負載平衡器是由多個互動式元件組成的系統。沒有代表負載平衡器的單一 API 資源。而是由多個元件共同運作,將連入流量分散至多個後端。
下圖顯示應用程式負載平衡器、Proxy 網路負載平衡器和直通式網路負載平衡器的核心元件。
應用程式負載平衡器
Proxy 網路負載平衡器
直通式網路負載平衡器
本節將概略說明負載平衡器的主要元件,從流量抵達負載平衡器開始,到流量路由至後端資源的階段為止。如要深入瞭解各個負載平衡器元件,請參閱各節中連結的頁面。
轉送規則
轉送規則會指定 IP 位址、IP 通訊協定,以及負載平衡器接收流量的一或多個通訊埠。轉送規則及其附加的 IP 位址代表 Trusted Cloud by S3NS 負載平衡器的前端。
詳情請參閱「轉送規則總覽」。
目標 Proxy
目標 Proxy 會終止來自用戶端的連入連線,並建立從負載平衡器到後端的新連線。
第一個連線來自用戶端,並在負載平衡器的目標 Proxy 終止。
第二個連線會從目標 Proxy 開始,並在處理用戶端要求的後端執行個體結束。
第一個連線會在 Google Front End (GFE) 或專門指定的子網路 (稱為僅限 Proxy 子網路) 中終止,這個子網路專供 Envoy Proxy 使用。如要瞭解負載平衡器是以 GFE 為基礎還是以 Envoy 為基礎,請參閱負載平衡器的基礎技術 Trusted Cloud by S3NS 。
目標 Proxy 僅供 Proxy 型負載平衡器使用,例如應用程式負載平衡器和 Proxy 網路負載平衡器。對於這類負載平衡器,後端執行個體的回應會傳回目標 Proxy,而不是直接傳送至用戶端。
詳情請參閱「目標 Proxy」。
Proxy 專用子網路
僅限 Proxy 的子網路提供 IP 位址集區,這些 IP 位址專供 Trusted Cloud by S3NS 負載平衡器使用的 Envoy Proxy 保留。Proxy 會終止連入的連線,然後建立連至後端的新連線。
詳情請參閱「Envoy 負載平衡器的僅限 Proxy 子網路」一文。
SSL 憑證
SSL 憑證又稱為傳輸層安全標準 (TLS) 憑證,可確保用戶端與負載平衡器之間的通訊安全無虞。如果轉送規則參照目標 HTTPS Proxy 或目標 SSL Proxy,則以 Proxy 為基礎的負載平衡器需要私密金鑰和 SSL 憑證,做為負載平衡器目標 Proxy 設定的一部分。
詳情請參閱「SSL 憑證」。
網址對應
終止連線後,目標 HTTP(S) Proxy 會使用網址對應,決定要將新要求 (如「目標 Proxy」一節所述的第二個連線) 轉送至何處。網址對應會將要求轉送至後端服務或後端 bucket。網址對應僅供應用程式負載平衡器使用。由於應用程式負載平衡器是在 OSI 模型的第 7 層運作,因此可以根據 HTTP 屬性 (例如網域名稱、要求路徑和查詢參數) 做出轉送決策。
詳情請參閱「網址對應」。
後端服務
後端服務可定義負載平衡器分配流量的方式。後端服務設定包含一組值,例如用來連線至後端的通訊協定、各種分配和工作階段設定、健康狀態檢查和逾時。
您可以透過這些設定精細控管負載平衡器的行為,並將流量導向正確的後端,後端可以是 VM 執行個體群組或網路端點群組 (NEG)。
詳情請參閱「後端服務總覽」。
健康狀態檢查
設定負載平衡器的後端服務時,您需要為後端指定一或多項健康狀態檢查。顧名思義,健康狀態檢查會判斷負載平衡器的後端執行個體是否健康。這項判斷依據是後端回應傳入流量的能力。後端需要回應的流量取決於負載平衡器的類型。您可以使用第 7 層和第 4 層通訊協定建立健康狀態檢查,監控達到負載平衡的執行個體。
防火牆規則
如要讓健康狀態檢查正常運作,您必須建立輸入 allow 防火牆規則,允許健康狀態檢查探測器連線至後端。
以 Google Front End 為基礎的負載平衡器需要允許輸入的防火牆規則,允許來自 Google Front End 的 CIDR 的流量連線至後端。以開放原始碼 Envoy Proxy 為基礎的負載平衡器,需要允許輸入的allow防火牆規則,允許來自僅限 Proxy 子網路的流量傳送至後端執行個體。
詳情請參閱防火牆規則。
後端
後端是負載平衡流量的最終目的地。
不同的負載平衡器支援不同類型的後端。將後端新增至後端服務時,請指定平衡模式。這個模式會評估後端處理新要求的能力,並決定如何在後端之間分配流量。
詳情請參閱「後端」。