Prima di seguire questa guida, acquisisci familiarità con la documentazione della panoramica del NEG di internet, incluse le limitazioni.
Il seguente diagramma dell'architettura mostra un frontend del bilanciatore del carico delle applicazioni interno regionale con un backend esterno.
Autorizzazioni
Per seguire questa guida, devi creare un NEG internet e creare o modificare un bilanciatore del carico delle applicazioni in un progetto. Devi avere il ruolo di Proprietario o
Editor del progetto (roles/owner o roles/editor) oppure
devi disporre di entrambi i seguenti ruoli IAM di Compute Engine.
| Attività | Ruolo richiesto |
|---|---|
| Creare e modificare i componenti del bilanciatore del carico | Compute Network Admin ( roles/compute.networkAdmin)
|
| Creare e modificare i gruppi di annunci con targeting espanso | Compute Instance Admin ( roles/compute.instanceAdmin)
|
Configura l'ambiente di backend esterno al di fuori di Trusted Cloud
Per configurare l'ambiente di backend esterno, consulta le sezioni seguenti.
Configura endpoint di rete
Configura un endpoint di rete per esporre il backend esterno a Trusted Cloud. Assicurati che l'endpoint, ovvero una combinazione IP:porta o un nome di dominio completo (FQDN) e una porta, sia raggiungibile su internet. A questo endpoint viene fatto riferimento in un secondo momento dal NEG internet.
Per i requisiti di configurazione dettagliati per gli endpoint NEG internet, consulta la panoramica dei NEG internet.
Consenti al backend esterno di ricevere traffico da Trusted Cloud
Questo passaggio può essere completato dopo aver creato la subnet solo proxy e configurato il gateway Cloud NAT.
Per consentire alle richieste provenienti da Trusted Cloud di raggiungere il tuo backend esterno, devi eseguire i seguenti passaggi:
- Configura un gateway Cloud NAT con indirizzi IP utilizzati per il traffico in uscita da Trusted Cloud. Il gateway mappa l'intervallo di subnet solo proxy agli indirizzi IP esterni. Per i passaggi, vedi Configurare un gateway Cloud NAT.
- Assicurati che l'ambiente di backend esterno sia configurato per consentire al traffico proveniente da Trusted Cloud di raggiungere il backend esterno. Ad esempio, se hai utilizzato indirizzi IP prenotati in precedenza per il gateway NAT, devi inserirli nella lista consentita del tuo ambiente esterno. Probabilmente dovrai collaborare con l'amministratore di rete o della sicurezza del tuo ambiente esterno per configurarlo.
Configura il tuo Trusted Cloud ambiente
Avrai bisogno di una rete VPC con due subnet: una per i componenti del bilanciatore del carico e l'altra per la subnet solo proxy della regione. Poi creerai il bilanciatore del carico con un backend NEG di internet.
Crea la rete VPC e la subnet
Questa subnet viene utilizzata per creare i componenti del bilanciatore del carico.
console Cloud
- Nella console Trusted Cloud , vai alla pagina Reti VPC.
Vai a Reti VPC - Fai clic su Crea rete VPC.
- Inserisci un Nome: LB_NETWORK.
- Nella sezione Subnet:
- Imposta Modalità di creazione subnet su Personalizzata.
- Nella sezione Nuova subnet, inserisci le seguenti informazioni:
- Nome: LB_SUBNET_NAME
- Regione: REGION
- Intervallo di indirizzi IP: LB_SUBNET_RANGE
- Fai clic su Fine.
- Fai clic su Crea.
gcloud
Crea la rete VPC personalizzata utilizzando il comando
gcloud compute networks create:gcloud compute networks create LB_NETWORK \ --subnet-mode=custom
Crea una subnet nella rete LB_NETWORK.
gcloud compute networks subnets create LB_SUBNET_NAME \ --network=LB_NETWORK \ --range=LB_SUBNET_RANGE \ --region=REGION
Configura la subnet solo proxy
Questa subnet solo proxy viene utilizzata da tutti i bilanciatori del carico basati su Envoy regionali nella regione REGION.
Console
- Nella console Trusted Cloud , vai alla pagina Reti VPC.
