Questo documento introduce i concetti che devi comprendere per configurare un bilanciatore del carico di rete proxy esterno Trusted Cloud .
Il bilanciatore del carico di rete proxy esterno è un bilanciatore del carico proxy inverso che distribuisce il traffico TCP proveniente da internet alle istanze di macchine virtuali (VM) nella tua rete Virtual Private Cloud (VPC)Trusted Cloud . Quando utilizzi un bilanciatore del carico di rete proxy esterno, il traffico TCPin entrata viene terminato nel bilanciatore del carico. Una nuova connessione inoltra quindi il traffico al backend disponibile più vicino.
I bilanciatori del carico di rete con proxy esterno consentono di utilizzare un singolo indirizzo IP per tutti gli utenti in tutto il mondo. Il bilanciatore del carico indirizza automaticamente il traffico ai backend più vicini all'utente.
Questo bilanciatore del carico è disponibile in modalità regionale e d'ora in poi viene chiamato bilanciatore del carico di rete proxy esterno regionale. Il bilanciatore del carico è implementato come servizio gestito basato sul proxy Envoy open source. La modalità regionale garantisce che tutti i client e i backend si trovino in una regione specificata. Utilizza questo bilanciatore del carico se vuoi gestire i contenuti provenienti da una sola geolocalizzazione (ad esempio per soddisfare le normative di conformità).
Architettura
I seguenti diagrammi mostrano i componenti dei bilanciatori del carico di rete proxy esterni.
Regionale
Questo diagramma mostra i componenti di un deployment del bilanciatore del carico di rete proxy esterno regionale.
Di seguito sono riportati i componenti dei bilanciatori del carico di rete proxy esterni.
Subnet solo proxy
La subnet solo proxy fornisce un insieme di indirizzi IP
che Google utilizza per eseguire i proxy Envoy per tuo conto. Devi creare una subnet solo proxy in ogni regione di una rete VPC in cui utilizzi i bilanciatori del carico. Il flag --purpose per questa subnet solo proxy è
impostato su REGIONAL_MANAGED_PROXY. Tutti i bilanciatori del carico basati su Envoy a livello di regione nella stessa regione e rete VPC condividono un pool di proxy Envoy della stessa subnet solo proxy.
Le VM o gli endpoint di backend di tutti i bilanciatori del carico in una regione e una rete VPC ricevono connessioni dalla subnet solo proxy.
Punti da ricordare:
- Le subnet solo proxy vengono utilizzate solo per i proxy Envoy, non per i backend.
- L'indirizzo IP del bilanciatore del carico non si trova nella subnet solo proxy. L'indirizzo IP del bilanciatore del carico è definito dalla relativa regola di forwarding gestita esterna.
Regole di forwarding e indirizzi IP
Le regole di forwarding instradano il traffico in base a indirizzo IP, porta e protocollo a una configurazione di bilanciamento del carico costituita da un proxy di destinazione e un servizio di backend.
Specifica dell'indirizzo IP. Ogni regola di forwarding fa riferimento a un singolo indirizzo IP che puoi utilizzare nei record DNS per la tua applicazione. Puoi prenotare un indirizzo IP statico da utilizzare o lasciare che Cloud Load Balancing ne assegni uno per te. Ti consigliamo di prenotare un indirizzo IP statico. In caso contrario, devi aggiornare il record DNS con l'indirizzo IP effimero appena assegnato ogni volta che elimini una regola di forwarding e ne crei una nuova.
Specifica della porta. Le regole di forwarding esterne utilizzate nella definizione di questo bilanciatore del carico possono fare riferimento esattamente a una porta compresa tra 1 e 65535. Se vuoi supportare più porte consecutive, devi configurare più regole di inoltro. È possibile configurare più regole di forwarding con lo stesso indirizzo IP virtuale e porte diverse. Pertanto, puoi eseguire il proxy di più applicazioni con porte personalizzate separate sullo stesso indirizzo IP virtuale proxy TCP. Per maggiori dettagli, vedi Specifiche delle porte per le regole di inoltro.
Per supportare più porte consecutive, devi configurare più regole di forwarding. È possibile configurare più regole di forwarding con lo stesso indirizzo IP virtuale e porte diverse. Pertanto, puoi eseguire il proxy di più applicazioni con porte personalizzate separate sullo stesso indirizzo IP virtuale del proxy TCP.
