffico in base a indirizzo IP, porta e protocollo a una configurazione di bilanciamento del carico costituita da un proxy di destinazione, una mappa URL e uno o più servizi di backend.
Specifica dell'indirizzo IP. Ogni regola di forwarding fornisce un singolo indirizzo IP che può essere utilizzato nei record DNS per la tua applicazione. Non è necessario il bilanciamento del carico basato sul DNS. Puoi specificare l'indirizzo IP da utilizzare o lasciare che Cloud Load Balancing ne assegni uno per te.
Specifica della porta. Ogni regola di forwarding per un bilanciatore del carico delle applicazioni può fare riferimento a una singola porta compresa tra 1 e 65535. Per supportare più porte, devi configurare più regole di forwarding. Puoi configurare più regole di forwarding per utilizzare lo stesso indirizzo IP esterno (VIP) e per fare riferimento allo stesso proxy HTTP(S) di destinazione, a condizione che la combinazione complessiva di indirizzo IP, porta e protocollo sia univoca per ogni regola di forwarding. In questo modo, puoi utilizzare un singolo bilanciatore del carico con una mappa URL condivisa come proxy per più applicazioni.
Il tipo di regola di forwarding, indirizzo IP e schema di bilanciamento del carico utilizzati dai bilanciatori del carico delle applicazioni esterni dipendono dalla modalità del bilanciatore del carico e dal livello di servizio di rete in cui si trova il bilanciatore del carico.
| Modalità del bilanciatore del carico | Livello di servizio di rete | Regola di forwarding, indirizzo IP e schema di bilanciamento del carico | Routing da internet al frontend del bilanciatore del carico |
|---|---|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale | Livello Premium |
Regola di inoltro esterno regionale Indirizzo IP esterno a livello di regione Schema di bilanciamento del carico: |
Le richieste raggiungono Trusted Cloud il PoP più vicino al client. Le richieste vengono quindi instradate tramite il backbone premium di Trusted Cloudfino a raggiungere i proxy Envoy nella stessa regione del bilanciatore del carico. |
Per l'elenco completo dei protocolli supportati dalle regole di forwarding del bilanciatore del carico delle applicazioni esterno in ogni modalità, consulta Funzionalità del bilanciatore del carico.
Regole di forwarding e reti VPC
Questa sezione descrive come le regole di forwarding utilizzate dai bilanciatori del carico delle applicazioni esterni sono associate alle reti VPC.
| Modalità del bilanciatore del carico | Associazione di rete VPC |
|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale | La rete VPC della regola di forwarding è la rete in cui è stata creata la subnet solo proxy. Specifichi la rete quando crei la regola di forwarding. A seconda che utilizzi un intervallo di indirizzi IPv4 o IPv6, alla regola di forwarding è sempre associata una rete VPC esplicita o implicita.
|
Proxy target
I proxy di destinazione terminano le connessioni HTTP(S) dai client. Una o più regole di forwarding indirizzano il traffico al proxy di destinazione, che consulta la mappa URL per determinare come instradare il traffico ai backend.
Non fare affidamento sul proxy per preservare la distinzione tra maiuscole e minuscole dei nomi delle intestazioni di richieste o risposte. Ad esempio, un'intestazione di risposta Server: Apache/1.0 potrebbe essere visualizzata nel
client come server: Apache/1.0.
La tabella seguente specifica il tipo di proxy di destinazione richiesto dai bilanciatori del carico delle applicazioni esterni.
| Modalità del bilanciatore del carico | Tipi di proxy di destinazione | Intestazioni aggiunte dal proxy | Intestazioni personalizzate supportate |
|---|---|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale | HTTP regionale, HTTPS regionale |
|
Configurato nella mappa degli URL |
Oltre alle intestazioni aggiunte dal proxy di destinazione, il bilanciatore del carico modifica altre intestazioni HTTP nei seguenti modi:
- Alcune intestazioni sono state unite. Quando sono presenti più istanze della stessa
chiave di intestazione (ad esempio
Via), il bilanciatore del carico combina i relativi valori in un unico elenco separato da virgole per una singola chiave di intestazione. Vengono uniti solo gli header i cui valori possono essere rappresentati come un elenco separato da virgole. Altre intestazioni, comeSet-Cookie, non vengono mai unite.
Intestazione host
Quando il bilanciatore del carico effettua la richiesta HTTP, conserva l'intestazione Host della richiesta originale.
Intestazione X-Forwarded-For
Il bilanciatore del carico aggiunge due indirizzi IP all'intestazione
X-Forwarded-For, separati da una sola virgola, nel seguente ordine:
- L'indirizzo IP del client che si connette al bilanciatore del carico
- L'indirizzo IP della regola di forwarding del bilanciatore del carico
Se la richiesta in entrata non include un'intestazione X-Forwarded-For,
l'intestazione risultante è la seguente:
X-Forwarded-For: <client-ip>,<load-balancer-ip>
Se la richiesta in entrata include già un'intestazione X-Forwarded-For,
il bilanciatore del carico aggiunge i propri valori all'intestazione esistente:
X-Forwarded-For: <existing-value>,<client-ip>,<load-balancer-ip>
Rimuovere i valori di intestazione esistenti utilizzando un'intestazione della richiesta personalizzata
È possibile rimuovere i valori delle intestazioni esistenti utilizzando le intestazioni delle richieste personalizzate nel servizio di backend. L'esempio seguente utilizza il flag --custom-request-header
per ricreare l'intestazione X-Forwarded-For utilizzando le variabili
client_ip_address e server_ip_address. Questa configurazione sostituisce
l'intestazione X-Forwarded-For in entrata solo con l'indirizzo IP del client e del bilanciatore del carico.
--custom-request-header=x-forwarded-for:{client_ip_address},{server_ip_address}
In che modo il software di reverse proxy di backend potrebbe modificare l'intestazione X-Forwarded-For
Se i backend del bilanciatore del carico eseguono un software proxy inverso HTTP, il software potrebbe aggiungere uno o entrambi i seguenti indirizzi IP alla fine dell'intestazione X-Forwarded-For:
L'indirizzo IP del GFE che si è connesso al backend. Gli indirizzi IP GFE si trovano negli intervalli
130.211.0.0/22e35.191.0.0/16.L'indirizzo IP del sistema di backend stesso.
Di conseguenza, un sistema upstream potrebbe visualizzare un'intestazione X-Forwarded-For
strutturata nel seguente modo:
<existing-value>,<client-ip>,<load-balancer-ip>,<GFE-ip>,<backend-ip>
Supporto di Cloud Trace
Trace non è supportata con i bilanciatori del carico delle applicazioni. I bilanciatori del carico delle applicazioni globali e classici aggiungono l'intestazione X-Cloud-Trace-Context se non è presente. Il bilanciatore del carico delle applicazioni esterno regionale non aggiunge questa intestazione. Se l'intestazione
X-Cloud-Trace-Context è già presente, viene passata ai bilanciatori del carico
senza modifiche. Tuttavia, il bilanciamento del carico non esporta tracce o intervalli.
Mappe URL
Le mappe URL definiscono i pattern di corrispondenza per l'instradamento basato su URL delle richieste ai servizi di backend appropriati. La mappa URL ti consente di dividere il traffico esaminando i componenti dell'URL per inviare richieste a diversi set di backend. Un servizio predefinito è definito per gestire le richieste che non corrispondono a una regola host o a una regola di corrispondenza del percorso specificata.
Le mappe URL supportano diverse funzionalità avanzate di gestione del traffico, come l'indirizzamento del traffico basato sull'intestazione, la suddivisione del traffico basata sul peso e il mirroring delle richieste. Per ulteriori informazioni, consulta le seguenti risorse:
La tabella seguente specifica il tipo di mappa URL richiesto dai bilanciatori del carico delle applicazioni esterni in ogni modalità.
| Modalità del bilanciatore del carico | Tipo di mappa URL |
|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale | A livello di regione |
Certificati SSL
I bilanciatori del carico delle applicazioni esterni che utilizzano proxy HTTPS di destinazione richiedono chiavi private e certificati SSL nell'ambito della configurazione del bilanciatore del carico.
I bilanciatori del carico delle applicazioni esterni regionali che utilizzano proxy HTTPS di destinazione richiedono chiavi private e certificati SSL nell'ambito della configurazione del bilanciatore del carico.
I bilanciatori del carico delle applicazioni esterni regionali supportano i certificati SSL di Compute Engine autogestiti.
Policy SSL
Le policy SSL specificano l'insieme di funzionalità SSL che i bilanciatori del carico utilizzano durante la negoziazione SSL con i client. Trusted Cloud
Per impostazione predefinita, il bilanciamento del carico HTTPS utilizza un insieme di funzionalità SSL che garantiscono una buona sicurezza e un'ampia compatibilità. Alcune applicazioni richiedono un maggiore controllo sulle versioni e sulle crittografie SSL utilizzate per le connessioni HTTPS o SSL. Puoi definire una policy SSL per specificare l'insieme di funzionalità SSL che il bilanciatore del carico utilizza durante la negoziazione SSL con i client. Inoltre, puoi applicare questi criteri SSL al proxy HTTPS di destinazione.
La tabella seguente specifica il supporto dei criteri SSL per i bilanciatori del carico in ogni modalità.
| Modalità del bilanciatore del carico | Policy SSL supportate |
|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale |
Servizi di backend
Un servizio di backend fornisce informazioni di configurazione al bilanciatore del carico in modo che possa indirizzare le richieste ai suoi backend, ad esempio gruppi di istanze Compute Engine o gruppi di endpoint di rete (NEG). Per ulteriori informazioni sui servizi di backend, consulta la Panoramica dei servizi di backend.
Ambito del servizio di backend
La tabella seguente indica la risorsa e l'ambito del servizio di backend utilizzati dai bilanciatori del carico delle applicazioni esterni:
| Modalità del bilanciatore del carico | Risorsa del servizio di backend |
|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale |
regionBackendServices (regionale) |
Protocollo per i backend
I servizi di backend per i bilanciatori del carico delle applicazioni devono utilizzare uno dei seguenti protocolli per inviare richieste ai backend:
- HTTP, che utilizza HTTP/1.1 e nessun protocollo TLS
- HTTPS, che utilizza HTTP/1.1 e TLS
- HTTP/2, che utilizza HTTP/2 e TLS (HTTP/2 senza crittografia non è supportato).
- H2C, che utilizza HTTP/2 su TCP. TLS non è richiesto. H2C non è supportato per i bilanciatori del carico delle applicazioni classici.
Il bilanciatore del carico utilizza solo il protocollo del servizio di backend specificato per comunicare con i backend. Il bilanciatore del carico non esegue il failover a un protocollo diverso se non riesce a comunicare con i backend utilizzando il protocollo del servizio di backend specificato.
Il protocollo del servizio di backend non deve corrispondere al protocollo utilizzato dai client per comunicare con il bilanciatore del carico. Ad esempio, i client possono inviare richieste al bilanciatore del carico utilizzando HTTP/2, ma il bilanciatore del carico può comunicare con i backend utilizzando HTTP/1.1 (HTTP o HTTPS).
