Externes Back-End mit einer Internet-NEG einrichten

In diesem Leitfaden werden die Grundlagen für die Verwendung eines externen Back-Ends (manchmal auch als benutzerdefinierter Ursprung) in einem externen HTTP(S)-Load-Balancer beschrieben. Ein externes Back-End ist ein Endpunkt, der sich außerhalb von Google Cloud befindet. Wenn Sie ein externes Back-End mit einem externen HTTP(S)-Load-Balancer verwenden, können Sie die Leistung mithilfe von Cloud CDN-Caching verbessern.

In dieser Anleitung wird beschrieben, wie Sie einen globalen externen HTTP(S)-Load-Balancer mit einem Cloud CDN-fähigen Back-End-Dienst konfigurieren, der an einen externen Back-End-Server unter backend.example.com weitergeleitet wird.

In diesem Beispiel akzeptiert der Load-Balancer HTTPS-Anfragen von Clients und leitet diese Anfragen als HTTPS an das externe Back-End weiter. In diesem Beispiel wird davon ausgegangen, dass das externe Back-End HTTPS unterstützt.

Sie haben auch die Möglichkeit, einen Load-Balancer so zu konfigurieren, dass HTTP- oder HTTPS-Anfragen akzeptiert werden. Außerdem sollten Sie HTTPS verwenden, wenn Sie Anfragen an das externe Back-End weiterleiten.

In dieser Anleitung wird davon ausgegangen, dass Sie bereits einen Load-Balancer eingerichtet haben und ein neues externes Back-End hinzufügen. Weitere Informationen finden Sie unter Globalen externen HTTP(S)-Load-Balancer (klassisch) mit einem verwalteten Instanzgruppen-Back-End einrichten.

Abbildung 1 zeigt eine Beispielarchitektur.

Abbildung 1: Typischer Anwendungsfall für externe Back-Ends.
Abbildung 1. Typischer Anwendungsfall für externe Back-Ends.

Im Diagramm hat www.example.com ein Load-Balancer-Front-End mit der IP-Adresse 120.1.1.1. Bei einem Cache-Fehler werden Nutzeranfragen für /cart/id/1223515 vom externen Back-End über HTTPS abgerufen. Der weitere eingehende Traffic wird anhand der URL-Zuordnung entweder an den Google Cloud-Back-End-Dienst mit Compute Engine-VMs oder an den Back-End-Bucket weitergeleitet.

Hinweis

Bevor Sie diese Anleitung durcharbeiten, sollten Sie sich mit Folgendem vertraut machen:

Berechtigungen

Damit Sie dieser Anleitung folgen können, müssen Sie eine Internetnetzwerk-Endpunktgruppe (NEG) erstellen und einen externen HTTP(S)-Load-Balancer in einem Projekt erstellen oder ändern. Sie sollten entweder ein Inhaber oder Bearbeiter des Projekts sein oder die beiden folgenden IAM-Rollen für Compute Engine haben.

Task Erforderliche Rolle
Load-Balancer-Komponenten erstellen und ändern Netzwerkadministrator
NEGs erstellen und ändern Compute-Instanzadministrator

Load-Balancer mit externem Back-End konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie eine Internet-NEG konfigurieren und testen.

Einrichtung: Übersicht

Das Einrichten einer Internet-NEG umfasst Folgendes:

  • Internet-Endpunkt in einer Internet-NEG definieren
  • Internet-NEG als Back-End zu einem Back-End-Dienst hinzufügen
  • Definieren, welcher Nutzertraffic diesem Back-End-Dienst durch Konfiguration der URL-Zuordnung Ihres externen HTTP(S)-Load-Balancers zugeordnet werden soll
  • Erforderliche IP-Bereiche zulassen

In diesem Beispiel werden die folgenden Ressourcen erstellt:

  • Eine Weiterleitungsregel mit der IP-Adresse 120.1.1.1 leitet eingehende Anfragen an einen Zielproxy weiter.
    • Die networkTier der Weiterleitungsregel muss PREMIUM sein.
  • Der Ziel-Proxy prüft bei jeder Anfrage, ob diese mit der URL-Zuordnung übereinstimmt, um den passenden Back-End-Dienst für die Anfrage auswählen zu können.
    • Für externe Back-Ends muss der Zielproxy TargetHttpProxy oder TargetHttpsProxy lauten. In diesem Beispiel wird TargetHttpsProxy verwendet.
  • Ist Cloud CDN für den Back-End-Dienst aktiviert (optional), können Antworten aus den Cloud CDN-Caches zwischengespeichert und bereitgestellt werden.
  • Dieses Beispiel enthält den benutzerdefinierten Anforderungsheader, der erforderlich ist, wenn das externe Back-End einen bestimmten Wert für den Host-Header der HTTP-Anfrage erwartet.

