Panoramica dei gruppi di endpoint di rete con connettività ibrida

Cloud Load Balancing supporta il bilanciamento del carico del traffico verso endpoint che si estendono oltre Google Cloud, ad esempio data center on-premise e altri cloud pubblici che puoi utilizzare la connettività ibrida per raggiungere.

Una strategia ibrida è una soluzione pragmatica per adattarsi alle mutevoli richieste del mercato e modernizzare gradualmente le applicazioni. Potrebbe trattarsi di un deployment ibrido temporaneo per consentire la migrazione a una soluzione moderna basata sul cloud o di una funzionalità permanente dell'infrastruttura IT della tua organizzazione.

La configurazione del bilanciamento del carico ibrido ti consente anche di sfruttare i vantaggi delle funzionalità di networking di Cloud Load Balancing per i servizi in esecuzione sulla tua infrastruttura esistente al di fuori di Google Cloud.

Il bilanciamento del carico ibrido è supportato sui seguenti bilanciatori del carico: Google Cloud

I servizi on-premise e altri servizi cloud vengono trattati come qualsiasi altro backend di Cloud Load Balancing. La differenza principale è che utilizzi un NEG di connettività ibrida per configurare gli endpoint di questi backend. Gli endpoint devono essere combinazioni IP:port valide che il bilanciatore del carico può raggiungere utilizzando prodotti di connettività ibrida come Cloud VPN, Cloud Interconnect o VM appliance router.

Caso d'uso: routing del traffico verso una posizione on-premise o un altro cloud

Il caso d'uso più semplice per l'utilizzo dei NEG ibridi è il routing del traffico da un bilanciatore del caricoGoogle Cloud a una posizione on-premise o a un altro ambiente cloud. I client possono generare traffico dalla rete internet pubblica, dall'interno di Google Cloud o da un client on-premise.

Client pubblici

Puoi utilizzare un bilanciatore del carico delle applicazioni esterno con un backend NEG ibrido per instradare il traffico dai client esterni a un backend on-premise o in un'altra rete cloud. Puoi anche attivare le seguenti funzionalità di rete a valore aggiunto per i tuoi servizi on-premise o in altre reti cloud:

  • Con il bilanciatore del carico delle applicazioni esterno globale e il bilanciatore del carico delle applicazioni classico, puoi:

    • Utilizza l'infrastruttura perimetrale globale di Google per terminare le connessioni utente più vicino all'utente, riducendo così la latenza.
    • Proteggi il tuo servizio con Google Cloud Armor, un prodotto di sicurezza WAF/DDoS perimetrale disponibile per tutti i servizi a cui si accede tramite un bilanciatore del carico delle applicazioni esterno.
    • Consenti al tuo servizio di ottimizzare la distribuzione utilizzando Cloud CDN. Con Cloud CDN, puoi memorizzare nella cache i contenuti vicini ai tuoi utenti. Cloud CDN fornisce funzionalità come l'annullamento della convalida della cache e gli URL firmati di Cloud CDN.
    • Utilizza i certificati SSL gestiti da Google. Puoi riutilizzare i certificati e le chiavi private che già utilizzi per altri prodotti Google Cloud . In questo modo non è più necessario gestire certificati separati.

    Il seguente diagramma mostra un deployment ibrido con un bilanciatore del carico delle applicazioni esterno.

    Connettività ibrida con un bilanciatore del carico delle applicazioni esterno globale.
    Connettività ibrida con un bilanciatore del carico delle applicazioni esterno globale (fai clic per ingrandire).

    In questo diagramma, il traffico proveniente dai client su internet pubblico entra nella tua rete privata on-premise o cloud tramite un bilanciatore del carico, ad esempio il bilanciatore del carico delle applicazioni esterno. Google Cloud Quando il traffico raggiunge il bilanciatore del carico, puoi applicare servizi edge di rete come la protezione DDoS di Cloud Armor o l'autenticazione utente di Identity-Aware Proxy (IAP).

  • Con il bilanciatore del carico delle applicazioni esterno regionale, puoi instradare il traffico esterno a endpoint che si trovano nella stessa regione Google Cloud delle risorse del bilanciatore del carico. Utilizza questo bilanciatore del carico se devi pubblicare contenuti da una sola geolocalizzazione (ad esempio per soddisfare le normative di conformità) o se vuoi utilizzare il livello di servizio di rete Standard.