Backend
Un bilanciatore del carico delle applicazioni esterno regionale supporta i seguenti tipi di backend:
- Gruppi di istanze
- NEG a livello di zona
- NEG Internet
Backend e reti VPC
Per i backend del bilanciatore del carico delle applicazioni esterno regionale, si applica quanto segue:
Per i gruppi di istanze, i NEG di zona e i NEG di connettività ibrida, tutti i backend devono trovarsi nello stesso progetto e nella stessa regione del servizio di backend. Tuttavia, un bilanciatore del carico può fare riferimento a un backend che utilizza una rete VPC diversa nello stesso progetto del servizio di backend. La connettività tra la rete VPC del bilanciatore del carico e la rete VPC di backend può essere configurata utilizzando il peering di rete VPC, i tunnel Cloud VPN o i collegamenti VLAN di Cloud Interconnect.
Definizione della rete di backend
- Per i NEG zonali e ibridi, specifica esplicitamente la rete VPC quando crei il NEG.
- Per i gruppi di istanze gestite, la rete VPC è definita nel modello di istanza.
- Per i gruppi di istanze non gestite, la rete VPC del gruppo di istanze
è impostata in modo che corrisponda alla rete VPC
dell'interfaccia
nic0per la prima VM aggiunta al gruppo di istanze.
Requisiti di rete di backend
La rete del backend deve soddisfare uno dei seguenti requisiti di rete:
La rete VPC del backend deve corrispondere esattamente alla rete VPC della regola di forwarding.
La rete VPC del backend deve essere connessa alla rete VPC della regola di forwarding tramite il peering di rete VPC. Devi configurare gli scambi di route di subnet per consentire la comunicazione tra la subnet solo proxy nella rete VPC della regola di forwarding e le subnet utilizzate dagli endpoint o dalle istanze di backend.
Per tutti gli altri tipi di backend, tutti i backend devono trovarsi nella stessa rete VPC e nella stessa regione.
I bilanciatori del carico delle applicazioni esterni regionali supportano anche gli ambienti VPC condiviso in cui puoi condividere le reti VPC e le risorse associate tra i progetti. Se vuoi che il servizio di backend e i backend del bilanciatore del carico delle applicazioni esterno regionale si trovino in un progetto diverso dalla regola di forwarding, devi configurare il bilanciatore del carico in un ambiente VPC condiviso con riferimento al servizio tra progetti.
Backend e interfacce di rete
Se utilizzi i backend dei gruppi di istanze, i pacchetti vengono sempre inviati a nic0. Se
vuoi inviare pacchetti a interfacce non nic0 (vNIC o
interfacce di rete dinamiche), utilizza
i backend NEG.
Se utilizzi backend NEG a livello di zona, i pacchetti vengono inviati a qualsiasi interfaccia di rete rappresentata dall'endpoint nel NEG. Gli endpoint NEG devono trovarsi nella stessa rete VPC della rete VPC definita esplicitamente per il NEG.
Controlli di integrità
Ogni servizio di backend specifica un controllo di integrità che monitora periodicamente la disponibilità dei backend a ricevere una connessione dal bilanciatore del carico. In questo modo si riduce il rischio che le richieste vengano inviate a backend che non possono gestirle. I controlli di integrità non verificano se l'applicazione stessa funziona.
Per i probe del controllo di integrità, devi creare una regola firewall in entrata che consenta ai probe del controllo di integrità di raggiungere le istanze di backend. In genere, i probe di controllo di integrità provengono dal meccanismo di controllo di integrità centralizzato di Google.
I bilanciatori del carico delle applicazioni esterni regionali che utilizzano backend NEG ibridi sono un'eccezione a questa regola perché i loro controlli di integrità hanno origine dalla subnet proxy-only. Per maggiori dettagli, vedi la panoramica dei NEG ibridi.
Protocollo di controllo di integrità
Sebbene non sia obbligatorio e non sempre possibile, è una best practice utilizzare un controllo di integrità il cui protocollo corrisponda al protocollo del servizio di backend. Ad esempio, un controllo di integrità HTTP/2 verifica con maggiore precisione la connettività HTTP/2 ai backend. Al contrario, i bilanciatori del carico delle applicazioni esterni regionali che utilizzano backend NEG ibridi non supportano i controlli di integrità gRPC. Per l'elenco dei protocolli di controllo di integrità supportati, consulta Funzionalità di bilanciamento del carico.
La tabella seguente specifica l'ambito dei controlli di integrità supportati dai bilanciatori del carico delle applicazioni esterni in ogni modalità.
| Modalità del bilanciatore del carico | Tipo di controllo di integrità |
|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale | A livello di regione |
Per saperne di più sui controlli di integrità, consulta le seguenti risorse:
Regole firewall
Il bilanciatore del carico richiede le seguenti regole firewall:
- Per il bilanciatore del carico delle applicazioni esterno regionale, una regola di autorizzazione in entrata per consentire al traffico proveniente dalla subnet solo proxy di raggiungere i backend.
- Una regola di autorizzazione in entrata per consentire il traffico dagli intervalli dei probe del controllo di integrità. Per saperne di più sui probe del controllo di integrità e sul motivo per cui è necessario consentire il traffico da questi probe, consulta Intervalli IP dei probe e regole firewall.
Le regole firewall vengono implementate a livello di istanza VM, non sui proxy GFE. Non puoi utilizzare le regole firewall Trusted Cloud per impedire al traffico di raggiungere il bilanciatore del carico.
Le porte per queste regole firewall devono essere configurate nel seguente modo:
Consenti il traffico alla porta di destinazione per il controllo di integrità di ogni servizio di backend.
Per i backend del gruppo di istanze: determina le porte da configurare in base al mapping tra la porta denominata del servizio di backend e i numeri di porta associati a quella porta denominata in ogni gruppo di istanze. I numeri di porta possono variare tra i gruppi di istanze assegnati allo stesso servizio di backend.
