Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Configure um Network Load Balancer de proxy interno regional com conetividade híbrida

O Network Load Balancer interno regional é um equilibrador de carga regional da camada 4 baseado em proxy que lhe permite executar e dimensionar o tráfego de serviços TCP atrás de um endereço IP interno que só é acessível a clientes na mesma rede da nuvem virtual privada (VPC) ou a clientes ligados à sua rede da VPC. Se quiser disponibilizar o serviço a clientes noutras redes VPC, pode usar o Private Service Connect para publicar o serviço.

Esta página descreve como configurar um Network Load Balancer de proxy interno regional para equilibrar a carga do tráfego para back-ends nas instalações ou noutros ambientes na nuvem que estão ligados através da conetividade híbrida. A configuração da conetividade híbrida para ligar as suas redes ao Trusted Cloud está fora do âmbito desta página.

Vista geral

Neste exemplo, vamos usar o balanceador de carga para distribuir o tráfego TCP por VMs de back-end localizadas no local ou noutros ambientes de nuvem.

Neste exemplo, configura a seguinte implementação:

Exemplo de configuração do balanceador de carga de rede de proxy interno regional com back-ends de NEG híbridos. — Exemplo de configuração do balanceador de carga de rede de proxy interno regional com back-ends de NEG híbridos (clique para aumentar).

O balanceador de carga de rede de proxy interno regional é um balanceador de carga regional. Todos os componentes do balanceador de carga (grupos de instâncias de back-end, serviço de back-end, proxy de destino e regra de encaminhamento) têm de estar na mesma região.

Autorizações

Para configurar o equilíbrio de carga híbrido, tem de ter as seguintes autorizações:

Ativar Trusted Cloud
- Autorizações para estabelecer a conetividade híbrida entre o Trusted Cloud e o seu ambiente nas instalações ou outros ambientes na nuvem. Para ver a lista de autorizações necessárias, consulte a documentação do produto Network Connectivity relevante.
- Autorizações para criar um NEG de conetividade híbrida e o balanceador de carga. A função de administrador do equilibrador de carga do Compute (roles/compute.loadBalancerAdmin) contém as autorizações necessárias para realizar as tarefas descritas neste guia.
No seu ambiente local ou noutro ambiente que não seja deTrusted Cloud nuvem
- Autorizações para configurar pontos finais de rede que permitem que os serviços no seu ambiente no local ou noutros ambientes de nuvem sejam acessíveis a partir deTrusted Cloud através de uma combinação IP:Port. Para mais informações, contacte o administrador de rede do seu ambiente.
- Autorizações para criar regras de firewall no seu ambiente nas instalações ou noutros ambientes na nuvem para permitir que as sondas de verificação de estado da Google alcancem os pontos finais.

Além disso, para concluir as instruções nesta página, tem de criar um NEG de conetividade híbrida, um equilibrador de carga e NEGs zonais (e os respetivos pontos finais) para funcionarem como back-ends baseados em Trusted Cloudpara o equilibrador de carga.

Deve ser proprietário ou editor do projeto, ou ter as seguintes funções do IAM do Compute Engine.

Tarefa	Função necessária
Crie redes, sub-redes e componentes do balanceador de carga	Administrador de rede de Calcular (`roles/compute.networkAdmin`)
Adicione e remova regras de firewall	Administrador de segurança da computação (`roles/compute.securityAdmin`)
Crie instâncias	Administrador de instância de computação (`roles/compute.instanceAdmin`)

Estabeleça conetividade híbrida

O seu Trusted Cloud ambiente nas instalações ou outros ambientes na nuvem têm de estar ligados através de conetividade híbrida com anexos de VLAN do Cloud Interconnect ou túneis do Cloud VPN com VMs do Cloud Router ou do dispositivo de router. Recomendamos que use uma ligação de alta disponibilidade.

Um Cloud Router ativado com encaminhamento dinâmico global sabe mais sobre o ponto final específico através do protocolo de gateway de fronteira (BGP) e programa-o na sua Trusted Cloud rede VPC. O encaminhamento dinâmico regional não é suportado. As rotas estáticas também não são suportadas.

Pode usar a mesma rede ou uma rede VPC diferente no mesmo projeto para configurar a rede híbrida (Cloud Interconnect, Cloud VPN ou uma VM de dispositivo de encaminhamento) e o equilibrador de carga. Tenha em atenção o seguinte:

Se usar redes VPC diferentes, as duas redes têm de estar ligadas através do peering de redes VPC ou têm de ser raios VPC no mesmo hub do Network Connectivity Center.
Se usar a mesma rede VPC, certifique-se de que os intervalos CIDR da sub-rede da rede VPC não entram em conflito com os intervalos CIDR remotos. Quando os endereços IP se sobrepõem, os caminhos de sub-rede têm prioridade sobre a conetividade remota.