La tabella seguente mostra i requisiti delle regola di forwarding per i bilanciatori del carico di rete proxy esterni.
| Modalità del bilanciatore del carico | Livello di servizio di rete | Regola di forwarding, indirizzo IP e schema di bilanciamento del carico | Routing da internet al frontend del bilanciatore del carico |
|---|---|---|---|
| Bilanciatore del carico di rete proxy esterno regionale | Livello Premium | Regola di forwarding esterna regionale Indirizzo IP esterno regionale Schema di bilanciamento del carico: |
Richieste indirizzate ai proxy Envoy nella stessa regione del bilanciatore del carico. |
Regole di forwarding e reti VPC
Questa sezione descrive come le regole di forwarding utilizzate dai bilanciatori del carico delle applicazioni esterni sono associate alle reti VPC.
| Modalità del bilanciatore del carico | Associazione di rete VPC |
|---|---|
| Bilanciatore del carico di rete proxy esterno regionale | La rete VPC della regola di forwarding è la rete in cui è stata creata la subnet solo proxy. Specifichi la rete quando crei la regola di forwarding. |
Proxy target
I bilanciatori del carico di rete proxy esterni terminano le connessioni dal client e creano nuove connessioni ai backend. Il proxy di destinazione instrada queste nuove connessioni al servizio di backend.
Per impostazione predefinita, il proxy di destinazione non conserva l'indirizzo IP client originale e le informazioni sulla porta. Puoi conservare queste informazioni attivando il protocollo PROXY sul proxy di destinazione.
La tabella seguente mostra i requisiti del proxy di destinazione per i bilanciatori del carico di rete proxy esterni.
| Modalità del bilanciatore del carico | Livello di servizio di rete | Proxy di destinazione |
|---|---|---|
| Bilanciatore del carico di rete proxy esterno regionale | Livello Premium e Standard | regionTargetTcpProxies |
Servizi di backend
I servizi di backend indirizzano il traffico in entrata a uno o più backend collegati. Ogni backend è composto da un gruppo di istanze o da un gruppo di endpoint di rete e da informazioni sulla capacità di distribuzione del backend. La capacità di gestione del backend può essere basata sulla CPU o sul numero di richieste al secondo (RPS).
Ogni bilanciatore del carico ha una singola risorsa di servizio di backend che specifica il controllo di integrità da eseguire per i backend disponibili.
Le modifiche apportate al servizio di backend non sono istantanee. Potrebbero essere necessari diversi minuti prima che le modifiche vengano propagate ai GFE. Per garantire interruzioni minime per gli utenti, puoi abilitare lo svuotamento delle connessioni sui servizi di backend. Queste interruzioni possono verificarsi quando un backend viene terminato, rimosso manualmente o rimosso da uno strumento di scalabilità automatica. Per scoprire di più sull'utilizzo svuotamento della connessioneg per ridurre al minimo le interruzioni del servizio, consulta Abilitazione del connection draining.
Per ulteriori informazioni sulla risorsa del servizio di backend, vedi Panoramica dei servizi di backend.
La seguente tabella specifica i diversi backend supportati nel servizio di backend dei bilanciatori del carico di rete proxy esterni.
| Modalità del bilanciatore del carico | Backend supportati su un servizio di backend | ||||||
|---|---|---|---|---|---|---|---|
| Gruppi di istanze | NEG a livello di zona | NEG internet | NEG serverless | NEGs ibride | GKE | ||
| Bilanciatore del carico di rete proxy esterno regionale | Endpoint di tipo GCE_VM_IP_PORT |
Solo NEG regionali | |||||
Backend e reti VPC
Per i backend del bilanciatore del carico di rete proxy esterno regionale, si applica quanto segue:
Per i gruppi di istanze, i NEG di zona e i NEG di connettività ibrida, tutti i backend devono trovarsi nello stesso progetto e nella stessa regione del servizio di backend. Tuttavia, un bilanciatore del carico può fare riferimento a un backend che utilizza una rete VPC diversa nello stesso progetto del servizio di backend. La connettività tra la rete VPC del bilanciatore del carico e la rete VPC di backend può essere configurata utilizzando il peering di rete VPC, i tunnel Cloud VPN o i collegamenti VLAN di Cloud Interconnect.
Definizione della rete di backend
- Per i NEG zonali e ibridi, specifica esplicitamente la rete VPC quando crei il NEG.
- Per i gruppi di istanze gestite, la rete VPC è definita nel modello di istanza.
- Per i gruppi di istanze non gestite, la rete VPC del gruppo di istanze
è impostata in modo che corrisponda alla rete VPC
dell'interfaccia
nic0per la prima VM aggiunta al gruppo di istanze.
Requisiti di rete di backend
La rete del backend deve soddisfare uno dei seguenti requisiti di rete:
La rete VPC del backend deve corrispondere esattamente alla rete VPC della regola di forwarding.
La rete VPC del backend deve essere connessa alla rete VPC della regola di forwarding tramite il peering di rete VPC. Devi configurare gli scambi di route di subnet per consentire la comunicazione tra la subnet solo proxy nella rete VPC della regola di forwarding e le subnet utilizzate dagli endpoint o dalle istanze di backend.
Per tutti gli altri tipi di backend, tutti i backend devono trovarsi nella stessa rete VPC e nella stessa regione.
Backend e interfacce di rete
Se utilizzi i backend dei gruppi di istanze, i pacchetti vengono sempre inviati a nic0. Se
vuoi inviare pacchetti a interfacce non nic0 (vNIC o
interfacce di rete dinamiche), utilizza
i backend NEG.
Se utilizzi backend NEG a livello di zona, i pacchetti vengono inviati a qualsiasi interfaccia di rete rappresentata dall'endpoint nel NEG. Gli endpoint NEG devono trovarsi nella stessa rete VPC della rete VPC definita esplicitamente per il NEG.
Protocollo per comunicare con i backend
Quando configuri un servizio di backend per un bilanciatore del carico di rete del proxy esterno, imposti il protocollo utilizzato dal servizio di backend per comunicare con i backend. Il bilanciatore del carico utilizza solo il protocollo specificato e non tenta di negoziare una connessione con l'altro protocollo. I bilanciatori del carico di rete proxy esterni supportano solo TCP per la comunicazione con i backend.
Regole firewall
Sono richieste le seguenti regole firewall:
Per i bilanciatori del carico di rete proxy esterno regionale, una regola firewall in entrata per consentire al traffico dalla subnet solo proxy di raggiungere i backend.
Una regola firewall in entrata
allowper consentire al traffico proveniente dagli intervalli di probe del controllo di integrità di raggiungere i backend. Per ulteriori informazioni sui probe del controllo di integrità e sul motivo per cui è necessario consentire il traffico proveniente da questi probe, consulta Intervalli IP dei probe e regole firewall.
Le regole firewall vengono implementate a livello di istanza VM, non a livello di proxy GFE. Non puoi utilizzare le regole firewall per impedire al traffico di raggiungere il bilanciatore del carico.
Le porte per queste regole firewall devono essere configurate nel seguente modo:
- Consenti il traffico alla porta di destinazione per il controllo di integrità di ogni servizio di backend.
- Per i backend del gruppo di istanze: determina le porte da configurare in base al mapping tra la porta denominata del servizio di backend e i numeri di porta associati a quella porta denominata in ogni gruppo di istanze. I numeri di porta possono variare tra i gruppi di istanze assegnati allo stesso servizio di backend.
- Per i backend NEG zonali
GCE_VM_IP_PORT NEG: consenti il traffico ai numeri di porta degli endpoint.
Indirizzi IP di origine
L'indirizzo IP di origine dei pacchetti, come visto dai backend, non è l'indirizzo IP esternoTrusted Cloud del bilanciatore del carico. In altre parole, esistono due connessioni TCP.
Per i bilanciatori del carico di rete proxy esterno regionali:Connessione 1, dal client originale al bilanciatore del carico (subnet solo proxy):
- Indirizzo IP di origine: il client originale (o l'indirizzo IP esterno se il client si trova dietro un gateway NAT o un proxy di inoltro).
- Indirizzo IP di destinazione: l'indirizzo IP del bilanciatore del carico.
Connessione 2, dal bilanciatore del carico (subnet solo proxy) alla VM di backend o all'endpoint:
Indirizzo IP di origine: un indirizzo IP nella subnet solo proxy condiviso tra tutti i bilanciatori del carico basati su Envoy di cui è stato eseguito il deployment nella stessa regione e nella stessa rete del bilanciatore del carico.
Indirizzo IP di destinazione: l'indirizzo IP interno della VM di backend o del container nella rete VPC.
Porte aperte
I bilanciatori del carico di rete proxy esterni sono bilanciatori del carico proxy inverso. Il bilanciatore del carico termina le connessioni in entrata e poi apre nuove connessioni dal bilanciatore del carico ai backend. Questi bilanciatori del carico vengono implementati utilizzando proxy Google Front End (GFE) in tutto il mondo.
I GFE hanno diverse porte aperte per supportare altri servizi Google che vengono eseguiti sulla stessa architettura. Quando esegui una scansione delle porte, potresti visualizzare altre porte aperte per altri servizi Google in esecuzione su GFE.
L'esecuzione di una scansione delle porte sull'indirizzo IP di un bilanciatore del carico basato su GFE non è utile dal punto di vista dell'audit per i seguenti motivi:
Una scansione delle porte (ad esempio con
nmap) in genere non prevede pacchetti di risposta o un pacchetto TCP RST durante l'esecuzione del probing TCP SYN. I GFE inviano pacchetti SYN-ACK in risposta ai probe SYN solo per le porte su cui hai configurato una regola di forwarding. I GFE inviano pacchetti ai backend solo in risposta ai pacchetti inviati all'indirizzo IP del bilanciatore del carico e alla porta di destinazione configurata nella regola di forwarding. I pacchetti inviati a un indirizzo IP o a una porta diversi non vengono inviati ai tuoi backend.I GFE implementano funzionalità di sicurezza come Google Cloud Armor. Con Cloud Armor Standard, i GFE forniscono protezione sempre attiva da attacchi DDoS volumetrici e basati su protocollo e da SYN flood. Questa protezione è disponibile anche se non hai configurato esplicitamente Cloud Armor. Ti vengono addebitati costi solo se configuri policy di sicurezza o se ti registri a Managed Protection Plus.
I pacchetti inviati all'indirizzo IP del bilanciatore del carico possono ricevere risposta da qualsiasi GFE nella flotta di Google. Tuttavia, la scansione di una combinazione di indirizzo IP del bilanciatore del carico e porta di destinazione interroga una sola GFE per connessione TCP. L'indirizzo IP del bilanciatore del carico non è assegnato a un singolo dispositivo o sistema. Pertanto, la scansione dell'indirizzo IP di un bilanciatore del carico basato su GFE non esegue la scansione di tutti i GFE nel parco risorse di Google.
Tenendo presente questo, di seguito sono riportati alcuni modi più efficaci per controllare la sicurezza delle tue istanze di backend:
Un revisore della sicurezza deve ispezionare la configurazione delle regole di forwarding per la configurazione del bilanciatore del carico. Le regole di forwarding definiscono la porta di destinazione per cui il bilanciatore del carico accetta i pacchetti e li inoltra ai backend. Per i bilanciatori del carico basati su GFE, ogni regola di forwarding esterna può fare riferimento a una sola porta TCP di destinazione.
Un revisore della sicurezza deve ispezionare la configurazione delle regole firewall applicabili alle VM di backend. Le regole firewall che imposti bloccano il traffico dai GFE alle VM di backend, ma non bloccano il traffico in entrata verso i GFE. Per le best practice, consulta la sezione sulle regole firewall.
Architettura VPC condiviso
I bilanciatori del carico di rete proxy esterni regionali supportano i deployment che utilizzano retiVPC condivisoe. Un VPC condiviso consente di mantenere una chiara separazione delle responsabilità tra gli amministratori di rete e gli sviluppatori di servizi. I tuoi team di sviluppo possono concentrarsi sulla creazione di servizi nei progetti di servizio, mentre i team dell'infrastruttura di rete possono eseguire il provisioning e amministrare il bilanciamento del carico. Se non hai familiarità con il VPC condiviso, leggi la documentazione Panoramica del VPC condiviso.
| Indirizzo IP | Regola di forwarding | Proxy di destinazione | Componenti di backend |
|---|---|---|---|
| Un indirizzo IP esterno deve essere definito nello stesso progetto del bilanciatore del carico. | La regola di forwarding esterna deve essere definita nello stesso progetto delle istanze di backend (il progetto di servizio). | Il proxy TCP di destinazione deve essere definito nello stesso progetto delle istanze di backend. |
Per i bilanciatori del carico di rete proxy esterni regionali, le VM di backend si trovano in genere in un progetto di servizio. Nel progetto di servizio devono essere definiti un servizio di backend regionale e un controllo di integrità. |
Distribuzione del traffico
Quando aggiungi un gruppo di istanza di backend o un NEG a un servizio di backend, specifichi una modalità di bilanciamento del carico, che definisce un metodo per misurare il carico di backend e la capacità target.
Per i bilanciatori del carico di rete proxy esterni, la modalità di bilanciamento può essere CONNECTION
o UTILIZATION:
- Se la modalità di bilanciamento del carico è
CONNECTION, il carico viene distribuito in base al numero totale di connessioni che il backend può gestire. - Se la modalità di bilanciamento del carico è
UTILIZATION, il carico viene distribuito in base all'utilizzo delle istanze in un gruppo di istanze. Questa modalità di bilanciamento si applica solo ai backend di gruppi di istanze VM.
La distribuzione del traffico tra i backend è determinata dalla modalità di bilanciamento del bilanciatore del carico.
Bilanciatore del carico di rete proxy esterno regionale
Per i bilanciatori del carico di rete proxy esterni regionali, la distribuzione del traffico si basa sulla modalità di bilanciamento del carico e sul criterio di località di bilanciamento del carico.
La modalità di bilanciamento determina il peso e la frazione di traffico che devono essere
inviati a ogni backend (gruppo di istanze o NEG). Il criterio di località di bilanciamento del carico
(LocalityLbPolicy) determina la modalità di bilanciamento del carico dei backend all'interno del gruppo.
Quando un servizio di backend riceve traffico, lo indirizza prima a un backend (gruppo di istanze o NEG) in base alla modalità di bilanciamento. Una volta selezionato un backend, il traffico viene distribuito tra le istanze o gli endpoint del gruppo di backend in base al criterio di località del bilanciamento del carico.
Per ulteriori informazioni, consulta le seguenti risorse:
- Modalità di bilanciamento
- Policy di località di bilanciamento del carico (documentazione dell'API del servizio di backend regionale)
Affinità sessione
L'affinità sessione ti consente di configurare il servizio di backend del bilanciatore del carico in modo da inviare tutte le richieste dallo stesso client allo stesso backend, a condizione che il backend sia integro e abbia capacità.
I bilanciatori del carico di rete proxy esterni offrono i seguenti tipi di affinità sessione:Nessuna
Un'impostazione di affinità sessione pari a
NONEnon significa che non esiste affinità sessione. Ciò significa che non è configurata esplicitamente alcuna opzione di affinità sessione.L'hashing viene sempre eseguito per selezionare un backend. Un'impostazione di affinità sessione di
NONEindica che il bilanciatore del carico utilizza un hash a 5 tuple per selezionare un backend. L'hash a 5 tuple è formato da indirizzo IP di origine, porta di origine, protocollo, indirizzo IP di destinazione e porta di destinazione.Un'affinità sessione di
NONEè il valore predefinito.Affinità IP client
L'affinità sessione (
CLIENT_IP) dell'IP client è un hash a due tuple creato a partire dagli indirizzi IP di origine e di destinazione del pacchetto. L'affinità IP client inoltra tutte le richieste dallo stesso indirizzo IP client allo stesso backend, a condizione che questo backend abbia capacità e rimanga integro.Quando utilizzi l'affinità IP client, tieni presente quanto segue:
- L'indirizzo IP di destinazione del pacchetto è uguale all'indirizzo IP della regola di forwarding del bilanciatore del carico solo se il pacchetto viene inviato direttamente al bilanciatore del carico.
- L'indirizzo IP di origine del pacchetto potrebbe non corrispondere a un indirizzo IP associato al client originale se il pacchetto viene elaborato da un sistema NAT o proxy intermedio prima di essere consegnato a un bilanciatore del carico. Trusted Cloud Nelle situazioni in cui molti client condividono lo stesso indirizzo IP di origine effettivo, alcune VM di backend potrebbero ricevere più connessioni o richieste rispetto ad altre.
Tieni presente quanto segue durante la configurazione dell'affinità sessione:
Non fare affidamento sull'affinità sessione per l'autenticazione o per motivi di sicurezza. L'affinità di sessione può interrompersi ogni volta che cambia il numero di backend di pubblicazione e integri. Per ulteriori dettagli, consulta Perdita dell'affinità di sessione.
I valori predefiniti dei flag
--session-affinitye--subsetting-policysono entrambiNONEe solo uno alla volta può essere impostato su un valore diverso.
Perdita dell'affinità sessione
Tutte le opzioni di affinità sessione richiedono quanto segue:
- L'istanza o l'endpoint di backend selezionato deve rimanere configurato come
backend. L'affinità di sessione può interrompersi quando si verifica uno dei seguenti eventi:
- L'istanza selezionata viene rimossa dal gruppo di istanze.
- La scalabilità automatica o la riparazione automatica del gruppo di istanze gestite rimuove l'istanza selezionata dal gruppo di istanze gestite.
- Rimuovi l'endpoint selezionato dal NEG.
- Rimuovi il gruppo di istanze o il NEG che contiene l'istanza o l'endpoint selezionato dal servizio di backend.
