Cloud Load Balancing 支援將流量負載平衡至 Cloud de Confiance by S3NS以外的端點,例如地端部署資料中心和其他公有雲,您可以使用混合式連線連線至這些端點。
混合策略是務實的解決方案,可協助您因應不斷變化的市場需求,並逐步翻新應用程式。這可能是暫時的混合式部署,可協助您遷移至現代化雲端解決方案,也可能是貴機構 IT 基礎架構的永久配置。
設定混合式負載平衡後,您還能將 Cloud Load Balancing 的網路功能優勢,帶給在 Cloud de Confiance外部現有基礎架構上執行的服務。
下列 Cloud de Confiance by S3NS 負載平衡器支援混合型負載平衡:
地端部署和其他雲端服務會視為任何其他 Cloud Load Balancing 後端。主要差異在於您使用混合式連線 NEG 設定這些後端的端點。端點必須是有效的 IP:port 組合,負載平衡器可使用 Cloud VPN、Cloud Interconnect 或 路由器設備 VM 等混合式連線產品連線至端點。
用途:將流量路由至地端部署位置或其他雲端
使用混合式 NEG 最簡單的用途,是將流量從Cloud de Confiance 負載平衡器路由至地端部署位置或其他雲端環境。用戶端可以從公用網際網路、 Cloud de Confiance或地端部署用戶端發送流量。
公開用戶端
您可以搭配使用外部應用程式負載平衡器和混合式 NEG 後端,將外部用戶端的流量轉送至地端部署或另一個雲端網路的後端。您也可以為地端部署或其他雲端網路中的服務啟用下列加值網路功能:
- 使用區域性外部應用程式負載平衡器,您可以將外部流量轉送至與負載平衡器資源位於相同 Cloud de Confiance 區域的端點。如果內容供應來源僅限於一個地理位置 (例如必須遵守法規時),或是需要使用標準網路服務級別時,建議您選用這個負載平衡器。
要求的轉送方式 (轉送至 Cloud de Confiance 後端或地端部署/雲端端點) 取決於網址對應的設定方式。負載平衡器會根據網址對應,為要求選取後端服務。如果所選後端服務已設定混合式連線 NEG (僅適用於非Cloud de Confiance 端點),負載平衡器會透過 Cloud VPN、Cloud Interconnect 或路由器設備 VM,將流量轉送至預期的外部目的地。
內部用戶端 (位於 Cloud de Confiance 內或地端部署)
您也可以為內部用戶端設定混合式部署。Cloud de Confiance在這種情況下,用戶端流量會來自Cloud de Confiance 虛擬私有雲網路、地端部署網路或其他雲端,並路由至地端部署或其他雲端網路中的端點。
區域性內部應用程式負載平衡器是區域性負載平衡器,因此只能將流量轉送至與負載平衡器資源位於相同 Cloud de Confiance 區域的端點。
下圖顯示使用區域內部應用程式負載平衡器的混合部署。
應用實例:遷移至雲端
將現有服務遷移至雲端,可釋放地端容量,並降低維護地端基礎架構的成本和負擔。您可以暫時設定混合式部署,將流量同時導向您目前的地端部署服務和對應的Cloud de Confiance 服務端點。
如果您使用內部應用程式負載平衡器處理內部用戶端,可以設定 Cloud de Confiance 負載平衡器,使用以權重為準的流量分配方式,將流量分配到這兩項服務。流量分配功能可讓您先將 0% 的流量傳送至 Cloud de Confiance 服務,並將 100% 的流量傳送至地端部署服務。然後逐步增加傳送至 Cloud de Confiance 服務的流量比例。最終,您會將 100% 的流量傳送至 Cloud de Confiance 服務,並淘汰地端部署服務。
混合式架構
本節說明負載平衡架構,以及設定混合式負載平衡部署作業所需的資源。
地端部署和其他雲端服務與其他 Cloud Load Balancing 後端類似。主要差異在於您使用混合式連線 NEG 設定這些後端的端點。端點必須是有效的 IP:port 組合,用戶端可透過混合式連線 (例如 Cloud VPN、Cloud Interconnect 或路由器設備 VM) 存取。
區域型外部 HTTP(S)
區域性內部 HTTP(S)
區域性內部 Proxy
Cloud Load Balancing 轉送
Cloud Load Balancing 轉送取決於所設定負載平衡器的範圍:
區域性內部應用程式負載平衡器和區域性內部 Proxy 網路負載平衡器。這些是區域性負載平衡器。也就是說,只能將流量轉送至與負載平衡器位於同一區域的端點。負載平衡器元件必須在已設定混合式連線的相同區域中設定。根據預設,存取負載平衡器的用戶端也必須位於相同地區。
舉例來說,如果 Cloud VPN 閘道或 Cloud Interconnect VLAN 連結是在 REGION_A 中設定,負載平衡器所需的資源 (例如後端服務、混合式 NEG 或轉送規則) 必須在 REGION_A 區域中建立。根據預設,存取負載平衡器的用戶端也必須位於 REGION_A 區域。
網路連線需求
設定混合式負載平衡部署作業前,您必須先設定下列資源:
Cloud de Confiance 虛擬私有雲網路:在 Cloud de Confiance內設定的虛擬私有雲網路。這是用於設定 Cloud Interconnect/Cloud VPN 和 Cloud Router 的 VPC 網路。您也會在這個網路中建立負載平衡資源 (轉送規則、目標 Proxy、後端服務等)。地端部署、其他雲端和 Cloud de Confiance 子網路 IP 位址和 IP 位址範圍不得重疊。如果 IP 位址重疊,系統會優先處理子網路路徑,而非遠端連線。
混合式連線。您的 Cloud de Confiance 和地端部署或其他雲端環境必須透過混合式連線連線,並使用 Cloud Interconnect VLAN 連結、搭配 Cloud Router 的 Cloud VPN 通道,或路由器設備 VM。建議您使用高可用性連線。啟用全域動態轉送的 Cloud Router 會使用 BGP 瞭解特定端點,並將其程式化到您的Cloud de Confiance VPC 網路。系統不支援區域動態轉送。也不支援靜態路徑。
Cloud Router 也必須向您的地端部署環境通告下列路徑:
Google 健康狀態檢查探測器使用的範圍:
35.191.0.0/16和130.211.0.0/22。區域 Proxy 專用子網路的範圍:適用於以 Envoy 為基礎的負載平衡器,包括區域外部應用程式負載平衡器、區域內部應用程式負載平衡器、 區域外部 Proxy 網路負載平衡器、 ,以及區域內部 Proxy 網路負載平衡器。
如要執行分散式 Envoy 健康狀態檢查,也必須提供廣告區域的 Proxy 專用子網路。對於 Envoy 負載平衡器後方的區域混合式連線 NEG (即
NON_GCP_PRIVATE_IP_PORT端點),分散式 Envoy 健康狀態檢查是預設的健康狀態檢查機制。
您可以在同一個專案中使用相同或不同的虛擬私有雲網路,設定混合式網路 (Cloud Interconnect 或 Cloud VPN) 和負載平衡器。注意事項:
地端部署或其他雲端的網路端點 (
IP:Port)。在地端部署或其他雲端環境中設定的一或多個IP:Port網路端點,可使用 Cloud Interconnect、Cloud VPN 或路由器設備 VM 進行路由。如果 IP 端點有多個路徑,轉送會遵循「虛擬私有雲路徑總覽」和「Cloud Router 總覽」中說明的行為。地端部署或其他雲端的防火牆規則。您必須在地端部署或其他雲端環境中建立下列防火牆規則:
- 建立 Ingress 允許防火牆規則,允許來自 Google 健康狀態檢查探測器的流量傳送至端點。允許的範圍為:
35.191.0.0/16和130.211.0.0/22。請注意,Cloud Router 也必須向地端部署網路通告這些範圍。詳情請參閱「探測 IP 範圍和防火牆規則」。 - 允許輸入的防火牆規則,可允許負載平衡流量到達端點。
- 如果是以 Envoy 為基礎的負載平衡器 (區域性外部應用程式負載平衡器、區域性內部應用程式負載平衡器 、區域性外部 Proxy 網路負載平衡器 ,以及區域性內部 Proxy 網路負載平衡器),您也需要建立防火牆規則,允許來自區域Proxy 專用子網路的流量連線至位於地端部署環境或其他雲端環境的端點。
- 建立 Ingress 允許防火牆規則,允許來自 Google 健康狀態檢查探測器的流量傳送至端點。允許的範圍為:
負載平衡器元件
混合式負載平衡器只需要為後端服務進行特別設定。前端設定與任何其他負載平衡器相同。以 Envoy 為基礎的負載平衡器 (區域外部應用程式負載平衡器、區域內部應用程式負載平衡器 、區域外部 Proxy 網路負載平衡器 ,以及區域內部 Proxy 網路負載平衡器) 需要額外的Proxy 專用子網路,才能代表您執行 Envoy Proxy。
前端設定
混合型負載平衡不需要特殊前端設定。 轉送規則會依據 IP 位址、通訊埠和通訊協定,將流量轉送至目標 Proxy。目標 Proxy 接著會終止來自用戶端的連線。
HTTP(S) 負載平衡器會使用網址對應,根據網址將要求轉送到合適的後端服務。
如要進一步瞭解各個元件,請參閱特定負載平衡器總覽的架構章節:
後端服務
後端服務會將設定資訊提供給負載平衡器,負載平衡器會使用後端服務中的資訊,將傳入流量導向至一或多個連接的後端。
如要設定混合式負載平衡部署作業,請設定負載平衡器,後端同時位於 Cloud de Confiance和 Cloud de Confiance。
非Cloud de Confiance 後端 (地端或其他雲端)
凡是可透過 Google 的混合式連線產品 (Cloud VPN、Cloud Interconnect 或路由器設備 VM) 存取,且可透過有效的
IP:Port組合存取的目的地,都可以設定為負載平衡器的端點。請按照下列步驟設定非Cloud de Confiance 後端:
- 將每個非Cloud de Confiance 網路端點的
IP:Port組合新增至混合式連線網路端點群組 (NEG)。請確認可從 Cloud de Confiance 透過混合式連線 (Cloud VPN、Cloud Interconnect 或路由器設備 VM) 存取這個 IP 位址和連接埠。如果是混合式連線 NEG,請將網路端點類型設為NON_GCP_PRIVATE_IP_PORT。 - 建立 NEG 時,請指定 Cloud de Confiance
可用區,盡量縮短 Cloud de Confiance 與地端部署或其他雲端環境之間的地理距離。舉例來說,如果您在德國法蘭克福的內部部署環境中代管服務,建立 NEG 時可以指定
europe-west3-aCloud de Confiance 可用區。 將這個混合式連線 NEG 新增為後端服務的後端。
混合式連線 NEG 只能包含非Cloud de Confiance端點。如果混合式 NEG 包含 Cloud de Confiance 虛擬私有雲網路內資源的端點,例如內部直通式網路負載平衡器的轉送規則 IP 位址,流量可能會遭到捨棄。按照下一節的指示設定 Cloud de Confiance 端點。
- 將每個非Cloud de Confiance 網路端點的
Cloud de Confiance backends
請按照下列方式設定端點: Cloud de Confiance
- 為 Cloud de Confiance 後端建立個別後端服務。
- 在設定混合式連線的同一區域內,設定多個後端 (區域 NEG 或執行個體群組)。
GCE_VM_IP_PORT
其他注意事項:
每個混合式連線 NEG 只能包含相同類型的網路端點 (
NON_GCP_PRIVATE_IP_PORT)。您可以透過單一後端服務,同時參照Cloud de Confiance型後端 (使用具有
GCE_VM_IP_PORT端點的區域 NEG),以及地端部署或其他雲端後端 (使用具有NON_GCP_PRIVATE_IP_PORT端點的混合式連線 NEG)。不允許其他混合後端類型組合。
- 後端服務的負載平衡配置為
INTERNAL_MANAGED,適用於區域內部應用程式負載平衡器和區域內部 Proxy 網路負載平衡器。
應用程式負載平衡器的後端服務通訊協定必須是
HTTP、HTTPS或HTTP2,Proxy 網路負載平衡器則必須是TCP或SSL。如要查看各負載平衡器支援的後端服務通訊協定清單,請參閱「負載平衡器到後端的通訊協定」。混合型 NEG 後端的平衡模式必須是
RATE(適用於應用程式負載平衡器) 和CONNECTION(適用於 Proxy 網路負載平衡器)。如要瞭解負載平衡模式的詳細資訊,請參閱後端服務總覽。如要新增更多網路端點,請更新附加至後端服務的後端。
如果您使用分散式 Envoy 健康狀態檢查,並搭配混合式連線能力 NEG 後端 (僅適用於以 Envoy 為基礎的負載平衡器),請務必為附加至相同後端服務的所有 NEG 設定專屬的網路端點。如果將同一個網路端點新增至多個 NEG,會導致未定義的行為。
分散式 Envoy 健康狀態檢查
健康狀態檢查設定會因負載平衡器類型而異:
區域性外部應用程式負載平衡器、區域性內部應用程式負載平衡器、 區域性外部 Proxy 網路負載平衡器、區域性內部 Proxy 網路負載平衡器 。 這類負載平衡器會使用分散式 Envoy 健康狀態檢查,檢查混合式 NEG 的健康狀態。健康狀態檢查探測來自 Envoy 代理程式軟體本身。每個後端服務都必須與健康狀態檢查建立關聯,以檢查後端的健康狀態。健康狀態檢查探測來自區域中僅限 Proxy 子網路的 Envoy Proxy。如要讓健康狀態檢查探測正常運作,您必須在外部環境中建立防火牆規則,允許來自僅限 Proxy 子網路的流量到達外部後端。
如為
NON_GCP_PRIVATE_IP_PORT外部端點 Cloud de Confiance,您必須在地端部署和其他雲端網路中建立這些防火牆規則。請洽詢網路管理員。用於混合式連線的 Cloud Router 也必須通告該區域的僅限 Proxy 子網路範圍。
建立分散式 Envoy 健康狀態檢查時,使用的控制台、gcloud CLI 和 API 程序與集中式健康狀態檢查相同。Cloud de Confiance 無需其他設定。
注意事項:
- 不支援 gRPC 健康狀態檢查。
- 不支援啟用 Proxy 通訊協定第 1 版的健康狀態檢查。
- 如果您使用混合式 NEG,也就是單一後端服務同時具有區域 NEG (Cloud de Confiance內的
GCE_VM_IP_PORT端點) 和混合式 NEG ( Cloud de Confiance外的NON_GCP_PRIVATE_IP_PORT端點),則必須設定防火牆規則,允許來自 Google 健康狀態檢查探測 IP 範圍 (130.211.0.0/22和35.191.0.0/16) 的流量傳送至Cloud de Confiance上的區域 NEG 端點。這是因為區域 NEG 使用 Google 的集中式健康狀態檢查系統。 由於 Envoy 資料平面會處理健康狀態檢查,因此您無法使用Cloud de Confiance 控制台、API 或 gcloud CLI 檢查這些外部端點的健康狀態。如果是使用 Envoy 負載平衡器的混合式 NEG,控制台會將健康狀態檢查狀態顯示為 Cloud de Confiance
N/A。這是可預期的情況。指派給虛擬私有雲網路中該區域僅限 Proxy 子網路的每個 Envoy Proxy,都會獨立啟動健康狀態檢查。因此,健康狀態檢查可能會導致網路流量增加。增加的費用取決於指派給區域中虛擬私有雲網路的 Envoy Proxy 數量、這些 Proxy 收到的流量,以及每個 Envoy Proxy 需要進行健康檢查的端點數量。在最糟的情況下,健康狀態檢查造成的網路流量會以二次方
(O(n^2))的速率增加。分散式 Envoy 健康狀態檢查的健康狀態檢查記錄不會包含詳細的健康狀態。如要瞭解記錄內容,請參閱「健康狀態檢查記錄」。如要進一步排解 Envoy Proxy 與 NEG 端點之間的連線問題,您也應檢查相關的負載平衡器記錄。
相關說明文件:
限制
- 用於混合式連線的 Cloud Router 必須啟用全域動態轉送。不支援區域動態轉送和靜態路徑。
- 如果是以 Envoy 為基礎的區域負載平衡器 (區域外部應用程式負載平衡器、區域外部 Proxy 網路負載平衡器、區域內部 Proxy 網路負載平衡器,以及區域內部應用程式負載平衡器),則混合式連線能力必須與負載平衡器設定在相同區域。如果設定在不同區域,您可能會看到後端狀態良好,但用戶端要求不會轉送至後端。
負載平衡器與後端之間的加密連線注意事項請參閱這篇文章,這些注意事項也適用於混合式連線 NEG 中設定的非Cloud de Confiance 後端端點。
請務必一併檢查混合式連線設定的安全性設定。高可用性 VPN 連線預設會加密 (IPsec)。根據預設,Cloud Interconnect 連線不會加密。詳情請參閱傳輸加密白皮書。
記錄
系統會將 Proxy 要求傳送至混合型 NEG 中的端點,並以記錄其他後端要求的方式,將要求記錄至 Cloud Logging。
如需詳細資訊,請參閱:
配額
您可以設定的混合式 NEG 數量,取決於現有網路端點群組配額。詳情請參閱「NEG 後端」和「每個 NEG 的端點」。