Configurer Cloud CDN avec Cloud Run, Cloud Functions ou App Engine

Cette page explique comment créer un équilibreur de charge HTTP(S) externe afin d'acheminer les requêtes vers des backends sans serveur. Ici, le terme "sans serveur" fait référence aux produits d'informatique sans serveur suivants : App Engine, Cloud Functions et Cloud Run.

Les NEG sans serveur vous permettent d'utiliser des applications sans serveur Google Cloud avec équilibrage de charge HTTP(S) externe. Une fois que vous avez configuré un équilibreur de charge avec le backend du NEG sans serveur, les requêtes envoyées à l'équilibreur de charge sont acheminées vers le backend d'application sans serveur.

Si vous souhaitez en savoir plus sur les NEG sans serveur, consultez la présentation des NEG sans serveur.

Avant de commencer

  1. Déployez un service App Engine, Cloud Functions ou Cloud Run.
  2. Si vous ne l'avez pas déjà fait, installez le SDK Google Cloud.
  3. Configurez les autorisations.
  4. Ajoutez une ressource de certificat SSL.

Déployer un service App Engine, Cloud Functions ou Cloud Run

Pour les instructions fournies sur cette page, nous partons du principe que vous disposez déjà d'un service Cloud Run, Cloud Functions ou App Engine en cours d'exécution.

Dans l'exemple de cette page, nous utilisons le guide de démarrage rapide de Cloud Run pour Python afin de déployer un service Cloud Run dans la région us-central1. Enfin, le reste de la page vous explique comment configurer un équilibreur de charge HTTP(S) externe qui utilise un backend de NEG sans serveur pour acheminer les requêtes vers ce service.

Si vous n'avez pas encore déployé d'application sans serveur ou si vous souhaitez essayer un NEG sans serveur avec un exemple d'application, reportez-vous à l'un des guides de démarrage rapide mentionnés ci-après. Vous pouvez créer une application sans serveur dans n'importe quelle région, mais vous devrez utiliser la même région ultérieurement pour créer le NEG et l'équilibreur de charge sans serveur.

Cloud Run

Pour générer une application simple de type "Hello World", intégrez l'application dans une image de conteneur, puis déployez l'image sur Cloud Run. Consultez la page Démarrage rapide : Construire et déployer.

Si vous avez déjà importé un exemple de conteneur dans Container Registry, consultez la page Démarrage rapide : Déployer un exemple de conteneur prédéfini.

Cloud Functions

Consultez la page Cloud Functions : Démarrage rapide pour Python.

App Engine

Consultez les guides de démarrage rapide d'App Engine pour Python 3 suivants :

Installez le SDK Google Cloud

Installez l'outil de ligne de commande gcloud. Pour obtenir plus d'informations conceptuelles sur l'outil gcloud ainsi que des instructions d'installation, consultez la Présentation de gcloud.

Si vous n'avez pas encore utilisé l'outil de ligne de commande gcloud, commencez par exécuter la commande gcloud init pour initialiser votre répertoire gcloud.

Configurer les autorisations

Pour suivre ce guide, vous devez créer un NEG sans serveur et créer un équilibreur de charge HTTP(S) externe dans un projet. Vous devez être propriétaire ou éditeur du projet, ou disposer des rôles IAM Compute Engine suivants :

Tâche Rôle requis
Créer des composants d'équilibrage de charge et de mise en réseau Administrateur réseau
Créer et modifier des NEG Administrateur d'instances Compute
Créer et modifier des certificats SSL Administrateur de sécurité

Réserver une adresse IP externe

Maintenant que vos services sont opérationnels, configurez une adresse IP externe statique globale que vos clients utiliseront pour accéder à votre équilibreur de charge.

Console

  1. Accédez à la page Adresses IP externes de Google Cloud Console.
    Accéder à la page Adresses IP externes
  2. Cliquez sur Réserver une adresse statique pour réserver une adresse IPv4.
  3. Attribuez un Nom à example-ip.
  4. Définissez le niveau réseau à la valeur Premium.
  5. Définissez Version IP sur IPv4.
  6. Définissez le Type à la valeur Global.
  7. Cliquez sur Réserver.

gcloud

gcloud compute addresses create example-ip \
    --ip-version=IPV4 \
    --global

Notez l'adresse IPv4 réservée :

gcloud compute addresses describe example-ip \
    --format="get(address)" \
    --global

Créer une ressource de certificat SSL

Pour créer un équilibreur de charge HTTPS, vous devez ajouter une ressource de certificat SSL au frontal de l'équilibreur de charge. Créez une ressource de certificat SSL à l'aide d'un certificat SSL géré par Google ou d'un certificat SSL autogéré.

