所有 Google Cloud 区域中的加密
系统会对 VPC 网络与对等互连的 VPC 网络中的所有虚拟机之间的流量进行加密。这包括物理边界内到虚拟机的流量(即集群内流量)。
代理负载均衡器和后端之间的加密
对于某些代理负载均衡器(请参阅表 1),Google 会自动对位于 Google Cloud VPC 网络内的后端流量进行加密。此过程称为自动网络级加密。 自动网络级加密仅适用于与以下类型的后端的通信:
- 实例组
- 可用区级 NEG(
GCE_VM_IP_PORT端点)
此外,Google Cloud 还提供安全协议选项,用于加密与后端服务的通信。
某些 Google Cloud 负载均衡器使用 Google Front End (GFE) 作为后端的客户端。另一些则使用开源 Envoy 代理。在任何情况下,负载均衡器都支持 RFC 8446 第 9.1 节中列出的加密套件。
下表进行了总结。
| 代理负载均衡器 | 代理(客户端到后端) | 自动网络级加密 | 后端服务协议选项 |
|---|---|---|---|
| 全球外部应用负载均衡器 | GFE(包含 Envoy 软件以实现高级路由功能) | HTTP、HTTPS 和 HTTP/2 如果您需要对正在传输到后端的数据进行可审核加密,请选择 HTTPS 或 HTTP/2。 |
|
| 传统版应用负载均衡器 | GFE | HTTP、HTTPS 和 HTTP/2 如果您需要对正在传输到后端的数据进行可审核加密,请选择 HTTPS 或 HTTP/2。 |
|
| 区域级外部应用负载均衡器 | Envoy 代理 | HTTP、HTTPS 和 HTTP/2 如果您需要对正在传输到后端的数据进行可审核加密,请选择 HTTPS 或 HTTP/2。 |
|
| 外部代理网络负载均衡器 | GFE | SSL 或 TCP 如果您需要对正在传输到后端的数据进行可审核加密,请选择后端服务协议 SSL。 |
|
| 内部应用负载均衡器 | Envoy 代理 | HTTP、HTTPS 和 HTTP/2 如果您需要对正在传输到后端的数据进行可审核加密,请选择 HTTPS 或 HTTP/2。 |
|
| 区域级内部代理网络负载均衡器 | Envoy 代理 | TCP | |
| Traffic Director | 客户端代理 | HTTPS 和 HTTP/2 |
安全后端协议使用场景
在以下情况下,建议使用安全协议连接到后端实例:
如果您需要建立从负载平衡器(或 Traffic Director)到后端实例的可审核加密连接。
如果负载平衡器(通过互联网 NEG)连接到 Google Cloud 外部的后端实例。与互联网 NEG 后端的通信可能会传输到公共互联网。当负载平衡器连接到互联网 NEG 时,公共证书授权机构签名的证书必须满足验证要求。
安全后端协议注意事项
使用安全后端服务协议时,请注意以下几点:
负载平衡器的后端实例或端点必须使用与后端服务相同的协议。例如,如果后端服务协议是 HTTPS,则后端必须是 HTTPS 服务器。
如果后端服务协议是 HTTP/2,那么您的后端必须使用 TLS。如需了解配置说明,请参阅在后端实例或端点上运行的软件的文档。
您必须在后端实例或端点上安装私钥和证书,才能将其用作 HTTPS 或 SSL 服务器。这些证书不需要与负载平衡器的前端 SSL 证书相匹配。如需了解安装说明,请参阅在后端实例或端点上运行的软件的文档。
除了具有互联网 NEG 后端的 HTTPS 负载均衡器外,GFE 不使用服务器名称指示 (SNI) 扩展程序来连接到后端。
当 GFE 连接到 Google Cloud 内的后端时,GFE 会接受您的后端提供的任何证书。GFE 不执行证书验证。例如,即使在下列情况下,证书也被视为有效:
- 该证书是自签名证书。
- 该证书由未知证书授权机构 (CA) 签名。
- 该证书已过期或尚未生效。
CN和subjectAlternativeName特性与Host标头或 DNS PTR 记录不匹配。
安全前端协议
当您在配置中使用目标 HTTPS 或目标 SSL 代理时,Google Cloud 会使用安全前端协议。
外部应用负载均衡器和外部代理网络负载均衡器使用 Google 的 BoringCrypto 库。如需详细了解 FIPS 140-2,请参阅 NIST 加密模块验证计划证书 #3678
内部应用负载均衡器使用 Google 的 BoringSSL 库。如需详细了解 FIPS 140-2,请参阅 Envoy 文档。Google 会以兼容 FIPS 模式的内部应用负载均衡器构建 Envoy 代理。
Traffic Director 支持采用符合 FIPS 模式构建的 Envoy 代理。