你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

网关负载均衡器

网关负载均衡器是 Azure 负载均衡器组合的 SKU,适用于使用第三方网络虚拟设备 (NVA) 的高性能和高可用性方案。 借助网关负载均衡器的功能,你可以轻松部署、缩放和管理 NVA。 将网关负载均衡器链接到公共终结点只需选择一次。

对于不同类型的方案,可以以透明方式插入设备,例如:

  • 防火墙
  • 高级数据包分析
  • 入侵检测和防护系统
  • 流量镜像
  • DDOS 保护
  • 自定义设备

使用网关负载均衡器,可以轻松添加或删除高级网络功能,没有额外的管理开销。 它提供所需的 bump-in-the-wire 技术,确保发往和来自公共终结点的所有流量在发送到应用程序之前先发送到设备。 在使用 NVA 的方案中,流是对称的,这一点尤其重要。 网关负载均衡器保持对后端池中特定实例的流粘性以及流对称性。 因此,可确保以一致方式路由到网络虚拟设备 – 无需进一步的手动配置。 结果就是,数据包在两个方向遍历相同的网络路径,需要此关键功能的设备能够无缝运行。

运行状况探测会侦听所有端口,使用 HA 端口规则将流量路由到后端实例。 发送到网关负载均衡器的以及从其发出的流量使用 VXLAN 协议。

好处

网关负载均衡器具有以下优势:

  • 以透明方式将虚拟设备集成到网络路径中。

  • 在网络路径中轻松地添加或删除网络虚拟设备。

  • 在管理成本的同时轻松地进行缩放。

  • 提高网络虚拟设备可用性。

  • 跨租户和订阅链接应用程序

配置和支持的方案

可以将标准公共负载均衡器或虚拟机的标准 IP 配置链接至网关负载均衡器。 “链接”是指负载均衡器前端或 NIC IP 配置包含对网关负载均衡器前端 IP 配置的引用。 将网关负载均衡器链接到使用者资源后,无需进行额外的配置(例如 UDR)即可确保发往和来自应用程序终结点的流量会发送到网关负载均衡器。

网关负载均衡器支持入站和出站流量检查。 若要在标准负载均衡器的出站流量路径中插入 NVA,必须将网关负载均衡器链接到已配置的出站规则中选择的前端 IP 配置。

数据路径示意图

使用网关负载均衡器时,通过标准负载均衡器发往使用者应用程序的流量将通过 VXLAN 标头封装,并首先转发到网关负载均衡器及其在后端池中配置的 NVA。 然后,流量将返回到使用者资源(在本例中为标准负载均衡器),并在保留其源 IP 的情况下到达使用者应用程序虚拟机。 使用者虚拟网络和提供者虚拟网络可以位于不同的订阅或租户中,因而可以降低管理开销。

网关负载均衡器示意图

图:网关负载均衡器示意图。

组件数

网关负载均衡器包含以下组件:

  • 前端 IP 配置 - 网关负载均衡器的 IP 地址。 此 IP 仅供专用。

  • 负载均衡规则 - 负载均衡器规则用于定义将传入流量分配至后端池中所有实例的方式。 负载均衡规则将给定的前端 IP 配置和端口映射到多个后端 IP 地址和端口。

    • 网关负载均衡器规则只能是 HA 端口规则。

    • 网关负载均衡器规则可以与最多两个后端池相关联。

  • 后端池 - 虚拟机规模集中用于服务传入请求的虚拟机组或实例组。 为了经济高效地扩展以满足大量传入流量,计算准则通常建议向后端池添加更多实例。 纵向扩展或缩减实例时,负载均衡器可即时通过自动重新配置来重新配置自身。 在后端池中添加或删除 VM 会重新配置负载均衡器,无需执行额外操作。 后端池的范围包括单个虚拟网络中的任何虚拟机。

  • 隧道接口 - 网关负载均衡器后端池有另一个称为隧道接口的组件。 隧道接口使后端中的设备能够确保按预期处理网络流。 每个后端池最多有 2 个隧道接口。 隧道接口可以是内部接口,也可以是外部接口。 对于进入后端池的流量,应使用外部类型。 对于从设备到应用程序的流量,应使用内部类型。

  • 链 - 可以通过标准公共负载均衡器前端或虚拟机上的标准公共 IP 配置来引用网关负载均衡器。 按特定顺序添加高级网络功能称为服务链接。 因此,此引用称为链。 跨租户链涉及将负载均衡器前端或公共 IP 配置链接到另一个订阅中的网关负载均衡器。 对于跨租户链接,用户需要:

    • 资源提供程序操作 Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action 的权限。
    • 对网关负载均衡器的订阅的来宾访问。

定价

有关定价,请参阅负载均衡器定价

限制

  • 网关负载均衡器不适用于全局负载均衡器层。
  • 不支持通过 Azure 门户进行的跨租户链接。

后续步骤