Para ver instruções, consulte a seguinte documentação:

Configure o seu ambiente externo ao domínio Trusted Cloud

Execute os passos seguintes para configurar o seu ambiente no local ou outro ambiente de nuvem para o equilíbrio de carga híbrido:

Configure pontos finais de rede para expor serviços no local a Trusted Cloud (IP:Port).
Configure regras de firewall no seu ambiente nas instalações ou noutro ambiente na nuvem.
Configure o Cloud Router para anunciar determinadas rotas necessárias ao seu ambiente privado.

Configure pontos finais de rede

Depois de configurar a conetividade híbrida, configura um ou mais pontos finais de rede no seu ambiente nas instalações ou noutros ambientes na nuvem que são acessíveis através do Cloud Interconnect ou do Cloud VPN ou do dispositivo Router usando uma combinação IP:port. Esta IP:port combinação é configurada como um ou mais pontos finais para o NEG de conetividade híbrida que é criado Trusted Cloud mais tarde neste processo.

Se existirem vários caminhos para o ponto final IP, o encaminhamento segue o comportamento descrito na vista geral do Cloud Router.

Configure regras de firewall

As seguintes regras de firewall têm de ser criadas no seu ambiente nas instalações ou noutro ambiente na nuvem:

Crie uma regra de firewall de permissão de entrada em ambientes no local ou noutras nuvens para permitir que o tráfego da sub-rede só de proxy da região alcance os pontos finais.
Não é necessário permitir tráfego dos intervalos de sondas de verificação de estado da Google para NEGs híbridos. No entanto, se estiver a usar uma combinação de NEGs híbridos e zonais num único serviço de back-end, tem de permitir o tráfego dos intervalos de sondas de verificação de estado da Google para os NEGs zonais.

Anuncie trajetos

Configure o Cloud Router para anunciar os seguintes intervalos de IP personalizados ao seu ambiente nas instalações ou outro ambiente na nuvem:

O intervalo da sub-rede só de proxy da região.

Configure o seu Trusted Cloud ambiente

Para os passos seguintes, certifique-se de que usa a mesma rede VPC (denominada NETWORK neste procedimento) que foi usada para configurar a conetividade híbrida entre os ambientes. Pode selecionar qualquer sub-rede desta rede para reservar o endereço IP do balanceador de carga e criar o balanceador de carga. Esta sub-rede é denominada LB_SUBNET neste procedimento.

Além disso, certifique-se de que a região usada (denominada REGION neste procedimento) é a mesma que a usada para criar o túnel da Cloud VPN ou a ligação VLAN do Cloud Interconnect.

Configure a sub-rede só de proxy

Uma sub-rede apenas de proxy fornece um conjunto de endereços IP que a Google usa para executar proxies do Envoy em seu nome. Os proxies terminam as ligações do cliente e criam novas ligações aos backends.

A sub-rede apenas de proxy é usada por todos os equilibradores de carga regionais baseados no Envoy na região REGION da rede VPC NETWORK.

Só pode existir uma sub-rede só de proxy ativa por região e por rede VPC. Pode ignorar este passo se já existir uma sub-rede apenas de proxy nesta região.

Consola

Se estiver a usar a Trusted Cloud consola, pode aguardar e criar a sub-rede apenas de proxy mais tarde na página Equilíbrio de carga.

Se quiser criar a sub-rede apenas de proxy agora, siga estes passos:

Na Trusted Cloud consola, aceda à página Redes VPC.

Aceda a redes de VPC
Aceda à rede que foi usada para configurar a conetividade híbrida entre os ambientes.
Clique em Adicionar sub-rede.
Introduza um Nome: PROXY_ONLY_SUBNET_NAME.
Selecione uma região: REGION.
Defina Purpose como Regional Managed Proxy.
Introduza um intervalo de endereços IP: PROXY_ONLY_SUBNET_RANGE.
Clique em Adicionar.

gcloud

Crie a sub-rede só de proxy com o comando gcloud compute networks subnets create.

gcloud compute networks subnets create PROXY_ONLY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK \
    --range=PROXY_ONLY_SUBNET_RANGE

Reserve o endereço IP do balanceador de carga

Por predefinição, é usado um endereço IP para cada regra de encaminhamento. Pode reservar um endereço IPv4 partilhado, que lhe permite usar o mesmo endereço IPv4 com várias regras de encaminhamento. No entanto, se quiser usar o Private Service Connect para publicar o balanceador de carga, não use um endereço IPv4 partilhado para a regra de encaminhamento.

