Creare la connessione a Internet per le VM private

Last reviewed 2023-05-15 UTC

Questo documento descrive le opzioni per la connessione da e verso internet utilizzando le risorse Compute Engine che hanno un indirizzo IP privato. È utile per gli sviluppatori che creano servizi Google Cloud e per gli amministratori di rete degli ambienti Google Cloud.

Questo tutorial presuppone che tu abbia familiarità con il deployment dei VPC, con Compute Engine e con le reti TCP/IP di base.

Obiettivi

  • Scopri le opzioni disponibili per la connessione tra VM private al di fuori del VPC.
  • Crea un'istanza di Identity-Aware Proxy (IAP) per i tunnel TCP adatta ai servizi interattivi come SSH.
  • Creare un'istanza Cloud NAT per consentire alle VM di effettuare connessioni in uscita a internet.
  • Configura un bilanciatore del carico HTTP per supportare le connessioni in entrata da internet alle tue VM.

Costi

Questo tutorial utilizza i componenti fatturabili di Google Cloud, tra cui:

Utilizza il Calcolatore prezzi per generare una stima dei costi in base all'utilizzo previsto. Calcoliamo che il totale per l'esecuzione di questo tutorial sia inferiore a 5$al giorno.

Prima di iniziare

  1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

  4. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  5. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Introduzione

Gli indirizzi IP privati offrono una serie di vantaggi rispetto agli indirizzi IP pubblici (esterni), tra cui:

  • Superficie di attacco ridotta. Se rimuovi gli indirizzi IP esterni dalle VM, è più difficile per gli utenti malintenzionati raggiungere le VM e sfruttare le potenziali vulnerabilità.
  • Maggiore flessibilità. L'introduzione di un livello di astrazione, come un bilanciatore del carico o un servizio NAT, consente una distribuzione dei servizi più affidabile e flessibile rispetto agli indirizzi IP esterni statici.

Questa soluzione tratta tre scenari, come descritto nella tabella seguente:

Interattiva Recupero in corso... Pubblicazione in corso
Una connessione SSH viene avviata da un host remoto direttamente a una VM utilizzando IAP per TCP.

Esempio: amministrazione remota tramite SSH o RDP

 Una connessione viene avviata da una VM a un host esterno su internet utilizzando Cloud NAT.

Esempio: aggiornamenti del sistema operativo, API esterne

 Una connessione viene avviata da un host remoto a una VM tramite un bilanciatore del carico Google Cloud globale.

Esempio: Frontend di applicazioni, WordPress

Alcuni ambienti potrebbero prevedere solo uno di questi scenari. Tuttavia, molti ambienti richiedono tutti questi scenari ed è pienamente supportato in Google Cloud.

Le seguenti sezioni descrivono un ambiente multiregionale con un servizio con bilanciamento del carico HTTP supportato da due VM in due regioni. Queste VM usano Cloud NAT per le comunicazioni in uscita. Per l'amministrazione, le VM sono accessibili tramite SSH con tunneling tramite IAP.

Il seguente diagramma fornisce una panoramica di tutti e tre i casi d'uso e dei componenti pertinenti.

Architettura della soluzione che mostra il flusso dal client attraverso il bilanciatore del carico alle istanze VM, Cloud NAT per l'accesso dalle istanze a internet e IAP per consentire l'accesso SSH diretto da un client alle istanze.

Creazione di istanze VM

Per iniziare il tutorial, crei un totale di quattro istanze di macchine virtuali (VM), due istanze per regione in due regioni diverse. Assegna a tutte le istanze lo stesso tag, che viene utilizzato in un secondo momento da una regola firewall per consentire al traffico in entrata di raggiungere le istanze.

Il seguente diagramma mostra le istanze VM e i gruppi di istanze che hai creato, distribuiti in due zone.

Architettura della soluzione con in evidenza le quattro istanze VM in due zone.

Lo script di avvio che aggiungi a ogni istanza installa Apache e crea una home page univoca per ogni istanza.

La procedura include istruzioni per l'utilizzo dei comandi gcloud e della console Google Cloud. Il modo più semplice per utilizzare i comandi gcloud è Cloud Shell.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM:

    VAI ALLA PAGINA ISTANZE VM

  2. Fai clic su Crea istanza.

  3. Imposta Nome su www-1.

  4. Imposta la Zona su us-central1-b.

  5. Fai clic su Gestione, Sicurezza, Dischi, Networking, Single-tenancy.

  6. Fai clic su Networking e apporta le seguenti impostazioni:

    • Per il traffico HTTP, nella casella Tag di rete, inserisci http-tag.
    • In Interfacce di rete, fai clic su .
    • In IP esterno, seleziona Nessuno.