Vai a Reti VPC - Seleziona una rete dall'elenco.
- Fai clic su Aggiungi subnet.
- Inserisci un Nome: PROXY_ONLY_SUBNET_NAME.
- Seleziona una regione: REGION.
- Imposta Scopo su Proxy gestito a livello di regione.
- Inserisci un intervallo di indirizzi IP: PROXY_ONLY_SUBNET_RANGE.
- Fai clic su Aggiungi.
gcloud
Crea la subnet solo proxy con il comando gcloud compute networks subnets
create.
gcloud compute networks subnets create PROXY_ONLY_SUBNET_NAME \ --purpose=REGIONAL_MANAGED_PROXY \ --role=ACTIVE \ --region=REGION \ --network=LB_NETWORK \ --range=PROXY_ONLY_SUBNET_RANGE
Configurare un gateway Cloud NAT
Prima di configurare il gateway Cloud NAT, assicurati di aver esaminato le limitazioni e le considerazioni sui prezzi associate. Per maggiori dettagli, vedi NEG regionali: utilizza un gateway Cloud NAT.I seguenti comandi descrivono come configurare un gateway Cloud NAT. Il gateway Cloud NAT può essere configurato per utilizzare indirizzi IP esterni NAT automatici, in cui l'allocazione si basa sulla domanda, oppure per utilizzare un insieme di indirizzi IP esterni riservati manualmente. Il gateway mappa l'intervallo di subnet solo proxy agli indirizzi IP esterni.
Configurare gli indirizzi IP NAT allocati automaticamente
Quando crei un gateway Cloud NAT con allocazione automatica dell'indirizzo IP NAT, puoi specificare i livelli di servizio di rete (livello Premium o Standard) da cui il gateway Cloud NAT alloca gli indirizzi IP.
Console
Nella Trusted Cloud console, vai alla pagina Cloud NAT.
Fai clic su Inizia o Crea gateway Cloud NAT.
Inserisci un nome del gateway LB_NAT_CONFIG.
In Tipo NAT, seleziona Pubblico.
Nell'elenco Rete, seleziona LB_NETWORK.
Nell'elenco Regione, seleziona REGION.
Crea un router Cloud nella regione.
Per Tipo di endpoint di origine, seleziona Bilanciatori del carico proxy gestiti.
Nell'elenco Origine, seleziona Personalizzato.
- In Subnet, seleziona PROXY_ONLY_SUBNET_NAME.
Nell'elenco Indirizzi IP Cloud NAT, seleziona Automatico (consigliato).
In Livello di servizio di rete, scegli Premium o Standard.
Fai clic su Crea.
gcloud
Utilizza indirizzi IP allocati dinamicamente se il tuo ambiente di backend esterno non richiede di inserire in una lista consentita indirizzi IP specifici che possono inviare traffico al backend esterno. Trusted Cloud
Crea un router Cloud:
gcloud beta compute routers create ROUTER_NAME \ --network=LB_NETWORK \ --region=REGION
Configura il gateway Cloud NAT.
gcloud beta compute routers nats create LB_NAT_CONFIG \ --router=ROUTER_NAME \ --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \ --nat-custom-subnet-ip-ranges=PROXY_ONLY_SUBNET_NAME \ --auto-allocate-nat-external-ips \ --region=REGION
Sostituisci quanto segue:
LB_NAT_CONFIG: il nome della configurazione NAT.ROUTER_NAME: il nome del tuo router Cloud.REGION: la regione del NAT da creare. Se non specificata, potrebbe esserti chiesto di selezionare una regione (solo modalità interattiva).PROXY_ONLY_SUBNET_NAME: il nome della subnet solo proxy.
Configurare gli indirizzi IP allocati manualmente
Utilizza indirizzi IP allocati manualmente solo se l'ambiente di backend esterno richiede di utilizzare una lista consentita per indirizzi IP Trusted Cloud specifici. Se l'ambiente backend esterno non richiede una lista consentita, utilizza l'allocazione dinamica come mostrato in precedenza.
Quando crei un gateway Cloud NAT, puoi scegliere di assegnare manualmente indirizzi IP NAT dal livello Premium o Standard o da entrambi, in base a determinate condizioni.
