Cloud Load Balancing prend en charge le trafic d'équilibrage de charge vers des points de terminaison qui vont au-delà de Trusted Cloud by S3NS, tels que des centres de données sur site et d'autres clouds publics que vous pouvez atteindre en utilisant la connectivité hybride.
Une stratégie hybride est une solution pragmatique qui vous permet de vous adapter aux exigences changeantes du marché et de moderniser progressivement vos applications. Il peut s'agir d'un déploiement hybride temporaire permettant la migration vers une solution cloud moderne ou d'un dispositif permanent de l'infrastructure informatique de votre organisation.
La configuration de l'équilibrage de charge hybride vous permet également de bénéficier des avantages des fonctionnalités réseau de Cloud Load Balancing pour les services exécutés sur votre infrastructure existante en dehors de Trusted Cloud.
L'équilibrage de charge hybride est compatible avec les équilibreurs de charge suivants : Trusted Cloud by S3NS
- Équilibreur de charge d'application externe régional
- Équilibreur de charge d'application interne régional
- Équilibreur de charge réseau proxy externe régional
- Équilibreur de charge réseau proxy interne régional
Les services sur site ou sur d'autres cloud sont traités comme n'importe quel autre backend du service Cloud Load Balancing. La principale différence est que vous utilisez un NEG de connectivité hybride pour configurer les points de terminaison de ces backends. Les points de terminaison doivent être des combinaisons IP:port valides que votre équilibreur de charge peut atteindre à l'aide de produits de connectivité hybrides, tels que Cloud VPN, Cloud Interconnect ou les VM d'appliance de routeur.
Cas d'utilisation : routage du trafic vers un emplacement sur site ou un autre cloud
Le cas d'utilisation le plus simple pour utiliser des NEG hybrides consiste à acheminer le trafic depuis un équilibreur de chargeTrusted Cloud vers un emplacement sur site ou un autre environnement cloud. Les clients peuvent générer du trafic à partir de l'Internet public, de Trusted Cloudou d'un client sur site.
Clients publics
Vous pouvez utiliser un équilibreur de charge d'application externe avec un backend de NEG hybride pour acheminer du trafic depuis des clients externes vers un backend sur site ou dans un autre réseau cloud. Vous pouvez également activer les fonctionnalités suivantes de mise en réseau à valeur ajoutée pour vos services sur site ou dans d'autres réseaux cloud :
- Avec l'équilibreur de charge d'application externe régional, vous pouvez acheminer le trafic externe vers des points de terminaison situés dans la même région Trusted Cloud que les ressources de l'équilibreur de charge. Utilisez cet équilibreur de charge si vous devez diffuser du contenu à partir d'une seule géolocalisation (par exemple, pour respecter les réglementations de conformité) ou si vous souhaitez utiliser le niveau de service réseau standard.
Le mode de routage de la requête (vers un backend Trusted Cloud ou un point de terminaison sur site/cloud) dépend de la configuration de votre mappage d'URL. En fonction de votre mappage d'URL, l'équilibreur de charge sélectionne un service de backend pour la requête. Si le service de backend sélectionné a été configuré avec un NEG de connectivité hybride (utilisé uniquement pour les points de terminaison autres queTrusted Cloud ), l'équilibreur de charge transfère le trafic via Cloud VPN, Cloud Interconnect ou des VM d'appliance de routeur vers sa destination externe prévue.
Clients internes (dans Trusted Cloud ou sur site)
Vous pouvez également configurer un déploiement hybride pour les clients internes àTrusted Cloud. Dans ce cas, le trafic client provient du réseau VPCTrusted Cloud , de votre réseau sur site ou d'un autre cloud, et est acheminé vers des points de terminaison sur site ou dans d'autres réseaux cloud.
L'équilibreur de charge d'application interne régional est un équilibreur de charge régional, ce qui signifie qu'il ne peut acheminer le trafic que vers des points de terminaison situés dans la même région Trusted Cloud que les ressources de l'équilibreur de charge.
