Menyiapkan Load Balancer Jaringan proxy eksternal regional dengan konektivitas hybrid

Network Load Balancer proxy eksternal regional adalah load balancer Lapisan 4 regional berbasis proxy yang memungkinkan Anda menjalankan dan menskalakan traffic layanan TCP di satu region di balik alamat IP regional eksternal. Load balancer ini mendistribusikan traffic TCP eksternal dari internet ke backend di region yang sama.

Halaman ini menjelaskan cara mengonfigurasi Network Load Balancer proxy eksternal regional untuk menyeimbangkan beban traffic ke backend di lingkungan lokal atau di lingkungan cloud lain yang terhubung menggunakan konektivitas hybrid. Mengonfigurasi konektivitas hybrid untuk menghubungkan jaringan Anda ke Cloud de Confiance tidak termasuk dalam cakupan halaman ini.

Sebelum memulai, baca Ringkasan Load Balancer Jaringan proxy eksternal.

Dalam contoh ini, kita akan menggunakan load balancer untuk mendistribusikan traffic TCP di seluruh VM backend yang berada di lokal atau di lingkungan cloud lainnya.

Dalam contoh ini, Anda akan mengonfigurasi deployment yang ditunjukkan dalam diagram berikut.

Contoh konfigurasi Load Balancer Jaringan proxy eksternal dengan backend NEG hybrid.
Contoh konfigurasi Load Balancer Jaringan proxy eksternal dengan backend NEG hybrid

Ini adalah load balancer regional. Semua komponen load balancer (grup instance backend, layanan backend, proxy target, dan aturan penerusan) harus berada di region yang sama.

Izin

Untuk menyiapkan load balancing hybrid, Anda harus memiliki izin berikut:

  • Aktif Cloud de Confiance

    • Izin untuk membuat konektivitas hybrid antara Cloud de Confiance dan lingkungan lokal Anda atau lingkungan cloud lainnya. Untuk daftar izin yang diperlukan, lihat dokumentasi produk Network Connectivity yang relevan.
    • Izin untuk membuat NEG dengan konektivitas hybrid dan load balancer. Peran Admin Load Balancer Compute (roles/compute.loadBalancerAdmin) berisi izin yang diperlukan untuk melakukan tugas yang dijelaskan dalam panduan ini.

  • Di lingkungan lokal Anda atau lingkungan non-Cloud de Confiance cloud lainnya

    • Izin untuk mengonfigurasi endpoint jaringan yang memungkinkan layanan di lingkungan lokal atau lingkungan cloud lainnya dapat dijangkau dariCloud de Confiance dengan menggunakan kombinasi IP:Port. Untuk mengetahui informasi selengkapnya, hubungi administrator jaringan lingkungan Anda.
    • Izin untuk membuat aturan firewall di lingkungan lokal atau lingkungan cloud lainnya untuk mengizinkan pemeriksaan health check Google menjangkau endpoint.

Selain itu, untuk menyelesaikan petunjuk di halaman ini, Anda perlu membuat NEG konektivitas hybrid, load balancer, dan NEG zona (serta endpointnya) untuk berfungsi sebagai backend berbasis Cloud de Confianceuntuk load balancer.

Anda harus menjadi Pemilik atau Editor project, atau Anda harus memiliki peran IAM Compute Engine berikut.

Tugas Peran yang diperlukan
Membuat jaringan, subnet, dan komponen load balancer Compute Network Admin (roles/compute.networkAdmin)
Menambahkan dan menghapus aturan firewall Compute Security Admin (roles/compute.securityAdmin)
Membuat instance Compute Instance Admin (roles/compute.instanceAdmin)

Membuat konektivitas hybrid

Lingkungan lokal dan lingkungan cloud lainnya harus terhubung melalui konektivitas hybrid menggunakan lampiran VLAN Cloud Interconnect atau tunnel Cloud VPN dengan VM Cloud Router atau Router appliance. Cloud de Confiance Sebaiknya Anda menggunakan koneksi ketersediaan tinggi.