Il routing della richiesta (a un backend o a un endpoint on-premise/cloud) dipende dalla configurazione della mappa URL. Google Cloud A seconda della mappa URL, il bilanciatore del carico seleziona un servizio di backend per la richiesta. Se il servizio di backend selezionato è stato configurato con un NEG di connettività ibrida (utilizzato solo per endpoint nonGoogle Cloud ), il bilanciatore del carico inoltra il traffico tramite Cloud VPN, Cloud Interconnect o VM appliance router alla destinazione esterna prevista.

Clienti interni (all'interno di Google Cloud o on-premise)

Puoi anche configurare un deployment ibrido per i client interni a Google Cloud. In questo caso, il traffico client ha origine dalla rete VPCGoogle Cloud , dalla rete on-premise o da un altro cloud e viene indirizzato agli endpoint on-premise o in altre reti cloud.

Il bilanciatore del carico delle applicazioni interno regionale è un bilanciatore del carico regionale, il che significa che può instradare il traffico solo agli endpoint all'interno della stessa regione Google Cloud delle risorse del bilanciatore del carico. Il bilanciatore del carico delle applicazioni interno tra regioni è un bilanciatore del carico multiregionale che può bilanciare il carico del traffico verso i servizi di backend distribuiti a livello globale.

Il seguente diagramma mostra un deployment ibrido con un bilanciatore del carico delle applicazioni interno regionale.

Connettività ibrida con i bilanciatori del carico delle applicazioni interni regionali.
Connettività ibrida con bilanciatori del carico delle applicazioni interni regionali (fai clic per ingrandire).

Caso d'uso: esegui la migrazione al cloud

La migrazione di un servizio esistente al cloud consente di liberare capacità on-premise e ridurre i costi e l'onere di manutenzione dell'infrastruttura on-premise. Puoi configurare temporaneamente un deployment ibrido che ti consente di instradare il traffico sia al tuo servizio on-premise attuale sia a un endpoint di servizioGoogle Cloud corrispondente.

Il seguente diagramma mostra questa configurazione con un bilanciatore del carico delle applicazioni interno.

Esegui la migrazione a Google Cloud.
Esegui la migrazione a Google Cloud (fai clic per ingrandire).

Se utilizzi un bilanciatore del carico delle applicazioni interno per gestire i client interni, puoi configurare il bilanciatore del carico Google Cloud per utilizzare la suddivisione del traffico basata sul peso per suddividere il traffico tra i due servizi. La suddivisione del traffico ti consente di iniziare inviando lo 0% del traffico al servizio Google Cloud e il 100% al servizio on-premise. Puoi quindi aumentare gradualmente la percentuale di traffico inviato al servizio Google Cloud . Alla fine, invii il 100% del traffico al servizio Google Cloud e puoi ritirare il servizio on-premise.

Architettura ibrida

Questa sezione descrive l'architettura di bilanciamento del carico e le risorse necessarie per configurare un deployment di bilanciamento del carico ibrido.

I servizi on-premise e altri servizi cloud sono come qualsiasi altro backend diCloud Load Balancingo. La differenza principale è che utilizzi un NEG di connettività ibrida per configurare gli endpoint di questi backend. Gli endpoint devono essere combinazioni IP:port valide che i tuoi client possono raggiungere tramite connettività ibrida, ad esempio Cloud VPN, Cloud Interconnect o una VM appliance router.

I seguenti diagrammi mostrano le risorse richieste per attivare il bilanciamento del carico ibrido per i bilanciatori del carico delle applicazioni esterni e i bilanciatori del carico delle applicazioni interni regionali. Google Cloud

HTTP(S) esterno globale

Risorse del bilanciatore del carico delle applicazioni esterno globale per la connettività ibrida.
Risorse del bilanciatore del carico delle applicazioni esterno globale per la connettività ibrida (fai clic per ingrandire).

HTTP(S) esterno regionale

Risorse del bilanciatore del carico delle applicazioni esterno regionale per la connettività ibrida.
Risorse del bilanciatore del carico delle applicazioni esterno regionale per la connettività ibrida (fai clic per ingrandire).

HTTP(S) interno regionale

Risorse del bilanciatore del carico delle applicazioni interno regionale per la connettività ibrida.
Risorse del bilanciatore del carico delle applicazioni interno regionale per la connettività ibrida (fai clic per ingrandire).