  7. Fai clic su Gestione e imposta lo Script di avvio su quanto segue:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>server 1</h1></body></html>' | sudo tee /var/www/html/index.html

  8. Fai clic su Crea.

  9. Crea www-2 con le stesse impostazioni, ad eccezione del fatto che imposta Script di avvio su come segue:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>server 2<h1></body></html>' | sudo tee /var/www/html/index.html

  10. Crea www-3 con le stesse impostazioni, ad eccezione del fatto che imposta Zone su europe-west1-b e imposta Script di avvio come segue:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>server 3</h1></body></html>' | sudo tee /var/www/html/index.html

  11. Crea www-4 con le stesse impostazioni, ad eccezione del fatto che imposta Zone su europe-west1-b e imposta Script di avvio come segue:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>server 4</h1></body></html>' | sudo tee /var/www/html/index.html

gcloud

  1. Apri Cloud Shell:

    APRI Cloud Shell

  2. Crea un'istanza denominata www-1 in us-central1-b con uno script di avvio di base:

    gcloud compute instances create www-1 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --zone us-central1-b \
    --tags http-tag \
    --network-interface=no-address \
    --metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo '<!doctype html><html><body><h1>www-1</h1></body></html>' | tee /var/www/html/index.html
EOF"

  3. Crea un'istanza denominata www-2 in us-central1-b:

    gcloud compute instances create www-2 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --zone us-central1-b \
    --tags http-tag \
    --network-interface=no-address \
    --metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo '<!doctype html><html><body><h1>www-2</h1></body></html>' | tee /var/www/html/index.html
EOF"

  4. Crea un'istanza denominata www-3, questa volta in europe-west1-b:

    gcloud compute instances create www-3 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --zone europe-west1-b \
    --tags http-tag \
    --network-interface=no-address \
    --metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo '<!doctype html><html><body><h1>www-3</h1></body></html>' | tee /var/www/html/index.html
EOF"

  5. Crea un'istanza denominata www-4, anche questa in europe-west1-b:

    gcloud compute instances create www-4 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --zone europe-west1-b \
    --tags http-tag \
    --network-interface=no-address \
    --metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo '<!doctype html><html><body><h1>www-4</h1></body></html>' | tee /var/www/html/index.html
EOF"

Terraform

  1. Apri Cloud Shell:

    APRI Cloud Shell

  2. Clona il repository da GitHub:

    git clone https://github.com/GoogleCloudPlatform/gce-public-connectivity-terraform

  3. Cambia la directory di lavoro nella directory del repository:

    cd iap

  4. Installa Terraform.

  5. Sostituisci [YOUR-ORGANIZATION-NAME] nel file scripts/set_env_vars.sh con il nome della tua organizzazione Google Cloud.

  6. Imposta le variabili di ambiente:

    source scripts/set_env_vars.sh

  7. Applica la configurazione Terraform:

    terraform apply

Configurazione dei tunnel IAP per l'interazione con le istanze

Per accedere alle istanze VM, ti connetti alle istanze utilizzando strumenti come SSH o RDP. Nella configurazione che crei in questo tutorial, non puoi connetterti direttamente alle istanze. Tuttavia, puoi utilizzare l'inoltro TCP in IAP, che consente l'accesso remoto per questi pattern interattivi.

Per questo tutorial, utilizzerai SSH.

In questa sezione:

  1. Connettiti a un'istanza Compute Engine utilizzando il tunnel IAP.
  2. Aggiungi un secondo utente con autorizzazione di tunneling IAP in IAM.

Il seguente diagramma illustra l'architettura creata in questa sezione. Le aree grigie vengono discusse in altre parti di questo tutorial.

Architettura della soluzione che mostra IAP che fornisce l'accesso per l'accesso SSH tra un client e le istanze.

Limitazioni di IAP

  • Larghezza di banda: la funzionalità di inoltro TCP IAP non è destinata al trasferimento collettivo di dati. IAP si riserva il diritto di limitare la frequenza degli utenti che abusano di questo servizio.
  • Durata della connessione: IAP non disconnetterà le sessioni attive, a meno che non sia richiesta per la manutenzione.
  • Protocollo: IAP per TCP non supporta UDP.