Die Einrichtung sieht so aus:

Abbildung 2: Cloud CDN mit einem lokalen Back-End
Abbildung 2. Cloud CDN mit einem lokalen Back-End

NEG und Internetendpunkt erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerk-Endpunktgruppen auf.

    Zu den Netzwerk-Endpunktgruppen

  2. Klicken Sie auf NETZWERK-ENDPUNKTGRUPPE ERSTELLEN.
  3. Geben Sie den Namen der Netzwerk-Endpunktgruppe ein: example-fqdn-neg.
  4. Wählen Sie als Typ der Netzwerk-Endpunktgruppe die Option Netzwerk-Endpunktgruppe (Internet) aus.
  5. Geben Sie als Standardport 443 ein.
  6. Wählen Sie unter Neuer Netzwerkendpunkt die Option Voll qualifizierter Domainname und Port aus.
  7. Geben Sie für den FQDN backend.example.com ein.
  8. Wählen Sie als Porttyp die Option Standard aus und verifizieren Sie, dass die Portnummer 443 ist.
  9. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie eine Internet-NEG und legen Sie für --network-endpoint-type den Wert internet-fqdn-port fest (der Hostname und der Port, an dem Ihr externes Back-End erreicht werden kann):

    gcloud compute network-endpoint-groups create example-fqdn-neg \
    --network-endpoint-type="internet-fqdn-port" --global

  2. Fügen Sie den Endpunkt zur NEG hinzu. Wenn kein Port angegeben ist, wird abhängig von dem im Back-End-Dienst konfigurierten Protokoll standardmäßig Port 80 (HTTP) oder 443 (HTTPS, HTTP/2) ausgewählt. Achten Sie darauf, das Flag --global anzugeben:

    gcloud compute network-endpoint-groups update example-fqdn-neg \
    --add-endpoint="fqdn=backend.example.com,port=443" \
    --global

  3. So listen Sie die erstellte Internet-NEG auf:

    gcloud compute network-endpoint-groups list --global

    Ausgabe: 

    NAME                LOCATION   ENDPOINT_TYPE        SIZE
example-fqdn-neg    global     INTERNET_FQDN_PORT   1

  4. So listen Sie den Endpunkt innerhalb dieser NEG auf:

    gcloud compute network-endpoint-groups list-network-endpoints example-fqdn-neg \
    --global

    Ausgabe: 

    INSTANCE   IP_ADDRESS   PORT   FQDN
                               backend.example.com

Externes Back-End einem Load-Balancer hinzufügen

Im folgenden Beispiel wird ein vorhandener Load-Balancer aktualisiert.

Im vorhandenen Load-Balancer ist der Standarddienst ein Google Cloud-Dienst. In diesem Beispiel wird die vorhandene URL-Zuordnung geändert. Hierzu wird ein Pfad-Matcher hinzugefügt, der alle Anfragen für cart/id/1223515 an den images-Back-End-Dienst sendet, der der Internet-NEG zugeordnet ist.

Console

Back-End-Dienst erstellen und Internet-NEG hinzufügen

  1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

    Load-Balancing aufrufen

  2. Wenn Sie den Back-End-Dienst einem vorhandenen Load-Balancer hinzufügen möchten, wählen Sie den globalen externen HTTP(S)-Load-Balancer (klassisch) aus, klicken Sie auf Menü und dann auf Bearbeiten.
  3. Klicken Sie auf Back-End-Konfiguration.
  4. Wählen Sie im Menü Back-End-Dienste und Back-End-Buckets die Option Back-End-Dienst erstellen aus.
  5. Legen Sie images als Name für den Back-End-Dienst fest.
  6. Wählen Sie als Back-End-Typ die Option Internetnetzwerk-Endpunktgruppe aus.
  7. Wählen Sie das Protokoll aus, das im Load-Balancer für die Internet-NEG verwendet werden soll. Wählen Sie in diesem Beispiel HTTPS aus.
  8. Wählen Sie unter Neues Back-End > Internetnetzwerk-Endpunktgruppe example-fqdn-neg aus und klicken Sie dann auf Fertig.
  9. Wählen Sie Cloud CDN aktivieren aus.
  10. Optional: Ändern Sie den Cache-Modus und die TTL-Einstellungen.
  11. Klicken Sie unter Erweiterte Konfigurationen unter Benutzerdefinierte Anfrageheader auf Header hinzufügen.
    1. Geben Sie als Headername Host ein.
    2. Geben Sie als Headerwert backend.example.com ein.
  12. Klicken Sie auf Erstellen.
  13. Lassen Sie das Fenster geöffnet, um fortzufahren.