Proxy interno regionale

Risorse del bilanciatore del carico di rete proxy interno regionale per la connettività ibrida.
Risorse del bilanciatore del carico di rete proxy interno regionale per la connettività ibrida (fai clic per ingrandire).

A livello di regione e globale

Il routing di Cloud Load Balancing dipende dall'ambito del bilanciatore del carico configurato:

Bilanciatore del carico delle applicazioni esterno e bilanciatore del carico di rete proxy esterno. Questi bilanciatori del carico possono essere configurati per il routing globale o regionale a seconda del livello di rete utilizzato. Crea il backend NEG ibrido del bilanciatore del carico nella stessa rete e regione in cui è stata configurata la connettività ibrida. Anche gli endpoint nonGoogle Cloud devono essere configurati di conseguenza per sfruttare il bilanciamento del carico basato sulla prossimità.

Bilanciatore del carico delle applicazioni interno tra regioni e bilanciatore del carico di rete proxy interno tra regioni. Si tratta di un bilanciatore del carico multiregionale che può bilanciare il carico del traffico verso i servizi di backend distribuiti a livello globale. Crea il backend NEG ibrido del bilanciatore del carico nella stessa rete e regione in cui è stata configurata la connettività ibrida. Anche gli endpoint nonGoogle Cloud devono essere configurati di conseguenza per sfruttare il bilanciamento del carico basato sulla prossimità.

Bilanciatore del carico delle applicazioni interno regionale e bilanciatore del carico di rete proxy interno regionale. Si tratta di bilanciatori del carico regionali. ovvero possono instradare il traffico solo verso endpoint all'interno della stessa regione del bilanciatore del carico. I componenti del bilanciatore del carico devono essere configurati nella stessa regione in cui è stata configurata la connettività ibrida. Per impostazione predefinita, anche i client che accedono al bilanciatore del carico devono trovarsi nella stessa regione. Tuttavia, se abiliti l'accesso globale, i client di qualsiasi regione possono accedere al bilanciatore del carico.

Ad esempio, se il gateway Cloud VPN o il collegamento VLAN Cloud Interconnect è configurato in REGION_A, le risorse richieste dal bilanciatore del carico (ad esempio un servizio di backend, un NEG ibrido o una regola di forwarding) devono essere create nella regione REGION_A. Per impostazione predefinita, i client che accedono al bilanciatore del carico devono trovarsi anche nella regione REGION_A. Tuttavia, se abiliti l'accesso globale, i client di qualsiasi regione possono accedere al bilanciatore del carico.

Requisiti per la connettività di rete

Prima di configurare un deployment di bilanciamento del carico ibrido, devi configurare le seguenti risorse:

  • Google Cloud Rete VPC. Una rete VPC configurata all'interno di Google Cloud. Questa è la rete VPC utilizzata per configurare Cloud Interconnect/Cloud VPN e router Cloud. Si tratta anche della stessa rete in cui creerai le risorse di bilanciamento del carico (regola di forwarding, proxy di destinazione, servizio di backend e così via). Gli indirizzi IP e gli intervalli di indirizzi IP on-premise, di altri cloud e di subnet non devono sovrapporsi. Google Cloud Quando gli indirizzi IP si sovrappongono, le route di subnet hanno la priorità sulla connettività remota.

  • Connettività ibrida. Google Cloud e gli ambienti on-premise o altri cloud devono essere connessi tramite connettività ibrida, utilizzando i collegamenti VLAN di Cloud Interconnect, i tunnel Cloud VPN con router Cloud o le VM appliance router. Ti consigliamo di utilizzare una connessione ad alta disponibilità. Un router Cloud abilitato con il routing dinamico globale apprende l'endpoint specifico utilizzando BGP e lo programma nella tua rete VPCGoogle Cloud . Il routing dinamico regionale non è supportato. Anche le route statiche non sono supportate.

    Cloud Interconnect/Cloud VPN/appliance router deve essere configurato nella stessa rete VPC che intendi utilizzare per il deployment del bilanciamento del carico ibrido. Il router Cloud deve anche annunciare le seguenti route al tuo ambiente on-premise:

    • Intervalli utilizzati dalle sonde di controllo di integrità di Google: 35.191.0.0/16 e 130.211.0.0/22. Questo è necessario per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici, i bilanciatori del carico di rete con proxy esterno globali e i bilanciatori del carico di rete con proxy classici.

