Proxy 網路負載平衡器是第 4 層反向 Proxy 負載平衡器,可將 TCP 流量分配至 Google Cloud 虛擬私有雲 (VPC) 網路或其他雲端環境中的後端。流量會在負載平衡層終止,然後使用 TCP 轉送至最近的可用後端。
Proxy 網路負載平衡器僅適用於 TCP 流量,無論是否使用 SSL 皆可。對於 HTTP(S) 流量,建議改用應用程式負載平衡器。
Proxy 網路負載平衡器支援下列功能:
- 支援所有通訊埠。這些負載平衡器允許使用 1 到 65535 之間的任何有效通訊埠。詳情請參閱「連接埠規格」。
- 通訊埠重新對應。負載平衡器轉送規則使用的通訊埠,不一定要與連線至後端時使用的通訊埠相符。舉例來說,轉送規則可以使用 TCP 通訊埠 80,而連線至後端時則可使用 TCP 通訊埠 8080。
- 轉送原始來源 IP 位址。您可以使用 PROXY 通訊協定,將用戶端的來源 IP 位址和通訊埠資訊轉送至負載平衡器後端。
下圖顯示範例 Proxy 網路負載平衡器架構。
Proxy 網路負載平衡器可透過下列部署模式使用:
外部 Proxy 網路負載平衡器:為來自網際網路用戶端的流量進行負載平衡。如需架構詳細資料,請參閱「外部 Proxy 網路負載平衡器架構」。
部署模式 網路服務級別 負載平衡架構 † IP 位址 前端通訊埠 全域外部 進階級 EXTERNAL_MANAGED IPv4
IPv6可參照 1 至 65535 之間的單一通訊埠 傳統版 全球性進階級
標準級的區域
EXTERNAL IPv4
IPv6 (需要進階級)區域型外部 進階或標準級 EXTERNAL_MANAGED IPv4 內部 Proxy 網路負載平衡器:在 VPC 網路或連線至 VPC 網路的網路中,平衡流量負載。如需架構詳細資料,請參閱「內部 Proxy 網路負載平衡器架構」。
部署模式 網路服務級別 負載平衡架構 † IP 位址 前端通訊埠 區域型內部 進階級 INTERNAL_MANAGED IPv4 可參照 1 至 65535 之間的單一通訊埠 跨區域內部 進階級 INTERNAL_MANAGED IPv4
† 負載平衡架構是負載平衡器的轉送規則和後端服務中的屬性,用於指明負載平衡器可否處理內部或外部流量。負載平衡架構中的 *_MANAGED 一詞,表示負載平衡器已在 Google Front Ends (GFE) 中做為代管服務導入,或已在開放原始碼 Envoy Proxy 中做為代管服務導入。在 *_MANAGED 負載平衡架構中,系統會將要求轉送到 GFE 或 Envoy Proxy。
外部 Proxy 網路負載平衡器
外部 Proxy 網路負載平衡器會將來自網際網路的流量分配至 Google Cloud 虛擬私有雲網路、內部部署環境或其他雲端環境中的後端。這些負載平衡器可以下列模式之一部署:全域、區域或傳統版。
外部 Proxy 網路負載平衡器支援下列功能:
- IPv6 終止功能。外部負載平衡器支援用戶端流量的 IPv4 和 IPv6 位址。用戶端 IPv6 要求會在負載平衡層終止,透過 IPv4 進行 Proxy 處理後,再傳送至後端。
- 傳輸層安全標準 (TLS)/安全資料傳輸層 (SSL) 卸載。您可以選擇使用全域外部 Proxy 網路負載平衡器或傳統 Proxy 網路負載平衡器,透過 SSL Proxy 在負載平衡層卸載 TLS。新連線會使用 SSL (建議) 或 TCP,將流量轉送至最近的可用後端。
- 更有效率地運用後端。如果使用的加密方式無法發揮 CPU 效率,SSL 處理作業可能會耗費大量 CPU 資源。如要發揮 CPU 最佳效能,請使用 ECDSA SSL 憑證和 TLS 1.2,並優先選擇負載平衡器和後端執行個體之間的 SSL