Back-End-Dienst an vorhandene URL-Zuordnung anhängen

  1. Klicken Sie auf Host- und Pfadregeln.
  2. Die erste Zeile oder die ersten Zeilen enthalten Google Cloud-Dienste in der rechten Spalte. In einer Spalte ist bereits die Standardregel Any unmatched (default) für Hosts und Pfade eingetragen.
  3. Prüfen Sie, ob in der rechten Spalte eine Zeile mit images ausgewählt ist. Wenn dies nicht der Fall ist, klicken Sie auf Host- und Pfadregel hinzufügen und wählen Sie images aus. Füllen Sie die anderen Felder so aus:
    1. Geben Sie im Feld Hosts den Wert * ein.
    2. Geben Sie unter Pfade /cart/id/1223515 ein.

Prüfen und abschließen

  1. Klicken Sie auf Prüfen und abschließen.
  2. Vergleichen Sie die Einstellungen mit denen, die Sie erstellen wollten.
  3. Wenn alles in Ordnung ist, klicken Sie auf Aktualisieren.

gcloud

  1. Erstellen Sie einen neuen Back-End-Dienst für die NEG:

    gcloud compute backend-services create images \
   --global \
   --enable-cdn \
   --cache-mode=CACHE_MODE
   --protocol=HTTP2

    Legen Sie den Cache-Modus fest. Ersetzen Sie dazu CACHE_MODE durch einen der folgenden Werte:

    • CACHE_All_STATIC: statische Inhalte werden automatisch im Cache gespeichert.

    • USE_ORIGIN_HEADERS (Standard): Legt fest, dass der Ursprung zum Speichern von Inhalten gültige Caching-Header festlegen muss

    • FORCE_CACHE_ALL: speichert alle Inhalte im Cache und ignoriert dabei private-, no-store- und no-cache-Anweisungen in Cache-Control-Antwortheadern

  2. Konfigurieren Sie den Back-End-Dienst so, dass der Anfrage der benutzerdefinierte Anfrageheader Host: backend.example.com hinzugefügt wird:

    gcloud compute backend-services update images \
   --custom-request-header "Host: backend.example.com" --global

  3. Verwenden Sie den Befehl backend-services add-backend, um dem Back-End-Dienst die Internet-NEG hinzuzufügen:

    gcloud compute backend-services add-backend images \
  --network-endpoint-group "example-fqdn-neg" \
  --global-network-endpoint-group \
  --global

  4. Hängen Sie den neuen Back-End-Dienst an die URL-Zuordnung des Load-Balancers an. Erstellen Sie dazu eine neue Abgleichsregel, um Anfragen an dieses Back-End zu leiten:

    gcloud compute url-maps add-path-matcher EXAMPLE_URL_MAP \
  --default-service=GCP_SERVICE_EXAMPLE \
  --path-matcher-name=CUSTOM_ORIGIN_PATH_MATCHER_EXAMPLE \
  --backend-service-path-rules=/CART/ID/1223515=IMAGES

    Dabei gilt:

    • EXAMPLE_URL_MAP: der Name der vorhandenen URL-Zuordnung.
    • GCP_SERVICE_EXAMPLE: der Name eines vorhandenen Standard-Back-End-Dienstes.
    • CUSTOM_ORIGIN_PATH_MATCHER_EXAMPLE: der Name dieser neuen Pfadregel.
    • /CART/ID/1223515: der Pfad.
    • IMAGES: der Name des neuen Back-End-Dienstes mit der angehängten Internet-NEG.

Erforderliche IP-Bereiche auf die Zulassungsliste setzen

Damit ein externer HTTP(S)-Load-Balancer Anfragen an Ihre Internet-NEG senden kann, müssen Sie den DNS-TXT-Eintrag _cloud-eoips.googleusercontent.com mit einem Tool wie dig oder nslookup abfragen.

Führen Sie dazu beispielsweise den folgenden dig-Befehl aus:

dig TXT _cloud-eoips.googleusercontent.com | grep -Eo 'ip4:[^ ]+' | cut -d':' -f2

Die Ausgabe enthält die beiden folgenden IP-Adressbereiche:

34.96.0.0/20
34.127.192.0/18

Notieren Sie sich die IP-Bereiche und sorgen Sie dafür, dass diese Bereiche von Ihrer Firewall oder über die Cloud-Zugriffssteuerungsliste (ACL) zugelassen werden.

Weitere Informationen finden Sie unter Anfragen authentifizieren.