    • L'intervallo della subnet solo proxy della regione: per i bilanciatori del carico basati su Envoy, ovvero bilanciatori del carico delle applicazioni esterni regionali, bilanciatori del carico delle applicazioni interni regionali, bilanciatori del carico delle applicazioni interni tra regioni, bilanciatori del carico di rete proxy esterni regionali, bilanciatori del carico di rete proxy interni tra regioni, e bilanciatori del carico di rete proxy interni regionali.

      La subnet solo proxy della regione pubblicitaria è necessaria anche per il funzionamento dei controlli di integrità Envoy distribuiti. Il controllo di integrità distribuito di Envoy è il meccanismo di controllo di integrità predefinito per i NEG di connettività ibrida a livello di zona (ovvero gli endpoint NON_GCP_PRIVATE_IP_PORT) dietro i bilanciatori del carico basati su Envoy.

    Puoi utilizzare la stessa rete o una rete VPC diversa all'interno dello stesso progetto per configurare sia il networking ibrido (Cloud Interconnect o Cloud VPN) sia il bilanciatore del carico. Tieni presente quanto segue:

    • Se utilizzi reti VPC diverse, le due reti devono essere connesse tramite il peering di rete VPC oppure devono essere spoke VPC nello stesso hub Network Connectivity Center.

    • Se utilizzi la stessa rete VPC, assicurati che gli intervalli CIDR delle subnet della rete VPC non siano in conflitto con gli intervalli CIDR remoti. Quando gli indirizzi IP si sovrappongono, le route di subnet hanno la priorità sulla connettività remota.

  • Endpoint di rete (IP:Port) on-premise o in altri cloud. Uno o più endpoint di rete IP:Port configurati all'interno dei tuoi ambienti on-premise o di altri cloud, instradabili utilizzando Cloud Interconnect, Cloud VPN o una VM appliance router. Se esistono più percorsi per l'endpoint IP, il routing seguirà il comportamento descritto nella panoramica delle route VPC e nella panoramica di Cloud Router.

  • Regole firewall nel tuo cloud on-premise o in un altro cloud. Nel tuo ambiente on-premise o in un altro ambiente cloud devono essere create le seguenti regole firewall:

    • Regole firewall di autorizzazione in entrata per consentire il traffico dai probe di controllo di integrità di Google ai tuoi endpoint. Gli intervalli da consentire sono: 35.191.0.0/16 e 130.211.0.0/22. Tieni presente che questi intervalli devono essere pubblicizzati anche da router Cloudr alla tua rete on-premise. Per maggiori dettagli, vedi Intervalli IP probe e regole firewall.
    • Regole firewall di autorizzazione in entrata per consentire al traffico bilanciato di raggiungere gli endpoint.
    • Per i bilanciatori del carico basati su Envoy: bilanciatori del carico delle applicazioni esterni regionali, bilanciatori del carico delle applicazioni interni regionali, bilanciatori del carico delle applicazioni interni cross-region,bilanciatori del carico di rete proxy esterni regionali, bilanciatori del carico di rete proxy interni cross-region e bilanciatori del carico di rete proxy interni regionali, devi anche creare una regola firewall per consentire al traffico dellasubnet solo proxy della regione di raggiungere gli endpoint on-premise o in altri ambienti cloud.

Componenti del bilanciatore del carico

A seconda del tipo di bilanciatore del carico, puoi configurare un deployment di bilanciamento del carico ibrido utilizzando i livelli Standard o Premium di Network Service Tiers.

Un bilanciatore del carico ibrido richiede una configurazione speciale solo per il servizio di backend. La configurazione del frontend è la stessa di qualsiasi altro bilanciatore del carico. I bilanciatori del carico basati su Envoy, ovvero i bilanciatori del carico delle applicazioni esterni regionali, i bilanciatori del carico delle applicazioni interni regionali, i bilanciatori del carico delle applicazioni interni tra regioni, i bilanciatori del carico di rete proxy esterni regionali, i bilanciatori del carico di rete proxy interni tra regioni, e i bilanciatori del carico di rete proxy interni regionali, richiedono una subnet solo proxy aggiuntiva per eseguire i proxy Envoy per tuo conto.

Configurazione frontend

Per il bilanciamento del carico ibrido non è necessaria alcuna configurazione speciale del frontend. Le regole di forwarding vengono utilizzate per instradare il traffico verso un proxy di destinazione in base a indirizzo IP, porta e protocollo. Il proxy di destinazione termina quindi le connessioni dai client.

Le mappe URL vengono utilizzate dai bilanciatori del carico HTTP(S) per configurare il routing basato su URL delle richieste ai servizi di backend appropriati.

Per ulteriori dettagli su ciascuno di questi componenti, consulta le sezioni sull'architettura delle panoramiche dei bilanciatori del carico specifici:

Servizio di backend

I servizi di backend forniscono informazioni di configurazione al bilanciatore del carico. I bilanciatori del carico utilizzano le informazioni in un servizio di backend per indirizzare il traffico in entrata a uno o più backend collegati.

Per configurare un deployment di bilanciamento del carico ibrido, configura il bilanciatore del carico con backend sia all'interno di Google Cloudsia all'esterno di Google Cloud.

  • Backend non-Google Cloud (on-premise o altro cloud)

    Qualsiasi destinazione raggiungibile utilizzando i prodotti di connettività ibrida di Google (Cloud VPN, Cloud Interconnect o VM appliance router) e raggiungibile con una combinazione IP:Port valida può essere configurata come endpoint per il bilanciatore del carico.

    Configura i backend nonGoogle Cloud nel seguente modo:

    1. Aggiungi ogni combinazione di IP:Port dell'endpoint di rete nonGoogle Cloud a un gruppo di endpoint di rete (NEG) con connettività ibrida. Assicurati che questo indirizzo IP e questa porta siano raggiungibili da Google Cloud utilizzando la connettività ibrida (tramite Cloud VPN, Cloud Interconnect o VM appliance router). Per i NEG di connettività ibrida, imposta il tipo di endpoint di rete su NON_GCP_PRIVATE_IP_PORT.
    2. Durante la creazione del NEG, specifica una Google Cloud zona che riduca al minimo la distanza geografica tra Google Cloud e il tuo ambiente on-premise o un altro ambiente cloud. Ad esempio, se ospiti un servizio in un ambiente on-premise a Francoforte, in Germania, puoi specificare la zona europe-west3-a Google Cloud quando crei il gruppo di elenchi di esclusione.

    3. Aggiungi questo NEG di connettività ibrida come backend per il servizio di backend.

      Un NEG di connettività ibrida deve includere solo endpoint nonGoogle Cloud. Il traffico potrebbe essere eliminato se un NEG ibrido include endpoint per risorse all'interno di una rete VPC, ad esempio indirizzi IP di regola di forwarding per bilanciatori del carico di rete passthrough interni. Google Cloud Configura gli endpoint Google Cloud come indicato nella sezione successiva.

  • Google Cloud backend

    Configura i tuoi Google Cloud endpoint nel seguente modo:

    1. Crea un servizio di backend separato per i backend Google Cloud .
    2. Configura più backend (NEG zonali GCE_VM_IP_PORT o gruppi di istanze) all'interno della stessa regione in cui hai configurato la connettività ibrida.

Altri punti da considerare:

  • Ogni NEG di connettività ibrida può contenere solo endpoint di rete dello stesso tipo (NON_GCP_PRIVATE_IP_PORT).

  • Puoi utilizzare un singolo servizio di backend per fare riferimento sia ai backend basati suGoogle Cloud(utilizzando i NEG di zona con endpoint GCE_VM_IP_PORT) sia ai backend on-premise o di altri cloud (utilizzando i NEG di connettività ibrida con endpoint NON_GCP_PRIVATE_IP_PORT). Non è consentita nessun'altra combinazione di tipi di backend misti. Cloud Service Mesh non supporta tipi di backend misti in un singolo servizio di backend.

  • Lo schema di bilanciamento del carico del servizio di backend deve essere uno dei seguenti:

    • EXTERNAL_MANAGED per bilanciatori del carico delle applicazioni esterni globali, bilanciatori del carico delle applicazioni esterni regionali, bilanciatori del carico di rete proxy esterni globali e bilanciatori del carico di rete proxy esterni regionali

    • EXTERNAL per i bilanciatori del carico delle applicazioni classici e i bilanciatori del carico di rete proxy classici

    • INTERNAL_MANAGED per i bilanciatori del carico delle applicazioni interni e i bilanciatori del carico di rete proxy interni

    INTERNAL_SELF_MANAGED è supportato per i deployment multi-ambiente di Cloud Service Mesh con NEG di connettività ibrida.

  • Il protocollo del servizio di backend deve essere HTTP, HTTPS o HTTP2 per i bilanciatori del carico delle applicazioni e TCP o SSL per i bilanciatori del carico di rete proxy. Per l'elenco dei protocolli del servizio di backend supportati da ciascun bilanciatore del carico, consulta Protocolli dal bilanciatore del carico al backend.

  • La modalità di bilanciamento per il backend NEG ibrido deve essere RATE per i bilanciatori del carico delle applicazioni e CONNECTION per i bilanciatori del carico di rete proxy. Per informazioni dettagliate sulle modalità di bilanciamento, vedi Panoramica dei servizi di backend.

  • Per aggiungere altri endpoint di rete, aggiorna i backend collegati al servizio di backend.

  • Se utilizzi i controlli di integrità Envoy distribuiti con i backend NEG di connettività ibrida (supportati solo per i bilanciatori del carico basati su Envoy), assicurati di configurare endpoint di rete unici per tutti i NEG collegati allo stesso servizio di backend. L'aggiunta dello stesso endpoint di rete a più NEG comporta un comportamento indefinito.

Controlli di integrità centralizzati

I controlli di integrità centralizzati, quando si utilizzano NEG ibridi, sono necessari per i bilanciatori del carico delle applicazioni esterni globali, i bilanciatori del carico delle applicazioni classici, i bilanciatori del carico di rete con proxy esterno globali e i bilanciatori del carico di rete con proxy classici. Altri bilanciatori del carico basati su Envoy utilizzano controlli di integrità Envoy distribuiti come descritto nella sezione seguente.

Per gli endpoint NON_GCP_PRIVATE_IP_PORT esterni a Google Cloud, crea regole firewall nelle tue reti on-premise e in altri cloud. Contatta l'amministratore di rete per risolvere il problema. Il router Cloud utilizzato per la connettività ibrida deve anche annunciare gli intervalli utilizzati dai probe di controllo dell'integrità di Google. Gli intervalli da pubblicizzare sono 35.191.0.0/16 e 130.211.0.0/22.

Per altri tipi di backend in Google Cloud, crea regole firewall su Google Cloud come mostrato in questo esempio.

Documentazione correlata:

Controlli di integrità di Envoy distribuiti

La configurazione del controllo di integrità varia a seconda del tipo di bilanciatore del carico:

  • Bilanciatore del carico delle applicazioni esterno globale, bilanciatore del carico delle applicazioni classico, bilanciatore del carico di rete proxy esterno globale e bilanciatore del carico di rete proxy classico. Questi bilanciatori del carico non supportano i controlli di integrità distribuiti di Envoy. Utilizzano il meccanismo di controllo di integrità centralizzato di Google, come descritto nella sezione Controlli di integrità centralizzati.

  • Bilanciatore del carico delle applicazioni esterno regionale, bilanciatore del carico delle applicazioni interno regionale, bilanciatore del carico di rete proxy esterno regionale, bilanciatore del carico di rete proxy interno regionale , bilanciatore del carico di rete proxy interno tra regioni e bilanciatore del carico delle applicazioni interno tra regioni. Questi bilanciatori del carico utilizzano controlli di integrità Envoy distribuiti per verificare l'integrità dei NEG ibridi. I probe del controllo di integrità provengono dal software proxy Envoy stesso. Ogni servizio di backend deve essere associato a un controllo di integrità che verifichi l'integrità dei backend. I probe del controllo di integrità provengono dai proxy Envoy nella subnet solo proxy nella regione. Affinché i probe di controllo di integrità funzionino correttamente, devi creare regole firewall nell'ambiente esterno che consentano al traffico dalla subnet solo proxy di raggiungere i backend esterni.

    Per gli endpoint NON_GCP_PRIVATE_IP_PORT esterni a Google Cloud, devi creare queste regole firewall nelle tue reti on-premise e in altri cloud. Contatta l'amministratore di rete per questa operazione. Il router Cloud che utilizzi per la connettività ibrida deve anche annunciare l'intervallo di subnet solo proxy della regione.