Para reservar um endereço IPv4 interno estático para o seu equilibrador de carga, consulte o artigo Reserve um novo endereço IPv4 ou IPv6 interno estático.

Configure o NEG de conetividade híbrida

Ao criar o NEG, use um ZONE que minimize a distância geográfica entre Trusted Cloud e o seu ambiente nas instalações ou outro ambiente na nuvem. Por exemplo, se estiver a alojar um serviço num ambiente no local em Frankfurt, na Alemanha, pode especificar a zona europe-west3-a Trusted Cloud quando criar o NEG.

Além disso, o ZONE usado para criar o NEG deve estar na mesma região onde o túnel do Cloud VPN ou a associação de VLAN do Cloud Interconnect foram configurados para a conetividade híbrida.

Para ver as regiões e as zonas disponíveis, consulte a documentação do Compute Engine: regiões e zonas disponíveis.

Consola

Para criar um NEG de conetividade híbrida:

Na Trusted Cloud consola, aceda à página Grupos de pontos finais de rede.

Aceda a Grupos de pontos finais da rede
Clique em Criar grupo de pontos finais de rede.
Introduza um nome para o NEG híbrido. Referido como HYBRID_NEG_NAME neste procedimento.
Selecione o tipo de grupo de pontos finais da rede: grupo de pontos finais da rede de conetividade híbrida (zonal).
Selecione a rede: NETWORK
Selecione a sub-rede: LB_SUBNET
Selecione a zona: HYBRID_NEG_ZONE
Introduza a porta predefinida.
Clique em Criar

Adicione pontos finais ao NEG de conetividade híbrida:

Na Trusted Cloud consola, aceda à página Grupos de pontos finais de rede.

Aceda a Grupos de pontos finais da rede
Clique no Nome do grupo de pontos finais de rede criado no passo anterior (HYBRID_NEG_NAME). É apresentada a página Detalhes do grupo de pontos finais de rede.
Na secção Pontos finais de rede neste grupo, clique em Adicionar ponto final de rede. É apresentada a página Adicionar ponto final de rede.
Introduza o endereço IP do novo ponto final de rede.
Selecione o Tipo de porta.
1. Se selecionar Predefinição, o ponto final usa a porta predefinida para todos os pontos finais no grupo de pontos finais de rede.
2. Se selecionar Personalizado, pode introduzir um Número de porta diferente para o ponto final usar.
Para adicionar mais pontos finais, clique em Adicionar ponto final de rede e repita os passos anteriores.
Depois de adicionar todos osTrusted Cloud pontos finais que não sejam de serviço Web, clique em Criar.

gcloud

Crie um NEG de conetividade híbrida com o comando gcloud compute network-endpoint-groups create.

gcloud compute network-endpoint-groups create HYBRID_NEG_NAME \
   --network-endpoint-type=NON_GCP_PRIVATE_IP_PORT \
   --zone=HYBRID_NEG_ZONE \
   --network=NETWORK

Adicione o ponto final IP:Port no local ao NEG híbrido:

gcloud compute network-endpoint-groups update HYBRID_NEG_NAME \
    --zone=HYBRID_NEG_ZONE \
    --add-endpoint="ip=ENDPOINT_IP_ADDRESS,port=ENDPOINT_PORT"

Pode usar este comando para adicionar os pontos finais de rede que configurou anteriormente no local ou no seu ambiente de nuvem. Repita --add-endpoint quantas vezes forem necessárias.

Pode repetir estes passos para criar vários NEGs híbridos, se necessário.

Configure o balanceador de carga

Consola

Inicie a configuração

Na Trusted Cloud consola, aceda à página Equilíbrio de carga.

Aceda a Balanceamento de carga
Clique em Criar equilibrador de carga.
Para Tipo de balanceador de carga, selecione Balanceador de carga de rede (TCP/UDP/SSL) e clique em Seguinte.
Para Proxy ou passagem, selecione Proxy de balanceamento de carga e clique em Seguinte.
Para Público ou interno, selecione Interno e clique em Seguinte.
Para a Implementação em várias regiões ou numa única região, selecione Melhor para cargas de trabalho regionais e clique em Seguinte.
Clique em Configurar.

Configuração básica

Introduza um nome para o equilibrador de carga.
Selecione a Região: REGION.
Selecione a Rede: NETWORK.

Reserve uma sub-rede só de proxy

Para reservar uma sub-rede só de proxy:

Clique em Reservar sub-rede.
Introduza o Nome: PROXY_ONLY_SUBNET_NAME.
Introduza um intervalo de endereços IP: PROXY_ONLY_SUBNET_RANGE.
Clique em Adicionar.

Configuração do back-end

Clique em Configuração de back-end.
Em Tipo de back-end, selecione Grupo de pontos finais da rede de conetividade híbrida (zonal).
Em Protocolo, selecione TCP.
Na lista Verificação de funcionamento, clique em Criar uma verificação de funcionamento e, de seguida, introduza as seguintes informações:
1. No campo Nome, introduza um nome para a verificação de estado.
2. Na lista Protocolo, selecione TCP.
3. No campo Porta, introduza 80.
Clique em Criar.
Em Novo back-end, selecione o NEG híbrido criado anteriormente: HYBRID_NEG_NAME. Em alternativa, pode clicar em Criar um grupo de pontos finais de rede para criar o NEG híbrido agora. Para orientações sobre a configuração do NEG, consulte o artigo Configure o NEG híbrido.
Mantenha os restantes valores predefinidos e clique em Concluído.
Na Trusted Cloud consola, verifique se existe uma marca de verificação junto a Configuração de back-end. Caso contrário, verifique novamente se concluiu todos os passos.

Configuração da interface

Clique em Configuração do front-end.
Introduza um Nome para a regra de encaminhamento.
Para Sub-rede, selecione LB_SUBNET.
Para Endereço IP, selecione LB_IP_ADDRESS.
Para o Número da porta, introduza qualquer número de porta entre 1 e 65535. A regra de encaminhamento encaminha apenas pacotes com uma porta de destino correspondente.
Ative o protocolo proxy apenas se funcionar com o serviço em execução nos seus pontos finais nas instalações ou noutros pontos finais na nuvem. Por exemplo, o protocolo PROXY não funciona com o software do servidor HTTP Apache. Para mais informações, consulte o protocolo de proxy.
Clique em Concluído.
Na Trusted Cloud consola, verifique se existe uma marca de verificação junto a Configuração do front-end. Caso contrário, verifique novamente se concluiu todos os passos anteriores.

Reveja e finalize

Clique em Rever e finalizar.
Verifique as definições.
Clique em Criar.

gcloud

Crie uma verificação de funcionamento regional para os back-ends.
```
gcloud compute health-checks create tcp TCP_HEALTH_CHECK_NAME \
    --region=REGION \
    --use-serving-port
```
As sondas de verificação de funcionamento para back-ends de NEG híbridos têm origem em proxies do Envoy na sub-rede só de proxy.

Crie um serviço de back-end.

gcloud compute backend-services create BACKEND_SERVICE_NAME \
   --load-balancing-scheme=INTERNAL_MANAGED \
   --protocol=TCP \
   --region=REGION \
   --health-checks=TCP_HEALTH_CHECK_NAME \
   --health-checks-region=REGION

Adicione o back-end do NEG híbrido ao serviço de back-end.

gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
   --network-endpoint-group=HYBRID_NEG_NAME \
   --network-endpoint-group-zone=HYBRID_NEG_ZONE \
   --region=REGION \
   --balancing-mode=CONNECTION \
   --max-connections=MAX_CONNECTIONS

Para MAX_CONNECTIONS, introduza o número máximo de ligações simultâneas que o back-end deve processar.

Crie o proxy TCP de destino.

gcloud compute target-tcp-proxies create TARGET_TCP_PROXY_NAME \
   --backend-service=BACKEND_SERVICE_NAME \
   --region=REGION

Crie a regra de encaminhamento.

Crie a regra de encaminhamento com o comando gcloud compute forwarding-rules create.

Substitua FWD_RULE_PORT por um único número de porta entre 1 e 65535. A regra de encaminhamento só encaminha pacotes com uma porta de destino correspondente.

gcloud compute forwarding-rules create FORWARDING_RULE \
   --load-balancing-scheme=INTERNAL_MANAGED \
   --network=NETWORK \
   --subnet=LB_SUBNET \
   --address=LB_IP_ADDRESS \
   --ports=FWD_RULE_PORT \
   --region=REGION \
   --target-tcp-proxy=TARGET_TCP_PROXY_NAME \
   --target-tcp-proxy-region=REGION

Teste o balanceador de carga

Para testar o balanceador de carga, crie uma VM cliente na mesma região que o balanceador de carga. Em seguida, envie tráfego do cliente para o balanceador de carga.

Crie uma VM de cliente

Crie uma VM cliente (client-vm) na mesma região que o balanceador de carga.

Consola

Na Trusted Cloud consola, aceda à página Instâncias de VM.

Aceder às instâncias de VM
Clique em Criar instância.
Defina Nome como client-vm.
Defina a zona como CLIENT_VM_ZONE.
Clique em Opções avançadas.
Clique em Rede e configure os seguintes campos:
1. Para etiquetas de rede, introduza allow-ssh.
2. Para Interfaces de rede, selecione o seguinte:
  - Rede: NETWORK
  - Subnet: LB_SUBNET
Clique em Criar.

gcloud

A VM do cliente tem de estar na mesma rede de VPC e região que o balanceador de carga. Não tem de estar na mesma sub-rede ou zona. O cliente usa a mesma sub-rede que as VMs de back-end.

gcloud compute instances create client-vm \
    --zone=CLIENT_VM_ZONE \
    --image-family=debian-12 \
    --image-project=debian-cloud \
    --tags=allow-ssh \
    --subnet=LB_SUBNET

Permita o tráfego SSH para a VM de teste

Neste exemplo, cria a seguinte regra de firewall:

fw-allow-ssh: Uma regra de entrada que permite a conetividade SSH de entrada na porta TCP 22 a partir de qualquer endereço. Pode escolher um intervalo de IPs de origem mais restritivo para esta regra. Por exemplo, pode especificar apenas os intervalos de IPs dos sistemas a partir dos quais vai iniciar sessões SSH. Este exemplo usa a etiqueta de destino allow-ssh para identificar a VM do cliente de teste à qual deve ser aplicada.

Consola

Na Trusted Cloud consola, aceda à página Políticas de firewall. Aceder a Políticas de firewall
Clique em Criar regra de firewall para criar a regra que permite ligações SSH recebidas:
1. Nome: fw-allow-ssh
2. Rede: NETWORK
3. Prioridade: 1000
4. Direção do tráfego: entrada
5. Ação na correspondência: permitir
6. Objetivos: etiquetas de objetivo especificadas
7. Etiquetas de segmentação: allow-ssh
8. Filtro de origem: intervalos IPv4
9. Intervalos IPv4 de origem: 0.0.0.0/0
10. Protocolos e portas: escolha Protocolos e portas especificados e, de seguida, introduza tcp:22.
11. Clique em Criar.

gcloud

Crie a regra de firewall fw-allow-ssh para permitir a conetividade SSH a VMs com a etiqueta de rede allow-ssh.

gcloud compute firewall-rules create fw-allow-ssh \
    --network=NETWORK \
    --action=allow \
    --direction=ingress \
    --target-tags=allow-ssh \
    --rules=tcp:22

Envie tráfego para o balanceador de carga

Agora que configurou o equilibrador de carga, pode testar o envio de tráfego para o endereço IP do equilibrador de carga.

Ligue-se através de SSH à instância do cliente.

gcloud compute ssh client-vm \
  --zone=CLIENT_VM_ZONE

Verifique se o balanceador de carga está a publicar nomes de anfitriões de back-end conforme esperado.
1. Use o compute addresses describe comando para ver o endereço IP do balanceador de carga:
```
gcloud compute addresses describe LB_IP_ADDRESS \
  --region=REGION
```
  Tome nota do endereço IP.
2. Envie tráfego para o balanceador de carga no endereço IP e na porta especificados quando criar a regra de encaminhamento do balanceador de carga. O teste para saber se os backends NEG híbridos estão a responder a pedidos depende do serviço em execução nos pontos finais nãoTrusted Cloud .

Opcional: publique o serviço através do Private Service Connect

Um Network Load Balancer de proxy interno regional com conetividade híbrida permite-lhe disponibilizar um serviço alojado em ambientes nas instalações ou noutros ambientes na nuvem a clientes na sua rede VPC.

Se quiser disponibilizar o serviço híbrido noutras redes VPC, pode usar o Private Service Connect para publicar o serviço. Ao colocar uma associação de serviço à frente do seu Network Load Balancer de proxy interno regional, pode permitir que os clientes noutras redes VPC alcancem os serviços híbridos em execução em ambientes nas instalações ou noutros ambientes na nuvem.

Usar o Private Service Connect para publicar um serviço híbrido. — Usar o Private Service Connect para publicar um serviço híbrido (clique para aumentar).

O que se segue?

Para configurar a monitorização do seu Network Load Balancer de proxy interno regional, consulte o artigo Usar a monitorização.
Para saber como funciona um balanceador de carga de rede de proxy interno regional, consulte a vista geral do balanceador de carga de rede de proxy interno regional.
Limpe a configuração do balanceador de carga.