Console
Nella Trusted Cloud console, vai alla pagina Cloud NAT.
Fai clic su Inizia o Crea gateway Cloud NAT.
Inserisci un nome del gateway LB_NAT_CONFIG.
Nell'elenco Rete, seleziona LB_NETWORK.
Nell'elenco Regione, seleziona REGION.
Seleziona o crea un router Cloud nella regione.
Per Tipo di endpoint di origine, seleziona Bilanciatori del carico proxy gestiti.
Nell'elenco Origine, seleziona Personalizzato.
- In Subnet, seleziona PROXY_ONLY_SUBNET_NAME.
Nell'elenco Indirizzi IP Cloud NAT, seleziona Manuale.
In Livello di servizio di rete, scegli Premium o Standard.
Seleziona o crea un indirizzo IP esterno statico riservato da utilizzare per NAT.
Se vuoi specificare indirizzi IP aggiuntivi, fai clic su Aggiungi indirizzo IP, quindi seleziona o crea un indirizzo IP esterno statico riservato aggiuntivo.
Fai clic su Crea.
gcloud
Crea gli indirizzi IP. Poiché il gateway esegue la traduzione NAT uno-a-uno, devi assicurarti che il pool di indirizzi IP riservati sia sufficiente a gestire la quantità di traffico prevista. Indirizzi IP NAT allocati in modo insufficiente potrebbero causare la perdita di traffico.
gcloud compute addresses create IP_ADDRESS_NAME_1 IP_ADDRESS_NAME_2 [IP_ADDRESS_NAME_3 ...] \ --region=REGION
Crea un router Cloud:
gcloud compute routers create ROUTER_NAME \ --network=LB_NETWORK \ --region=REGION
Configura il gateway Cloud NAT.
gcloud beta compute routers nats create LB_NAT_CONFIG \ --router=ROUTER_NAME \ --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \ --nat-custom-subnet-ip-ranges=PROXY_ONLY_SUBNET_NAME \ --nat-external-ip-pool=IP_ADDRESS_NAME_1,IP_ADDRESS_NAME_2,[IP_ADDRESS_NAME_3 ...] \ --region=REGION
Sostituisci quanto segue:
LB_NAT_CONFIG: il nome della configurazione NAT.ROUTER_NAME: il nome del tuo router Cloud.PROXY_ONLY_SUBNET_NAME: il nome della subnet solo proxy.REGION: la regione del NAT da creare. Se non specificata, potrebbe esserti chiesto di selezionare una regione (solo modalità interattiva).
Configurare l'allocazione dinamica delle porte
Aggiorna il gateway Cloud NAT in modo che utilizzi la modalità di allocazione dinamica delle porte per utilizzare completamente gli indirizzi IP assegnati.
gcloud
Aggiorna il gateway Cloud NAT. Ti consigliamo di impostare il numero minimo di porte su 2048 e il numero massimo di porte su 4096.
gcloud compute routers nats update LB_NAT_CONFIG \ --router=ROUTER_NAME \ --enable-dynamic-port-allocation \ --min-ports-per-vm=MIN_PORTS_PER_VM \ --max-ports-per-vm=MAX_PORTS_PER_VM \ --region=REGIONVerifica che l'allocazione dinamica delle porte sia attivata e che siano impostati il numero minimo e massimo di porte.
gcloud compute routers nats describe LB_NAT_CONFIG \ --router=ROUTER_NAME \ --region=REGIONL'output è simile al seguente:
enableDynamicPortAllocation: true enableEndpointIndependentMapping: false endpointTypes: ‐ ENDPOINT_TYPE_MANAGED_PROXY_LB logConfig: enable: true filter: ALL maxPortsPerVm: 4096 minPortsPerVm: 2048 name: LB_NAT_CONFIG natIpAllocateOption: MANUAL_ONLY natIps: ‐ https://www.googleapis.com/compute/projects/PROJECT_NAME/regions/REGION/addresses/ADDRESS sourceSubnetworkIpRangesToNat: ALL_SUBNETWORKS_ALL_IP_RANGES type: PUBLIC
Per saperne di più, consulta la sezione Specificare intervalli di subnet per NAT nella documentazione di Cloud NAT.