Per i backend NEG
GCE_VM_IP_PORT: consenti il traffico verso i numeri di porta degli endpoint.
Assistenza GKE
GKE utilizza i bilanciatori del carico delle applicazioni esterni nei seguenti modi:
- I gateway esterni creati utilizzando il controller GKE Gateway possono utilizzare qualsiasi modalità di un bilanciatore del carico delle applicazioni esterno. Controlli la modalità del bilanciatore del carico scegliendo una
GatewayClass. Il controller
GKE Gateway utilizza sempre i backend NEG
zonali
GCE_VM_IP_PORT.
- Puoi utilizzare i
GCE_VM_IP_PORTNEG di zona creati e gestiti dai servizi GKE come backend per qualsiasi bilanciatore del carico delle applicazioni o bilanciatore del carico di rete proxy. Per ulteriori informazioni, vedi Bilanciamento del carico nativo del container tramite NEG standalone a livello di zona.
Architettura VPC condiviso
I bilanciatori del carico delle applicazioni esterni supportano le reti che utilizzano VPC condiviso. VPC condiviso consente alle organizzazioni di connettere risorse di più progetti a una rete VPC comune in modo che possano comunicare tra loro in modo sicuro ed efficiente utilizzando indirizzi IP interni di quella rete. Se non hai familiarità con il VPC condiviso, leggi la panoramica del VPC condiviso.
Esistono molti modi per configurare un bilanciatore del carico delle applicazioni esterno all'interno di una rete VPC condiviso. Indipendentemente dal tipo di deployment, tutti i componenti del bilanciatore del carico devono trovarsi nella stessa organizzazione.
| Bilanciatore del carico | Componenti frontend | Componenti di backend |
|---|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale | Crea la rete e la subnet solo proxy richieste nel progetto host del VPC condiviso. L'indirizzo IP esterno regionale, la regola di forwarding, il proxy HTTP(S) di destinazione e la mappa URL associata devono essere definiti nello stesso progetto. Questo progetto può essere il progetto host o un progetto di servizio. |
Puoi eseguire una delle seguenti operazioni:
Ogni servizio di backend deve essere definito nello stesso progetto dei backend a cui fa riferimento. I controlli di integrità associati ai servizi di backend devono essere definiti nello stesso progetto del servizio di backend. |
Sebbene tu possa creare tutti i componenti di bilanciamento del carico e i backend nel progetto host del VPC condiviso, questo tipo di deployment non separa le responsabilità di amministrazione della rete e sviluppo dei servizi.
Tutti i componenti del bilanciatore del carico e i backend in un progetto di servizio
Il seguente diagramma dell'architettura mostra un deployment VPC condiviso standard in cui tutti i componenti del bilanciatore del carico e i backend si trovano in un progetto di servizio. Questo tipo di deployment è supportato da tutti i bilanciatori del carico delle applicazioni.
I componenti e i backend del bilanciatore del carico devono utilizzare la stessa rete VPC.
Riferimento ai servizi tra progetti
Il riferimento al servizio tra progetti è un modello di deployment in cui il frontend e la mappa URL del bilanciatore del carico si trovano in un progetto, mentre il servizio di backend e i backend del bilanciatore del carico si trovano in un progetto diverso.
Il riferimento ai servizi tra progetti consente alle organizzazioni di configurare un bilanciatore del carico centrale e instradare il traffico a centinaia di servizi distribuiti su più progetti diversi. Puoi gestire centralmente tutte le regole di routing del traffico e le policy in una mappa URL. Puoi anche associare il bilanciatore del carico a un unico insieme di nomi host e certificati SSL. Puoi quindi ottimizzare il numero di bilanciatori del carico necessari per il deployment dell'applicazione e ridurre i requisiti di gestibilità, i costi operativi e le quote.
Se hai progetti diversi per ciascuno dei tuoi team funzionali, puoi anche ottenere una separazione dei ruoli all'interno della tua organizzazione. I proprietari dei servizi possono concentrarsi sulla creazione di servizi nei progetti di servizio, mentre i team di rete possono eseguire il provisioning e la manutenzione dei bilanciatori del carico in un altro progetto ed entrambi possono essere collegati utilizzando i riferimenti di servizio tra progetti.
I proprietari dei servizi possono mantenere l'autonomia sull'esposizione dei propri servizi e controllare quali utenti possono accedere ai propri servizi utilizzando il bilanciatore del carico. Ciò si ottiene
tramite un ruolo IAM speciale chiamato
Utente dei servizi bilanciatore del carico Compute
(roles/compute.loadBalancerServiceUser).
Il supporto del riferimento al servizio tra progetti varia in base al tipo di bilanciatore del carico:
Per i bilanciatori del carico delle applicazioni esterni globali: il frontend e la mappa URL del bilanciatore del carico possono fare riferimento a servizi di backend o bucket di backend di qualsiasi progetto all'interno della stessa organizzazione. Non si applicano limitazioni alla rete VPC. Sebbene tu possa utilizzare un ambiente VPC condiviso per configurare un deployment tra progetti diversi, come mostrato in questo esempio, questo non è un requisito.
Per i bilanciatori del carico delle applicazioni esterni regionali: devi creare il bilanciatore del carico in un ambiente VPC condiviso. Il frontend e la mappa URL del bilanciatore del carico devono trovarsi in un progetto host o di servizio, mentre i servizi di backend e i backend del bilanciatore del carico possono essere distribuiti tra progetti host o di servizio nello stesso ambiente VPC condiviso.
