本文將介紹設定 Trusted Cloud 外部 Proxy 網路負載平衡器時需瞭解的概念。
外部 Proxy 網路負載平衡器是反向 Proxy 負載平衡器,可將來自網際網路的 TCP 流量分配至Trusted Cloud 虛擬私有雲 (VPC) 網路中的虛擬機器 (VM) 執行個體。使用外部 Proxy 網路負載平衡器時,傳入的 TCP流量會在負載平衡器終止。然後,新連線會使用 TCP 或 SSL (建議) 將流量轉送至最近的可用後端。
全域外部 Proxy 網路負載平衡器可讓您使用單一 IP 位址,為世界各地的使用者提供服務。負載平衡器會自動將流量轉送至最接近使用者的後端。
您可以在區域模式中使用這個負載平衡器,以下簡稱區域性外部 Proxy 網路負載平衡器。負載平衡器是以開放原始碼 Envoy Proxy 為基礎的代管服務。區域模式可確保所有用戶端和後端都位於指定區域。如果內容供應來源僅限於一個地理位置 (例如必須遵守法規時),建議您選用這個負載平衡器。
架構
下圖顯示外部 Proxy 網路負載平衡器的元件。
地區性
這張圖表顯示區域性外部 Proxy 網路負載平衡器部署作業的元件。
以下是外部 Proxy 網路負載平衡器的元件。
Proxy 專用子網路
僅限 Proxy 的子網路會提供一組 IP 位址,供 Google 代表您執行 Envoy Proxy。您必須在使用負載平衡器的虛擬私有雲網路的每個區域,建立一個僅限 Proxy 的子網路。這個僅限 Proxy 子網路的 --purpose 旗標已設為 REGIONAL_MANAGED_PROXY。位於相同區域和 VPC 網路的所有區域 Envoy 型負載平衡器,都會共用來自相同 Proxy 專用子網路的 Envoy Proxy 集區。
地區和虛擬私有雲網路中所有負載平衡器的後端 VM 或端點,都會接收來自僅限 Proxy 子網路的連線。
注意事項:
- 僅限 Proxy 的子網路只會用於 Envoy Proxy,不會用於後端。
- 負載平衡器的 IP 位址並非位於僅限 Proxy 的子網路。負載平衡器的 IP 位址是由外部代管轉送規則定義。
轉送規則和 IP 位址
轉送規則會依 IP 位址、通訊埠和通訊協定,將流量轉送至由目標 Proxy 和後端服務所組成的負載平衡設定。
IP 位址規格。每個轉送規則都會參照單一 IP 位址,供您用於應用程式的 DNS 記錄。您可以保留要使用的靜態 IP 位址,或由 Cloud Load Balancing 為您指派靜態 IP 位址。建議您保留靜態 IP 位址。 否則,每當您刪除轉送規則並建立新規則時,均必須使用新指派的臨時 IP 位址更新 DNS 記錄。
通訊埠規格。用於定義這個負載平衡器的外部轉送規則,只能參照 1 到 65535 之間的「一個」通訊埠。如要支援多個連續連接埠,必須設定多個轉送規則。您可以設定多個轉送規則,使用相同的虛擬 IP 位址和不同的通訊埠,因此可以將多個應用程式連至相同的 TCP Proxy 虛擬 IP 位址,並使用不同的自訂通訊埠。詳情請參閱「轉送規則的通訊埠規格」。
如要支援多個連續通訊埠,必須設定多個轉送規則。您可以設定多個轉送規則,使用相同的虛擬 IP 位址和不同的通訊埠。因此,您可以透過不同的自訂通訊埠,將多個應用程式 Proxy 至同一個 TCP Proxy 虛擬 IP 位址。
下表列出外部 Proxy 網路負載平衡器的轉送規則需求。
| 負載平衡器模式 | 網路服務級別 | 轉送規則、IP 位址和負載平衡架構 | 從網際網路到負載平衡器前端的路由 |
|---|---|---|---|
| 區域性外部 Proxy 網路負載平衡器 | 進階 級 |
負載平衡架構: |
要求會轉送至與負載平衡器位於相同地區的 Envoy 代理伺服器。 |
轉送規則和虛擬私有雲網路
本節說明外部應用程式負載平衡器使用的轉送規則如何與虛擬私有雲網路建立關聯。
| 負載平衡器模式 | 虛擬私有雲網路關聯 |