Crea regole firewall per consentire il tunneling

Per connetterti alle istanze tramite SSH, devi aprire una porta appropriata sul firewall. Le connessioni IAP provengono da un insieme specifico di indirizzi IP (35.235.240.0/20). Di conseguenza, puoi limitare la regola a questo intervallo CIDR.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall:

    VAI ALLA PAGINA DELLE NORME DI FIREWALL

  2. Fai clic su Crea regola firewall.

  3. Imposta Nome su allow-ssh-from-iap.

  4. Lascia Rete VPC impostata su default.

  5. In Destinazioni, seleziona Tag di destinazione specificati.

  6. Imposta Tag di destinazione su http-tag.

  7. Lascia il Filtro di origine impostato su Intervalli IP.

  8. Imposta Intervalli IP di origine su 35.235.240.0/20.

  9. Imposta Protocolli e porte consentiti su tcp:22.

  10. Fai clic su Crea.

    La visualizzazione della nuova regola firewall nella console potrebbe richiedere alcuni istanti.

gcloud

  • Crea una regola firewall denominata allow-ssh-from-iap:

    gcloud compute firewall-rules create allow-ssh-from-iap \
    --source-ranges 35.235.240.0/20 \
    --target-tags http-tag \
    --allow tcp:22

Terraform

  1. Copia il file Terraform delle regole firewall nella directory attuale:

    cp iap/vpc_firewall_rules.tf .

  2. Applica la configurazione Terraform:

    terraform apply

Test tunneling

  • In Cloud Shell, connettiti all'istanza www-1 utilizzando IAP:

    gcloud compute ssh www-1 \
    --zone us-central1-b \
    --tunnel-through-iap

Se la connessione ha esito positivo, avrai una sessione SSH con tunneling tramite IAP direttamente alla tua VM privata.

Concedere l'accesso a utenti aggiuntivi

IAP utilizza le autorizzazioni e i ruoli di progetto esistenti quando ti connetti alle istanze VM. Per impostazione predefinita, i proprietari delle istanze sono gli unici utenti che dispongono del ruolo Utente del tunnel con protezione IAP. Se vuoi consentire ad altri utenti di accedere alle tue VM con il tunneling IAP, devi concedere loro questo ruolo.

  1. Nella console Google Cloud, vai a Sicurezza > Identity-Aware Proxy:

    Opzione IAP nella pagina Sicurezza della console Google Cloud.

    Se visualizzi un messaggio che ti informa che devi configurare la schermata per il consenso OAuth, ignora il messaggio. Questo messaggio non è pertinente per IAP per TCP.

  2. Seleziona la scheda Risorse SSH e TCP.

  3. Seleziona le VM che hai creato:

    Console che mostra tutte e 4 le istanze selezionate.

  4. Sul lato destro, fai clic su Aggiungi entità.

  5. Aggiungi gli utenti a cui vuoi concedere le autorizzazioni, seleziona il ruolo Utente del tunnel con protezione IAP e fai clic su Salva.

Riepilogo

Ora puoi connetterti alle tue istanze utilizzando SSH per amministrare le istanze o per risolverle.

Molte applicazioni devono effettuare connessioni in uscita per scaricare patch, connettersi con i partner o scaricare risorse. Nella sezione successiva configurerai Cloud NAT per consentire alle VM di raggiungere queste risorse.

Deployment di Cloud NAT per il recupero

Il servizio Cloud NAT consente alle istanze VM di Google Cloud che non hanno indirizzi IP esterni di connettersi a internet. Cloud NAT implementa la NAT in uscita insieme a una route predefinita per consentire alle tue istanze di raggiungere internet. Non implementa la funzionalità NAT in entrata. Gli host al di fuori della rete VPC possono rispondere solo a connessioni stabilite avviate dalle tue istanze; non possono avviare le proprie connessioni alle tue istanze utilizzando Cloud NAT. NAT non viene utilizzato per il traffico all'interno di Google Cloud.

Cloud NAT è una risorsa di regione. Puoi configurarla per consentire il traffico da tutti gli intervalli di indirizzi IP principali e secondari delle subnet in una regione oppure applicarla solo ad alcuni di questi intervalli.

In questa sezione configurerai un gateway Cloud NAT in ogni regione utilizzata in precedenza. Il seguente diagramma illustra l'architettura creata in questa sezione. Le aree grigie sono discusse in altre parti di questo tutorial.

Architettura della soluzione che mostra le istanze Cloud NAT tra le istanze e internet.

Creare una configurazione NAT utilizzando il router Cloud

Devi creare l'istanza del router Cloud nella stessa regione delle istanze che richiedono l'utilizzo di Cloud NAT. Cloud NAT viene utilizzato solo per inserire le informazioni NAT nelle VM e non è utilizzato come parte dell'effettivo gateway Cloud NAT.

Questa configurazione consente a tutte le istanze nella regione di utilizzare Cloud NAT per tutti gli intervalli di IP principali e alias. Inoltre, alloca automaticamente gli indirizzi IP esterni per il gateway NAT. Per ulteriori opzioni, consulta la documentazione di gcloud compute routers.

Console

  1. Vai alla pagina Cloud NAT:

    VAI ALLA PAGINA DI CLOUD NAT

  2. Fai clic su Inizia o Crea gateway NAT.

  3. Imposta Nome gateway su nat-config.

  4. Imposta Rete VPC su default.

  5. Imposta Regione su us-central1.

  6. In Router Cloud, seleziona Crea nuovo router, quindi:

    • Imposta Nome su nat-router-us-central1.
    • Fai clic su Crea.

  7. Fai clic su Crea.

  8. Ripeti la procedura, ma sostituisci questi valori:

    • Nome: nat-router-europe-west1
    • Regione: europe-west1

gcloud

  1. Crea istanze di router Cloud in ogni regione:

    gcloud compute routers create nat-router-us-central1 \
    --network default \
    --region us-central1

gcloud compute routers create nat-router-europe-west1 \
    --network default \
    --region europe-west1

  2. Configura i router per Cloud NAT:

    gcloud compute routers nats create nat-config \
    --router-region us-central1 \
    --router nat-router-us-central1 \
    --nat-all-subnet-ip-ranges \
     --auto-allocate-nat-external-ips

gcloud compute routers nats create nat-config \
    --router-region europe-west1 \
    --router nat-router-europe-west1 \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

Terraform

  1. Copia il file di configurazione di Terraform NAT nella directory attuale:

    cp nat/vpc_nat_gateways.tf .

  2. Applica la configurazione Terraform:

    terraform apply

Testa la configurazione di Cloud NAT

Ora puoi verificare se sei in grado di effettuare richieste in uscita dalle istanze VM a internet.

  1. Attendi fino a 3 minuti per la propagazione della configurazione NAT alla VM.

  2. In Cloud Shell, connettiti all'istanza utilizzando il tunnel che hai creato:

    gcloud compute ssh www-1 --tunnel-through-iap

  3. Dopo aver eseguito l'accesso all'istanza, utilizza il comando curl per effettuare una richiesta in uscita:

    curl example.com

    Vedrai l'output seguente:

    <html>
<head>
<title>Example Domain</title>
...
...
...
</head>

<body>
<div>
    <h1>Example Domain</h1>
    <p>This domain is established to be used for illustrative examples in documents.
        You may use this domain in examples without prior coordination or asking for
        permission.
    </p>
    <p><a href="http://www.iana.org/domains/example">More information...</a></p>
</div>
</body>
</html>

Se il comando ha esito positivo, hai verificato che le tue VM possono connettersi a internet utilizzando Cloud NAT.

Riepilogo

Le istanze ora possono effettuare connessioni in uscita per scaricare patch, connettersi con i partner o scaricare risorse.

Nella sezione successiva, aggiungerai il bilanciamento del carico al deployment e lo configurerai per consentire ai client remoti di avviare richieste ai tuoi server.

Creazione di un servizio con bilanciamento del carico HTTP per la gestione

L'utilizzo di Cloud Load Balancing per la tua applicazione offre molti vantaggi. Può fornire un bilanciamento del carico scalabile e senza interruzioni per oltre un milione di query al secondo. Può inoltre eseguire l'offload dell'overhead SSL dalle VM, instradare le query alla regione migliore per gli utenti in base alla località e alla disponibilità e supportare protocolli moderni come HTTP/2 e QUIC.

Per questo tutorial, utilizzerai un'altra funzionalità chiave: il proxy della connessione IP anycast globale. Questa funzionalità fornisce un unico indirizzo IP pubblico terminato sul perimetro distribuito a livello globale di Google. I client possono quindi connettersi a risorse ospitate su indirizzi IP privati ovunque in Google Cloud. Questa configurazione aiuta a proteggere le istanze da attacchi DDoS e attacchi diretti. Attiva inoltre funzionalità come Google Cloud Armor per una sicurezza ancora maggiore.

In questa sezione del tutorial imparerai a:

  1. Reimposta le istanze VM per installare il server web Apache.
  2. Crea una regola firewall per consentire l'accesso dai bilanciatori del carico.
  3. Alloca indirizzi IPv4 e IPv6 statici, globali per il bilanciatore del carico.
  4. Creare un gruppo di istanze per le tue istanze.
  5. Inizia a inviare traffico alle tue istanze.

Il seguente diagramma illustra l'architettura creata in questa sezione. Le aree grigie vengono discusse in altre parti di questo tutorial.

Architettura con in evidenza 4 istanze in 2 gruppi di istanze.

Reimposta le istanze VM

Quando hai creato le istanze VM in precedenza in questo tutorial, non avevano accesso a internet, perché non è stato assegnato alcun indirizzo IP esterno e Cloud NAT non è stato configurato. Di conseguenza, lo script di avvio che installa Apache non è stato completato correttamente.

Il modo più semplice per eseguire nuovamente gli script di avvio è reimpostare queste istanze in modo che il server web Apache possa essere installato e utilizzato nella sezione successiva.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM:

    Vai a Istanze VM

  2. Seleziona www-1,www-2,www-3 e www-4.

  3. Fai clic sul pulsante Reimposta nella parte superiore della pagina.

    Se non vedi il pulsante Reimposta, fai clic su Altre azioni e scegli Reimposta.

  4. Conferma la reimpostazione delle quattro istanze facendo clic su Reimposta nella finestra di dialogo.

gcloud

  1. Reimposta le quattro istanze:

    gcloud compute instances reset www-1 \
    --zone us-central1-b

gcloud compute instances reset www-2 \
    --zone us-central1-b

gcloud compute instances reset www-3 \
    --zone europe-west1-b

gcloud compute instances reset www-4 \
    --zone europe-west1-b

Apri il firewall

L'attività successiva è creare una regola firewall per consentire il traffico dai bilanciatori del carico alle istanze VM. Questa regola consente il traffico dall'intervallo di indirizzi Google Cloud utilizzato sia dai bilanciatori del carico che dai controlli di integrità. La regola firewall utilizza il tag http-tag creato in precedenza; la regola firewall consente al traffico verso la porta designata di raggiungere le istanze che contengono il tag.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall:

    VAI ALLA PAGINA DELLE NORME DI FIREWALL

  2. Fai clic su Crea regola firewall.

  3. Imposta Nome su allow-lb-and-healthcheck.

  4. Lascia il valore default in Rete VPC.

  5. In Destinazioni, seleziona Tag di destinazione specificati.

  6. Imposta Tag di destinazione su http-tag.

  7. Lascia il Filtro di origine impostato su Intervalli IP.

  8. Imposta Intervalli IP di origine su 130.211.0.0/22 e 35.191.0.0/16.

  9. Imposta Protocolli e porte consentiti su tcp:80.

  10. Fai clic su Crea.

    La visualizzazione della nuova regola firewall nella console potrebbe richiedere alcuni istanti.

gcloud

  • Crea una regola firewall denominata allow-lb-and-healthcheck:

    gcloud compute firewall-rules create allow-lb-and-healthcheck \
    --source-ranges 130.211.0.0/22,35.191.0.0/16 \
    --target-tags http-tag \
     --allow tcp:80

Terraform

  1. Copia i file di configurazione del bilanciamento del carico di Terraform nella directory attuale:

    cp lb/* .

  2. Applica la configurazione Terraform:

    terraform apply

Alloca un indirizzo IP esterno per i bilanciatori del carico

Se gestisci il traffico su internet, devi allocare un indirizzo esterno per il bilanciatore del carico. Puoi allocare un indirizzo IPv4, un indirizzo IPv6 o entrambi. In questa sezione, devi prenotare indirizzi IPv4 e IPv6 statici adatti per essere aggiunti al DNS.

Non sono previsti costi aggiuntivi per gli indirizzi IP pubblici perché vengono utilizzati con un bilanciatore del carico.

Console

  1. Nella console Google Cloud, vai alla pagina Indirizzi IP esterni:

    VAI ALLA PAGINA INDIRIZZI IP ESTERNI

  2. Fai clic su Prenota indirizzo statico per prenotare un indirizzo IPv4.

  3. Imposta Nome su lb-ip-cr.

  4. Lascia l'opzione Tipo impostata su Globale.

  5. Fai clic su Prenota.

  6. Fai di nuovo clic su Prenota indirizzo statico per prenotare un indirizzo IPv6.

  7. Imposta Nome su lb-ipv6-cr.

  8. Imposta Versione IP su IPv6.

  9. Lascia l'opzione Tipo impostata su Globale.

  10. Fai clic su Prenota.

gcloud

  1. Crea un indirizzo IP statico denominato lb-ip-cr per IPv4:

    gcloud compute addresses create lb-ip-cr \
    --ip-version=IPV4 \
    --global

  2. Crea un indirizzo IP statico denominato lb-ipv6-cr per IPv6:

    gcloud compute addresses create lb-ipv6-cr \
    --ip-version=IPV6 \
    --global

Crea gruppi di istanze e aggiungi istanze

I bilanciatori del carico Google Cloud richiedono che i gruppi di istanze fungano da backend per il traffico. In questo tutorial userai gruppi di istanze non gestite per semplicità. Tuttavia, puoi anche utilizzare gruppi di istanze gestite per sfruttare funzionalità quali scalabilità automatica, riparazione automatica, deployment regionale (multizona) e aggiornamento automatico.

In questa sezione creerai un gruppo di istanze per ciascuna delle zone in uso.

Console

  1. Nella console Google Cloud, vai alla pagina Gruppi di istanze:

    VAI ALLA PAGINA GRUPPI DI ISTANZE

  2. Fai clic su Crea gruppo di istanze.

  3. Sul lato sinistro, fai clic su Nuovo gruppo di istanze non gestite.

  4. Imposta Nome su us-resources-w.

  5. Imposta Regione su us-central1

  6. Imposta Zona su us-central1-b.

  7. Seleziona Rete (predefinita) e Subnet (predefinita).

  8. In Istanze VM, segui questi passaggi:

    • Fai clic su Aggiungi un'istanza e seleziona www-1.
    • Fai di nuovo clic su Aggiungi un'istanza e seleziona www-2.
    • Fai clic su Crea.

  9. Ripeti questa procedura per creare un secondo gruppo di istanze, ma utilizza i seguenti valori:

    • Nome: europe-resources-w
    • Zona: europe-west1-b
    • Istanze: www-3 e www-4

  10. Nella pagina Gruppi di istanze, verifica di avere due gruppi di istanze, ciascuno con due istanze.

gcloud

  1. Crea il gruppo di istanze us-resources-w:

    gcloud compute instance-groups unmanaged create us-resources-w \
    --zone us-central1-b

  2. Aggiungi le istanze www-1 e www-2:

    gcloud compute instance-groups unmanaged add-instances us-resources-w \
    --instances www-1,www-2 \
    --zone us-central1-b

  3. Crea il gruppo di istanze europe-resources-w:

    gcloud compute instance-groups unmanaged create europe-resources-w \
    --zone europe-west1-b

  4. Aggiungi le istanze www-3 e www-4:

    gcloud compute instance-groups unmanaged add-instances europe-resources-w \
    --instances www-3,www-4 \
    --zone europe-west1-b

configura il servizio di bilanciamento del carico

La funzionalità del bilanciatore del carico riguarda diversi servizi connessi. In questa sezione devi configurare e connettere i servizi. I servizi che creerai sono i seguenti:

  • Porte dette, utilizzate dal bilanciatore del carico per indirizzare il traffico ai gruppi di istanze.
  • Un controllo di integrità, che esegue un polling delle istanze per verificare che siano integri. Il bilanciatore del carico invia il traffico solo alle istanze integre.
  • Servizi di backend, che monitorano l'utilizzo e l'integrità delle istanze. I servizi di backend sanno se le istanze nel gruppo di istanze possono ricevere traffico. Se le istanze non possono ricevere traffico, il bilanciatore del carico lo reindirizza, a condizione che le istanze altrove abbiano una capacità sufficiente. Un backend definisce la capacità dei gruppi di istanze che contiene (utilizzo massimo della CPU o numero massimo di query al secondo).
  • Una mappa URL, che analizza l'URL della richiesta e può inoltrare le richieste a servizi di backend specifici in base all'host e al percorso dell'URL della richiesta. In questo tutorial, dato che non utilizzi l'inoltro basato sui contenuti, la mappa URL contiene solo il mapping predefinito.
  • Un proxy di destinazione, che riceve la richiesta dall'utente e la inoltra alla mappa URL.
  • Due regole di forwarding globali, una per IPv4 e una per IPv6, che contengono le risorse degli indirizzi IP esterni globali. Le regole di forwarding globali inoltrano la richiesta in entrata al proxy di destinazione.

Crea il bilanciatore del carico

In questa sezione creerai il bilanciatore del carico e configurerai un servizio di backend predefinito per gestire il traffico. Creerai anche un controllo di integrità.

Console

Avvia la configurazione

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Fai clic su Crea bilanciatore del carico.
  3. In Tipo di bilanciatore del carico, seleziona Bilanciatore del carico delle applicazioni (HTTP/HTTPS) e fai clic su Avanti.
  4. In Pubblico o interno, seleziona Per il pubblico (esterno) e fai clic su Avanti.
  5. In Deployment a regione singola o globale, seleziona Ideale per carichi di lavoro globali e fai clic su Avanti.
  6. In Generazione del bilanciatore del carico, seleziona Application Load Balancer esterno globale e fai clic su Avanti.
  7. Fai clic su Configura.

Configurazione di base

  1. Imposta Nome bilanciatore del carico su web-map.

configura il bilanciatore del carico

  1. Nel riquadro sinistro della pagina Crea Application Load Balancer esterno globale, fai clic su Configurazione backend.
  2. Nell'elenco Crea o seleziona servizi di backend e bucket di backend, seleziona Servizi di backend, quindi Crea un servizio di backend. Viene visualizzata la finestra di dialogo Crea servizio di backend.
  3. Imposta Nome su web-map-backend-service.
  4. Imposta il Protocollo. Per il protocollo HTTP, lascia i valori impostati sui valori predefiniti.
  5. In Tipo di backend, seleziona Gruppi di istanze.
  6. In Backend, imposta Gruppo di istanze su us-resources-w.
  7. Fai clic su Aggiungi backend.
  8. Seleziona il gruppo di istanze europe-resources-w, quindi segui questi passaggi:
    • Per il traffico HTTP tra il bilanciatore del carico e le istanze, assicurati che l'opzione Numeri di porta sia impostata su 80.
    • Lascia invariati i valori predefiniti per gli altri campi.
  9. Fai clic su Fine.
  10. In Controllo di integrità, seleziona Crea un controllo di integrità o Crea un altro controllo di integrità.
  11. Imposta i seguenti parametri per il controllo di integrità:
    • Nome: http-basic-check
    • Protocollo: HTTP
    • Porta: 80
  12. Fai clic su Crea.

gcloud

  1. Per ogni gruppo di istanze, definisci un servizio HTTP e mappa un nome di porta alla porta pertinente:

    gcloud compute instance-groups unmanaged set-named-ports us-resources-w \
    --named-ports http:80 \
    --zone us-central1-b

gcloud compute instance-groups unmanaged set-named-ports europe-resources-w \
    --named-ports http:80 \
    --zone europe-west1-b

  2. Crea un controllo di integrità:

    gcloud compute health-checks create http http-basic-check \
    --port 80

  3. Crea un servizio di backend:

    gcloud compute backend-services create web-map-backend-service \
    --protocol HTTP \
    --health-checks http-basic-check \
    --global

    Hai impostato il flag --protocol su HTTP perché utilizzi HTTP per accedere alle istanze. Per il controllo di integrità, si usa il controllo di integrità http-basic-check che hai creato in precedenza.

  4. Aggiungi i tuoi gruppi di istanze come backend per i servizi di backend:

    gcloud compute backend-services add-backend web-map-backend-service \
    --balancing-mode UTILIZATION \
    --max-utilization 0.8 \
    --capacity-scaler 1 \
    --instance-group us-resources-w \
    --instance-group-zone us-central1-b \
    --global

gcloud compute backend-services add-backend web-map-backend-service \
    --balancing-mode UTILIZATION \
    --max-utilization 0.8 \
    --capacity-scaler 1 \
    --instance-group europe-resources-w \
    --instance-group-zone europe-west1-b \
    --global

Imposta regole host e percorso

Console

  • Nel riquadro sinistro della pagina Crea Application Load Balancer esterno globale, fai clic su Regole host e percorso.

