Я использую балансировщик нагрузки Google Cloud для балансировки внутренних серверов и блокировки внешнего доступа с помощью правил брандмауэра, как указано в официальных документах.
Мне просто интересно с точки зрения производительности сети, действительно ли пакеты покидают сеть Google и обратно? Или он оптимизирован, потому что через разрешение DNS серверы Google могут определить, что это IP-адрес Google, и маршрут оптимизирован. И команда traceroute показывает только один переход. Но хотел получить дополнительное мнение по этому поводу. Как если бы случай с 1 переходом верен, нам действительно не нужен только внутренний балансировщик нагрузки от Google. Эта установка, по крайней мере, для меня, просто прекрасна и идет под парусом.
PS. (Немного предыстории: в настоящее время Google не предлагает возможности балансировки нагрузки для внутреннего трафика. Его внешний IP-адрес всегда является внешним IP-адресом.)
Ура.
V
IP-адрес назначения сравнивается с диапазоном IP-адресов подсети, который известен каждому экземпляру.
а. Экземпляр отправляет пакет на MAC-адрес шлюза подсети, причем в качестве пункта назначения задано конечное место назначения пакета. Экземпляру может потребоваться запрос ARP для разрешения MAC-адреса шлюза.
б. Сеть перезаписывает IP-заголовок, чтобы объявить внешний IP-адрес экземпляра в качестве источника. Если у экземпляра нет внешнего IP-адреса, вызов не разрешен, и сеть отбрасывает пакет, не сообщая отправителю.
c. Сеть записывает исходящий пакет и добавляет источник и место назначения в таблицу активных соединений.
d. Сеть отправляет пакет по назначению.
е. Пункт назначения получает пакет и отвечает, если выбирает.
f. Сеть получает ответ, обращается к таблице активных подключений, отмечает, что это активное подключение, и разрешает его. Сеть сверяется со своей таблицей поиска сетевых / внешних IP-адресов, заменяет внешний IP-адрес экземпляра на соответствующий сетевой адрес и отправляет пакет исходному экземпляру.
грамм. Экземпляр получает пакет.
а. Экземпляр настроен с IP-адресом с маской 255.255.255.255, поэтому экземпляр отправляет пакет на MAC-адрес шлюза подсети. Экземпляру сначала может потребоваться запрос ARP для разрешения MAC-адреса шлюза.
б. Сеть, использующая Прокси-ARP, отвечает MAC-адресом экземпляра назначения.
c. Шлюз получает пакет и направляет его на IP-адрес назначения в сети.
d. Целевой экземпляр получает пакет. Целевой экземпляр проверяет входящий брандмауэр, чтобы определить, разрешен ли пакет. В противном случае пакет отбрасывается без уведомления. В противном случае экземпляр обрабатывает пакет.
Дополнительную информацию по этому вопросу можно найти в Справочном центре. статья.
Кроме того, вы можете получить дополнительную информацию об использовании внутренней балансировки нагрузки с помощью HAProxy на GCE в этом справочном центре. статья, поскольку балансировщики нагрузки L7 и L4, предоставленные Google, пока не поддерживают внутреннюю балансировку нагрузки.