Le schéma suivant illustre un déploiement hybride avec un équilibreur de charge d'application interne régional.
Cas d'utilisation : migrer vers le cloud
La migration d'un service existant vers le cloud vous permet de libérer la capacité sur site et de réduire la charge de travail et les coûts liés à la maintenance d'une infrastructure sur site. Vous pouvez configurer temporairement un déploiement hybride qui vous permet d'acheminer le trafic vers votre service sur site actuel et vers un point de terminaison de serviceTrusted Cloud correspondant.
Si vous utilisez un équilibreur de charge d'application interne pour gérer des clients internes, vous pouvez le configurer pour répartir le trafic en fonction du poids entre les deux services. Trusted Cloud La répartition du trafic vous permet de commencer par envoyer 0 % du trafic au service Trusted Cloud et 100 % au service sur site. Vous pouvez ensuite augmenter progressivement la proportion du trafic envoyé au service Trusted Cloud . Une fois que l'intégralité du trafic est envoyée vers le service Trusted Cloud , vous pouvez supprimer le service sur site.
Architecture hybride
Cette section décrit l'architecture d'équilibrage de charge et les ressources nécessaires pour configurer un déploiement d'équilibrage de charge hybride.
Les services sur site ou sur d'autres cloud sont traités comme n'importe quel autre backend du service Cloud Load Balancing. La principale différence est que vous utilisez un NEG de connectivité hybride pour configurer les points de terminaison de ces backends. Les points de terminaison doivent être des combinaisons IP:port valides que vos clients peuvent atteindre via une connectivité hybride (Cloud VPN, Cloud Interconnect ou une VM d'appliance de routeur, par exemple).
HTTP(S) externe régional
HTTP(S) interne régional
Proxy interne régional
Routage Cloud Load Balancing
Le routage Cloud Load Balancing dépend du champ d'application de l'équilibreur de charge configuré :
Équilibreur de charge d'application interne régional et équilibreur de charge réseau proxy interne régional. Il s'agit d'équilibreurs de charge régionaux. Autrement dit, ils ne peuvent acheminer le trafic que vers des points de terminaison situés dans la même région que l'équilibreur de charge. Les composants de l'équilibreur de charge doivent être configurés dans la même région que celle où la connectivité hybride a été configurée. Par défaut, les clients accédant à l'équilibreur de charge doivent également se trouver dans la même région.
Par exemple, si la passerelle Cloud VPN ou le rattachement de VLAN Cloud Interconnect est configuré dans REGION_A, les ressources requises par l'équilibreur de charge (telles qu'un service de backend, un NEG hybride ou une règle de transfert) doivent être créés dans la région REGION_A. Par défaut, les clients accédant à l'équilibreur de charge doivent également se trouver dans la région REGION_A.
Connectivité réseau requise
Avant de configurer un déploiement d'équilibrage de charge hybride, vous devez disposer des ressources suivantes :
Réseau VPC Trusted Cloud Un réseau VPC configuré dans Trusted Cloud. Il s'agit du réseau VPC utilisé pour configurer Cloud Interconnect/Cloud VPN et Cloud Router. Il s'agit également du réseau dans lequel vous allez créer les ressources d'équilibrage de charge (règle de transfert, proxy cible, service de backend, etc.). Les adresses IP de sous-réseau Trusted Cloud , Google Cloud et d'autres clouds, ainsi que les plages d'adresses IP, ne doivent pas se chevaucher. Lorsque les adresses IP se chevauchent, les routes de sous-réseau sont prioritaires sur la connectivité à distance.
Connectivité hybride. Votre Trusted Cloud et vos environnements sur site ou dans le cloud doivent être connectés via une connectivité hybride, en utilisant des rattachements de VLAN Cloud Interconnect, des tunnels Cloud VPN avec Cloud Router ou des VM d'appliance de routeur. Nous vous recommandons d'utiliser une connexion à haute disponibilité. Lorsque le routage dynamique global est activé, le routeur Cloud Router apprend le point de terminaison spécifique à l'aide de BGP et le programme dans votre réseau VPCTrusted Cloud . Le routage dynamique régional n'est pas pris en charge. De même, les routes statiques ne sont pas prises en charge.
Cloud Interconnect/Cloud VPN/Appliance de routeur doivent être configurés dans le même réseau VPC que celui que vous prévoyez d'utiliser pour le déploiement de l'équilibrage de charge hybride. Cloud Router doit également annoncer les routes suivantes vers votre environnement sur site :
Plages utilisées par les sondes de vérification d'état de Google :
35.191.0.0/16et130.211.0.0/22.Plage du sous-réseau proxy réservé de la région : pour les équilibreurs de charge basés sur Envoy (équilibreurs de charge d'application externes régionaux, équilibreurs de charge d'application internes régionaux, équilibreurs de charge réseau proxy externes régionaux, et équilibreurs de charge réseau proxy internes régionaux).
Le sous-réseau proxy réservé de la région de diffusion est également requis pour que les vérifications d'état Envoy distribuées fonctionnent. La vérification de l'état Envoy distribuée est le mécanisme de vérification de l'état de l'état par défaut pour les NEG de connectivité hybride zonale (c'est-à-dire les points de terminaison
NON_GCP_PRIVATE_IP_PORT) derrière les équilibreurs de charge basés sur Envoy.
Vous pouvez utiliser le même réseau ou un autre réseau VPC au sein du même projet pour configurer à la fois la mise en réseau hybride (Cloud Interconnect ou Cloud VPN) et l'équilibreur de charge. Veuillez noter les points suivants :
Si vous utilisez différents réseaux VPC, les deux réseaux doivent être connectés à l'aide de l'appairage de réseaux VPC ou être des rayons VPC sur le même hub Network Connectivity Center.
Si vous utilisez le même réseau VPC, assurez-vous que les plages CIDR de sous-réseau de votre réseau VPC n'entrent pas en conflit avec vos plages CIDR distantes. Lorsque les adresses IP se chevauchent, les routes de sous-réseau sont prioritaires sur la connectivité à distance.
Points de terminaison du réseau (
IP:Port) sur site ou dans d'autres clouds. Un ou plusieurs points de terminaison du réseauIP:Portconfigurés dans votre environnement sur site ou dans d'autres environnements cloud et qui peuvent être routés via Cloud Interconnect, Cloud VPN ou une VM de dispositif de routeur. S'il existe plusieurs chemins d'accès au point de terminaison IP, le routage suit le comportement décrit dans la présentation des routes VPC et la présentation de Cloud Router.Règles de pare-feu de vos environnements situés sur site ou sur d'autres cloud. Les règles de pare-feu suivantes doivent être créées dans votre environnement sur site ou dans un autre environnement cloud :
- Règles de pare-feu d'entrée autorisant le trafic en provenance des vérifications d'état de Google et à destination de vos points de terminaison.
Les plages à autoriser sont :
35.191.0.0/16et130.211.0.0/22. Notez que ces plages doivent également être annoncées par Cloud Router sur votre réseau sur site. Pour plus de détails, consultez la section plages d'adresses IP de vérification et règles de pare-feu. - Règles d'autorisation du pare-feu d'entrée permettant au trafic qui fait l'objet d'un équilibrage de charge d'atteindre les points de terminaison.
- Pour les équilibreurs de charge basés sur Envoy (équilibreurs de charge d'application externes régionaux, équilibreurs de charge d'application internes régionaux, équilibreurs de charge réseau proxy externes régionaux, et équilibreurs de charge réseau proxy internes régionaux), vous devez également créer une règle de pare-feu pour autoriser le trafic provenant du sous-réseau proxy réservé de la région à atteindre les points de terminaison situés sur site ou dans d'autres environnements cloud.
- Règles de pare-feu d'entrée autorisant le trafic en provenance des vérifications d'état de Google et à destination de vos points de terminaison.
Les plages à autoriser sont :
Composants de l'équilibreur de charge
Un équilibreur de charge hybride nécessite une configuration spéciale uniquement pour le service de backend. La configuration de frontend est identique à celle de n'importe quel autre équilibreur de charge. Les équilibreurs de charge basés sur Envoy (équilibreurs de charge d'application externes régionaux, équilibreurs de charge d'application internes régionaux, équilibreurs de charge réseau proxy externes régionaux, et équilibreurs de charge réseau proxy internes régionaux) nécessitent un sous-réseau proxy réservé supplémentaire pour exécuter des proxys Envoy en votre nom.
Configuration du frontend
Aucune configuration de frontend spéciale n'est requise pour l'équilibrage de charge hybride. Les règles de transfert permettent d'acheminer le trafic vers un proxy cible sur la base de l'adresse IP, du port et du protocole. Le proxy cible met ensuite fin aux connexions des clients.
Les mappages d'URL sont utilisés par les équilibreurs de charge HTTP(S) pour configurer le routage basé sur l'URL des requêtes vers les services de backend appropriés.
Pour en savoir plus sur chacun de ces composants, consultez les sections d'architecture des présentations spécifiques de l'équilibreur de charge :
- Équilibreur de charge d'application externe
- Équilibreur de charge d'application interne
- Équilibreur de charge réseau proxy externe
Service de backend
Les services de backend fournissent des informations de configuration à l'équilibreur de charge. Les équilibreurs de charge utilisent les informations d'un service de backend pour rediriger le trafic entrant vers un ou plusieurs backends associés.
Pour configurer un déploiement d'équilibrage de charge hybride, vous devez configurer l'équilibreur de charge avec des backends situés à la fois dans Trusted Cloudet en dehors de Trusted Cloud.
Backends autres queTrusted Cloud (sur site ou sur d'autres cloud)
Toute destination accessible à l'aide des produits de connectivité hybride de Google (Cloud VPN, Cloud Interconnect ou VM d'appliance de routeur) et accessible via une combinaison
IP:Portvalide peut être configurée en tant que point de terminaison pour l'équilibreur de charge.Configurez vos backends autres queTrusted Cloud comme suit :
- Ajoutez la combinaisonTrusted Cloud de chaque point de terminaison du réseau nonTrusted Cloud à un groupe de points de terminaison du réseau (NEG) de connectivité hybride.
IP:PortAssurez-vous que cette adresse IP et ce port sont accessibles depuis Trusted Cloud par l'intermédiaire d'une connectivité hybride (Cloud VPN, Cloud Interconnect ou VM d'appliance de routeur). Pour les NEG de connectivité hybride, définissez le type de point de terminaison du réseau surNON_GCP_PRIVATE_IP_PORT. - Lors de la création du NEG, spécifiez une zone Trusted Cloudqui réduit la distance géographique entre Trusted Cloud et votre environnement sur site ou un autre environnement cloud. Par exemple, si vous hébergez un service dans un environnement sur site à Francfort, en Allemagne, vous pouvez spécifier la zone
europe-west3-aTrusted Cloud lorsque vous créez le NEG. Ajoutez ce NEG de connectivité hybride en tant que backend pour le service de backend.
Un NEG de connectivité hybride ne doit inclure que des points de terminaison non-Trusted Cloud. Le trafic peut être interrompu si un NEG hybride inclut des points de terminaison pour les ressources d'un réseau VPC Trusted Cloud , tels que les adresses IP des règles de transfert pour les équilibreurs de charge réseau passthrough internes. Configurez les points de terminaison Trusted Cloud comme indiqué dans la section suivante.
- Ajoutez la combinaisonTrusted Cloud de chaque point de terminaison du réseau nonTrusted Cloud à un groupe de points de terminaison du réseau (NEG) de connectivité hybride.
Trusted Cloud backends
Configurez vos points de terminaison Trusted Cloud comme suit :
- Créez un service de backend distinct pour les backends Trusted Cloud .
- Configurez plusieurs backends (NEG zonaux
GCE_VM_IP_PORTou groupes d'instances) dans la même région que celle où vous avez configuré la connectivité hybride.
Autres points à prendre en compte :
Chaque NEG de connectivité hybride ne peut contenir que des points de terminaison réseau du même type (
NON_GCP_PRIVATE_IP_PORT).Vous pouvez utiliser un seul service de backend pour référencer à la fois des backends basés surTrusted Cloud(à l'aide de NEG zonaux avec des points de terminaison
GCE_VM_IP_PORT) et des backends sur site ou d'autres backends cloud (à l'aide de NEG de connectivité hybride avec des points de terminaisonNON_GCP_PRIVATE_IP_PORT). Aucune autre combinaison de types de backends mixtes n'est autorisée.
- Le schéma d'équilibrage de charge du service de backend est
INTERNAL_MANAGEDpour les équilibreurs de charge d'application internes régionaux et les équilibreurs de charge réseau proxy internes régionaux.
Le protocole du service de backend doit être l'un des protocoles suivants :
HTTP,HTTPSouHTTP2pour les équilibreurs de charge d'application, etTCPouSSLpour les équilibreurs de charge réseau proxy. Pour obtenir la liste des protocoles de service de backend compatibles avec chaque équilibreur de charge, consultez la section Protocoles de communication de l'équilibreur de charge vers le backend.Le mode d'équilibrage du backend de NEG hybride doit être
RATEpour les équilibreurs de charge d'application etCONNECTIONpour les équilibreurs de charge réseau proxy. Pour en savoir plus sur les modes d'équilibrage, consultez la Présentation des services de backend.Pour ajouter d'autres points de terminaison du réseau, mettez à jour les backends associés à votre service de backend.
Si vous utilisez les vérifications d'état Envoy distribuées avec des backends de NEG de connectivité hybride (compatibles uniquement avec les équilibreurs de charge basés sur Envoy), assurez-vous de configurer des points de terminaison réseau uniques pour tous les NEG associés au même service de backend. L'ajout du même point de terminaison du réseau à plusieurs NEG entraîne un comportement indéfini.
Vérifications d'état Envoy distribuées
La configuration de votre vérification d'état varie en fonction du type d'équilibreur de charge :
Équilibreur de charge d'application externe régional, équilibreur de charge d'application interne régional, équilibreur de charge réseau proxy externe régional, équilibreur de charge réseau proxy interne régional. Ces équilibreurs de charge utilisent des vérifications d'état Envoy distribuées pour vérifier l'état des NEG hybrides. Les vérifications d'état proviennent du logiciel du proxy Envoy lui-même. Chaque service de backend doit être associé à une vérification d'état qui vérifie l'état des backends. Les vérifications d'état proviennent des proxys Envoy du sous-réseau proxy réservé de la région. Pour que ces vérifications d'état fonctionnent correctement, vous devez créer des règles de pare-feu dans l'environnement externe qui autorisent le trafic provenant du sous-réseau proxy réservé à accéder à vos backends externes.
Pour les points de terminaison
NON_GCP_PRIVATE_IP_PORTextérieurs à Trusted Cloud, vous devez créer ces règles de pare-feu sur vos réseaux situés sur site ou sur d'autres cloud. Pour cela, contactez votre administrateur réseau. Le routeur Cloud Router que vous utilisez pour la connectivité hybride doit également annoncer la plage de sous-réseau proxy réservé de la région.
Les vérifications d'état Envoy distribuées sont créées en utilisant les mêmes processus de consoleTrusted Cloud , gcloud CLI et d'API que les vérifications d'état centralisées. Aucune autre configuration n'est requise.
Remarques :
- Les vérifications d'état gRPC ne sont pas acceptées.
- Les vérifications d'état avec le protocole PROXY v1 activé ne sont pas acceptées.
- Si vous utilisez des NEG mixtes, où un même service de backend combine des NEG zonaux (points de terminaison
GCE_VM_IP_PORTdansTrusted Cloud) et des NEG hybrides (points de terminaisonNON_GCP_PRIVATE_IP_PORTen dehors de Trusted Cloud), vous devez configurer des règles de pare-feu pour autoriser le trafic provenant des plages d'adresses IP de vérification de l'état de l'état Google (130.211.0.0/22et35.191.0.0/16) vers les points de terminaison des NEG zonaux surTrusted Cloud. En effet, les NEG zonaux utilisent le système de vérification d'état centralisé de Google. Étant donné que le plan de données Envoy gère les vérifications d'état, vous ne pouvez pas utiliser la consoleTrusted Cloud , l'API ni gcloud CLI pour vérifier l'état de ces points de terminaison externes. Pour les NEG hybrides avec des équilibreurs de charge basés sur Envoy, la console Trusted Cloud affiche l'état de la vérification de l'état'état sur
N/A. Ce comportement est normal.Chaque proxy Envoy attribué au sous-réseau proxy réservé de la région du réseau VPC lance des vérifications d'état indépendamment. Par conséquent, vous pouvez constater une augmentation du trafic réseau en raison de la vérification de l'état. L'augmentation dépend du nombre de proxys Envoy attribués à votre réseau VPC dans une région, de la quantité de trafic reçue par ces proxys et du nombre de points de terminaison dont chaque proxy Envoy a besoin pour effectuer la vérification de l'état. Dans le pire des cas, le trafic réseau augmente à un taux
(O(n^2))quadratique en raison de vérifications de l'état.Les journaux des vérifications d'état Envoy distribuées n'incluent pas d'états détaillés. Pour en savoir plus sur les éléments consignés, consultez la section Journalisation des vérifications d'état. Pour résoudre les problèmes de connectivité des proxys Envoy vers vos points de terminaison NEG, vous devez également vérifier les journaux des équilibreurs de charge respectifs.
Documentation associée :
- Configurer un équilibreur de charge d'application externe régional avec une connectivité hybride
- Configurez un équilibreur de charge d'application interne régional avec une connectivité hybride.
Limites
- Le routage dynamique global doit être activé sur le routeur Cloud Router utilisé pour la connectivité hybride. Le routage dynamique régional et les routes statiques ne sont pas pris en charge.
- Pour les équilibreurs de charge régionaux basés sur Envoy (équilibreurs de charge d'application externes régionaux, équilibreurs de charge réseau proxy externes régionaux, équilibreurs de charge réseau proxy internes régionaux et équilibreurs de charge d'application internes régionaux), la connectivité hybride doit être configurée dans la même région que l'équilibreur de charge. S'ils sont configurés dans différentes régions, les backends sembleront opérationnels, mais les requêtes des clients ne leur seront pas transférées.
Les considérations concernant les connexions chiffrées de l'équilibreur de charge vers les backends faites ici s'appliquent également aux points de terminaison de backend autres queTrusted Cloud , configurés dans le NEG de connectivité hybride.
Veillez également à vérifier les paramètres de sécurité de votre configuration de connectivité hybride. Les connexions VPN haute disponibilité sont chiffrées par défaut (IPsec). Les connexions Cloud Interconnect ne sont pas chiffrées par défaut. Pour en savoir plus, consultez le livre blanc sur le chiffrement en transit.
Journalisation
Les requêtes envoyées par proxy à un point de terminaison d'un NEG hybride sont consignées dans Cloud Logging de la même manière que celles concernant d'autres backends.
Pour en savoir plus, consultez les pages suivantes :
- Journalisation et surveillance de l'équilibreur de charge d'application externe régional
- Journalisation et surveillance de l'équilibreur de charge d'application interne régional
Quota
Vous pouvez configurer autant de NEG hybrides avec points de terminaison de réseau que votre quota de groupes de points de terminaison de réseau existant le permet. Pour plus d'informations, consultez les sections Backends et Points de terminaison par NEG.
Étape suivante
Configurer un équilibreur de charge d'application externe régional avec une connectivité hybride
Configurer un équilibreur de charge d'application interne régional avec une connectivité hybride
Configurer un équilibreur de charge réseau proxy interne régional avec une connectivité hybride
Configurer un équilibreur de charge réseau proxy régional externe avec une connectivité hybride