本頁說明透過已連線的網路存取虛擬私有雲 (VPC) 網路內部負載平衡器的各種情況。在查看本頁資訊之前,請先熟悉下列指南中的概念:
使用虛擬私有雲網路對等互連
當您透過虛擬私人雲端網路對等互連,將您的虛擬私人雲端網路連線至另一個網路時,Google Cloud 會在網路之間共用子網路路徑。子網路路徑可允許來自對等互連網路的流量到達您網路的內部負載平衡器。只要符合下列條件,即可獲得存取權:
- 您可以建立輸入防火牆規則,允許來自對等互連網路中用戶端 VM 的流量。使用虛擬私人雲端網路對等互連時, Google Cloud 防火牆規則不會在網路之間共用。
- 針對區域性內部應用程式負載平衡器,對等互連網路中的用戶端虛擬機器 (VM) 執行個體必須與內部負載平衡器位在相同地區。如果您設定全球存取權,則可以略過這項限制。
您無法使用 VPC 網路對等互連,只選擇性地共用某些內部直通式網路負載平衡器、區域性內部 Proxy 網路負載平衡器或內部應用程式負載平衡器。所有內部負載平衡器都會自動共用。您可以使用適用於後端 VM 執行個體的輸入防火牆規則,限制負載平衡器的後端存取權。
使用 Cloud VPN 和 Cloud Interconnect
如果對等互連網路是透過 Cloud VPN 通道或專屬互連網路連線或合作夥伴互連網路的 VLAN 連結建立連線,您就可以存取當中的內部負載平衡器。對等互連網路可以是內部部署網路、另一個 Google Cloud虛擬私有雲網路,或是由其他雲端供應商託管的虛擬網路。
透過 Cloud VPN 通道存取
當符合下列所有條件時,您可以透過 Cloud VPN 通道存取內部負載平衡器:
在內部負載平衡器的網路中
- 停用全球存取權時,Cloud VPN 閘道和通道都必須位於與負載平衡器相同的區域。如果在負載平衡器的轉送規則中啟用全域存取權,這項限制就會解除。
路徑必須提供從負載平衡器後端到用戶端所在內部部署或對等網路的回應路徑。如果您使用的是含有動態轉送功能的 Cloud VPN 通道,請考慮使用負載平衡器 Cloud VPN 網路的動態轉送模式。動態轉送模式會決定負載平衡器的後端可使用的自訂動態路徑。
您必須設定輸入允許防火牆規則,並使用內部部署來源 IP 位址範圍,以便內部部署用戶端將封包傳送至負載平衡器。這些防火牆規則的目標必須包含負載平衡器的後端。詳情請參閱「目標和 IP 位址」。
在對等互連網路中
對等互連網路必須至少有一個 Cloud VPN 通道,且該通道有路由可連往定義內部負載平衡器的子網路。
如果對等互連網路是另一個 Google Cloud 虛擬私有雲網路:
對等互連網路的 Cloud VPN 閘道和通道可位於任何地區。
如果是使用動態轉送的 Cloud VPN 通道,VPC 網路的動態轉送模式會決定各地區的用戶端可使用的路徑。如要為所有地區的用戶提供一致的自訂動態路徑組合,請使用全域動態轉送模式。
確認內部部署或對等互連網路防火牆允許傳送至負載平衡器轉送規則 IP 位址的封包。確認內部部署或對等網路防火牆允許從負載平衡器轉送規則的 IP 位址接收回應封包。
下圖概要說明透過 Cloud VPN 閘道及其相關通道存取內部負載平衡器時的主要概念。Cloud VPN 會使用 Cloud VPN 通道,將地端部署網路安全地連線至Google Cloud VPC 網路。
請注意下列與本範例相關的設定元素:
- 在
lb-network中,已設定使用動態轉送的 Cloud VPN 通道。VPN 通道、閘道和 Cloud Router 都位於 REGION_A 中,也就是內部負載平衡器的元件所在地區。 - 允許輸入的防火牆規則已設定為套用至執行個體群組 A 和 B 中的後端 VM,以便透過虛擬私有雲網路和內部部署網路的 IP 位址 (
10.1.2.0/24和192.168.1.0/24) 接收流量。由於沒有建立任何拒絕輸出的防火牆規則,因此系統會套用默示允許輸出規則。 - 從內部部署網路的用戶端 (包括從
192.168.1.0/24) 傳送至內部負載平衡器10.1.2.99的 IP 位址的封包,會根據已設定的工作階段相依性,直接交付給健康狀態良好的後端 VM (例如vm-a2)。 - 來自後端 VM (例如