Per scoprire come configurare VPC condiviso per un bilanciatore del carico delle applicazioni esterno regionale, con e senza riferimenti ai servizi tra progetti, consulta Configurare un bilanciatore del carico delle applicazioni esterno regionale con VPC condiviso.
Note sull'utilizzo per il riferimento ai servizi tra progetti
- Trusted Cloud non distingue le risorse (ad esempio, i servizi di backend) che utilizzano lo stesso nome in più progetti. Pertanto, quando utilizzi i riferimenti ai servizi tra progetti, ti consigliamo di utilizzare nomi dservizio di backendnd univoci nei progetti all'interno della tua organizzazione.
- Se viene visualizzato un errore come "I riferimenti tra progetti per questa risorsa
non sono consentiti", assicurati di disporre dell'autorizzazione per utilizzare la
risorsa. Un amministratore del progetto proprietario della risorsa deve concederti il
ruolo Utente dei servizi bilanciatore del carico Compute
(
roles/compute.loadBalancerServiceUser). Questo ruolo può essere concesso a livello di progetto o di risorsa. Per un esempio, vedi Concedere le autorizzazioni all'amministratore del bilanciatore del carico Compute per utilizzare il servizio di backend o il bucket di backend.
Esempio 1: frontend e backend del bilanciatore del carico in progetti di servizio diversi
Di seguito è riportato un esempio di deployment VPC condiviso in cui il frontend e la mappa URL del bilanciatore del carico vengono creati nel progetto di servizio A e la mappa URL fa riferimento a un servizio di backend nel progetto di servizio B.
In questo caso, gli amministratori di rete o gli amministratori del bilanciatore del carico nel progetto di servizio A richiedono l'accesso ai servizi di backend nel progetto di servizio B. Gli amministratori del progetto di servizio B
concedono il ruolo Utente dei servizi bilanciatore del carico Compute
(roles/compute.loadBalancerServiceUser) agli amministratori del bilanciatore del carico nel
progetto di servizio A che vogliono fare riferimento al servizio di backend
nel progetto di servizio B.
Esempio 2: frontend del bilanciatore del carico nel progetto host e backend nei progetti di servizio
Di seguito è riportato un esempio di deployment VPC condiviso in cui il frontend e la mappa URL del bilanciatore del carico vengono creati nel progetto host e i servizi di backend (e i backend) vengono creati nei progetti di servizio.
In questo caso, gli amministratori di rete o gli amministratori del bilanciatore del carico nel progetto host
richiedono l'accesso ai servizi di backend nel progetto di servizio. Gli amministratori del progetto di servizio concedono il ruolo Utente dei servizi bilanciatore del carico Compute (roles/compute.loadBalancerServiceUser) agli amministratori del bilanciatore del carico nel progetto host A che vogliono fare riferimento al servizio di backend nel progetto di servizio.
Esempio 3: frontend e backend del bilanciatore del carico in progetti diversi
Di seguito è riportato un esempio di deployment in cui il frontend e la mappa URL del bilanciatore del carico delle applicazioni esterno globale vengono creati in un progetto diverso dal servizio di backend e dai backend del bilanciatore del carico. Questo tipo di deployment non utilizza il VPC condiviso ed è supportato solo per i bilanciatori del carico delle applicazioni esterni globali.
Per saperne di più su questa configurazione, consulta Configurare il riferimento al servizio tra progetti con un servizio di backend e un bucket di backend.
Alta disponibilità e failover
L'alta affidabilità e il failover nei bilanciatori del carico delle applicazioni esterni possono essere configurati a livello di bilanciatore del carico. Questa operazione viene gestita creando bilanciatori del carico delle applicazioni esterni regionali di backup in qualsiasi regione in cui è necessario il backup.
La tabella seguente descrive il comportamento di failover.
| Modalità del bilanciatore del carico | Metodi di failover |
|---|---|
| Bilanciatore del carico delle applicazioni esterno regionale | Utilizza uno dei seguenti metodi per garantire un deployment a disponibilità elevata:
|
Supporto di HTTP/2
HTTP/2 è una revisione importante del protocollo HTTP/1. Esistono due modalità di supporto di HTTP/2:
- HTTP/2 su TLS
- Testo in chiaro HTTP/2 su TCP
HTTP/2 su TLS
HTTP/2 su TLS è supportato per le connessioni tra i client e il bilanciatore del carico delle applicazioni esterno e per le connessioni tra il bilanciatore del carico e i relativi backend.
Il bilanciatore del carico negozia automaticamente HTTP/2 con i client nell'ambito dell'handshake TLS utilizzando l'estensione TLS ALPN. Anche se un bilanciatore del carico è configurato per utilizzare HTTPS, i client moderni utilizzano HTTP/2 per impostazione predefinita. Questo è controllato sul client, non sul bilanciatore del carico.
Se un client non supporta HTTP/2 e il bilanciatore del carico è configurato per utilizzare HTTP/2 tra il bilanciatore del carico e le istanze di backend, il bilanciatore del carico potrebbe comunque negoziare una connessione HTTPS o accettare richieste HTTP non protette. Queste richieste HTTPS o HTTP vengono quindi trasformate dal bilanciatore del carico per eseguire il proxy delle richieste su HTTP/2 alle istanze di backend.
Per utilizzare HTTP/2 su TLS, devi attivare TLS sui backend e impostare il
protocollo del servizio di backend su
HTTP2. Per
ulteriori informazioni, vedi Crittografia dal bilanciatore del carico ai
backend.
Numero massimo di flussi di dati in parallelo HTTP/2
L'impostazione HTTP/2
SETTINGS_MAX_CONCURRENT_STREAMS
descrive il numero massimo di flussi accettati da un endpoint, avviati dal peer. Il valore pubblicizzato da un client HTTP/2 a un bilanciatore del caricoTrusted Cloud è effettivamente privo di significato perché il bilanciatore del carico non avvia stream al client.