Assicurati di utilizzare una lista consentita per gli intervalli di indirizzi IP NAT nel tuo ambiente di backend esterno, in modo che il backend esterno possa ricevere traffico da Trusted Cloud.
Prenota l'indirizzo IP del bilanciatore del carico
Prenota un indirizzo IP interno per il bilanciatore del carico.
Console
Puoi prenotare un indirizzo IP interno autonomo utilizzando la consoleTrusted Cloud .
- Vai alla pagina Reti VPC.
- Fai clic sulla rete utilizzata per configurare la connettività ibrida tra gli ambienti.
- Fai clic su Indirizzi IP interni statici, quindi su Prenota indirizzo statico.
- Inserisci un Nome: LB_IP_ADDRESS.
- Per Subnet, seleziona LB_SUBNET_NAME.
- Se vuoi specificare l'indirizzo IP da prenotare, in Indirizzo IP statico, seleziona Scelta manuale e poi inserisci un indirizzo IP personalizzato. In caso contrario, il sistema assegna automaticamente un indirizzo IP nella subnet.
- Se vuoi utilizzare questo indirizzo IP con più regole di forwarding, in Scopo, scegli Condiviso.
- Fai clic su Prenota per completare la procedura.
gcloud
Utilizzando gcloud CLI, esegui il comando
compute addresses create:gcloud compute addresses create LB_IP_ADDRESS \ --region=REGION \ --subnet=LB_SUBNET_NAME
Utilizza il comando
compute addresses describeper visualizzare l'indirizzo IP allocato:gcloud compute addresses describe LB_IP_ADDRESS \ --region=REGION
Configura il NEG internet
Puoi creare un NEG internet utilizzando endpoint INTERNET_FQDN_PORT o
endpoint INTERNET_IP_PORT.
Console
Crea un NEG con INTERNET_FQDN_PORT endpoint
Nella console Trusted Cloud , vai alla pagina Gruppo di endpoint di rete.
Fai clic su Crea gruppo di endpoint di rete.
Specifica un INTERNET_NEG_NAME per il NEG di internet. Per saperne di più, consulta le convenzioni per la denominazione delle risorse.
Nell'elenco Tipo di gruppo di endpoint di rete, seleziona Gruppo di endpoint di rete (internet) e poi segui questi passaggi:
- Nell'elenco Ambito, seleziona A livello di regione.
- (Facoltativo) Nell'elenco Regione, modifica REGION per questo NEG.
- Nell'elenco Rete, seleziona LB_NETWORK.
- Nella casella Porta predefinita, inserisci DEFAULT_PORT_NUMBER.
- Nell'elenco Aggiungi endpoint tramite, seleziona Nome di dominio e porta completi.
- Seleziona Crea.
Aggiungi INTERNET_FQDN_PORT endpoint al NEG
Nella console Trusted Cloud , vai alla pagina Gruppo di endpoint di rete.
- Fai clic su INTERNET_NEG_NAME.
Inserisci il nome di dominio completo, ad esempio
myorg.example.com. Devi specificare gli oggetti FQDN nella sintassi FQDN standard.(Facoltativo) In Tipo di porta, seleziona Personalizzato. Se il Tipo di porta è
Default, viene utilizzata la porta predefinita del NEG.- Nella casella Numero porta, inserisci PORT_NUMBER_1.
- Seleziona Crea.
Crea un NEG con INTERNET_IP_PORT endpoint
Nella console Trusted Cloud , vai alla pagina Gruppo di endpoint di rete.
Fai clic su Crea gruppo di endpoint di rete.
Specifica un nome INTERNET_NEG_NAME per il NEG internet. Per saperne di più, consulta le convenzioni per la denominazione delle risorse.
Nell'elenco Tipo di gruppo di endpoint di rete, seleziona Gruppo di endpoint di rete (internet) e poi segui questi passaggi:
- Nell'elenco Ambito, seleziona A livello di regione.
- (Facoltativo) Nell'elenco Regione, modifica REGION per questo NEG.
- Nell'elenco Rete, seleziona LB_NETWORK.
- Nella casella Porta predefinita, inserisci DEFAULT_PORT_NUMBER.
- Nell'elenco Aggiungi endpoint tramite, seleziona IP e porta.
- Seleziona Crea.
Aggiungi INTERNET_IP_PORT endpoint al NEG
Nella console Trusted Cloud , vai alla pagina Gruppo di endpoint di rete.
- Fai clic su INTERNET_NEG_NAME.
- Nel campo Indirizzo IP, inserisci IP_ADDRESS_1.
(Facoltativo) Nell'elenco Tipo di porta, seleziona Personalizzato. Se il Tipo di porta è
Default, viene utilizzata la porta predefinita del NEG.- Nel campo Numero porta, inserisci PORT_NUMBER_1.
- Seleziona Crea.
gcloud
Per creare un NEG con endpoint INTERNET_FQDN_PORT:
Crea la risorsa NEG.
gcloud beta compute network-endpoint-groups create INTERNET_NEG_NAME \ --network-endpoint-type=INTERNET_FQDN_PORT \ --default-port=DEFAULT_PORT_NUMBER \ --network=LB_NETWORK \ --region=REGIONAggiungi endpoint al NEG. Se non viene specificata una porta, viene utilizzata la porta predefinita del NEG.
gcloud beta compute network-endpoint-groups update INTERNET_NEG_NAME \ --add-endpoint="fqdn=FULLY_QUALIFIED_DOMAIN_NAME_1,port=PORT_NUMBER_1" \ [--add-endpoint="fqdn=FULLY_QUALIFIED_DOMAIN_NAME_2,port=PORT_NUMBER_2" \] --region=REGIONSostituisci quanto segue:
FULLY_QUALIFIED_DOMAIN_NAME: il nome di dominio completo per l'endpointPORT_NUMBER: il numero di porta per l'endpoint
Puoi aggiungere fino a 256 endpoint per NEG.
Se il tuo dominio è risolvibile su internet, non è necessaria nessun'altra configurazione per impostare il DNS. Tuttavia, se utilizzi FQDN privati, devi configurare Cloud DNS per facilitare la risoluzione DNS. Il nome deve essere ospitato su Cloud DNS o essere risolvibile tramite il forwarding DNS da Cloud DNS a un DNS on-premise.
Inizia creando una zona Cloud DNS per ospitare i record DNS nel tuo progetto. Poi aggiungi i record DNS. Per i passaggi di configurazione specifici, consulta la documentazione di Cloud DNS.
Per creare un NEG con endpoint INTERNET_IP_PORT:
Crea la risorsa NEG.
gcloud beta compute network-endpoint-groups create INTERNET_NEG_NAME \ --network-endpoint-type=INTERNET_IP_PORT \ --default-port=DEFAULT_PORT_NUMBER \ --network=LB_NETWORK \ --region=REGIONAggiungi endpoint al NEG. Se non viene specificata una porta, viene utilizzata la porta predefinita del NEG.
gcloud beta compute network-endpoint-groups update INTERNET_NEG_NAME \ --add-endpoint="ip=IP_ADDRESS_1,port=PORT_NUMBER_1" \ [--add-endpoint="ip=IP_ADDRESS_2,port=PORT_NUMBER_2" \] --region=REGIONSostituisci quanto segue:
IP_ADDRESS: l'indirizzo IP dell'endpointPORT_NUMBER: il numero di porta per l'endpoint
Puoi ripetere questo passaggio per aggiungere fino a 256 endpoint per ogni NEG.
Crea il bilanciatore del carico
Console
Seleziona il tipo di bilanciatore del carico
Nella console Trusted Cloud , vai alla pagina Bilanciamento del carico.
- Fai clic su Crea bilanciatore del carico.
- In Tipo di bilanciatore del carico, seleziona Bilanciatore del carico delle applicazioni (HTTP/HTTPS) e fai clic su Avanti.
- In Pubblico o interno, seleziona Interno e fai clic su Avanti.
- In Deployment tra regioni o in una regione singola, seleziona Ideale per workload regionali e fai clic su Avanti.
- Fai clic su Configura.
Configurazione di base
- Inserisci un Nome bilanciatore del carico.
- In Regione, seleziona REGION.
- In Rete, seleziona LB_NETWORK.
Riservare una subnet solo proxy
Per riservare una subnet solo proxy:
- Fai clic su Riserva subnet.
- In Nome, inserisci PROXY_ONLY_SUBNET_NAME.
- In Intervallo di indirizzi IP, inserisci PROXY_ONLY_SUBNET_RANGE.
- Fai clic su Aggiungi.
Configurazione frontend
- Fai clic su Configurazione frontend.
- Inserisci un Nome.
- In Subnet, seleziona LB_SUBNET_NAME.
Per creare un bilanciatore del carico HTTPS, devi disporre di un certificato SSL. Ti consigliamo di utilizzare un certificato gestito da Google.
Proprietà Valore (digita un valore o seleziona un'opzione come specificato) Protocollo HTTPS Versione IP IPv4 Indirizzo IP Seleziona l'indirizzo IP prenotato in precedenza: LB_IP_ADDRESS. Porta 443 Certificato Seleziona un certificato SSL esistente o creane uno nuovo.
Per creare un bilanciatore del carico HTTPS, devi disporre di una risorsa certificato SSL da utilizzare nel proxy HTTPS.
Se vuoi testare questa procedura senza configurare una risorsa certificato SSL (o un dominio come richiesto dai certificati gestiti da Google), puoi configurare un bilanciatore del carico HTTP.
Per creare un bilanciatore del carico HTTP, verifica che le seguenti opzioni siano configurate con questi valori:
Proprietà Valore (digita un valore o seleziona un'opzione come specificato) Protocollo HTTP Versione IP IPv4 Indirizzo IP Seleziona l'indirizzo IP prenotato in precedenza: LB_IP_ADDRESS. Porta 80 Fai clic su Fine.
Configurazione backend
- Fai clic su Configurazione backend.
- Fai clic su Servizi e bucket di backend.
- Fai clic su Crea un servizio di backend.
- Inserisci un nome.
- In Tipo di backend, seleziona Gruppo di endpoint di rete internet.
- Per Protocollo, seleziona il protocollo che intendi utilizzare dal bilanciatore del carico al NEG di internet.
- Per Backend, nella finestra Nuovo backend, seleziona il gruppo di endpoint di rete internet regionale creato nel passaggio precedente.
- Fai clic su Fine.
- Configura il controllo di integrità:
- In Controllo di integrità, seleziona Crea un controllo di integrità.
- Imposta il nome del controllo di integrità su HTTP_HEALTH_CHECK_NAME.
- In Protocollo, seleziona HTTP.
- Imposta Porta su
80.
- Fai clic su Crea.
Esamina e finalizza
- Fai clic su Esamina e finalizza.
- Se è tutto corretto, fai clic su Crea.
gcloud
- (Facoltativo) Crea un controllo di integrità. I probe del controllo di integrità per i backend esterni utilizzano i controlli di integrità Envoy distribuiti e vengono tradotti in NAT in un secondo momento.
gcloud compute health-checks create http HTTP_HEALTH_CHECK_NAME \ --region=REGION \ --use-serving-port - Crea un servizio di backend:
gcloud compute backend-services create BACKEND_SERVICE \ --load-balancing-scheme=INTERNAL_MANAGED \ --protocol=HTTP \ --health-checks=HTTP_HEALTH_CHECK_NAME \ --health-checks-region=REGION \ --region=REGION - Aggiungi il NEG internet al servizio di backend:
gcloud compute backend-services add-backend BACKEND_SERVICE \ --network-endpoint-group=INTERNET_NEG_NAME \ --network-endpoint-group-region=REGION \ --region=REGION - Crea una mappa URL per instradare le richieste in entrata al servizio di backend:
gcloud compute url-maps create URL_MAP_NAME \ --default-service=BACKEND_SERVICE \ --region=REGION -
(Facoltativo) Esegui questo passaggio se utilizzi HTTPS tra il client e
il bilanciatore del carico. Questo passaggio non è obbligatorio per i bilanciatori del carico HTTP.