|---|---|
| 區域性外部 Proxy 網路負載平衡器 | 轉送規則的虛擬私有雲網路是建立僅限 Proxy 子網路的網路。建立轉送規則時,請指定網路。 |
目標 Proxy
外部 Proxy 網路負載平衡器會終止來自用戶端的連線,並建立與後端的新連線。目標 Proxy 會將這些新連線轉送至後端服務。
根據預設,目標 Proxy 不會保留原本的用戶端 IP 位址和通訊埠資訊。如要保留這項資訊,請在目標 Proxy 上啟用 PROXY 通訊協定。
下表列出外部 Proxy 網路負載平衡器的目標 Proxy 需求。
| 負載平衡器模式 | 網路服務級別 | 目標 Proxy |
|---|---|---|
| 區域性外部 Proxy 網路負載平衡器 | 進階級和標準級 | regionTargetTcpProxies |
後端服務
後端服務會將傳入流量導向至一或多個連接的後端。每個後端都由一個執行個體群組或網路端點群組,以及後端的負載能力資訊組成。後端負載能力可以依據 CPU 或每秒要求數 (RPS)。
每個負載平衡器都有單一後端服務資源,可指定要對可用後端執行的健康狀態檢查。
對後端服務所做的變更並不會即時生效。變更可能需要幾分鐘才會傳播至 GFE。為了確保使用者遭遇的中斷情形能降至最低,您可以啟用後端服務的連線排除功能。當後端終止、遭手動移除或由自動配置器移除時,均有可能發生這類中斷情形。如要進一步瞭解如何使用連線排除功能,將服務中斷情形降至最低,請參閱「啟用連線排除功能」。
如要進一步瞭解後端服務資源,請參閱後端服務總覽。
下表列出外部 Proxy 網路負載平衡器後端服務支援的後端。
| 負載平衡器模式 | 後端服務支援的後端 | ||||||
|---|---|---|---|---|---|---|---|
| 執行個體群組 | 區域性 NEG | 網際網路 NEG | 無伺服器 NEG | 混合式 NEG | GKE | ||
| 區域性外部 Proxy 網路負載平衡器 | GCE_VM_IP_PORT 類型端點 |
僅限區域性 NEG | |||||
後端和虛擬私有雲網路
區域性外部 Proxy 網路負載平衡器後端適用下列規定:
對於執行個體群組、區域 NEG 和混合式連線 NEG,所有後端都必須與後端服務位於相同的專案和區域。不過,負載平衡器可以參照使用不同 VPC 網路的後端,但必須與後端服務位於同一專案。 您可以使用虛擬私有雲網路對等互連、Cloud VPN 通道或 Cloud Interconnect VLAN 連結,設定負載平衡器虛擬私有雲網路與後端虛擬私有雲網路之間的連線。
後端網路定義
- 對於區域 NEG 和混合式 NEG,您在建立 NEG 時會明確指定虛擬私有雲網路。
- 如果是代管執行個體群組,虛擬私有雲網路是在執行個體範本中定義。
- 對於非代管執行個體群組,系統會將執行個體群組的虛擬私有雲網路設為與新增至執行個體群組的第一個 VM 的
nic0介面虛擬私有雲網路相符。
後端網路需求
後端的網路必須符合下列任一網路需求:
後端的虛擬私有雲網路必須與轉送規則的虛擬私有雲網路完全相符。
後端的虛擬私有雲網路必須使用虛擬私有雲網路對等互連,連線至轉送規則的虛擬私有雲網路。您必須設定子網路路徑交換,允許轉送規則虛擬私有雲網路中的僅限 Proxy 子網路,與後端執行個體或端點使用的子網路之間進行通訊。
如果是其他後端類型,所有後端都必須位於同一個虛擬私有雲網路和區域。
後端和網路介面
如果您使用執行個體群組後端,封包一律會傳送至 nic0。如要將封包傳送至非 nic0 介面 (vNIC 或動態網路介面),請改用 NEG 後端。
如果您使用區域 NEG 後端,封包會傳送至 NEG 中端點所代表的任何網路介面。NEG 端點必須與 NEG 明確定義的 VPC 網路位於同一個 VPC 網路。
與後端通訊的通訊協定