I controlli di integrità di Envoy distribuiti vengono creati utilizzando gli stessi processi di consoleGoogle Cloud , gcloud CLI e API dei controlli di integrità centralizzati. Non è necessaria alcuna altra configurazione.

Aspetti da considerare:

  • I controlli di integrità gRPC non sono supportati.
  • I controlli di integrità con il protocollo PROXY v1 abilitato non sono supportati.
  • Se utilizzi NEG misti in cui un singolo servizio di backend ha una combinazione di NEG di zona (endpoint GCE_VM_IP_PORT all'interno diGoogle Cloud) e NEG ibridi (endpoint NON_GCP_PRIVATE_IP_PORT all'esterno di Google Cloud), devi configurare regole firewall per consentire il traffico dagli intervalli IP di probe di controllo di integrità dell'integrità di Google (130.211.0.0/22 e 35.191.0.0/16) agli endpoint NEG di zona suGoogle Cloud. Questo perché i NEG di zona utilizzano il sistema di controllo di integrità centralizzato di Google.

  • Poiché il piano dati Envoy gestisce i controlli di integrità, non puoi utilizzare la consoleGoogle Cloud , l'API o gcloud CLI per controllare lo stato di integrità di questi endpoint esterni. Per i NEG ibridi con bilanciatori del carico basati su Envoy, la console Google Cloud mostra lo stato del controllo di integrità comeN/A. È previsto.

  • Ogni proxy Envoy assegnato alla subnet solo proxy nella regione della rete VPC avvia i controlli di integrità in modo indipendente. Pertanto, potresti notare un aumento del traffico di rete a causa del controllo di integrità. L'aumento dipende dal numero di proxy Envoy assegnati alla tua rete VPC in una regione, dalla quantità di traffico ricevuta da questi proxy e dal numero di endpoint che ogni proxy Envoy deve controllare. Nel peggiore dei casi, il traffico di rete dovuto ai controlli di integrità aumenta a una velocità quadratica (O(n^2)).

  • I log dei controlli di integrità per i controlli di integrità Envoy distribuiti non includono stati di integrità dettagliati. Per informazioni dettagliate su cosa viene registrato, vedi Registrazione dei controlli di integrità. Per risolvere ulteriormente i problemi di connettività dai proxy Envoy agli endpoint NEG, devi controllare anche i log del bilanciatore del carico corrispondente.

Documentazione correlata:

Limitazioni

  • Il router Cloud utilizzato per la connettività ibrida deve essere abilitato con il routing dinamico globale. Il routing dinamico regionale e le route statiche non sono supportati.
  • Per i bilanciatori del carico regionali basati su Envoy (bilanciatori del carico delle applicazioni esterni regionali, bilanciatori del carico di rete proxy esterni regionali, bilanciatori del carico di rete proxy interni regionali e bilanciatori del carico delle applicazioni interni regionali), la connettività ibrida deve essere configurata nella stessa regione del bilanciatore del carico. Se sono configurati in regioni diverse, potresti vedere i backend come integri, ma le richieste client non verranno inoltrate ai backend.

  • Le considerazioni per le connessioni criptate dal bilanciatore del carico ai backend documentate qui si applicano anche agli endpoint di backend nonGoogle Cloud configurati nel NEG di connettività ibrida.

    Assicurati di controllare anche le impostazioni di sicurezza nella configurazione della connettività ibrida. Le connessioni VPN ad alta disponibilità sono criptate per impostazione predefinita (IPsec). Le connessioni Cloud Interconnect non sono criptate per impostazione predefinita. Per maggiori dettagli, consulta il white paper Crittografia in transito.

Logging

Le richieste sottoposte a proxy a un endpoint in un NEG ibrido vengono registrate in Cloud Logging nello stesso modo in cui vengono registrate le richieste per altri backend. Se abiliti Cloud CDN per il bilanciatore del carico delle applicazioni esterno globale, vengono registrati anche gli hit della cache.

Per ulteriori informazioni, vedi:

Quota

Puoi configurare tutti i NEG ibridi con endpoint di rete consentiti dalla quota del gruppo di endpoint di rete esistente. Per saperne di più, vedi Backend NEG ed Endpoint per NEG.

Passaggi successivi