Creazione di deployment multiregionali per API Gateway
Questo tutorial mostra come configurare un bilanciatore del carico HTTP(S) per abilitare i deployment multiregionali per API Gateway.
La creazione di un bilanciatore del carico HTTP(S) per supportare deployment in più regioni di API Gateway può migliorare la disponibilità e ridurre la latenza per il tuo servizio mediante la pubblicazione da più regioni. Puoi ridurre ulteriormente la latenza e massimizzare il tempo di attività con il routing tra regioni, che serve le richieste dalla regione disponibile più vicina all'utente.
Ai fini di questo tutorial, configurerai un singolo schema URL non regionale che funziona ovunque nel mondo, ma gestisce le richieste degli utenti dal deployment di API Gateway più vicino. Con questa configurazione, le richieste vengono indirizzate idealmente alla regione che offre una latenza minima all'utente. Se la regione più vicina non è disponibile o supera la capacità, la richiesta viene instradata a un'altra regione per garantire la disponibilità.
Prima di iniziare
Prima di configurare il deployment multiregione, segui la guida rapida di API Gateway per eseguire il deployment di un servizio Cloud Run e creare un gateway che rimandi a quel servizio.
Per questo tutorial, esegui il deployment del tuo servizio in due regioni diverse. Ad esempio, puoi eseguire il deployment di due istanze API Gateway:
my-gateway-eua una regione dell'Europamy-gateway-usa una regione degli Stati Uniti
Configura autorizzazioni
In questo tutorial, creerai un gruppo di endpoint di rete (NEG) serverless e un server Bilanciatore del carico HTTP(S) in un progetto Cloud. È necessario che sia il proprietario o il Editor o il seguente Ruoli IAM di Compute Engine:
| Attività | Ruolo richiesto |
|---|---|
| Crea bilanciatori del carico e componenti di rete | Amministratore rete |
| Creare e modificare i NEG | Amministratore istanze Compute |
| Creare e modificare i certificati SSL | Amministratore della sicurezza |
Crea una risorsa del certificato SSL
Per creare un bilanciatore del carico HTTPS, devi disporre di un certificato SSL di risorse che devono essere aggiunte al front-end del bilanciatore del carico. Crea una risorsa del certificato SSL utilizzando un certificato SSL gestito da Google o un certificato SSL con gestione indipendente.
Certificati gestiti da Google. L'utilizzo dei certificati gestiti da Google è consigliato perché Google Cloud ottiene, gestisce e rinnova questi automaticamente i certificati. Per creare un certificato gestito da Google, devi avere un dominio e i relativi record DNS per poter del certificato di cui eseguire il provisioning. Se non hai ancora un dominio, puoi richiederne uno da Google Domains. Inoltre, dovrai aggiornare il record DNS A del dominio in modo che indichi l'indirizzo IP del bilanciatore del carico creato in un passaggio successivo. Per istruzioni dettagliate, vedi Utilizzare i certificati gestiti da Google.
Certificati autofirmati. Se al momento non vuoi configurare un dominio, puoi utilizzare un certificato SSL autofirmato per i test.
Questo tutorial presuppone che tu abbia già creato una risorsa del certificato SSL.
Se vuoi testare questa procedura senza creare una risorsa del certificato SSL (o un dominio come richiesto dai certificati gestiti da Google), puoi comunque utilizzare le istruzioni riportate in questa pagina per configurare un bilanciatore del carico HTTP.
Crea il bilanciatore del carico HTTP(S)
Crea un NEG serverless per ogni istanza API Gateway.
Un gruppo di endpoint di rete (NEG) specifica un gruppo di endpoint di backend per un bilanciatore del carico. Un NEG serverless è un backend che punta a un servizio come API Gateway, come mostrato nella figura seguente:
Per creare un NEG serverless per ogni istanza gateway, esegui questo comando, dove:
- SERVERLESS_NEG_NAME è il nome del NEG serverless da creare.
- GATEWAY_ID specifica il nome del gateway.