vm-a2) 的回應會透過 VPN 通道傳送至內部部署用戶端。
如要排解 Cloud VPN 問題,請參閱Cloud VPN 疑難排解。
透過 Cloud Interconnect 存取
當內部負載平衡器的網路符合下列所有條件時,您可以透過連線到負載平衡器所屬虛擬私人雲端網路的內部部署對等互連網路存取該負載平衡器:
停用全域存取權時,VLAN 連結和 Cloud Router 都必須與負載平衡器位於相同的地區。如果在負載平衡器的轉送規則中啟用全域存取權,這項限制就會解除。
內部部署路由器必須提供從負載平衡器後端到內部部署網路的回應路徑。專屬互連網路和合作夥伴互連網路的 VLAN 連結都必須使用 Cloud Router,因此自訂動態路徑會提供回應路徑。他們學習到的自訂動態路徑組合,取決於負載平衡器網路的動態轉送模式。
請確認內部部署防火牆允許將封包傳送至負載平衡器轉送規則的 IP 位址。確認內部部署防火牆允許從負載平衡器轉送規則的 IP 位址接收回應封包。
- 您必須設定輸入允許防火牆規則,並使用內部部署來源 IP 位址範圍,以便內部部署用戶端將封包傳送至負載平衡器。這些防火牆規則的目標必須是負載平衡器的後端。詳情請參閱「目標和 IP 位址」。
透過 Cloud VPN 和 Cloud Interconnect 使用全球存取功能
根據預設,用戶端必須位於同一個網路中,或是位於透過 虛擬私有雲網路對等互連連線的虛擬私有雲網路中。您可以啟用全域存取權,讓任何區域的用戶端都能存取負載平衡器。
啟用全球存取權後,下列資源可位於任何區域:- Cloud Router
- Cloud VPN 閘道和通道
- VLAN 連結
在圖表中:
- 負載平衡器的前端和後端位於
REGION_A區域。 - Cloud Router 位於
REGION_B地區。 - Cloud Router 會與內部部署 VPN 路由器對等互連。
- 邊界閘道通訊協定 (BGP) 對等連線工作階段可以透過 Cloud VPN 或 Cloud Interconnect 與直接對等連線或合作夥伴互連網路連線。
將 VPC 網路的動態轉送模式設為 global,即可讓 REGION_B 中的 Cloud Router 為負載均衡器 VPC 網路的任何地區中的子網路通告子網路路徑。
多個輸出路徑
在實際工作環境中,您應使用多個 Cloud VPN 通道或 VLAN 連結來執行備援。本節將說明使用多個通道或 VLAN 連結時的需求。
在下圖中,有兩個 Cloud VPN 通道將 lb-network 連線至內部部署網路。儘管此處使用的是 Cloud VPN 通道,但相同的原理也適用於 Cloud Interconnect。
您必須將每個通道或每個 VLAN 連結設為與內部負載平衡器位於相同地區。如果您已啟用全域存取權,則可免除這項規定。
多個通道或 VLAN 連結可提供額外頻寬,也可做為備用路徑以供備援。
請注意下列幾點:
- 如果內部部署網路有兩個優先順序相同的路徑,每個路徑的目的地都是
10.1.2.0/24,且下一個躍點對應至與內部負載平衡器位於同一個地區的不同 VPN 通道,則可使用等價多路徑 (ECMP),將流量從內部部署網路 (192.168.1.0/24) 傳送至負載平衡器。 - 封包傳送至虛擬私人雲端網路之後,內部負載平衡器會根據已設定的工作階段相依性,將封包分配到後端 VM。
- 如果
lb-network具有兩個路徑,每個路徑的目的地均為192.168.1.0/24,且下一個躍點對應至不同的 VPN 通道,則來自後端 VM 的回應可以根據網路中的路徑優先順序,透過各個通道傳送。如果採用的是不同的路徑優先順序,則其中一個通道可做為另一個通道的備援。如果採用的是相同優先順序,則會使用 ECMP 傳送回應。 - 來自後端 VM (例如
vm-a2) 的回應會透過適當的通道,直接傳送至內部部署用戶端。從lb-network的角度來看,如果路徑或 VPN 通道發生變更,流量可能會透過其他通道輸出。這樣一來,如果進行中的連線中斷,則可能導致 TCP 工作階段重設。
後續步驟
- 如要設定及測試內部直通式網路負載平衡器,請參閱這篇文章,瞭解如何設定內部直通式網路負載平衡器。