Nei casi in cui il bilanciatore del carico utilizza HTTP/2 per comunicare con un server in esecuzione su una VM, il bilanciatore del carico rispetta il valore SETTINGS_MAX_CONCURRENT_STREAMS annunciato dal server. Se viene pubblicizzato un valore pari a zero, il bilanciatore del carico non può inoltrare le richieste al server e ciò potrebbe causare errori.
Limitazioni di HTTP/2
- HTTP/2 tra il bilanciatore del carico e l'istanza può richiedere molte più connessioni TCP all'istanza rispetto a HTTP o HTTPS. Il pool di connessioni, un'ottimizzazione che riduce il numero di queste connessioni con HTTP o HTTPS, non è disponibile con HTTP/2. Di conseguenza, potresti notare latenze di backend elevate perché le connessioni di backend vengono effettuate più frequentemente.
- HTTP/2 tra il bilanciatore del carico e il backend non supporta l'esecuzione del protocollo WebSocket su un singolo flusso di una connessione HTTP/2 (RFC 8441).
- HTTP/2 tra il bilanciatore del carico e il backend non supporta il push del server.
- Il tasso di errori e il volume delle richieste gRPC non sono visibili nell'APITrusted Cloud o nella console Trusted Cloud . Se l'endpoint gRPC
restituisce un errore, i log del bilanciatore del carico e i dati di monitoraggio riportano il
codice di stato HTTP
200 OK.
Testo non crittografato HTTP/2 su TCP (H2C)
HTTP/2 di testo non crittografato su TCP, noto anche come H2C, consente di utilizzare HTTP/2 senza TLS. H2C è supportato per entrambe le seguenti connessioni:
- Connessioni tra i client e il bilanciatore del carico. Non è richiesta alcuna configurazione speciale.
Connessioni tra il bilanciatore del carico e i relativi backend.
Per configurare H2C per le connessioni tra il bilanciatore del carico e i relativi backend, imposta il protocollo del servizio di backend su
H2C.
Il supporto H2C è disponibile anche per i bilanciatori del carico creati utilizzando il controller GKE Gateway e Cloud Service Mesh.
H2C non è supportato per i bilanciatori del carico delle applicazioni classici.
Supporto di WebSocket
Trusted Cloud I bilanciatori del carico basati su HTTP(S) supportano il protocollo WebSocket quando utilizzi HTTP o HTTPS come protocollo per il backend. Il bilanciatore del carico non richiede alcuna configurazione per il proxy delle connessioni websocket.
Il protocollo WebSocket fornisce un canale di comunicazione full-duplex tra i client e il bilanciatore del carico. Per ulteriori informazioni, consulta RFC 6455.
Il protocollo WebSocket funziona nel seguente modo:
- Il bilanciatore del carico riconosce una richiesta
UpgradeWebSocket da un client HTTP o HTTPS. La richiesta contiene le intestazioniConnection: UpgradeeUpgrade: websocket, seguite da altre intestazioni di richiesta pertinenti relative ai websocket. - Il backend invia una risposta websocket
Upgrade. L'istanza di backend invia una risposta101 switching protocolcon le intestazioniConnection: UpgradeeUpgrade: websockete altre intestazioni di risposta correlate ai websocket. - Il bilanciatore del carico funge da proxy per il traffico bidirezionale per la durata della connessione corrente.
Se l'istanza di backend restituisce un codice di stato 426 o 502,
il bilanciatore del carico chiude la connessione.
L'affinità sessione per i websocket funziona come per qualsiasi altra richiesta. Per saperne di più, consulta Affinità di sessione.
Supporto gRPC
gRPC è un framework open source per le chiamate di procedura remota. È basato sullo standard HTTP/2. Ecco alcuni casi d'uso per gRPC:
- Sistemi distribuiti a bassa latenza e altamente scalabili
- Sviluppare client mobile che comunicano con un server cloud
- Progettazione di nuovi protocolli che devono essere accurati, efficienti e indipendenti dalla lingua
- Progettazione a livelli per consentire l'estensione, l'autenticazione e la registrazione
Per utilizzare gRPC con le tue Trusted Cloud applicazioni, devi eseguire il proxy delle richieste end-to-end su HTTP/2. Per farlo, crea un bilanciatore del carico delle applicazioni con una delle seguenti configurazioni:
Per il traffico non criptato end-to-end (senza TLS): crei un bilanciatore del carico HTTP (configurato con un proxy HTTP di destinazione). Inoltre, configura il bilanciatore del carico in modo che utilizzi HTTP/2 per le connessioni non criptate tra il bilanciatore del carico e i relativi backend impostando il protocollo del servizio di backend su
H2C.Per il traffico criptato end-to-end (con TLS): crei un bilanciatore del carico HTTPS (configurato con un proxy HTTPS di destinazione e un certificato SSL). Il bilanciatore del carico negozia HTTP/2 con i client nell'ambito dell'handshake SSL utilizzando l'estensione TLS ALPN.
Inoltre, devi assicurarti che i backend possano gestire il traffico TLS e configurare il bilanciatore del carico in modo che utilizzi HTTP/2 per le connessioni criptate tra il bilanciatore del carico e i relativi backend impostando il protocollo del servizio di backend su
HTTP2.Il bilanciatore del carico potrebbe comunque negoziare HTTPS con alcuni client o accettare richieste HTTP non protette su un bilanciatore del carico configurato per utilizzare HTTP/2 tra il bilanciatore del carico e le istanze di backend. Queste richieste HTTP o HTTPS vengono trasformate dal bilanciatore del carico per eseguire il proxy delle richieste su HTTP/2 alle istanze di backend.
