Proxy Network Load Balancer 是第 4 層反向 Proxy 負載平衡器,可將 TCP 流量分配至 Google Cloud 虛擬私有雲 (VPC) 網路或其他雲端環境中的後端。流量會在負載平衡層終止,然後使用 TCP 轉送至最近的可用後端。
Proxy Network Load Balancer 僅適用於 TCP 流量,不論是否搭配 SSL 皆可。對於 HTTP(S) 流量,建議改用應用程式負載平衡器。
Proxy 網路負載平衡器支援下列功能:
- 支援所有通訊埠。這些負載平衡器允許任何有效的 1 到 65535 通訊埠。詳情請參閱「連接埠規格」。
- 重新對應通訊埠負載平衡器轉送規則使用的通訊埠,不必與連線至後端時使用的通訊埠相符。舉例來說,轉送規則可以使用 TCP 通訊埠 80,而連線至後端的連線則可以使用 TCP 通訊埠 8080。
- 轉送原始來源 IP 位址。您可以使用 PROXY 通訊協定,將用戶端的來源 IP 位址和通訊埠資訊轉送至負載平衡器後端。
下圖為 Proxy Network Load Balancer 架構的範例。
Proxy 網路負載平衡器可在下列部署模式中使用:
外部 Proxy 網路負載平衡器:為來自網際網路用戶端的流量進行負載平衡。如需架構詳細資訊,請參閱「外部 Proxy 網路負載平衡器架構」。
部署模式 網路服務級別 負載平衡架構 † IP 位址 前端通訊埠 全域外部 進階級 EXTERNAL_MANAGED IPv4
IPv6只能參照 1 至 65535 之間的其中一個通訊埠 傳統版 全球性進階級
標準級地區性
EXTERNAL IPv4
IPv6 (需要進階級)區域外部 進階或標準級 EXTERNAL_MANAGED IPv4 內部 Proxy 網路負載平衡器:負載平衡 VPC 網路或已連線至 VPC 網路的網路內流量。如需架構詳細資料,請參閱「內部 Proxy 網路負載平衡器架構」。
部署模式 網路服務級別 負載平衡架構 † IP 位址 前端通訊埠 區域內部 進階級 INTERNAL_MANAGED IPv4 只能參照 1 至 65535 之間的其中一個通訊埠 跨區域內部 進階級 INTERNAL_MANAGED IPv4
†負載平衡架構是負載平衡器的轉送規則和後端服務的屬性,用於指明負載平衡器可否處理內部或外部流量。負載平衡架構中的 *_MANAGED 一詞表示負載平衡器已在 Google Front Ends (GFE) 上做為代管服務導入,或已在開放原始碼 Envoy Proxy 上做為代管服務導入。在 *_MANAGED 的負載平衡架構中,系統會將要求轉送至 GFE 或 Envoy Proxy。
外部 Proxy 網路負載平衡器
外部 Proxy 網路負載平衡器會將來自網際網路的流量分配至 Google Cloud VPC 網路、內部部署或其他雲端環境中的後端。這些負載平衡器可在下列任一模式中部署:全域、區域或傳統。
外部 Proxy 網路負載平衡器支援下列功能:
- IPv6 終止功能外部負載平衡器支援用戶端流量的 IPv4 和 IPv6 位址。用戶端的 IPv6 要求會在負載平衡層終止,透過 IPv4 進行 Proxy 處理後,再傳送至後端。
- TLS/SSL 卸載。您可以選擇使用全域外部 Proxy 網路負載平衡器或傳統 Proxy 網路負載平衡器,透過 SSL Proxy 在負載平衡層卸載 TLS。新連線會使用 SSL (建議) 或 TCP,將流量轉送至最近的可用後端。
- 更有效地利用後端。如果使用的加密方式無法發揮 CPU 效率,SSL 處理作業可能會耗費大量 CPU 資源。如要發揮 CPU 最佳效能,請使用 ECDSA SSL 憑證和 TLS 1.2,並優先選擇負載平衡器和後端執行個體之間的 SSL