- REGION_ID è la regione di deployment del NEG serverless (deve corrispondere alla regione del gateway).
gcloud beta compute network-endpoint-groups create SERVERLESS_NEG_NAME \ --region=REGION_ID \ --network-endpoint-type=serverless \ --serverless-deployment-platform=apigateway.googleapis.com \ --serverless-deployment-resource=GATEWAY_ID
Ad esempio:
gcloud beta compute network-endpoint-groups create api-gateway-serverless-neg-eu \ --region=europe-west1 \ --network-endpoint-type=serverless \ --serverless-deployment-platform=apigateway.googleapis.com \ --serverless-deployment-resource=my-gateway-eu
Ripeti questo comando per creare un NEG serverless per la successiva istanza del gateway, utilizzando i valori appropriati per la seconda istanza del gateway, ad esempio
api-gateway-serverless-neg-uspermy-gateway-usnella regioneus-central1.Crea un servizio di backend per definire in che modo Cloud Load Balancing distribuisce il traffico.
La configurazione del servizio di backend contiene un insieme di valori, ad esempio il protocollo utilizzato per connettersi ai backend, varie impostazioni di distribuzione e sessione, controlli di integrità e timeout, come mostrato nella figura seguente:
Per creare un servizio di backend e aggiungere il NEG serverless come backend al servizio di backend, esegui i seguenti comandi, dove:
- BACKEND_SERVICE_NAME è il nome del servizio di backend.
- SERVERLESS_NEG_NAME è il nome del NEG serverless creato nel passaggio precedente.
- REGION_ID è la regione di deployment per il NEG serverless (deve corrispondere alla regione del gateway).
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --global \
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --global \ --network-endpoint-group=SERVERLESS_NEG_NAME \ --network-endpoint-group-region=REGION_ID
Ad esempio:
gcloud compute backend-services add-backend api-gateway-backend-service \ --global \ --network-endpoint-group=api-gateway-serverless-neg-eu \ --network-endpoint-group-region=europe-west1
Ripeti questo comando per aggiungere il secondo NEG serverless al servizio di backend, utilizzando i valori appropriati per il secondo NEG serverless, ad esempio
api-gateway-serverless-neg-uspermy-gateway-usnella regioneus-central1.Crea una mappa URL per instradare le richieste in entrata al servizio di backend, come mostrato nella figura seguente:
Per creare la mappa URL, esegui questo comando, dove:
- URL_MAP_NAME è il nome della mappa URL da creare.
- BACKEND_SERVICE_NAME è il nome del servizio di backend.
gcloud compute url-maps create URL_MAP_NAME \ --default-service BACKEND_SERVICE_NAME
Ad esempio:
gcloud compute url-maps create api-gateway-url-map \ --default-service api-gateway-backend-service
Questa mappa URL di esempio ha come target un solo servizio di backend che rappresenta un singolo gateway, pertanto non sono necessarie regole host o corrispondenze di percorso. Se hai più di un servizio di backend, puoi utilizzare le regole host per indirizzare le richieste a servizi diversi in base al nome host. Utilizza i matcher di percorso per indirizzare le richieste a servizi diversi in base al percorso della richiesta.
Ad esempio:
gcloud compute url-maps add-path-matcher api-gateway-url-map \ --path-matcher-name=my-pm2 \ --default-service=my-host-default-backend \ --path-rules="/video=video-service,/video/*=video-service" \ --new-hosts my-hosts.com
gcloud compute url-maps add-host-rule api-gateway-url-map \ --hosts=my-app-domain \ --path-matcher-name=my-app-path-matcher
Per scoprire di più sulle regole host e sui matcher percorso, consulta la documentazione sulla mappa URL.
Crea un certificato SSL per il proxy di destinazione, come illustrato nella figura seguente:
Per creare un bilanciatore del carico HTTPS, è necessario Certificato SSL per il proxy di destinazione HTTPS. Puoi creare una risorsa del certificato SSL utilizzando un certificato SSL gestito da Google o un certificato SSL autogestito. Ti consigliamo di utilizzare i certificati gestiti da Google.
Per creare un certificato gestito da Google, devi avere un dominio. Se non hai un dominio, puoi utilizzare un certificato SSL autofirmato per i test.