ECDHE-ECDSA-AES128-GCM-SHA256加密套件。 - 安全資料傳輸層 (SSL) 政策。SSL 政策可讓您控管負載平衡器與用戶端交涉的 SSL 功能。
- 更有效率地運用後端。如果使用的加密方式無法發揮 CPU 效率,SSL 處理作業可能會耗費大量 CPU 資源。如要發揮 CPU 最佳效能,請使用 ECDSA SSL 憑證和 TLS 1.2,並優先選擇負載平衡器和後端執行個體之間的 SSL
- 與 Google Cloud Armor 整合。您可以透過 Google Cloud Armor 安全性政策,保護基礎架構免受分散式阻斷服務 (DDoS) 攻擊和其他目標式攻擊。
- 對 TLS 終止位置進行地理位置控制。負載平衡器終止 TLS 的位置分散在世界各地,這樣可縮短用戶端與負載平衡器之間的延遲。如果需要對 TLS 終止位置進行地理位置控制,則可使用標準網路層,強制負載平衡器僅在特定地區的後端終止 TLS。詳情請參閱「設定標準層級」。
- App Hub 支援。區域外部 Proxy 網路負載平衡器使用的資源,可以指定為 App Hub 應用程式中的服務。
在下圖中,來自 A 城市和 B 城市使用者的流量會在負載平衡層終止,並與所選後端建立單獨的連線。
詳情請參閱「外部 Proxy 網路負載平衡器總覽」。
內部 Proxy 網路負載平衡器
內部 Proxy 網路負載平衡器是以 Envoy Proxy 為基礎的區域性第 4 層負載平衡器,可讓您透過內部 IP 位址執行及擴充 TCP 服務流量,且只有位於相同 VPC 網路的用戶端或連線至 VPC 網路的用戶端可以存取。
負載平衡器會將 TCP 流量分配至Google Cloud、地端部署環境或其他雲端環境中託管的後端。這些負載平衡器可以跨區域或區域模式部署。
內部 Proxy 網路負載平衡器支援下列功能:
- 地區政策。在後端執行個體群組或網路端點群組中,您可以設定要求如何分配給成員執行個體或端點。
- 全球存取權。啟用全域存取權後,任何區域的用戶端都能存取負載平衡器。
- 從已連線的網路存取。您可以讓內部負載平衡器可供網路中的用戶端存取,不限於負載平衡器本身的虛擬私有雲網路。 Google Cloud其他網路必須使用虛擬私有雲網路對等互連、Cloud VPN 或 Cloud Interconnect,連線至負載平衡器的虛擬私有雲網路。
- App Hub 支援。區域內部 Proxy 網路負載平衡器使用的資源,可指定為 App Hub 應用程式中的服務。
詳情請參閱內部 Proxy 網路負載平衡器總覽。
高可用性和跨區域容錯移轉
您可以在多個區域中設定跨區域內部 Proxy 網路負載平衡器,享有下列優點:
如果特定區域的後端停止運作,流量會順利容錯移轉至其他區域的後端。
跨區域容錯移轉部署範例會顯示下列內容:
- 跨區域內部 Proxy 網路負載平衡器,前端 VIP 位址位於虛擬私有雲網路的 A 區域。您的客戶也位於 A 區域。
- 全域後端服務,參照Google Cloud 區域 A 和區域 B 中的後端。
- 當區域 A 的後端發生故障時,流量會容錯移轉至區域 B。
跨區域內部 Proxy 網路負載平衡器,搭配跨區域容錯移轉部署作業 (按一下可放大)。 跨區域內部 Proxy 網路負載平衡器也能將流量從其他區域的 Proxy 和後端提供給用戶端,避免應用程式因區域全面中斷而無法運作。
高可用性部署範例會顯示下列項目:
- 跨區域內部 Proxy 網路負載平衡器,前端 VIP 位於虛擬私有雲網路的 A 區域和 B 區域。您的客戶位於 A 區域。
您可以透過兩個區域的前端 VIP,讓負載平衡器可供存取。
採用高可用性部署的跨區域內部 Proxy 網路負載平衡器 (按一下可放大)。
如要瞭解如何設定高可用性部署作業,請參閱: