Un bilanciatore del carico di rete proxy esterno regionale è un bilanciatore del carico di livello 4 regionale basato su proxy che ti consente di eseguire e scalare il traffico del servizio TCP in una singola regione dietro un indirizzo IP regionale esterno. Questi bilanciatori del carico distribuiscono il traffico TCP esterno da internet ai backend nella stessa regione.
Questa pagina descrive come configurare un bilanciatore del carico di rete proxy esterno regionale per bilanciare il carico del traffico verso i backend in ambienti on-premise o in altri ambienti cloud connessi tramite la connettività ibrida. La configurazione della connettività ibrida per connettere le tue reti a Cloud de Confiance non rientra nell'ambito di questa pagina.
Prima di iniziare, leggi la panoramica del bilanciatore del carico di rete proxy esterno.
In questo esempio, utilizzeremo il bilanciatore del carico per distribuire il traffico TCP tra le VM di backend situate on-premise o in altri ambienti cloud.
In questo esempio, configurerai il deployment mostrato nel seguente diagramma.
Si tratta di un bilanciatore del carico regionale. Tutti i componenti del bilanciatore del carico (gruppoistanza di backendd, servizio di backend, proxy di destinazione e regola di forwarding) devono trovarsi nella stessa regione.
Autorizzazioni
Per configurare il bilanciamento del carico ibrido, devi disporre delle seguenti autorizzazioni:
On Cloud de Confiance
- Autorizzazioni per stabilire la connettività ibrida tra Cloud de Confiance e il tuo ambiente on-premise o altri ambienti cloud. Per l'elenco delle autorizzazioni necessarie, consulta la documentazione del prodotto Network Connectivity pertinente.
- Autorizzazioni per creare un NEG di connettività ibrida e il bilanciatore del carico.
Il ruolo Amministratore bilanciamento del carico di Compute
(
roles/compute.loadBalancerAdmin) contiene le autorizzazioni necessarie per eseguire le attività descritte in questa guida.
Nel tuo ambiente on-premise o in un altro ambiente non cloudCloud de Confiance
- Autorizzazioni per configurare endpoint di rete che consentono di raggiungere i servizi nel tuo ambiente on-premise o in altri ambienti cloud daCloud de Confiance utilizzando una combinazione di
IP:Port. Per ulteriori informazioni, contatta l'amministratore di rete del tuo ambiente. - Autorizzazioni per creare regole firewall nel tuo ambiente on-premise o in altri ambienti cloud per consentire ai probe del controllo di integrità di Google di raggiungere gli endpoint.
- Autorizzazioni per configurare endpoint di rete che consentono di raggiungere i servizi nel tuo ambiente on-premise o in altri ambienti cloud daCloud de Confiance utilizzando una combinazione di
Inoltre, per completare le istruzioni riportate in questa pagina, devi creare un NEG di connettività ibrida, un bilanciatore del carico e NEG di zona (e i relativi endpoint) da utilizzare come backend basati su Cloud de Confianceper il bilanciatore del carico.
Devi essere proprietario o editor del progetto oppure disporre dei seguenti ruoli IAM di Compute Engine.
| Attività | Ruolo richiesto |
|---|---|
| Crea reti, subnet e componenti del bilanciatore del carico | Compute Network Admin
(roles/compute.networkAdmin) |
| Aggiungere e rimuovere regole firewall | Compute Security Admin
(roles/compute.securityAdmin) |
| Creazione delle istanze | Compute Instance Admin
(roles/compute.instanceAdmin) |
Stabilire la connettività ibrida
Il tuo Cloud de Confiance ambiente on-premise o altri ambienti cloud devono essere connessi tramite connettività ibrida utilizzando tunnel Cloud VPN o collegamenti VLAN di Cloud Interconnect con router Cloud o VM appliance router. Ti consigliamo di utilizzare una connessione a disponibilità elevata.
