Cloud Load Balancing Next '23更新

在 Google Cloud Next '23 大会上，Cloud Networking Load Balancing 团队宣布了多项增强功能，这些增强功能能够支持新业务场景，并提升使用 Google Cloud 负载均衡时的价值。我们所推出的四大主要功能是：

在全球外部应用负载均衡器上，mTLS 支持在 TLS 协商过程中添加客户端身份验证。这项功能使得服务器能够以和客户端在标准 TLS 身份验证期间验证服务器身份的方式相同，来验证客户端的身份。因此，mTLS 能够提供一个额外的安全层次，对抵御中间人攻击和其他威胁大有裨益。

服务扩展调用允许用户使用自身创建或第三方应用程序自定义选定负载均衡器的数据平面处理。借助此自定义功能，用户可以添加新功能并优化其 Google Cloud 工作负载的流量处理方式，从而改善用户体验。

跨地域内部应用云负载均衡器支持全球区域后端！换句话说，内部负载均衡器现在可以将负载分配到全球范围内的后端。此外，配合内置全球访问功能，即来自任何区域的客户端都可以访问内部应用程序负载均衡器。这一功能在架构后端托管或客户端位置时引入了新的灵活性。

通过全球外部应用负载均衡器进行跨项目服务引用，组织可以配置应用负载均衡器，将流量路由到分布在多个不同项目中的不同服务。跨项目服务引用依赖于共享 VPC，它允许将多个项目的资源连接到通用的 Virtual Private Cloud (VPC) 网络，以便它们能够安全、高效地相互通信。

有关这些令人兴奋的增强功能的更多详细信息如下：

Google Cloud 外部负载均衡器上的 mTLS 支持

在 HTTPS 通信中，身份验证通常只有一种方式，即客户端验证服务器的身份。对于需要负载均衡器验证连接到负载均衡器的客户端身份的应用程序，全球外部应用负载均衡器和经典应用负载均衡器都支持相互 TLS (mTLS) 验证，目前该功能处于预览阶段。

在使用 mTLS 时，负载均衡器会在与负载均衡器进行 TLS 握手过程中请求客户端发送证书进行身份验证。您可以配置一个信任库，负载均衡器将使用它来验证客户端证书的信任链。

图 #1，与外部应用程序负载均衡器组件的相互 TLS。

mTLS 提供了许多好处，包括：

• 提升安全性：mTLS 要求客户端和服务器都经过身份验证，从而通过增加额外的安全层，使得攻击者更难冒充任何一方访问敏感数据。

• 降低中间人攻击的风险：中间人攻击 (MITM) 是一种常见网络攻击，攻击者在其中拦截并重定向两方之间的流量。 mTLS 通过要求双方进行身份验证来帮助降低 MITM 攻击的风险。

• 提高可视性：mTLS 允许组织跟踪哪些客户端正在连接到其服务器，从而提高了网络流量的可视性。这有助于识别潜在的安全威胁并改善整体安全状况。

除了这些好处之外，您还可以将 mTLS 与包括 Apigee X 在内的各种应用程序结合使用。因此，mTLS 作为提高网络通信安全性的一种方式将会变得日益流行。

应用负载均衡器上的服务扩展调用

服务扩展调用带来了一个强大的工具，可以将自定义逻辑带入到 Google Cloud 应用负载均衡器。这种自定义逻辑可以满足独特的客户工作流程要求，为合作伙伴提供将其软件与 Google 服务集成的简单选项，或帮助组织实施跨云网络。该功能允许 Google Cloud 客户或合作伙伴编写自己的代码，以对负载均衡器处理的流量执行各种活动，例如 HTTP 头重写、提升安全性、自定义日志记录和自定义用户身份验证。

图 #2，服务扩展调用数据流

通过服务扩展调用，您可以指示 Google Cloud Load Balancing 通过 RPC（例如 gRPC）将流量从负载均衡数据处理路径内转发到在任何地方运行的用户管理的应用程序或服务。这些应用程序可以在将流量返回到负载均衡器进行进一步处理之前应用各种政策或功能。

