使用中央负载均衡器降低成本和运营复杂性

Google Cloud Load Balancing 是一项完全托管的分布式服务,无论将工作负载部署在云端或者本地,它都可以帮助应用程序达到全球规模,并同时支持每秒数百万次查询,具有很高的可用性和安全性。


现在,Google Cloud 推出了新的跨项目服务引用功能,新功能允许企业配置一个中央负载均衡器并将流量路由到分布在多个不同项目的数百个服务中。你可以在一个 URL 映射中集中管理所有流量路由规则和策略,也可以将负载均衡器与一组主机名和 SSL 证书相关联,从而优化部署应用程序所需的负载均衡器数量,并降低可管理性、运营成本和配额要求。通过为每个职能团队设置不同的项目,你还可以实现组织内的角色分离。


为什么要使用跨项目服务引用?


跨项目服务引用可以为 Cloud Load Balancing 环境带来了诸多好处。


1. 通过使用单个负载均衡器公开多项目服务来降低运营复杂性和成本



如上图所示,你现在可以在一个项目中配置负载均衡器的前端资源:转发规则、目标代理和 URL 映射(该项目必须在使用主机和服务项目的共享 VPC 设置中,见下图),并在同一个共享 VPC 设置中配置不同服务项目中的后端服务。



借助跨项目服务引用,你可以创建一个中央负载均衡器并使用所有路由规则配置一个 URL 映射。这个中央 URL 映射可以引用数百个跨项目后端服务,这些服务可以分布在多个不同项目中,但使用相同的集中配置共享 VPC 网络。使用共享 VPC 网络,就不必担心重复链接多个 VPC 或管理多个 VPC 的防火墙规则了。


此外,可以仅使用一条转发规则公开所有服务,从而减少必须管理的主机名和 SSL 证书的数量。使用更少的转发规则和其他负载均衡资源,不仅可以降低成本,还可以降低运营开销和配额要求。


2. 通过安全的跨项目服务访问灵活实现职能团队的角色分离


服务所有者可以专注于在服务项目中构建服务,而网络团队可以在另一个项目中配置和维护负载均衡器。两者都可以使用跨项目服务引用进行连接,也都有权查看、配置和修改其权限范围内的资源。这可以实现职责的无缝分离,最大限度地减少混乱和意外错误,同时也可以为跨团队协作提供灵活性。


3. 为服务所有者提供流量管理策略的独家控制权


服务所有者可以对后端服务配置的策略拥有独有的控制权,并决定负载均衡器如何将流量分配。例如,服务所有者可以对会话亲和性、健康检查、访问身份、异常值检测和其他一些高级流量管理功能定义策略。


4. 通过细粒度的访问控制安全的公开服务


服务所有者可以保持对其服务公开的自主权,并控制哪些用户可以通过负载均衡器访问他们的服务。这可以通过一个特殊的 IAM 角色实现,即负载均衡器服务用户 IAM 角色。只有获得此角色的用户才能访问跨项目服务。你可以进一步定义组织策略的约束,比如将跨项目引用功能限制为特定项目、特定文件夹,甚至可以完全禁止组织内使用此功能。同时使用 IAM 和组织策略,你可以根据精细的访问控制,防止意外错误配置,保证组织的安全规范。



如何开始跨项目服务?


执行以下步骤来配置跨项目服务和中央负载均衡器


步骤 1:作为共享 VPC 和网络管理员,需要在宿主项目上启用共享 VPC 并将服务项目附加上去。然后在宿主项目中创建网络、子网和防火墙规则,并将子网权限授予服务管理员和负载均衡器管理员。



步骤2:作为服务所有者或管理员,需要在服务项目中创建后端服务并将后端附加到它。然后向负载均衡器管理员授予 IAM 权限以访问后端服务。




 步骤3:作为负载均衡器管理员,需要在不同的服务项目或将流量引导到跨项目后端服务的宿主项目中创建负载均衡器。



———

WebEye是中国大陆地区首家获得 Google Cloud MSP 资质的合作伙伴。WebEye致力于用创新的技术向中国企业提供数字化效率创新服务,实现数字化赋能。我们不断帮助客户打造新的运营与协作方式,打造新的竞争优势,构建资源高效链接,共创价值生长空间。

WebEye整合全球资源,打造全球数字化营销体系,为企业提供营销增长服务营销增长引擎以及企业上云三大板块业务,涵盖数字营销、数字创意、游戏发行、流量变现、程序化广告、数据洞察、云计算等一站式全链条增长产品矩阵,是中国互联网出海领军企业。

返回全部