為外部 Proxy 網路負載平衡器設定後端服務時,請設定後端服務用來與後端通訊的通訊協定。負載平衡器只會使用您指定的通訊協定,不會嘗試與其他通訊協定交涉建立連線。外部 Proxy 網路負載平衡器僅支援 TCP,可與後端通訊。
防火牆規則
您必須使用下列防火牆規則:
如果是區域性外部 Proxy 網路負載平衡器,則為允許流量從僅限 Proxy 的子網路傳送至後端的輸入防火牆規則。
輸入
allow防火牆規則,允許來自健康狀態檢查探測範圍的流量傳送至後端。如要進一步瞭解健康狀態檢查探測器,以及為何必須允許來自探測器的流量,請參閱「探測器 IP 範圍和防火牆規則」。
防火牆規則是在 VM 執行個體層級實作,而非 GFE Proxy 層級。您無法使用防火牆規則,防止流量傳送至負載平衡器。
這些防火牆規則的通訊埠必須設定如下:
- 允許流量前往每個後端服務健康狀態檢查的目的地通訊埠。
- 如果是執行個體群組後端:請根據後端服務的具名通訊埠與每個執行個體群組中與該具名通訊埠相關聯的通訊埠號碼之間的對應關係,判斷要設定的通訊埠。指派給相同後端服務的執行個體群組,通訊埠編號可能不同。
- 如果是
GCE_VM_IP_PORT NEG區域 NEG 後端:允許流量傳送至端點的通訊埠編號。
來源 IP 位址
後端看到的封包來源 IP 位址「不是」負載平衡器的外部 IP 位址。Trusted Cloud 換句話說,會有兩個 TCP 連線。
區域性外部 Proxy 網路負載平衡器:連線 1:從原始用戶端到負載平衡器 (僅限 Proxy 的子網路):
- 來源 IP 位址:原始用戶端 (或外部 IP 位址,如果用戶端位於 NAT 閘道或轉送 Proxy 後方)。
- 目的地 IP 位址:負載平衡器的 IP 位址。
連線 2:從負載平衡器 (僅限 Proxy 子網路) 到後端 VM 或端點:
來源 IP 位址:僅限 Proxy 的子網路中的 IP 位址,與部署在相同地區和網路的負載平衡器共用。
目的地 IP 位址:虛擬私有雲網路中後端 VM 或容器的內部 IP 位址。
開放的通訊埠
外部 Proxy 網路負載平衡器是反向 Proxy 負載平衡器。這類的負載平衡器會終止連入的連線,然後從負載平衡器開啟連至後端的新連線。這些負載平衡器是透過全球的 Google Front End (GFE) Proxy 實作。
GFE 具有多個開啟的通訊埠,以支援在同一架構上執行的其他 Google 服務。執行通訊埠掃描時,您可能會看到在 GFE 上執行的其他 Google 服務,以及其他開啟的通訊埠。
從稽核角度來看,對以 GFE 為基礎的負載平衡器 IP 位址執行通訊埠掃描並無用處,原因如下:
執行 TCP SYN 探測時,連接埠掃描 (例如使用
nmap) 通常不會預期有任何回應封包或 TCP RST 封包。只有在您已為通訊埠設定轉送規則時,GFE 才會傳送 SYN-ACK 封包來回應 SYN 探查。只有在收到傳送至負載平衡器 IP 位址和轉送規則中設定目的地通訊埠的封包時,GFE 才會將封包傳送至後端。傳送至其他 IP 位址或通訊埠的封包不會傳送至後端。GFE 會實作 Google Cloud Armor 等安全功能。透過 Cloud Armor Standard,GFE 可全天候防範巨流量和通訊協定型 DDoS 攻擊,以及 SYN 洪水攻擊。即使您未明確設定 Cloud Armor,也能享有這項保護措施。只有在設定安全政策或註冊 Managed Protection Plus 時,系統才會向您收費。
傳送至負載平衡器 IP 位址的封包可由 Google 叢集中的任何 GFE 回應;不過,掃描負載平衡器 IP 位址和目的地連接埠組合時,每個 TCP 連線只會查詢單一 GFE。負載平衡器的 IP 位址不會指派給單一裝置或系統。因此,掃描以 GFE 為基礎的負載平衡器 IP 位址,並不會掃描 Google 機群中的所有 GFE。
有鑑於此,以下提供幾種更有效率的稽核方式,可確保後端執行個體的安全性:
安全稽核人員應檢查負載平衡器設定的轉送規則設定。轉送規則會定義負載平衡器接受封包並轉送至後端的目的地通訊埠。如果是以 GFE 為基礎的負載平衡器,每個外部轉送規則只能參照單一目的地 TCP 通訊埠。
安全稽核人員應檢查適用於後端 VM 的防火牆規則設定。您設定的防火牆規則會封鎖 GFE 到後端 VM 的流量,但不會封鎖傳入 GFE 的流量。如需最佳做法,請參閱防火牆規則一節。
共用 VPC 架構
區域性外部 Proxy 網路負載平衡器 支援使用共用 VPC 網路的部署作業。共用虛擬私有雲可讓您明確區隔網路管理員和服務開發人員的職責。開發團隊可以專心在服務專案中建構服務,網路基礎架構團隊則可佈建及管理負載平衡。如果您還不熟悉共用虛擬私有雲,請參閱共用虛擬私有雲總覽說明文件。
| IP 位址 | 轉送規則 | 目標 Proxy | 後端元件 |
|---|---|---|---|
| 外部 IP 位址必須與負載平衡器定義在同一個專案中。 | 外部轉送規則必須在後端執行個體所屬專案 (服務專案) 中定義。 | 目標 TCP Proxy 必須與後端執行個體定義在同一個專案中。 |
對於區域性外部 Proxy 網路負載平衡器,後端 VM 通常位於服務專案中。必須在該服務專案中定義地區後端服務和健康狀態檢查。 |
流量分配
將後端執行個體群組或 NEG 新增至後端服務時,請指定負載平衡模式,定義測量後端負載和目標容量的方法。
如果是外部 Proxy 網路負載平衡器,平衡模式可以是 CONNECTION 或 UTILIZATION:
- 如果負載平衡模式為
CONNECTION,系統會根據後端可處理的連線總數分配負載。 - 如果負載平衡模式為
UTILIZATION,系統會根據執行個體群組中執行個體的使用率分配負載。這個平衡模式僅適用於 VM 執行個體群組後端。
流量在後端之間的分配方式,取決於負載平衡器的平衡模式。
區域性外部 Proxy 網路負載平衡器
如果是區域性外部 Proxy 網路負載平衡器,流量分配會根據負載平衡模式和負載平衡地區政策。
平衡模式會決定應傳送至每個後端 (執行個體群組或 NEG) 的流量權重和比例。負載平衡地區政策 (LocalityLbPolicy) 會決定如何對群組內的後端進行負載平衡。
後端服務收到流量後,會先根據平衡模式將流量導向後端 (執行個體群組或 NEG)。選取後端後,系統會根據負載平衡區域政策,在該後端群組的執行個體或端點之間分配流量。
如要瞭解詳情,請參考下列資源:
工作階段相依性
您可以設定負載平衡器的後端服務,讓工作階段相依性將來自同一個用戶端的所有要求傳送至同一個後端,只要該後端保持良好健康狀態並具有容量即可。
外部 Proxy 網路負載平衡器提供下列類型的工作階段相依性:無
工作階段相依性設定為
NONE「不代表沒有工作階段相依性」。這表示未明確設定任何工作階段相依性選項。一律會執行雜湊作業來選取後端。如果工作階段相依性設定為
NONE,負載平衡器會使用 5 元組雜湊選取後端。5 元組雜湊碼包含來源 IP 位址、來源通訊埠、通訊協定、目的地 IP 位址和目的地通訊埠。預設值為
NONE的工作階段親和性。用戶端 IP 相依性
用戶端 IP 工作階段相依性 (
CLIENT_IP) 是由封包的來源和目的地 IP 位址建立的 2 元組雜湊。只要後端有容量且保持良好健康狀態,用戶端 IP 相依性就會將來自相同用戶端 IP 位址的所有要求轉送至同一個後端。使用用戶端 IP 相依性時,請注意下列事項:
- 只有在封包直接傳送至負載平衡器時,封包目的地 IP 位址才會與負載平衡器轉送規則的 IP 位址相同。
- 如果封包在傳遞至 Trusted Cloud 負載平衡器之前,會先經過中繼 NAT 或 Proxy 系統處理,則封包來源 IP 位址可能與原始用戶端相關聯的 IP 位址不符。如果許多用戶端共用相同的有效來源 IP 位址,部分後端 VM 收到的連線或要求可能會比其他 VM 多。
設定工作階段親和性時,請注意下列事項:
請勿將工作階段親和性用於驗證或安全用途。 只要放送和健康狀態良好的後端數量有變,工作階段相依性就會中斷。詳情請參閱「失去工作階段親和性」。
--session-affinity和--subsetting-policy旗標的預設值都是NONE,且一次只能將其中一個旗標設為不同值。
失去工作階段相依性
所有工作階段相依性選項都必須符合下列條件:
- 選取的後端執行個體或端點必須維持後端設定。發生下列任一事件時,工作階段親和性可能會中斷:
- 從執行個體群組中移除所選執行個體。
- 代管執行個體群組的自動調度資源或自動修復功能,會從代管執行個體群組中移除所選執行個體。
- 從 NEG 移除所選端點。
- 從後端服務中移除包含所選執行個體或端點的執行個體群組或 NEG。
- 所選後端執行個體或端點必須保持正常運作。如果所選執行個體或端點未通過健康狀態檢查,工作階段相依性可能會中斷。
- 如果是全域外部 Proxy 網路負載平衡器和傳統 Proxy 網路負載平衡器,如果後續要求或連線使用不同的第一層 Google Front End (GFE),工作階段親和性可能會在路由路徑變更後中斷。如果網際網路上用戶端到 Google 的路徑在要求或連線之間有所變更,系統可能會選取不同的第一層 GFE。
包含所選執行個體或端點的執行個體群組或 NEG,不得達到目標容量上限。(如果是地區代管執行個體群組,包含所選執行個體的執行個體群組區域元件不得已滿)。如果執行個體群組或 NEG 已滿,但其他執行個體群組或 NEG 未滿,工作階段相依性可能會中斷。使用
UTILIZATION平衡模式時,飽和度可能會以無法預測的方式變化,因此您應使用RATE或CONNECTION平衡模式,盡量避免工作階段相依性中斷。設定的後端執行個體或端點總數必須維持不變。發生下列任一事件時,設定的後端執行個體或端點數量會變更,工作階段親和性可能會中斷:
新增執行個體或端點:
- 將執行個體新增至後端服務上現有的執行個體群組。
- 代管執行個體群組自動調度功能會將執行個體新增至後端服務的代管執行個體群組。
- 將端點新增至後端服務中的現有 NEG。
- 將非空白的執行個體群組或 NEG 新增至後端服務。
移除任何執行個體或端點,不只是所選執行個體或端點:
- 從執行個體群組後端移除任何執行個體。
- 代管執行個體群組的自動調度資源或自動修復功能,會從代管執行個體群組後端移除所有執行個體。
- 從 NEG 後端移除任何端點。
- 從後端服務中移除任何現有的非空白後端執行個體群組或 NEG。
健康狀態良好的後端執行個體或端點總數必須維持不變。發生下列任一事件時,健康狀態良好的後端執行個體或端點數量會變更,工作階段相依性可能會中斷:
- 任何執行個體或端點通過健康狀態檢查,從健康狀態不良轉為健康狀態良好。
- 任何執行個體或端點未通過健康狀態檢查,從健康狀態良好轉為健康狀態不良或逾時。
容錯移轉
外部 Proxy 網路負載平衡器的容錯移轉功能運作方式如下:
- 如果後端健康狀態不佳,系統會自動將流量重新導向至同一區域內健康狀態良好的後端。
- 如果所有後端都不健康,負載平衡器會捨棄流量。
GKE 應用程式的負載平衡
如果您在 Google Kubernetes Engine 中建構應用程式,可以使用獨立的 NEG,直接將流量負載平衡至容器。使用獨立 NEG 時,您必須負責建立會建立 NEG 的 Service 物件,然後將 NEG 與後端服務建立關聯,讓負載平衡器可以連線至 Pod。
如需相關說明文件,請參閱「透過獨立的區域 NEG 使用容器原生負載平衡功能」。
限制
您無法使用Trusted Cloud 控制台 中使用這些負載平衡器。請改用 gcloud CLI 或 API。
使用外部 Proxy 網路負載平衡器時,Trusted Cloud 不會對 TCP 連線的生命週期做出任何保證。用戶端應能因應連線中斷,包括更廣泛的網際網路問題,以及管理連線的 Proxy 定期排定的重新啟動。