Domain mit dem Load-Balancer verbinden

Notieren Sie sich nach der Erstellung des Load-Balancers die IP-Adresse, die diesem zugewiesen ist, z. B. 30.90.80.100. Wenn Sie Ihre Domain auf den Load-Balancer verweisen möchten, erstellen Sie mit Ihrem Domain-Registrierungsdienst einen A-Eintrag. Wenn Sie Ihrem SSL-Zertifikat mehrere Domains hinzugefügt haben, müssen Sie für jede Domain einen A-Eintrag hinzufügen, der auf die IP-Adresse des Load-Balancers verweist. So erstellen Sie beispielsweise A-Einträge für www.example.com und example.com:

NAME                  TYPE     DATA
www                   A        30.90.80.100
@                     A        30.90.80.100

Wenn Sie Google Domains verwenden, finden Sie in der Google Domains-Hilfe weitere Informationen.

Externen HTTP(S)-Load-Balancer testen

Nachdem Sie den Load-Balancer konfiguriert haben, können Sie Traffic an die IP-Adresse des Load-Balancers senden. Wenn Sie eine Domain konfiguriert haben, können Sie auch Traffic an den Domainnamen senden. Die DNS-Weitergabe kann jedoch einige Zeit in Anspruch nehmen. Sie sollten daher zuerst die IP-Adresse zu Testzwecken verwenden.

  1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

    Load-Balancing aufrufen

  2. Klicken Sie auf den Load-Balancer, den Sie gerade erstellt haben.

  3. Notieren Sie die IP-Adresse des Load-Balancers.

  4. Wenn Sie einen HTTP-Load-Balancer erstellt haben, können Sie ihn mit einem Webbrowser unter http://IP_ADDRESS testen. Ersetzen Sie IP_ADDRESS durch die IP-Adresse des Load-Balancers. Sie sollten zur Startseite des helloworld-Dienstes weitergeleitet werden.

    Wenn Sie einen HTTPS-Load-Balancer erstellt haben, können Sie ihn mit einem Webbrowser unter https://IP_ADDRESS testen. Ersetzen Sie IP_ADDRESS durch die IP-Adresse des Load-Balancers. Sie sollten zur Startseite des helloworld-Dienstes weitergeleitet werden.

    Sollte das nicht funktionieren und Sie verwenden ein von Google verwaltetes Zertifikat, prüfen Sie, ob der Status der Zertifikatsressource AKTIV ist. Weitere Informationen finden Sie unter Status der von Google verwalteten SSL-Zertifikatressourcen.

    Alternativ können Sie curl über die Befehlszeile Ihres lokalen Computers verwenden. Ersetzen Sie IP_ADDRESS durch die IPv4-Adresse des Load-Balancers.

    Wenn Sie ein von Google verwaltetes Zertifikat verwenden, testen Sie die Domain, die auf die IP-Adresse des Load-Balancers verweist. Beispiel: 

    curl -s 'https://www.example.com:443' --resolve www.example.com:443:IP_ADDRESS

  5. Optional: Wenn Sie eine benutzerdefinierte Domain verwenden, müssen Sie möglicherweise warten, bis die aktualisierten DNS-Einstellungen wirksam werden. Testen Sie dann Ihre Domain (z. B. backend.example.com) im Webbrowser.

    Hilfe zur Fehlerbehebung finden Sie unter Fehlerbehebung bei Problemen mit dem externen Back-End und der Internet-NEG.

Cloud CDN deaktivieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

    Rufen Sie Load-Balancing auf.

  2. Klicken Sie auf den Namen des Load-Balancers, den Sie ändern möchten.

  3. Klicken Sie auf Bearbeiten.

  4. Klicken Sie auf Back-End-Konfiguration.

  5. Klicken Sie für den Back-End-Dienst mit dem Internet-NEG-Back-End auf Bearbeiten.

  6. Entfernen Sie das Häkchen bei Cloud CDN aktivieren.

  7. Klicken Sie auf Prüfen und abschließen und dann auf Aktualisieren, um Ihre Änderungen zu prüfen.

gcloud 

gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --no-enable-cdn

Die Aktivierung von Cloud CDN führt zu keiner Entwertung oder Löschung von Caches. Wenn Sie Cloud CDN deaktivieren und wieder aktivieren, bleiben die meisten oder alle im Cache gespeicherten Inhalte im Cache gespeichert. Um zu verhindern, dass Inhalte von Caches verwendet werden, müssen Sie diese Inhalte entwerten.

Nächste Schritte

  • Informationen zum Prüfen, ob Cloud CDN Antworten aus dem Cache bereitstellt, finden Sie unter Logs ansehen.
  • Mehr darüber, welche Inhalte im Cache gespeichert werden können und welche nicht, erfahren Sie unter Caching-Details.
  • Informationen zu GFE-Points-of-Presence finden Sie unter Cache-Speicherorte.