ECDHE-ECDSA-AES128-GCM-SHA256加密套件。 - SSL 政策。SSL 政策可讓您控管負載平衡器與用戶端交涉的 SSL 功能。
- 更有效地利用後端。如果使用的加密方式無法發揮 CPU 效率,SSL 處理作業可能會耗費大量 CPU 資源。如要發揮 CPU 最佳效能,請使用 ECDSA SSL 憑證和 TLS 1.2,並優先選擇負載平衡器和後端執行個體之間的 SSL
- 與 Google Cloud Armor 整合:您可以使用 Google Cloud Armor 安全性政策保護基礎架構,不受分散式阻斷服務 (DDoS) 攻擊和其他鎖定攻擊的侵擾。
- 對 TLS 終止位置進行地理位置控制。負載平衡器終止 TLS 的位置分散在世界各地,這樣可縮短用戶端與負載平衡器之間的延遲。如果需要對 TLS 終止位置進行地理位置控制,您可以使用標準網路級別強制負載平衡器只在位於特定地區的後端終止 TLS。詳情請參閱「設定標準層級」。
- 支援 App Hub。區域性外部 Proxy 網路負載平衡器使用的資源,可在 App Hub 中指定為服務,這項功能目前為預覽版。
在下圖中,來自 A 市和 B 市使用者的流量會在負載平衡層終止,並與所選後端建立單獨的連線。
詳情請參閱「外部 Proxy 網路負載平衡器總覽」。
內部 Proxy 網路負載平衡器
內部 Proxy 網路負載平衡器是一種以 Envoy Proxy 為基礎的區域性第 4 層負載平衡器,可讓您透過內部 IP 位址執行及擴充 TCP 服務流量,這個 IP 位址只能由同一個虛擬私有雲網路中的用戶端或已連線至虛擬私有雲網路的用戶端存取。
負載平衡器會將 TCP 流量分配至在Google Cloud、地端部署環境或其他雲端環境中託管的後端。這些負載平衡器可在下列其中一種模式中部署:跨區域或區域。
內部 Proxy 網路負載平衡器支援下列功能:
- 地區政策:在後端執行個體群組或網路端點群組中,您可以設定要求如何分配至成員執行個體或端點。
- 全域存取權。啟用全域存取權後,任何區域的用戶端都能存取負載平衡器。
- 透過已連結的網路存取您可以讓內部負載平衡器可供來自自家 Google Cloud虛擬私有雲網路以外的網路存取。其他網路必須使用 VPC 網路對等互連、Cloud VPN 或 Cloud Interconnect,才能連線至負載平衡器的 VPC 網路。
- 支援 App Hub。區域內部 Proxy 網路負載平衡器使用的資源,可在 App Hub 中指定為服務,這項功能目前處於預先發布版階段。
詳情請參閱「內部 Proxy 網路負載平衡器總覽」。
高可用性和跨區域容錯移轉
您可以在多個區域中設定跨區域內部 Proxy 網路負載平衡器,享有下列優點:
如果特定區域的後端服務停止運作,流量會順利移轉至其他區域的後端服務。
跨區域容錯部署範例會顯示下列內容:
- 跨區域內部 Proxy 網路負載平衡器,其前端 VIP 位址位於 VPC 網路的區域 A 中。您的客戶也位於區域 A。
- 參照區域 A 和區域 B 後端的全球後端服務。Google Cloud
- 當區域 A 的後端發生故障時,流量會移轉至區域 B。
跨區域內部 Proxy 網路負載平衡器,搭配跨區域容錯部署 (按一下可放大)。 跨區域內部 Proxy 網路負載平衡器也可以從其他區域的 Proxy 和後端,為用戶端提供流量,避免應用程式發生整個區域停機的情況。
高可用性部署範例會顯示下列內容:
- 跨區域內部 Proxy 網路負載平衡器,其前端 VIP 位於 VPC 網路的區域 A 和區域 B 您的客戶位於區域 A。
您可以使用兩個區域的前端 VIP,讓負載平衡器可供存取。
跨區域內部 Proxy 網路負載平衡器,搭配高可用性部署作業 (按一下可放大)。
如要瞭解如何設定高可用性部署作業,請參閱: