In dieser Anleitung erfahren Sie, wie Sie einen externen Google Cloud HTTP(S)-Load-Balancer erstellen, um Anfragen an API Gateway weiterzuleiten. Der Konfigurationsprozess folgt denselben Schritten, die für die Konfiguration der Cloud Load Balancing-Integration mit anderen serverlosen Produkten wie Cloud Run, Cloud Functions und App Engine verwendet werden.
Hinweis
Laden Sie das Cloud SDK herunter und installieren Sie es, falls noch nicht geschehen.
Aktualisieren Sie die
gcloud-Komponenten:gcloud components update
Folgen Sie der API-Gateway-Kurzanleitung, um einen Cloud Run-Dienst bereitzustellen und ein Gateway zu erstellen, das auf diesen Dienst verweist.
Cloud Run-Dienst und API Gateway-Instanz bereitstellen
In dieser Anleitung stellen Sie einen "Hello World"-Dienst in Cloud Run bereit, erstellen ein Gateway, das an den Cloud Run-Dienst weitergeleitet wird, und konfigurieren einen HTTP(S)-Load-Balancer, der Anfragen an eine benutzerdefinierte Domain weiterleitet.
Obwohl in dieser Anleitung Cloud Run als Back-End-Dienst für API Gateway verwendet wird, gelten diese Schritte auch für alle Back-End-Dienste, die API Gateway derzeit unterstützt.
Nach erfolgreichem Abschluss der API Gateway-Kurzanleitung sollten Sie eine bereitgestellte Gateway-URL haben, die auf den Cloud Run-Dienst verweist.
Berechtigungen konfigurieren
In dieser Anleitung werden Sie eine serverlose Netzwerkendpunktgruppe (NEG) erstellen und einen externen HTTP(S)-Loadbalancer in einem Cloud-Projekt erstellen. Dies erfordert entweder die Rolle Inhaber oder Bearbeiter des Projekts oder die folgenden IAM-Rollen für Compute Engine:
| Aufgabe | Erforderliche Rolle |
|---|---|
| Load-Balancer und Netzwerkkomponenten erstellen | Netzwerkadministrator |
| NEGs erstellen und ändern | Compute-Instanzadministrator |
| SSL-Zertifikate erstellen und ändern | Sicherheitsadministrator |
SSL-Zertifikatsressource erstellen
Zum Erstellen eines HTTPS-Load-Balancers muss dem Front-End des Load-Balancers eine SSL-Zertifikatsressource hinzugefügt werden. Erstellen Sie eine SSL-Zertifikatsressource mit einem von Google verwalteten SSL-Zertifikat oder mit einem selbst verwalteten SSL-Zertifikat.
Von Google verwaltete Zertifikate. Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert. Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain und die zugehörigen DNS-Einträge, damit das Zertifikat bereitgestellt werden kann. Wenn Sie noch keine Domain haben, können Sie eine von Google Domains erhalten. Außerdem müssen Sie den DNS-A-Eintrag der Domain so aktualisieren, dass er auf die IP-Adresse des Load-Balancers verweist, die in einem späteren Schritt erstellt wird. Eine ausführliche Anleitung finden Sie unter Von Google verwaltete Zertifikate verwenden.
Selbst signierte Zertifikate. Wenn Sie derzeit keine Domain einrichten möchten, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden.
In dieser Anleitung wird davon ausgegangen, dass Sie bereits eine SSL-Zertifikatsressource erstellt haben.
Wenn Sie diesen Prozess testen möchten, ohne eine SSL-Zertifikatsressource bzw. eine Domain (für von Google verwaltete Zertifikate erforderlich) zu erstellen, folgen Sie der Anleitung auf dieser Seite, um stattdessen einen HTTP-Load-Balancer einzurichten.
HTTP(S)-Load-Balancer erstellen
Erstellen Sie ein serverloses NEG für API Gateway.
Eine Netzwerk-Endpunktgruppe (NEG) ist eine Gruppe von Back-End-Endpunkten für einen Load-Balancer. Eine serverlose NEG ist ein Back-End, das auf einen Dienst wie API Gateway verweist, wie in der folgenden Abbildung dargestellt:
Führen Sie den folgenden Befehl aus, um eine serverlose NEG für Ihr Gateway zu erstellen. Dabei gilt:
- SERVERLESS_NEG_NAME ist der Name der serverlosen NEG, die erstellt werden soll.
- GATEWAY_ID gibt den Namen des Gateways an.
- REGION_ID ist die Bereitstellungsregion für die serverlose NEG. Diese sollte mit der Gateway-Region übereinstimmen.
gcloud beta compute network-endpoint-groups create SERVERLESS_NEG_NAME \ --region=REGION_ID \ --network-endpoint-type=serverless \ --serverless-deployment-platform=apigateway.googleapis.com \ --serverless-deployment-resource=GATEWAY_ID
Beispiel:
gcloud beta compute network-endpoint-groups create api-gateway-serverless-neg \ --region=us-central1 \ --network-endpoint-type=serverless \ --serverless-deployment-platform=apigateway.googleapis.com \ --serverless-deployment-resource=my-gateway
Erstellen Sie einen Back-End-Dienst, um zu definieren, wie Cloud Load Balancing den Traffic verteilt.
Die Konfiguration des Back-End-Dienstes enthält eine Reihe von Werten, z. B. das Protokoll, das für die Verbindung zu Back-Ends verwendet wird, verschiedene Verteilungs- und Sitzungseinstellungen, Zustandsprüfungen und Zeitüberschreitungen, wie in der folgenden Abbildung dargestellt:
Führen Sie den folgenden Befehl aus, um einen Back-End-Dienst zu erstellen und Ihre serverlose NEG als Back-End hinzuzufügen:
- BACKEND_SERVICE_NAME ist der Name Ihres Back-End-Dienstes.
- SERVERLESS_NEG_NAME ist der Name der serverlosen NEG, die im vorherigen Schritt erstellt wurde.
- REGION_ID ist die Bereitstellungsregion für die serverlose NEG. Diese sollte mit der Gateway-Region übereinstimmen.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --global \ --network-endpoint-group=SERVERLESS_NEG_NAME \ --network-endpoint-group-region=REGION_ID
Beispiel:
gcloud compute backend-services add-backend api-gateway-backend-service \ --global \ --network-endpoint-group=api-gateway-serverless-neg \ --network-endpoint-group-region=us-central1
Erstellen Sie eine URL-Zuordnung, um eingehende Anfragen wie in der folgenden Abbildung an den Back-End-Dienst weiterzuleiten:
Führen Sie den folgenden Befehl aus, um die URL-Zuordnung zu erstellen. Dabei gilt:
- URL_MAP_NAME ist der Name der zu erstellenden URL-Zuordnung.
- BACKEND_SERVICE_NAME ist der Name Ihres Back-End-Dienstes.
gcloud compute url-maps create URL_MAP_NAME \ --default-service BACKEND_SERVICE_NAME
Beispiel:
gcloud compute url-maps create api-gateway-url-map \ --default-service api-gateway-backend-service
Diese beispielhafte URL-Zuordnung zielt nur auf einen Back-End-Dienst ab, der ein einzelnes Gateway repräsentiert, sodass keine Hostregeln oder Pfadabgleiche erforderlich sind. Wenn Sie mehr als einen Back-End-Dienst haben, können Sie Host-Regeln verwenden, um Anfragen auf der Grundlage des Host-Namens an verschiedene Dienste weiterzuleiten. Verwenden Sie Pfad-Matcher, um Anfragen basierend auf dem Anfragepfad zu verschiedenen Diensten weiterzuleiten.
Beispiel:
gcloud compute url-maps add-path-matcher api-gateway-url-map \ --path-matcher-name=my-pm2 \ --default-service=my-host-default-backend \ --path-rules="/video=video-service,/video/*=video-service" \ --new-hosts my-hosts.com
gcloud compute url-maps add-host-rule api-gateway-url-map \ --hosts=my-app-domain \ --path-matcher-name=my-app-path-matcher
Weitere Informationen zu Hostregeln und Pfad-Matchern finden Sie in der Dokumentation zu URL-Zuordnungen.
Erstellen Sie ein SSL-Zertifikat für Ihren Zielproxy, wie in der folgenden Abbildung dargestellt:
Zum Erstellen eines HTTPS-Load-Balancers ist für den HTTPS-Zielproxy eine SSL-Zertifikatsressource erforderlich. Sie können eine SSL-Zertifikatsressource entweder mit einem von Google verwalteten SSL-Zertifikat oder mit einem selbst verwalteten SSL-Zertifikat erstellen. Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden.
Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain. Wenn Sie keine Domain haben, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden.
So erstellen Sie eine von Google verwaltete SSL-Zertifikatsressource:
gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --domains DOMAIN
So erstellen Sie eine selbstverwaltete SSL-Zertifikatressource:
gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --certificate CRT_FILE_PATH \ --private-key KEY_FILE_PATH
Erstellen Sie einen HTTP(S)-Zielproxy, um Anfragen an Ihre URL-Zuordnung weiterzuleiten, wie in der folgenden Abbildung dargestellt:
Erstellen Sie den Zielproxy mit dem folgenden Befehl. Dabei gilt:
- TARGET_HTTP_PROXY_NAME ist der Name des zu erstellenden Zielproxys.
- URL_MAP_NAME ist der Name der URL-Zuordnung, die in einem vorherigen Schritt erstellt wurde.
- Optional: SSL_CERT_NAME ist der Name des erstellten SSL-Zertifikats.
gcloud compute target-https-proxies create TARGET_HTTP_PROXY_NAME \ --ssl-certificates=SSL_CERT_NAME --url-map=URL_MAP_NAME
Beispiel:
gcloud compute target-https-proxies create api-gateway-https-proxy \ --ssl-certificates=hello-cert --url-map=api-gateway-url-map
Erstellen Sie eine Weiterleitungsregel, um eingehende Anfragen an den Proxy weiterzuleiten, wie in der folgenden Abbildung dargestellt:
Verwenden Sie den folgenden Befehl, um die Weiterleitungsregel zu erstellen. Dabei gilt:
- HTTPS_FORWARDING_RULE_NAME ist der Name der zu erstellenden Regel.
- TARGET_HTTP_PROXY_NAME ist der Name des zu erstellenden Zielproxys.
gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \ --target-https-proxy=TARGET_HTTPS_PROXY_NAME \ --global \ --ports=443
Beispiel:
gcloud compute forwarding-rules create my-fw \ --target-https-proxy=api-gateway-https-proxy \ --global \ --ports=443
DNS-Einträge mit IP-Adresse des Load-Balancers aktualisieren
Wenn Sie eine benutzerdefinierte Domain haben, müssen Sie diesen Schritt einrichten, um die DNS-Einstellungen für Ihre Domain so einzurichten, dass sie auf die neue IP-Adresse Ihres Dienstes verweisen. Dies ist auch erforderlich, wenn Sie einen HTTPS-Load-Balancer mit einem von Google verwalteten Zertifikat erstellt haben, das eine Domain erfordert. Bei Verwendung mit DNS wird eine statische IP-Adresse zugewiesen und verwendet. Die genaue Anleitung für diesen Schritt hängt von Ihrem DNS-Anbieter ab
Zum Senden von Traffic an den Load-Balancer muss der DNS-Eintrag Ihrer Domain (in dieser Anleitung "my-app-domain") auf die IP-Adresse(n) des Load-Balancers verweisen.
Ermitteln Sie die IP-Adresse Ihrer globalen Weiterleitungsregel mit dem folgenden Befehl:
gcloud compute forwarding-rules list
Aktualisieren Sie den DNS-A-Eintrag Ihrer Domain so, dass er auf die IP-Adresse des Load-Balancers verweist. Dann wird Traffic, der an die vorhandene benutzerdefinierte Domain-URL gesendet wird, stattdessen über den Load-Balancer weitergeleitet. Es kann nur wenige Sekunden oder mehrere Stunden dauern, bis DNS diese Änderung an den DNS-Server weitergibt.
Testen Sie, ob das Gateway Traffic empfängt. Verwenden Sie dazu
curloder rufen Sie die URL in Ihrem Browser auf. Beispiel:https://my-app-domainBeim Testen sollte die vom Cloud Run-Dienst generierte Antwort angezeigt werden. Es kann sich beispielsweise um eine HTML-Seite "Hello World" oder eine andere erwartete Antwort handeln, die direkt vom Back-End-Dienst generiert wird. Dies bedeutet, dass Ihre Anfrage den Load-Balancer durchläuft und der Back-End-Dienst den Load-Balancer anweist, ihn an Ihr Gateway zu senden.
Konfiguration des Load-Balancers testen
Nachdem Sie den Load-Balancer konfiguriert haben, können Sie Traffic an die IP-Adresse der Weiterleitungsregel senden.
Ermitteln Sie die IP-Adresse Ihrer globalen Weiterleitungsregel mit dem folgenden Befehl:
gcloud compute forwarding-rules list
Verwenden Sie den curl-Befehl, um die Antwort für verschiedene URLs Ihrer Dienste zu testen. Beispiel:
curl https://HOST_URL/hello/
curl https://HOST_URL
Mit der Cloud Console API können Sie überprüfen, ob Anfragen die richtigen Dienste erreichen.
Das war's auch schon! Sie haben HTTP(S)-Load-Balancing für API Gateway VORSCHAU erfolgreich konfiguriert.
Bereinigen
Um zu vermeiden, dass Ihrem Google Cloud-Konto die in dieser Kurzanleitung verwendeten Ressourcen in Rechnung gestellt werden, können Sie die von Ihnen erstellten Cloud Load Balancing-Ressourcen löschen. Wenn diese Ressourcen in einem eigenen Projekt erstellt wurden, können Sie das gesamte Projekt löschen. Ansonsten können Sie die Ressourcen einzeln löschen.
Projekt löschen
Führen Sie den folgenden Befehl aus und ersetzen Sie PROJECT_ID durch Ihre Projekt-ID:
gcloud projects delete PROJECT_ID
Einzelne Ressourcen löschen
Löschen Sie jede Komponente im Load-Balancer:
Löschen Sie die Weiterleitungsregeln:
gcloud compute forwarding-rules delete HTTPS_FORWARDING_RULE_NAME --global
Löschen Sie die globalen externen IP-Adressen:
gcloud compute addresses delete IP_ADDRESSES --global
Löschen Sie den Ziel-Proxy:
gcloud compute target-https-proxies delete TARGET_HTTP_PROXY_NAME
Löschen Sie die URL-Zuordnung:
gcloud compute url-maps delete URL_MAP_NAME
Löschen Sie die Back-End-Dienste:
gcloud compute backend-services delete BACKEND_SERVICE_NAME --global
(Optional) Löschen Sie das SSL-Zertifikat:
gcloud compute ssl-certificates delete SSL_CERTIFICATE_NAME
Löschen Sie die serverlose NEG:
gcloud compute network-endpoint-groups delete SERVERLESS_NEG_NAME --region=REGION