服务扩展调用的好处包括：

• 定制实施 - 流量处理专为满足独特的工作流要求而量身定制，可以优化云应用程序或服务的性能。

• 增强用户能力 - 组织可以开发自己的应用程序或购买程序，以更改服务的交付方式，以支持新的或自定义的需求。

• 敏捷交付 - 用户可以随时独立创建和部署业务扩展。

• 轻松实现合作伙伴集成 - 合作伙伴可以快速以编程方式将其软件与 Google Cloud 应用负载均衡器服务集成，并提供新的高级用例。

可用性：Cloud Load Balancing 的服务扩展调用的公开预览版将于 2023 年 10 月开始提供。支持的应用负载均衡器包括全球外部负载均衡器（不包括经典负载均衡器）、区域外部负载均衡器和区域内部负载均衡器。

跨区域内部应用负载均衡器

内部应用程序负载均衡器将 HTTP 和 HTTPS 流量分发到 Compute Engine、Google Kubernetes Engine (GKE)、Cloud Run、本地和其他云上托管的后端。到目前为止，内部应用负载均衡器的范围一直是区域性的，即负载均衡器只能与同一区域中的后端连接。跨区域内部应用负载均衡器消除了这一限制。

图 #3，跨区域内部应用负载均衡器逻辑流量。

跨区域内部应用负载均衡器是一项完全由 Google 托管的服务，可以部署为多区域负载均衡器。它提供开箱即用的全球访问；也就是说，来自任何 Google Cloud 区域的客户端都可以访问负载均衡器。此外，跨区域模式还能让用户对分布在全球的后端进行流量负载均衡。该负载均衡器还可以实现高可用性；将后端放置在多个区域有助于使用户免受单个区域故障的影响。如果一个区域的后端出现故障，流量可以正常故障转移到另外一个区域。此外，由于负载均衡器可以部署在多个区域中，因此它可以避免因某个区域中负载均衡器服务中断造成的影响。

需要注意的是，跨区域模式下的负载均衡代理实例始终部署到您选择的特定区域。

总而言之，跨区域内部应用负载均衡器的优势包括：

• 内部流量启用全球云负载均衡：此功能为如何通过主动/主动多区域设置分配流量带来了新的灵活性。

• 提升高可用性：通过故障转移到不同区域中的服务，可以减少任何特定的可用区或区域问题的影响，从而提升可用性。

• 解锁 Private Service Connect (PSC) 用例：Private Service Connect 允许使用方从其 VPC 网络内部以私密方式访问托管式服务。

• 支持 Google 管理的证书：此支持通过使用 Certificate Manager 和 Certificate Authority Service 来实现。

跨区域内部应用负载均衡器现已提供预览版。如需了解更多信息，请访问内部应用负载均衡器页面。

全球外部应用负载均衡器上的跨项目服务引用

跨项目的服务引用允许组织配置一个中央负载均衡器，并将流量路由到分布在多个项目中的数百个服务。您可以在一个 URL 映射中集中管理所有流量路由规则和策略。您还可以将负载均衡器与一组主机名和 SSL 证书关联起来。

在该模型中，负载均衡器的前端和 URL 映射位于主机或服务项目中。负载均衡器的后端服务和后端可以跨共享 VPC 环境中的项目分布。跨项目后端服务可以在单个 URL 映射中引用。

通过对全球外部应用负载均衡器的支持（目前处于预览版），跨项目服务引用现在可在所有应用负载均衡器上使用，包括内部应用负载均衡器和区域外部应用负载均衡器。

图#4，跨项目服务引用逻辑图

跨项目服务引用所提供的价值包括：

• 高效部署：通过将多个服务连接到单个负载均衡器，优化部署应用程序所需的负载均衡器数量。通过减少转发规则和其他负载均衡资源，您不仅可以降低成本，还可以减少运营开销和配额要求。

• 改进管理控制：通过为每个职能团队制定不同的项目，客户还可以实现组织内的角色分离。因此，服务所有者可以专注于在服务项目中构建服务，而网络团队可以在另一个项目中配置和维护负载均衡器，并且两者都可以使用跨项目服务引用进行连接。