Cloud Router yang diaktifkan dengan perutean dinamis global mempelajari endpoint tertentu melalui Border Gateway Protocol (BGP) dan memprogramnya ke dalam Cloud de Confiance jaringan VPC Anda. Perutean dinamis regional tidak didukung. Rute statis juga tidak didukung.

Anda dapat menggunakan jaringan yang sama atau jaringan VPC yang berbeda dalam project yang sama untuk mengonfigurasi jaringan hybrid (Cloud Interconnect atau Cloud VPN atau VM perangkat Router) dan load balancer. Perhatikan hal berikut:

  • Jika Anda menggunakan jaringan VPC yang berbeda, kedua jaringan harus dihubungkan menggunakan Peering Jaringan VPC atau harus berupa spoke VPC di hub Network Connectivity Center yang sama.

  • Jika Anda menggunakan jaringan VPC yang sama, pastikan rentang CIDR subnet jaringan VPC Anda tidak berkonflik dengan rentang CIDR jarak jauh Anda. Jika alamat IP tumpang-tindih, rute subnet diprioritaskan daripada konektivitas jarak jauh.

Untuk mengetahui petunjuknya, lihat dokumentasi berikut:

Menyiapkan lingkungan Anda di luar Cloud de Confiance

Lakukan langkah-langkah berikut untuk menyiapkan lingkungan lokal atau lingkungan cloud lainnya untuk load balancing hybrid:

  • Konfigurasi endpoint jaringan untuk mengekspos layanan lokal ke Cloud de Confiance (IP:Port).
  • Konfigurasi aturan firewall di lingkungan lokal atau lingkungan cloud lainnya.
  • Konfigurasi Cloud Router untuk mengiklankan rute tertentu yang diperlukan ke lingkungan pribadi Anda.

Menyiapkan endpoint jaringan

Setelah menyiapkan konektivitas hybrid, Anda mengonfigurasi satu atau beberapa endpoint jaringan dalam lingkungan lokal atau lingkungan cloud lainnya yang dapat dijangkau melalui Cloud Interconnect atau Cloud VPN atau Router appliance menggunakan kombinasi IP:port. Kombinasi IP:port ini dikonfigurasi sebagai satu atau beberapa endpoint untuk NEG konektivitas hybrid yang dibuat di Cloud de Confiance kemudian dalam proses ini.

Jika ada beberapa jalur ke endpoint IP, perutean akan mengikuti perilaku yang dijelaskan dalam Ringkasan Cloud Router.

Menyiapkan aturan firewall

Aturan firewall berikut harus dibuat di lingkungan lokal atau lingkungan cloud lainnya:

  • Buat aturan firewall izinkan traffic masuk di lingkungan lokal atau cloud lain untuk mengizinkan traffic dari subnet khusus proxy region agar dapat menjangkau endpoint.

  • Mengizinkan traffic dari rentang pemeriksaan health check Google tidak diperlukan untuk NEG hibrida. Namun, jika Anda menggunakan kombinasi NEG hybrid dan zona dalam satu layanan backend, Anda harus mengizinkan traffic dari rentang probe health check Google untuk NEG zona.

Konfigurasi Cloud Router untuk mengiklankan rentang IP kustom berikut ke lingkungan lokal atau lingkungan cloud lainnya:

  • Rentang subnet khusus proxy region.

Menyiapkan Cloud de Confiance lingkungan

Untuk langkah-langkah berikut, pastikan Anda menggunakan jaringan VPC yang sama (disebut NETWORK dalam prosedur ini) yang digunakan untuk mengonfigurasi konektivitas hybrid antara lingkungan. Anda dapat memilih subnet apa pun dari jaringan ini untuk mencadangkan alamat IP load balancer dan membuat load balancer. Subnet ini disebut sebagai LB_SUBNET dalam prosedur ini.

Selain itu, pastikan region yang digunakan (disebut REGION_A dalam prosedur ini) adalah region yang sama dengan yang digunakan untuk membuat tunnel Cloud VPN atau lampiran VLAN Cloud Interconnect.

Konfigurasi subnet khusus proxy

Subnet khusus proxy menyediakan serangkaian alamat IP yang digunakan Google untuk menjalankan proxy Envoy atas nama Anda. Proxy menghentikan koneksi dari klien dan membuat koneksi baru ke backend.

Subnet khusus proxy ini digunakan oleh semua load balancer regional berbasis Envoy di region (REGION_A) jaringan VPC (NETWORK).

Hanya boleh ada satu subnet khusus proxy yang aktif per region, per jaringan VPC. Anda dapat melewati langkah ini jika sudah ada subnet khusus proxy di region ini.

Konsol

Jika menggunakan konsol Cloud de Confiance , Anda dapat menunggu dan membuat subnet khusus proxy nanti di halaman Load balancing.

Jika Anda ingin membuat subnet khusus proxy sekarang, ikuti langkah-langkah berikut:

  1. Di Cloud de Confiance konsol, buka halaman VPC networks.

    Buka jaringan VPC

  2. Buka jaringan yang digunakan untuk mengonfigurasi konektivitas hibrida antara lingkungan.

  3. Klik Tambahkan subnet.

  4. Untuk Name, masukkan proxy-only-subnet.

  5. Untuk Region, pilih REGION_A.

  6. Tetapkan Purpose ke Regional Managed Proxy.

  7. Untuk Rentang alamat IP, masukkan 10.129.0.0/23.

  8. Klik Tambahkan.

gcloud

Untuk membuat subnet khusus proxy, gunakan perintah gcloud compute networks subnets create:

gcloud compute networks subnets create proxy-only-subnet \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION_A \
    --network=NETWORK \
    --range=10.129.0.0/23

Mencadangkan alamat IP load balancer

Cadangkan alamat IP statis untuk load balancer.

Konsol

  1. Di konsol Cloud de Confiance , buka halaman Reserve a static address.

    Buka Reserve a static address

  2. Pilih nama untuk alamat baru.

  3. Untuk Network Service Tier, pilih Standard.

  4. Untuk IP version, pilih IPv4. Alamat IPv6 tidak didukung.

  5. Untuk Jenis, pilih Regional.

  6. Untuk Region, pilih REGION_A.

  7. Biarkan opsi Dilampirkan ke ditetapkan ke Tidak ada. Setelah Anda membuat load balancer, alamat IP ini dilampirkan ke aturan penerusan load balancer.

  8. Klik Reserve untuk mereservasi alamat IP.

gcloud

  1. Untuk mencadangkan alamat IP eksternal statis, gunakan perintah gcloud compute addresses create:

    gcloud compute addresses create ADDRESS_NAME  \
   --region=REGION_A \
   --network-tier=STANDARD

    Ganti ADDRESS_NAME dengan nama yang ingin Anda beri untuk alamat ini.

  2. Untuk melihat hasilnya, gunakan perintah gcloud compute addresses describe:

    gcloud compute addresses describe ADDRESS_NAME

Menyiapkan NEG konektivitas hybrid

Saat membuat NEG, gunakan ZONE yang meminimalkan jarak geografis antara Cloud de Confiance dan lingkungan cloud atau lokal Anda yang lain. Misalnya, jika Anda menghosting layanan di lingkungan lokal di Frankfurt, Jerman, Anda dapat menentukan zona europe-west3-a Cloud de Confiance saat membuat NEG.

Selain itu, zona yang Anda gunakan untuk membuat NEG harus berada di region yang sama dengan tempat tunnel Cloud VPN atau lampiran VLAN Cloud Interconnect dikonfigurasi untuk konektivitas hybrid.

Untuk mengetahui region dan zona yang tersedia, lihat Region dan zona yang tersedia dalam dokumentasi Compute Engine.

Konsol

Membuat NEG dengan konektivitas hybrid

  1. Di konsol Cloud de Confiance , buka halaman Network endpoint groups.

    Buka Network endpoint groups

  2. Klik Create network endpoint group.

  3. Untuk Name, masukkan HYBRID_NEG_NAME.

  4. Untuk Network endpoint group type, pilih Hybrid connectivity network endpoint group (Zonal).

  5. Untuk Network, pilih NETWORK.

  6. Untuk Subnet, pilih LB_SUBNET.

  7. Untuk Zone, pilih HYBRID_NEG_ZONE.

  8. Untuk Default port, pilih default.

  9. Untuk Maximum connections, masukkan 2.

  10. Klik Buat.

Menambahkan endpoint ke NEG dengan konektivitas hybrid

  1. Di konsol Cloud de Confiance , buka halaman Network endpoint groups.

    Buka Network endpoint groups

  2. Klik nama grup endpoint jaringan yang Anda buat di langkah sebelumnya (HYBRID_NEG_NAME).

  3. Di halaman Network endpoint group details, di bagian Network endpoints in this group, klik Add network endpoint.

  4. Di halaman Tambahkan endpoint jaringan, masukkan alamat IP endpoint jaringan baru.

  5. Pilih Port type:

    • Jika Anda memilih Default, endpoint akan menggunakan port default untuk semua endpoint dalam grup endpoint jaringan.
    • Jika memilih Kustom, Anda dapat memasukkan nomor port yang berbeda untuk digunakan endpoint.

  6. Untuk menambahkan lebih banyak endpoint, klik Tambahkan endpoint jaringan dan ulangi langkah-langkah sebelumnya.

  7. Setelah Anda menambahkan semua endpoint non-Cloud de Confiance , klik Buat.

gcloud

  1. Untuk membuat NEG dengan konektivitas hybrid, gunakan perintah gcloud compute network-endpoint-groups create:

    gcloud compute network-endpoint-groups create HYBRID_NEG_NAME \
    --network-endpoint-type=NON_GCP_PRIVATE_IP_PORT \
    --zone=HYBRID_NEG_ZONE \
    --network=NETWORK

  2. Tambahkan endpoint IP:Port lokal ke NEG hybrid:

    gcloud compute network-endpoint-groups update HYBRID_NEG_NAME \
    --zone=HYBRID_NEG_ZONE \
    --add-endpoint="ip=ENDPOINT_IP_ADDRESS,port=ENDPOINT_PORT"

Anda dapat menggunakan perintah ini untuk menambahkan endpoint jaringan yang sebelumnya dikonfigurasi di infrastruktur lokal atau di lingkungan cloud Anda. Ulangi --add-endpoint sebanyak yang diperlukan.

Anda dapat mengulangi langkah-langkah ini untuk membuat beberapa NEG hibrida jika diperlukan.

Mengonfigurasi load balancer

Konsol

Mulai konfigurasi

  1. Di konsol Cloud de Confiance , buka halaman Load balancing.

    Buka Load balancing

  2. Klik Create load balancer.
  3. Untuk Type of load balancer, pilih Network Load Balancer (TCP/UDP/SSL), lalu klik Next.
  4. Untuk Proxy or passthrough, pilih Proxy load balancer, lalu klik Next.
  5. Untuk Public facing or internal, pilih Public facing (external), lalu klik Next.
  6. Untuk Global or single region deployment, pilih Best for regional workloads, lalu klik Next.
  7. Klik Configure.

Konfigurasi dasar

  1. Untuk Name, masukkan nama load balancer.
  2. Untuk Region, pilih REGION_A.
  3. Untuk Network, pilih NETWORK.

Mereservasi subnet khusus proxy

  1. Klik Reserve subnet.
  2. Untuk Name, masukkan proxy-only-subnet.
  3. Untuk Rentang alamat IP, masukkan 10.129.0.0/23.
  4. Klik Tambahkan.

Mengonfigurasi backend

  1. Klik Backend configuration.
  2. Untuk Backend type, pilih Hybrid connectivity network endpoint group (Zonal).
  3. Untuk Protocol, pilih TCP.
  4. Di daftar Health check, klik Create a health check, lalu masukkan informasi berikut:
    • Di kolom Name, masukkan nama untuk health check.
    • Di daftar Protocol, pilih TCP.
    • Dalam daftar Port, masukkan 80.
  5. Klik Buat.
  6. Untuk New backend, pilih NEG hybrid yang Anda buat sebelumnya (HYBRID_NEG_NAME). Atau, Anda dapat mengklik Create a network endpoint group untuk membuat NEG hybrid sekarang. Untuk panduan tentang cara mengonfigurasi NEG, lihat Menyiapkan NEG hibrida.
  7. Pertahankan nilai default yang tersisa, lalu klik Done.
  8. Di konsol Cloud de Confiance , pastikan ada tanda centang di samping Backend configuration. Jika belum, periksa kembali apakah Anda telah menyelesaikan semua langkah.

Mengonfigurasi frontend

  1. Klik Frontend configuration.
  2. Untuk Name, masukkan nama untuk aturan penerusan.
  3. Untuk Network Service Tier, pilih Standard.
  4. Untuk Alamat IP, pilih LB_IP_ADDRESS.
  5. Untuk Nomor port, masukkan nomor port apa pun dari 1-65535. Aturan penerusan hanya meneruskan paket dengan port tujuan yang cocok.
  6. Aktifkan Proxy protocol hanya jika protokol ini berfungsi dengan layanan yang berjalan di endpoint cloud atau lokal Anda. Misalnya, protokol PROXY tidak berfungsi dengan software Apache HTTP Server. Untuk mengetahui informasi selengkapnya, lihat protokol PROXY.
  7. Klik Selesai.
  8. Di konsol Cloud de Confiance , pastikan ada tanda centang di samping Frontend configuration. Jika belum, periksa kembali apakah Anda telah menyelesaikan semua langkah sebelumnya.

Tinjau dan selesaikan

  1. Klik Review and finalize.
  2. Periksa kembali setelan Anda.
  3. Klik Buat.

gcloud

  1. Buat health check regional untuk backend:

    gcloud compute health-checks create tcp TCP_HEALTH_CHECK_NAME \
    --region=REGION_A \
    --use-serving-port

  2. Buat layanan backend:

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
   --load-balancing-scheme=EXTERNAL_MANAGED \
   --protocol=TCP \
   --region=REGION_A \
   --health-checks=TCP_HEALTH_CHECK_NAME \
   --health-checks-region=REGION_A

  3. Tambahkan backend NEG hybrid ke layanan backend:

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
   --network-endpoint-group=HYBRID_NEG_NAME \
   --network-endpoint-group-zone=HYBRID_NEG_ZONE \
   --region=REGION_A \
   --balancing-mode=CONNECTION \
   --max-connections=MAX_CONNECTIONS

    Untuk MAX_CONNECTIONS, masukkan koneksi serentak maksimum yang harus ditangani backend.

  4. Buat proxy TCP target:

    gcloud compute target-tcp-proxies create TARGET_TCP_PROXY_NAME \
   --backend-service=BACKEND_SERVICE_NAME \
   --region=REGION_A

  5. Membuat aturan penerusan. Gunakan perintah gcloud compute forwarding-rules create. Ganti FWD_RULE_PORT dengan satu nomor port dari 1-65535. Aturan penerusan hanya meneruskan paket dengan port tujuan yang cocok.

    gcloud compute forwarding-rules create FORWARDING_RULE \
   --load-balancing-scheme=EXTERNAL_MANAGED \
   --network=NETWORK \
   --network-tier=STANDARD \
   --address=LB_IP_ADDRESS \
   --ports=FWD_RULE_PORT \
   --region=REGION_A \
   --target-tcp-proxy=TARGET_TCP_PROXY_NAME \
   --target-tcp-proxy-region=REGION_A

Menguji load balancer

Setelah mengonfigurasi load balancer, Anda dapat menguji pengiriman traffic ke alamat IP load balancer.

  1. Dapatkan alamat IP load balancer.

    Untuk mendapatkan alamat IPv4, jalankan perintah berikut:

    gcloud compute addresses describe ADDRESS_NAME

  2. Kirim traffic ke load balancer Anda dengan menjalankan perintah berikut. Ganti LB_IP_ADDRESS dengan alamat IPv4 load balancer Anda.

    curl -m1 LB_IP_ADDRESS:FWD_RULE_PORT

Langkah berikutnya