Puoi creare certificati Compute Engine o Certificate Manager. Utilizza uno dei seguenti metodi per creare certificati utilizzando Certificate Manager:
- Certificati autogestiti a livello di regione. Per informazioni sulla creazione e l'utilizzo di certificati autogestiti a livello di regione, vedi Eseguire il deployment di un certificato autogestito a livello di regione. Le mappature dei certificati non sono supportate.
Certificati gestiti da Google a livello di regione. Le mappature dei certificati non sono supportate.
I seguenti tipi di certificati gestiti da Google a livello di regione sono supportati da Certificate Manager:
- Certificati gestiti da Google a livello di regione con autorizzazione DNS per progetto. Per maggiori informazioni, vedi Eseguire il deployment di un certificato regionale gestito da Google con autorizzazione DNS.
- Certificati (privati) gestiti a livello di regione da Google con Certificate Authority Service. Per maggiori informazioni, vedi Eseguire il deployment di un certificato regionale gestito da Google con il servizio autorità di certificazione.
Dopo aver creato i certificati, collegali direttamente al proxy di destinazione.
Per creare una risorsa del certificato SSL autogestito di Compute Engine:gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --certificate CRT_FILE_PATH \ --private-key KEY_FILE_PATH -
Crea un proxy HTTP(S) di destinazione per instradare le richieste alla mappa URL.
Per un bilanciatore del carico HTTP, crea un proxy HTTP di destinazione:
gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \ --url-map=URL_MAP_NAME \ --region=REGIONPer un bilanciatore del carico HTTPS, crea un proxy HTTPS di destinazione. Il proxy è la parte del bilanciatore del carico che contiene il certificato SSL per il bilanciamento del carico HTTPS, quindi devi caricare anche il tuo certificato in questo passaggio.
gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \ --ssl-certificates=SSL_CERTIFICATE_NAME \ --url-map=URL_MAP_NAME \ --region=REGION -
Crea una regola di forwarding per instradare le richieste in entrata al proxy.
Per un bilanciatore del carico HTTP:
gcloud compute forwarding-rules create HTTP_FORWARDING_RULE_NAME \ --load-balancing-scheme=INTERNAL_MANAGED \ --network-tier=PREMIUM \ --network=LB_NETWORK \ --subnet=LB_SUBNET_NAME \ --address=LB_IP_ADDRESS \ --target-http-proxy=TARGET_HTTP_PROXY_NAME \ --target-http-proxy-region=REGION \ --region=REGION \ --ports=80Per un bilanciatore del carico HTTPS:
gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \ --load-balancing-scheme=INTERNAL_MANAGED \ --network-tier=PREMIUM \ --network=LB_NETWORK \ --subnet=LB_SUBNET_NAME \ --address=LB_IP_ADDRESS \ --target-https-proxy=TARGET_HTTPS_PROXY_NAME \ --target-https-proxy-region=REGION \ --region=REGION \ --ports=443
Collegare il dominio al bilanciatore del carico
Dopo aver creato il bilanciatore del carico, prendi nota dell'indirizzo IP associato
al bilanciatore del carico, ad esempio 30.90.80.100. Per indirizzare il tuo dominio al bilanciatore del carico, crea un record A utilizzando il servizio di registrazione del dominio. Se
hai aggiunto più domini al certificato SSL, devi aggiungere un record A
per ciascuno, tutti indirizzati all'indirizzo IP del bilanciamento del carico. Ad esempio, per
creare record A per www.example.com e example.com, utilizza quanto segue:
NAME TYPE DATA www A 30.90.80.100 @ A 30.90.80.100
Se utilizzi Cloud DNS come provider DNS, consulta Aggiungere, modificare ed eliminare record.
testa il bilanciatore del carico
Ora che hai configurato il bilanciatore del carico, puoi iniziare a inviare traffico al suo indirizzo IP.