Per creare una risorsa del certificato SSL gestita da Google:
gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME --domains DOMAIN
Per creare una risorsa del certificato SSL autogestito:
gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --certificate CRT_FILE_PATH \ --private-key KEY_FILE_PATH
Crea un proxy HTTP(S) di destinazione per instradare le richieste alla mappa URL, come come mostrato nella figura seguente:
Per creare il proxy target, utilizza il seguente comando, in cui:
- TARGET_HTTP_PROXY_NAME è il nome del proxy di destinazione da creare.
- URL_MAP_NAME è il nome della mappa URL creata in un passaggio precedente.
- Facoltativo: SSL_CERT_NAME è il nome del certificato SSL creato.
gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \ --ssl-certificates=SSL_CERT_NAME --url-map=URL_MAP_NAME
Ad esempio:
gcloud compute target-http-proxies create api-gateway-https-proxy \ --ssl-certificates=hello-cert --url-map=api-gateway-url-map
Crea una regola di inoltro per instradare le richieste in entrata al proxy, come mostrato nella figura seguente:
Utilizza il seguente comando per creare la regola di inoltro, dove:
- HTTPS_FORWARDING_RULE_NAME è il nome della regola da creare.
- TARGET_HTTP_PROXY_NAME è il nome del proxy di destinazione da creare.
gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \ --target-https-proxy=TARGET_HTTPS_PROXY_NAME \ --global \ --ports=443
Ad esempio:
gcloud compute forwarding-rules create my-fw \ --target-https-proxy=api-gateway-https-proxy \ --global \ --ports=443
Aggiorna i record DNS con l'indirizzo IP del bilanciatore del carico
Se hai un dominio personalizzato, questo passaggio è necessario per configurare le impostazioni DNS del tuo dominio in modo che puntino al nuovo indirizzo IP del servizio. È necessario anche se hai creato un bilanciatore del carico HTTP(S) con un certificato gestito da Google (che richiede un dominio). Si consiglia di allocare e utilizzare un indirizzo IP statico se utilizzato con il DNS. Le istruzioni specifiche per questo passaggio dipendono dal tuo provider DNS.
Per inviare il traffico al bilanciatore del carico, il record DNS del tuo dominio (in questo tutorial, my-app-domain) deve puntare agli indirizzi IP del bilanciatore del carico.
Per trovare l'indirizzo IP della regola di forwarding globale, utilizza questo comando:
gcloud compute forwarding-rules list
Aggiorna il record DNS A o AAAA del tuo dominio in modo che rimandi all'indirizzo IP del bilanciatore del carico, in modo che il traffico inviato all'URL del dominio personalizzato esistente venga instradato tramite il bilanciatore del carico. La propagazione di questa modifica al server DNS potrebbe richiedere da alcuni secondi a diverse ore.
Esegui dei test per verificare che il gateway stia ricevendo traffico utilizzando
curlo visitando l'URL nel browser. Ad esempio:https://my-app-domainAl termine del test, dovresti vedere la risposta generata dal servizio Cloud Run. Potrebbe essere, ad esempio, "Hello World" pagina HTML o un'altra risposta prevista generata direttamente dal servizio di backend. Ciò significa che la richiesta passa attraverso il bilanciatore del carico e il servizio di backend indica al bilanciatore del carico di inviarla al gateway.
Considerazioni
Prima di implementare un deployment multiregione di API Gateway, tieni presente quanto segue:
Al momento API Gateway non supporta i controlli di integrità. Con la configurazione di routing tra regioni descritta sopra, se il gateway o il relativo servizio di backend restituisce errori in una regione, ma l'infrastruttura complessiva di API Gateway nella regione è disponibile e ha capacità, il bilanciatore del carico HTTP(S) non reindirizzerà il traffico ad altre regioni.
La combinazione di regioni diverse in un'unica regola di inoltro richiede i prezzi del livello Premium. Per ulteriori informazioni sul calcolo dei prezzi e dell'utilizzo, vedi Prezzi di Network Service Tiers.
Best practice
Quando utilizzi la pubblicazione in più regioni, ti consigliamo di utilizzare una soluzione di archiviazione dei dati gestita replicata a livello globale, come Cloud Spanner, per assicurarti che tutti i dati vengano gestiti a livello globale.