    Per questo tutorial non è necessario configurare regole dell'host o del percorso perché tutto il traffico verrà indirizzato alla regola predefinita. Pertanto, puoi accettare i valori predefiniti precompilati.

gcloud

  1. Crea una mappa URL predefinita che indirizza tutte le richieste in entrata a tutte le tue istanze:

    gcloud compute url-maps create web-map \
    --default-service web-map-backend-service

  2. Crea un proxy HTTP di destinazione per instradare le richieste alla mappa degli URL:

    gcloud compute target-http-proxies create http-lb-proxy \
    --url-map web-map

Configura il frontend e finalizza la configurazione

Console

  1. Nel riquadro sinistro della pagina Crea Application Load Balancer esterno globale, fai clic su Configurazione frontend.
  2. Imposta Nome su http-cr-rule.
  3. Imposta Protocollo su HTTP.
  4. Imposta Versione IP su IPv4.
  5. Nell'elenco Indirizzo IP, seleziona lb-ip-cr, l'indirizzo che hai creato in precedenza.
  6. Verifica che la Porta sia impostata su 80.
  7. Fai clic su Fine.
  8. Fai clic su Aggiungi IP e porta frontend.
  9. Imposta Nome su http-cr-ipv6-rule.
  10. In Protocollo, seleziona HTTP.
  11. Imposta Versione IP su IPv6.
  12. Nell'elenco Indirizzo IP, seleziona lb-ipv6-cr, l'altro indirizzo creato in precedenza.
  13. Verifica che la Porta sia impostata su 80.
  14. Fai clic su Crea.
  15. Fai clic su Fine.
  16. Nel riquadro sinistro della pagina Crea Application Load Balancer esterno globale, fai clic su Esamina e finalizza.
  17. Confronta le tue impostazioni con ciò che volevi creare.

  18. Se le impostazioni sono corrette, fai clic su Crea.

    Tornerai alle pagine Bilanciamento del carico. Dopo aver creato il bilanciatore del carico, un segno di spunta verde accanto indica che è in esecuzione.

gcloud

  1. Recupera gli indirizzi IP statici che hai creato per il bilanciatore del carico. Prendi nota di questi elementi, perché utilizzerai nel passaggio successivo.

    gcloud compute addresses list

  2. Crea due regole di forwarding globali per instradare le richieste in entrata al proxy, una per IPv4 e una per IPv6. Sostituisci lb_ip_address nel comando con l'indirizzo IPv4 statico che hai creato e sostituisci lb_ipv6_address con l'indirizzo IPv6 che hai creato.

    gcloud compute forwarding-rules create http-cr-rule \
    --address lb_ip_address \
    --global \
    --target-http-proxy http-lb-proxy \
    --ports 80

gcloud compute forwarding-rules create http-cr-ipv6-rule \
    --address lb_ipv6_address \
    --global \
    --target-http-proxy http-lb-proxy \
   --ports 80

    Dopo aver creato le regole di forwarding globali, la propagazione della configurazione può richiedere diversi minuti.

Testare la configurazione

In questa sezione, invierai una richiesta HTTP all'istanza per verificare che la configurazione del bilanciamento del carico funzioni.

Console

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico:

    VAI ALLA PAGINA Bilanciamento del carico

  2. Seleziona il bilanciatore del carico denominato web-map per visualizzare i dettagli del bilanciatore del carico appena creato.

  3. Nella sezione Backend della pagina, verifica che le istanze siano integri visualizzando la colonna Stato integro.

    Potrebbero essere necessari alcuni minuti prima che il display indichi che le istanze sono in stato integro.

  4. Quando il display mostra che le istanze sono integri, copia il valore IP:Port dalla sezione Frontend e incollalo nel browser.

    Nel browser viene visualizzata la pagina dei contenuti predefinita.

gcloud

  1. Recupera gli indirizzi IP delle regole di forwarding globali e prendine nota per il passaggio successivo:

    gcloud compute forwarding-rules list

  2. Utilizza il comando curl per testare la risposta di vari URL per i tuoi servizi. Prova sia IPv4 sia IPv6. Per IPv6, devi inserire [] intorno all'indirizzo, ad esempio http://[2001:DB8::]/.

    curl http://ipv4-address

curl -g -6 "http://[ipv6-address]/"

Riepilogo

Ora le VM possono gestire il traffico verso internet e recuperare i dati da internet. Puoi anche accedervi utilizzando SSH per eseguire attività di amministrazione. Tutta questa funzionalità viene ottenuta utilizzando solo indirizzi IP privati, che contribuiscono a proteggerli da attacchi diretti non esponendo gli indirizzi IP raggiungibili da internet.

Esegui la pulizia

Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Elimina il progetto

  1. Nella console Google Cloud, vai alla pagina Gestisci risorse.

    Vai a Gestisci risorse

  2. Nell'elenco dei progetti, seleziona il progetto che vuoi eliminare, quindi fai clic su Elimina.
  3. Nella finestra di dialogo, digita l'ID del progetto e fai clic su Chiudi per eliminare il progetto.

Passaggi successivi