Se vuoi configurare un bilanciatore del carico delle applicazioni utilizzando HTTP/2 con Google Kubernetes Engine Ingress o utilizzando gRPC e HTTP/2 con Ingress, consulta HTTP/2 per il bilanciamento del carico con Ingress.
Se vuoi configurare un bilanciatore del carico delle applicazioni esterno utilizzando HTTP/2 con Cloud Run, consulta Utilizzare HTTP/2 dietro un bilanciatore del carico.
Per informazioni sulla risoluzione dei problemi relativi a HTTP/2, consulta Risoluzione dei problemi relativi a HTTP/2 con i backend.
Per informazioni sulle limitazioni di HTTP/2, vedi Limitazioni di HTTP/2.
Supporto TLS
Per impostazione predefinita, un proxy target HTTPS accetta solo TLS 1.0, 1.1, 1.2 e 1.3 quando termina le richieste SSL del client.
Quando il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico delle applicazioni esterno regionale utilizza HTTPS come protocollo del servizio di backend, può negoziare TLS 1.2 o 1.3 con il backend.Quando il bilanciatore del carico delle applicazioni classico utilizza HTTPS come protocollo del servizio di backend, può negoziare TLS 1.0, 1.1, 1.2 o 1.3 con il backend.
Supporto di mutual TLS
TLS reciproco o mTLS è un protocollo standard di settore per l'autenticazione reciproca tra un client e un server. mTLS contribuisce a garantire che sia il client che il server si autentichino a vicenda verificando che ciascuno disponga di un certificato valido emesso da un'autorità di certificazione (CA) attendibile. A differenza di TLS standard, in cui viene autenticato solo il server, mTLS richiede che sia il client sia il server presentino certificati, confermando le identità di entrambe le parti prima che venga stabilita la comunicazione.
Tutti i bilanciatori del carico delle applicazioni supportano mTLS. Con mTLS, il bilanciatore del carico richiede al client di inviare un certificato per autenticarsi durante l'handshake TLS con il bilanciatore del carico. Puoi configurare un archivio attendibilità di Certificate Manager che il bilanciatore del carico utilizza per convalidare la catena di attendibilità del certificato client.
Per ulteriori informazioni su mTLS, vedi Autenticazione TLS reciproca.
Supporto di TLS 1.3 Early Data
TLS 1.3 Early Data è supportato sul proxy HTTPS di destinazione dei seguenti bilanciatori del carico delle applicazioni esterni sia per HTTPS su TCP (HTTP/1.1, HTTP/2) sia per HTTP/3 su QUIC:
- Bilanciatori del carico delle applicazioni esterni globali
- Bilanciatori del carico delle applicazioni classici
TLS 1.3 è stato definito nella RFC 8446 e introduce il concetto di dati iniziali, noti anche come dati tempo di round trip (0-RTT), che possono migliorare le prestazioni delle applicazioni per le connessioni riprese del 30-50%.
Con TLS 1.2, sono necessari due round trip prima che i dati possano essere trasmessi in modo sicuro. TLS 1.3 riduce questo valore a un round trip (1-RTT) per le nuove connessioni,
consentendo ai client di inviare i dati dell'applicazione immediatamente dopo la prima risposta del server. Inoltre, TLS 1.3 introduce il concetto di dati iniziali per le sessioni riprese, consentendo ai client di inviare dati dell'applicazione con l'ClientHello iniziale, riducendo così il tempo di round trip effettivo a zero (0-RTT).
I dati iniziali di TLS 1.3 consentono al server di backend di iniziare a elaborare i dati del client
prima che il processo di handshake con il client sia completato, riducendo così
la latenza; tuttavia, è necessario prestare attenzione per mitigare i rischi di replay.
Poiché i dati iniziali vengono inviati prima del completamento dell'handshake, un malintenzionato può
tentare di acquisire e riprodurre le richieste. Per mitigare questo problema, il server di backend
deve controllare attentamente l'utilizzo dei dati iniziali, limitandone l'uso a richieste
idempotenti. I metodi HTTP che dovrebbero essere idempotenti, ma che potrebbero
attivare modifiche non idempotenti, ad esempio una richiesta GET che modifica un
database, non devono accettare Early Data. In questi casi, il server di backend
deve rifiutare le richieste con l'intestazione HTTP Early-Data: 1 restituendo un codice di stato HTTP
425 Too Early.
Le richieste con early data hanno l'intestazione HTTP Early-Data impostata sul valore
1, che indica al server di backend che la richiesta è stata trasmessa in
early data TLS. Indica inoltre che il client comprende il codice di stato HTTP 425 Too
Early.
Modalità TLS Early Data (0-RTT)
Puoi configurare TLS Early Data utilizzando una delle seguenti modalità sulla risorsa proxy HTTPS di destinazione del bilanciatore del carico.