Un router Cloud abilitato con il routing dinamico globale apprende l'endpoint specifico tramite il protocollo Border Gateway Protocol (BGP) e lo programma nella rete VPC Cloud de Confiance . Il routing dinamico regionale non è supportato. Anche le route statiche non sono supportate.
Puoi utilizzare la stessa rete o una rete VPC diversa all'interno dello stesso progetto per configurare sia il networking ibrido (Cloud Interconnect o Cloud VPN o una VM appliance router) sia il bilanciatore del carico. Nota quanto segue:
Se utilizzi reti VPC diverse, le due reti devono essere connesse tramite il peering di rete VPC oppure devono essere spoke VPC nello stesso hub Network Connectivity Center.
Se utilizzi la stessa rete VPC, assicurati che gli intervalli CIDR delle subnet della rete VPC non siano in conflitto con gli intervalli CIDR remoti. Quando gli indirizzi IP si sovrappongono, le route di subnet hanno la priorità sulla connettività remota.
Per istruzioni, consulta la seguente documentazione:
Configura l'ambiente esterno a Cloud de Confiance
Per configurare l'ambiente on-premise o un altro ambiente cloud per il bilanciamento del carico ibrido:
- Configura gli endpoint di rete per esporre i servizi on-premise a
Cloud de Confiance (
IP:Port). - Configura le regole firewall nel tuo ambiente on-premise o in un altro ambiente cloud.
- Configura il router Cloud per annunciare determinate route richieste al tuo ambiente privato.
Configura endpoint di rete
Dopo aver configurato la connettività ibrida, configuri uno o più endpoint di rete all'interno del tuo ambiente on-premise o di altri ambienti cloud raggiungibili tramite Cloud Interconnect o Cloud VPN o appliance router utilizzando una combinazione IP:port. Questa combinazione IP:port
è configurata come uno o più endpoint per il NEG di connettività ibrida
che viene creato in Cloud de Confiance in un secondo momento di questa procedura.
Se esistono più percorsi per l'endpoint IP, il routing segue il comportamento descritto nella panoramica del router Cloud.
Configura le regole firewall
Le seguenti regole firewall devono essere create nel tuo ambiente on-premise o in un altro ambiente cloud:
- Crea una regola firewall di autorizzazione in entrata in ambienti on-premise o in altri cloud per consentire al traffico dalla subnet solo proxy della regione di raggiungere gli endpoint.
L'autorizzazione del traffico dagli intervalli di probe del controllo di integrità di Google non è obbligatoria per i NEG ibridi. Tuttavia, se utilizzi una combinazione di NEG ibridi e zonali in un unico servizio di backend, devi consentire il traffico dagli intervalli di probe di controllo di integrità di Google per i NEG zonali.
Pubblicizza route
Configura Cloud Router per annunciare i seguenti intervalli IP personalizzati al tuo ambiente on-premise o a un altro ambiente cloud:
- L'intervallo della subnet solo proxy della regione.
Configura il tuo Cloud de Confiance ambiente
Per i passaggi successivi, assicurati di utilizzare la stessa rete VPC
(denominata NETWORK in questa procedura) che
è stata utilizzata per configurare la connettività ibrida tra gli ambienti. Puoi
selezionare qualsiasi subnet di questa rete per prenotare l'indirizzo IP del bilanciatore del carico
e creare il bilanciatore del carico. Questa subnet è indicata come
LB_SUBNET in questa procedura.
Inoltre, assicurati che la regione utilizzata (denominata
REGION_A in questa procedura) sia la stessa regione
utilizzata per creare il tunnel Cloud VPN o
il collegamento VLAN Cloud Interconnect.
Configura la subnet solo proxy
Una subnet solo proxy fornisce un insieme di indirizzi IP che Google utilizza per eseguire i proxy Envoy per tuo conto. I proxy terminano le connessioni dal client e creano nuove connessioni ai backend.
Questa subnet solo proxy viene utilizzata da tutti i bilanciatori del carico regionali basati su Envoy nella regione (REGION_A) della rete VPC (NETWORK).
Può essere presente una sola subnet solo proxy attiva per regione, per rete VPC. Puoi saltare questo passaggio se esiste già una subnet solo proxy in questa regione.
Console
Se utilizzi la console Cloud de Confiance , puoi attendere e creare la subnet solo proxy in un secondo momento nella pagina Bilanciamento del carico.
Se vuoi creare subito la subnet solo proxy, segui questi passaggi:
Nella console Cloud de Confiance , vai alla pagina Reti VPC.
Vai alla rete utilizzata per configurare la connettività ibrida tra gli ambienti.
Fai clic su Aggiungi subnet.
In Nome, inserisci
proxy-only-subnet.In Regione, seleziona
REGION_A.Imposta Scopo su Proxy gestito a livello di regione.
In Intervallo di indirizzi IP, inserisci
10.129.0.0/23.Fai clic su Aggiungi.
gcloud
Per creare la subnet solo proxy, utilizza il comando gcloud compute networks subnets
create:
gcloud compute networks subnets create proxy-only-subnet \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=REGION_A \
--network=NETWORK \
--range=10.129.0.0/23
Prenota l'indirizzo IP del bilanciatore del carico
Prenota un indirizzo IP statico per il bilanciatore del carico.
Console
Nella console Cloud de Confiance , vai alla pagina Prenota un indirizzo statico.
Scegli un nome per il nuovo indirizzo.
In Livello di servizio di rete, seleziona Standard.
In Versione IP, seleziona IPv4. Gli indirizzi IPv6 non sono supportati.
Per Tipo, seleziona A livello di regione.
In Regione, seleziona
REGION_A.Lascia l'opzione Collegato a impostata su Nessuno. Dopo aver creato il bilanciatore del carico, questo indirizzo IP viene collegato alla regola di forwarding del bilanciatore del carico.
Fai clic su Prenota per prenotare l'indirizzo IP.
gcloud
Per prenotare un indirizzo IP esterno statico, utilizza il comando
gcloud compute addresses create:gcloud compute addresses create ADDRESS_NAME \ --region=REGION_A \ --network-tier=STANDARD
Sostituisci
ADDRESS_NAMEcon il nome che vuoi assegnare a questo indirizzo.Per visualizzare il risultato, utilizza il comando
gcloud compute addresses describe:gcloud compute addresses describe ADDRESS_NAME
Configura il NEG di connettività ibrida
Quando crei il NEG, utilizza un ZONE che riduca al minimo la
distanza geografica tra Cloud de Confiance e il tuo ambiente on-premise o un altro
ambiente cloud. Ad esempio, se ospiti un servizio in un ambiente on-premise a Francoforte, in Germania, puoi specificare la zona europe-west3-a
Cloud de Confiance quando crei il gruppo di elenchi di esclusione.
Inoltre, la zona che utilizzi per creare il NEG deve trovarsi nella stessa regione in cui è stato configurato il tunnel Cloud VPN o il collegamento VLAN Cloud Interconnect per la connettività ibrida.
Per le regioni e le zone disponibili, consulta Regioni e zone disponibili nella documentazione di Compute Engine.
Console
Crea un NEG di connettività ibrida
Nella console Cloud de Confiance , vai alla pagina Gruppi di endpoint di rete.
Fai clic su Crea gruppo di endpoint di rete.
In Nome, inserisci
HYBRID_NEG_NAME.Per Tipo di gruppo di endpoint di rete, seleziona Gruppo di endpoint di rete con connettività ibrida (a livello di zona).
In Rete, seleziona
NETWORK.In Subnet, seleziona
LB_SUBNET.In Zona, seleziona
HYBRID_NEG_ZONE.Per Porta predefinita, seleziona il valore predefinito.
In Numero massimo di connessioni, inserisci
2.Fai clic su Crea.
Aggiungi endpoint al NEG di connettività ibrida
Nella console Cloud de Confiance , vai alla pagina Gruppi di endpoint di rete.
Fai clic sul nome del gruppo di endpoint di rete che hai creato nel passaggio precedente (
HYBRID_NEG_NAME).Nella pagina Dettagli gruppo di endpoint di rete, nella sezione Endpoint di rete in questo gruppo, fai clic su Aggiungi endpoint di rete.
Nella pagina Aggiungi endpoint di rete, inserisci l'indirizzo IP del nuovo endpoint di rete.
Seleziona il Tipo di porta:
- Se selezioni Predefinito, l'endpoint utilizza la porta predefinita per tutti gli endpoint nel gruppo di endpoint di rete.
- Se selezioni Personalizzato, puoi inserire un numero di porta diverso da utilizzare per l'endpoint.
Per aggiungere altri endpoint, fai clic su Aggiungi endpoint di rete e ripeti i passaggi precedenti.
Dopo aver aggiunto tutti gli endpoint nonCloud de Confiance , fai clic su Crea.
gcloud
Per creare un NEG di connettività ibrida, utilizza il comando
gcloud compute network-endpoint-groups create:gcloud compute network-endpoint-groups create HYBRID_NEG_NAME \ --network-endpoint-type=NON_GCP_PRIVATE_IP_PORT \ --zone=HYBRID_NEG_ZONE \ --network=NETWORKAggiungi l'endpoint IP:Port on-premise al NEG ibrido:
gcloud compute network-endpoint-groups update HYBRID_NEG_NAME \ --zone=HYBRID_NEG_ZONE \ --add-endpoint="ip=ENDPOINT_IP_ADDRESS,port=ENDPOINT_PORT"
Puoi utilizzare questo comando per aggiungere gli endpoint di rete che hai configurato in precedenza on-premise o nel tuo ambiente cloud.
Ripeti --add-endpoint tutte le volte necessarie.
Se necessario, puoi ripetere questi passaggi per creare più NEG ibride.
Configura il bilanciatore del carico
Console
Avvia la configurazione
Nella console Cloud de Confiance , vai alla pagina Bilanciamento del carico.
- Fai clic su Crea bilanciatore del carico.
- In Tipo di bilanciatore del carico, seleziona Bilanciatore del carico di rete (TCP/UDP/SSL) e fai clic su Avanti.
- Per Proxy o passthrough, seleziona Bilanciatore del carico proxy e fai clic su Avanti.
- In Pubblico o interno, seleziona Pubblico (esterno) e fai clic su Avanti.
- In Deployment globale o in una regione singola, seleziona Ideale per workload regionali e fai clic su Avanti.
- Fai clic su Configura.
Configurazione di base
- In Nome, inserisci un nome per il bilanciatore del carico.
- In Regione, seleziona
REGION_A. - In Rete, seleziona
NETWORK.
Riservare una subnet solo proxy
- Fai clic su Riserva subnet.
- In Nome, inserisci
proxy-only-subnet. - In Intervallo di indirizzi IP, inserisci
10.129.0.0/23. - Fai clic su Aggiungi.
Configura il backend
- Fai clic su Configurazione backend.
- Per Tipo di backend, seleziona Gruppo di endpoint di rete con connettività ibrida (a livello di zona).
- In Protocollo, seleziona TCP.
- Nell'elenco Controllo di integrità, fai clic su Crea un controllo di integrità, quindi
inserisci le seguenti informazioni:
- Nel campo Nome, inserisci un nome per il controllo di integrità.
- Nell'elenco Protocollo, seleziona TCP.
- Nell'elenco Porta, inserisci
80.
- Fai clic su Crea.
- Per Nuovo backend, seleziona il NEG ibrido che hai creato in precedenza
(
HYBRID_NEG_NAME). In alternativa, puoi fare clic su Crea un gruppo di endpoint di rete per creare il NEG ibrido ora. Per indicazioni sulla configurazione del NEG, vedi Configurare il NEG ibrido. - Mantieni i restanti valori predefiniti e fai clic su Fine.
- Nella console Cloud de Confiance , verifica che sia presente un segno di spunta accanto a Configurazione backend. In caso contrario, assicurati di aver completato tutti i passaggi.
Configura il frontend
- Fai clic su Configurazione frontend.
- In Nome, inserisci un nome per la regola di forwarding.
- In Livello di servizio di rete, seleziona Standard.
- In Indirizzo IP, seleziona
LB_IP_ADDRESS. - In Numero porta, inserisci un numero di porta compreso tra 1 e 65535. La regola di forwarding inoltra solo i pacchetti con una porta di destinazione corrispondente.
- Attiva Proxy Protocol solo se funziona con il servizio in esecuzione sugli endpoint on-premise o di altri cloud. Ad esempio, il protocollo PROXY non funziona con il software Apache HTTP Server. Per ulteriori informazioni, consulta la sezione Protocollo PROXY.
- Fai clic su Fine.
- Nella console Cloud de Confiance , verifica che sia presente un segno di spunta accanto a Configurazione frontend. In caso contrario, assicurati di aver completato tutti i passaggi precedenti.
Esamina e finalizza
- Fai clic su Esamina e finalizza.
- Controlla le impostazioni.
- Fai clic su Crea.
gcloud
Crea un controllo di integrità a livello di regione per i backend:
gcloud compute health-checks create tcp TCP_HEALTH_CHECK_NAME \ --region=REGION_A \ --use-serving-portCrea un servizio di backend:
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --protocol=TCP \ --region=REGION_A \ --health-checks=TCP_HEALTH_CHECK_NAME \ --health-checks-region=REGION_A
Aggiungi il backend NEG ibrido al servizio di backend:
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --network-endpoint-group=HYBRID_NEG_NAME \ --network-endpoint-group-zone=HYBRID_NEG_ZONE \ --region=REGION_A \ --balancing-mode=CONNECTION \ --max-connections=MAX_CONNECTIONS
Per
MAX_CONNECTIONS, inserisci il numero massimo di connessioni simultanee che il backend deve gestire.Crea il proxy TCP di destinazione:
gcloud compute target-tcp-proxies create TARGET_TCP_PROXY_NAME \ --backend-service=BACKEND_SERVICE_NAME \ --region=REGION_A
Crea la regola di forwarding. Utilizza il comando
gcloud compute forwarding-rules create. SostituisciFWD_RULE_PORTcon un singolo numero di porta compreso tra 1 e 65535. La regola di forwarding inoltra solo i pacchetti con una porta di destinazione corrispondente.gcloud compute forwarding-rules create FORWARDING_RULE \ --load-balancing-scheme=EXTERNAL_MANAGED \ --network=NETWORK \ --network-tier=STANDARD \ --address=LB_IP_ADDRESS \ --ports=FWD_RULE_PORT \ --region=REGION_A \ --target-tcp-proxy=TARGET_TCP_PROXY_NAME \ --target-tcp-proxy-region=REGION_A
Testa il bilanciatore del carico
Ora che hai configurato il bilanciatore del carico, puoi testare l'invio di traffico all'indirizzo IP del bilanciatore del carico.
Ottieni l'indirizzo IP del bilanciatore del carico.
Per ottenere l'indirizzo IPv4, esegui questo comando:
gcloud compute addresses describe ADDRESS_NAME
Invia traffico al bilanciatore del carico eseguendo il comando seguente. Sostituisci
LB_IP_ADDRESScon l'indirizzo IPv4 del bilanciatore del carico.curl -m1 LB_IP_ADDRESS:FWD_RULE_PORT
Passaggi successivi
- Per scoprire come funzionano i bilanciatori del carico di rete proxy esterno, consulta la panoramica del bilanciatore del carico di rete proxy esterno.
- Per configurare il logging e il monitoraggio per il bilanciatore del carico, consulta Logging e monitoraggio del bilanciatore del carico di rete proxy.
- Per eliminare le risorse che hai creato in modo da non doverle pagare in futuro, consulta Esegui la pulizia della configurazione del bilanciatore del carico.