从负载均衡器到后端的加密

所有 Google Cloud 区域中的加密

系统会对 VPC 网络与对等互连的 VPC 网络中的所有虚拟机之间的流量进行加密。

代理负载均衡器和后端之间的加密

对于某些代理负载均衡器(请参阅表 1),Google 会自动对位于 Google Cloud VPC 网络内的后端流量进行加密。此过程称为自动网络级加密。 自动网络级加密仅适用于与以下类型的后端的通信:

  • 实例组
  • 可用区级 NEG(GCE_VM_IP_PORT 端点)

此外, Google Cloud 还提供安全协议选项,用于加密与后端服务的通信

某些 Google Cloud 负载均衡器使用 Google Front End (GFE) 作为后端的客户端,而另一些则使用开源 Envoy 代理。在任何情况下,负载均衡器都支持 RFC 8446 第 9.1 节中针对 TLS 1.3 列出的加密套件。对于 TLS 1.2 及更早版本,负载均衡器支持与兼容 SSL 政策配置文件关联的加密套件。

下表总结了加密到后端的流量的代理负载均衡器。

表格 1. 负载均衡器和后端之间的通信
代理负载均衡器 代理(客户端到后端) 自动网络级加密 后端服务协议选项
全球外部应用负载均衡器 GFE(包含 Envoy 软件以实现高级路由功能) HTTP、HTTPS 和 HTTP/2
如果您需要对正在传输到后端的数据进行可审核加密,请选择 HTTPS 或 HTTP/2。
传统版应用负载均衡器 GFE HTTP、HTTPS 和 HTTP/2
如果您需要对正在传输到后端的数据进行可审核加密,请选择 HTTPS 或 HTTP/2。
区域级外部应用负载均衡器 Envoy 代理 HTTP、HTTPS 和 HTTP/2
如果您需要对正在传输到后端的数据进行可审核加密,请选择 HTTPS 或 HTTP/2。
区域级内部应用负载均衡器 Envoy 代理 HTTP、HTTPS 和 HTTP/2
如果您需要对正在传输到后端的数据进行可审核加密,请选择 HTTPS 或 HTTP/2。
跨区域内部应用负载均衡器 Envoy 代理 HTTP、HTTPS 和 HTTP/2
如果您需要对正在传输到后端的数据进行可审核加密,请选择 HTTPS 或 HTTP/2。
全局外部代理网络负载均衡器 GFE(包含 Envoy 软件以实现高级路由功能) SSL 或 TCP
如果您需要对正在传输到后端的数据进行可审核加密,请为后端服务协议选择 SSL。
传统代理网络负载均衡器 GFE SSL 或 TCP
如果您需要对正在传输到后端的数据进行可审核加密,请为后端服务协议选择 SSL。
区域级外部代理网络负载均衡器 Envoy 代理 TCP
区域级内部代理网络负载均衡器 Envoy 代理 TCP
跨区域内部代理网络负载均衡器 Envoy 代理 TCP
Cloud Service Mesh 客户端代理 HTTPS 和 HTTP/2

安全后端协议使用场景

在以下情况下,建议使用安全协议连接到后端实例:

  • 如果您需要建立从负载均衡器(或 Cloud Service Mesh)到后端实例的可审核加密连接。

  • 如果负载均衡器(通过互联网 NEG)连接到Google Cloud 外部的后端实例。与互联网 NEG 后端的通信可能会传输到公共互联网。当负载均衡器连接到互联网 NEG 时,公共证书授权机构签名的证书必须满足验证要求

安全后端协议注意事项

使用安全后端服务协议时,请注意以下几点:

  • 负载均衡器的后端实例或端点必须使用与后端服务相同的协议。例如,如果后端服务协议是 HTTPS,则后端必须是 HTTPS 服务器。

  • 如果后端服务协议是 HTTP/2,那么您的后端必须使用 TLS。如需了解配置说明,请参阅在后端实例或端点上运行的软件的文档。

  • 您必须在后端实例或端点上安装私钥和证书,才能将其用作 HTTPS 或 SSL 服务器。这些证书不需要与负载均衡器的前端 SSL 证书相匹配。如需了解安装说明,请参阅在后端实例或端点上运行的软件的文档。

  • 除了具有互联网 NEG 后端的 HTTPS 负载均衡器外,负载均衡器不使用服务器名称指示 (SNI) 扩展程序来连接到后端。

  • 当负载均衡器连接到 Google Cloud中的后端时,负载均衡器会接受您的后端提供的任何证书。在这种情况下,负载均衡器只会执行最基本的证书验证。

    例如,即使在下列情况下,证书也被视为有效:

    • 该证书是自签名证书。
    • 该证书由未知证书授权机构 (CA) 签名。
    • 该证书已过期或尚未生效。
    • CNsubjectAlternativeName 特性与 Host 标头或 DNS PTR 记录不匹配。

    对于 RSA 证书,从 2025 年 4 月 28 日开始,负载均衡器将仅接受具有 X509v3 密钥用途扩展且同时包含数字签名和密钥加密参数的 RSA 证书。如需了解详情,请参阅2025 年 1 月 24 日发布的相关版本说明

安全前端协议

当您在配置中使用目标 HTTPS 或目标 SSL 代理时,Google Cloud 会使用安全前端协议。

外部应用负载均衡器和外部代理网络负载均衡器使用 Google 的 BoringCrypto 库。如需详细了解 FIPS 140-2,请参阅 NIST 加密模块验证计划证书 #3678

内部应用负载均衡器使用 Google 的 BoringSSL 库。如需详细了解 FIPS 140-2,请参阅 Envoy 文档。Google 会以兼容 FIPS 模式的内部应用负载均衡器构建 Envoy 代理。

Cloud Service Mesh 支持采用符合 FIPS 模式构建的 Envoy 代理。