STRICT. In questo modo vengono abilitati i dati iniziali TLS 1.3 per le richieste con metodi HTTP sicuri (GET, HEAD, OPTIONS, TRACE) e le richieste HTTP che non hanno parametri di query. Le richieste che inviano dati iniziali contenenti metodi HTTP non idempotenti (come POST o PUT) o con parametri di ricerca vengono rifiutate con un codice di stato HTTP425.PERMISSIVE. In questo modo vengono abilitati i dati iniziali TLS 1.3 per le richieste con metodi HTTP sicuri (GET, HEAD, OPTIONS, TRACE). Questa modalità non nega le richieste che includonoparametri di ricercay. Il proprietario dell'applicazione deve assicurarsi che i dati iniziali siano sicuri da utilizzare per ogni percorso di richiesta, in particolare per gli endpoint in cui la riproduzione delle richieste potrebbe causare effetti collaterali indesiderati, ad esempio aggiornamenti di logging o del database attivati da richieste GET.DISABLED. TLS 1.3 Early Data non viene pubblicato e i tentativi (non validi) di inviare Early Data vengono rifiutati. Se le tue applicazioni non sono attrezzate per gestire in sicurezza le richieste di dati anticipate, devi disattivare i dati anticipati. TLS 1.3 Early Data è disattivato per impostazione predefinita.UNRESTRICTED(non consigliato per la maggior parte dei carichi di lavoro). In questo modo vengono abilitati i dati iniziali TLS 1.3 per le richieste con qualsiasi metodo HTTP, inclusi quelli non idempotenti, come POST. In questa modalità non vengono applicate altre limitazioni. Questa modalità può essere utile per i casi d'uso gRPC. Tuttavia, non consigliamo questo metodo a meno che tu non abbia valutato la tua strategia di sicurezza e mitigato il rischio di attacchi di replay utilizzando altri meccanismi.
Configurare TLS Early Data
Per attivare o disattivare in modo esplicito TLS early data:
Console
Nella console Trusted Cloud , vai alla pagina Bilanciamento del carico.
Seleziona il bilanciatore del carico per il quale devi attivare i dati iniziali.
Fai clic su Modifica.
Fai clic su Configurazione frontend.
Seleziona l'indirizzo IP e la porta frontend che vuoi modificare. Per abilitare TLS Early Data, il protocollo deve essere HTTPS.
Nell'elenco Early Data (0-RTT), seleziona una modalità di early data TLS.
Fai clic su Fine.
Per aggiornare il bilanciatore del carico, fai clic su Aggiorna.
gcloud
Configura la modalità TLS Early Data sul proxy HTTPS di destinazione di un bilanciatore del carico delle applicazioni.
gcloud compute target-https-proxies update TARGET_HTTPS_PROXY \ --tls-early-data=TLS_EARLY_DATA_MODE
Sostituisci quanto segue:
TARGET_HTTPS_PROXY: il proxy HTTPS di destinazione del tuo bilanciatore del caricoTLS_EARLY_DATA_MODE:STRICT,PERMISSIVE,DISABLEDoUNRESTRICTED
API
PATCH https://compute.googleapis.com/compute/v1/projects/{project}/global/targetHttpsProxies/TARGET_HTTPS_PROXY
{
"tlsEarlyData":"TLS_EARLY_DATA_MODE",
"fingerprint": "FINGERPRINT"
}
Sostituisci quanto segue:
TARGET_HTTPS_PROXY: il proxy HTTPS di destinazione del tuo bilanciatore del caricoTLS_EARLY_DATA_MODE:STRICT,PERMISSIVE,DISABLEDoUNRESTRICTEDFINGERPRINT: una stringa codificata in Base64. Per applicare una patch al proxy HTTPS di destinazione, è necessario fornire un'impronta aggiornata. In caso contrario, la richiesta non va a buon fine e viene restituito un codice di stato HTTP412 Precondition Failed.
Dopo aver configurato TLS Early Data, puoi inviare richieste da un client HTTP che supporta TLS Early Data. Puoi osservare una latenza inferiore per le richieste riprese.
Se un client non conforme all'RFC invia una richiesta con un metodo non idempotente o
conparametri di ricercay, la richiesta viene rifiutata. Nei log del bilanciatore del carico viene visualizzato un codice di stato HTTP 425 Early e la seguente risposta HTTP:
HTTP/1.1 425 Too Early Content-Type: text/html; charset=UTF-8 Referrer-Policy: no-referrer Content-Length: 1558 Date: Thu, 03 Aug 2024 02:45:14 GMT Connection: close <!DOCTYPE html> <html lang=en> <title>Error 425 (Too Early)</title> <p>The request was sent to the server too early, please retry. That's all we know.</p> </html>
Limitazioni
I bilanciatori del carico HTTPS non inviano un
close_notifyavviso di chiusura quando terminano le connessioni SSL. ovvero il bilanciatore del carico chiude la connessione TCP anziché eseguire un arresto SSL.I bilanciatori del carico HTTPS supportano solo caratteri minuscoli nei domini in un attributo nome comune (
CN) o in un attributo nome alternativo del soggetto (SAN) del certificato. I certificati con caratteri maiuscoli nei domini vengono restituiti solo se impostati come certificato principale nel proxy di destinazione.I bilanciatori del carico HTTPS non utilizzano l'estensione SNI (Server Name Indication) quando si connettono al backend, ad eccezione dei bilanciatori del carico con backend di NEG Internet. Per saperne di più, consulta la sezione Crittografia dal bilanciatore del carico ai backend.
Trusted Cloud non garantisce che una connessione TCP sottostante possa rimanere aperta per l'intera durata del timeout del servizio di backend. I sistemi client devono implementare la logica di ripetizione anziché fare affidamento su una connessione TCP che rimanga aperta per lunghi periodi di tempo.
Quando crei un bilanciatore del carico delle applicazioni esterno regionale nel livello Premium utilizzando la consoleTrusted Cloud , nella console Trusted Cloud sono disponibili solo le regioni che supportano il livello Standard. Per accedere ad altre regioni, utilizza gcloud CLI o l'API.
Passaggi successivi
- Per scoprire come eseguire il deployment di un bilanciatore del carico delle applicazioni esterno regionale, consulta Configurazione di un bilanciatore del carico delle applicazioni esterno regionale con un backend Compute Engine.
- Per scoprire come configurare le funzionalità di gestione avanzata del traffico disponibili con il bilanciatore del carico delle applicazioni esterno regionale, consulta la panoramica sulla gestione del traffico per i bilanciatori del carico delle applicazioni esterni regionali.