Crea una VM client
Questo esempio crea una VM client (vm-client) nella stessa regione del bilanciatore del carico. Il client viene utilizzato per convalidare la configurazione del bilanciatore del carico
e dimostrare il comportamento previsto.
gcloud
La VM client può trovarsi in qualsiasi zona dello stesso REGION del bilanciatore del carico e può utilizzare qualsiasi subnet nella stessa rete VPC.
gcloud compute instances create vm-client \
--image-family=debian-12 \
--image-project=debian-cloud \
--tags=allow-ssh \
--network=LB_NETWORK \
--subnet=LB_SUBNET_NAME \
--zone=ZONE
Invia traffico al bilanciatore del carico
Potrebbero essere necessari alcuni minuti prima che la configurazione del bilanciatore del carico venga propagata dopo il primo deployment.
Connettiti all'istanza client utilizzando SSH.
gcloud compute ssh vm-client \ --zone=ZONE
Verifica che il bilanciatore del carico si connetta all'applicazione in esecuzione sul backend esterno come previsto.
Per i test HTTP, esegui:
curl IP_ADDRESS
Per il test HTTPS, esegui:
curl -k -s 'https://TEST_DOMAIN_URL:443' --connect-to TEST_DOMAIN_URL:443:IP_ADDRESS:443
Sostituisci TEST_DOMAIN_URL con il dominio associato alla tua applicazione. Ad esempio,
test.example.com.Il flag
-kfa sì che curl salti la convalida del certificato.
Configurazione aggiuntiva
Questa sezione espande l'esempio di configurazione per fornire opzioni di configurazione alternative e aggiuntive. Tutte le attività sono facoltative. Puoi eseguirle in qualsiasi ordine.
Per abilitare ancora più funzionalità per il bilanciatore del carico delle applicazioni interno regionale, come l'accesso globale (se i client si trovano in un'altra regione), consulta Configurare un bilanciatore del carico delle applicazioni interno con backend di gruppi di istanze VM: configurazione aggiuntiva.Utilizzare un'intestazione personalizzata per autenticare le richieste
Per autenticare le richieste inviate al backend esterno, puoi impostare un'intestazione personalizzata per indicare che la richiesta proviene da un bilanciatore del carico Trusted Cloud . Dovrai anche configurare il backend esterno in modo che si aspetti questa intestazione personalizzata sul traffico proveniente da Trusted Cloud.
Per scoprire come configurare le intestazioni personalizzate, consulta Configurare la gestione avanzata del traffico.Per altri metodi di autenticazione, vedi Autenticare le richieste al backend esterno.
Aggiorna il timeout keepalive HTTP del client
Il bilanciatore del carico creato nei passaggi precedenti è stato configurato con un valore predefinito per il timeout keep-alive HTTP client.Per aggiornare il timeout keepalive HTTP del client, segui queste istruzioni.
Console
Nella console Trusted Cloud , vai alla pagina Bilanciamento del carico.
- Fai clic sul nome del bilanciatore del carico da modificare.
- Fai clic su Modifica.
- Fai clic su Configurazione frontend.
- Espandi Funzionalità avanzate. In Timeout keepalive HTTP, inserisci un valore di timeout.
- Fai clic su Aggiorna.
- Per rivedere le modifiche, fai clic su Rivedi e finalizza, quindi fai clic su Aggiorna.
gcloud
Per un bilanciatore del carico HTTP, aggiorna il proxy HTTP di destinazione utilizzando il
comando gcloud compute target-http-proxies update.
gcloud compute target-http-proxies update TARGET_HTTP_PROXY_NAME \
--http-keep-alive-timeout-sec=HTTP_KEEP_ALIVE_TIMEOUT_SEC \
--region=REGION
Per un bilanciatore del carico HTTPS, aggiorna il proxy HTTPS di destinazione utilizzando il
comando gcloud compute target-https-proxies update.
gcloud compute target-https-proxies update TARGET_HTTP_PROXY_NAME \
--http-keep-alive-timeout-sec=HTTP_KEEP_ALIVE_TIMEOUT_SEC \
--region REGION
Sostituisci quanto segue:
TARGET_HTTP_PROXY_NAME: il nome del proxy HTTP di destinazione.TARGET_HTTPS_PROXY_NAME: il nome del proxy HTTPS di destinazione.HTTP_KEEP_ALIVE_TIMEOUT_SEC: il valore del timeout keepalive HTTP da 5 a 600 secondi.