- L'istanza o l'endpoint di backend selezionato deve rimanere integro. L'affinità di sessione può interrompersi quando l'istanza o l'endpoint selezionato non supera i controlli di integrità.
- Per i bilanciatori del carico di rete con proxy esterno globali e i bilanciatori del carico di rete con proxy classici, l'affinità sessione può interrompersi se viene utilizzato un Google Front End (GFE) di primo livello diverso per le richieste o le connessioni successive dopo la modifica del percorso di routing. Potrebbe essere selezionato un GFE di primo livello diverso se il percorso di routing da un client su internet a Google cambia tra richieste o connessioni.
Il gruppo di istanze o il NEG che contiene l'istanza o l'endpoint selezionato non deve essere pieno come definito dalla capacità target. Per i gruppi di istanze gestite a livello di regione, il componente di zona del gruppo di istanze che contiene l'istanza selezionata non deve essere pieno. L'affinità di sessione può interrompersi quando il gruppo di istanze o il NEG è pieno e altri gruppi di istanze o NEG non lo sono. Poiché la pienezza può cambiare in modo imprevedibile quando si utilizza la modalità di bilanciamento
UTILIZATION, devi utilizzare la modalità di bilanciamentoRATEoCONNECTIONper ridurre al minimo le situazioni in cui l'affinità sessione può interrompersi.Il numero totale di istanze o endpoint di backend configurati deve rimanere costante. Quando si verifica almeno uno dei seguenti eventi, il numero di istanze o endpoint di backend configurati cambia e l'affinità sessionee può interrompersi:
Aggiunta di nuove istanze o endpoint:
- Aggiungi istanze a un gruppo di istanze esistente nel servizio di backend.
- La scalabilità automatica del gruppo di istanze gestite aggiunge istanze a un gruppo di istanze gestite nel servizio di backend.
- Aggiungi endpoint a un NEG esistente nel servizio di backend.
- Aggiungi gruppi di istanze o NEG non vuoti al servizio di backend.
Rimozione di qualsiasi istanza o endpoint, non solo dell'istanza o dell'endpoint selezionato:
- Rimuovi qualsiasi istanza da un backend del gruppo di istanze.
- La scalabilità automatica o la riparazione automatica del gruppo di istanze gestite rimuove qualsiasi istanza da un backend del gruppo di istanze gestite.
- Rimuovi qualsiasi endpoint da un backend NEG.
- Rimuovi qualsiasi gruppo di istanza di backend o NEG esistente e non vuoto dal servizio di backend.
Il numero totale di istanze o endpoint di backend integri deve rimanere costante. Quando si verifica almeno uno dei seguenti eventi, il numero di istanze o endpoint di backend integri cambia e l'affinità sessionee può interrompersi:
- Qualsiasi istanza o endpoint supera il controllo di integrità, passando da non integro a integro.
- Qualsiasi istanza o endpoint non supera il controllo di integrità, passando da integro a non integro o timeout.
Failover
Il failover per i bilanciatori del carico di rete proxy esterni funziona nel seguente modo:
- Se un backend non è integro, il traffico viene reindirizzato automaticamente ai backend integri all'interno della stessa regione.
- Se tutti i backend non sono integri, il bilanciatore del carico interrompe il traffico.
Bilanciamento del carico per le applicazioni GKE
Se crei applicazioni in Google Kubernetes Engine, puoi utilizzare i NEG autonomi per bilanciare il carico del traffico direttamente nei container. Con i NEG autonomi, sei responsabile della creazione dell'oggetto Service che crea il NEG e poi dell'associazione del NEG al servizio di backend in modo che il bilanciatore del carico possa connettersi ai pod.
Per la documentazione correlata, consulta Bilanciamento del carico nativo del container tramite NEG standalone a livello di zona.
Limitazioni
Non puoi creare un bilanciatore del carico di rete proxy esterno regionale nel livello Premium utilizzando la Trusted Cloud console .Utilizza invece gcloud CLI o l'API.
Trusted Cloud non offre alcuna garanzia sulla durata delle connessioni TCP quando utilizzi i bilanciatori del carico di rete proxy esterni. I client devono essere resilienti alle interruzioni di connessione, sia a causa di problemi di internet più ampi sia a causa di riavvii programmati regolarmente dei proxy che gestiscono le connessioni.
Passaggi successivi
- Configura un bilanciatore del carico di rete proxy esterno regionale (proxy TCP).
- Logging e monitoraggio del bilanciatore del carico di rete proxy.