  • Certificats gérés par Google. L'utilisation de certificats gérés par Google est recommandée, car Google Cloud obtient, gère et renouvelle automatiquement ces certificats pour vous. Pour créer un certificat géré par Google, vous devez disposer d'un domaine et d'enregistrements DNS pour ce domaine afin que le certificat soit provisionné. Si vous ne possédez pas encore de domaine, vous pouvez en obtenir un auprès de Google Domains. De plus, vous devez mettre à jour l'enregistrement DNS A du domaine pour qu'il pointe vers l'adresse IP de l'équilibreur de charge créée à l'étape précédente (example-ip). Pour obtenir des instructions détaillées, consultez la page Utiliser des certificats SSL gérés par Google.

  • Certificats autosignés. Si vous ne souhaitez pas configurer un domaine à ce stade, vous pouvez utiliser un certificat SSL autosigné pour les tests.

Pour cet exemple, nous partons du principe que vous avez déjà créé une ressource de certificat SSL.

Si vous souhaitez tester ce processus sans créer de ressource de certificat SSL (ou de domaine comme requis par les certificats gérés par Google), vous pouvez toujours utiliser les instructions de cette page pour configurer un équilibreur de charge HTTP.

Créer l'équilibreur de charge HTTP(S) externe

Dans le schéma suivant, l'équilibreur de charge utilise un backend de NEG sans serveur pour envoyer les requêtes vers un service Cloud Run sans serveur. Dans cet exemple, nous avons utilisé le guide de démarrage rapide de Cloud Run pour Python afin de déployer un service Cloud Run.

Équilibrage de charge HTTPS pour une application Cloud Run (cliquez pour agrandir)
Équilibrage de charge HTTPS pour une application Cloud Run

Étant donné que les vérifications d'état ne sont pas disponibles pour les services de backend avec des backends de NEG sans serveur, vous n'avez pas besoin de créer de règle de pare-feu autorisant les vérifications d'état si l'équilibreur de charge ne dispose que de backends de NEG sans serveur.

Console

Nommer l'équilibreur de charge

  1. Accédez à la page Équilibrage de charge dans Google Cloud Console.
    Accéder à la page "Équilibrage de charge"
  2. Dans la section Équilibrage de charge HTTP(S), cliquez sur Démarrer la configuration.
  3. Dans la section Web ou interne uniquement, sélectionnez D'Internet vers mes VM.
  4. Cliquez sur Continuer.
  5. Pour le nom de l'équilibreur de charge, saisissez serverless-lb.
  6. Laissez la fenêtre ouverte pour continuer.

Configurer les services de backend

  1. Cliquez sur Configuration du backend.
  2. Dans le menu déroulant Créer ou sélectionner un service de backend, maintenez le pointeur de la souris sur Services de backend, puis sélectionnez Créer un service de backend.
  3. Saisissez un nom.
  4. Sous Type de backend, sélectionnez Groupe de points de terminaison du réseau sans serveur.
  5. Laissez le Protocole inchangé. Ce paramètre est ignoré.
  6. Sous Backends, dans la fenêtre Nouveau backend, sélectionnez Créer un groupe de points de terminaison du réseau sans serveur.
  7. Saisissez un nom.
  8. Sous Région, sélectionnez us-central1. Sélectionnez ensuite Cloud Run.
  9. Cliquez sur Sélectionner un nom de service.
  10. Dans le menu déroulant Service, sélectionnez le service Cloud Run pour lequel vous souhaitez créer un équilibreur de charge.
  11. Cliquez sur Create (Créer).
  12. Dans la fenêtre Nouveau backend, cliquez sur Terminé.
  13. Sélectionnez Activer Cloud CDN. Conservez les paramètres du mode de cache et la valeur TTL par défaut.
  14. Cliquez sur Créer.

Configurer des règles d'hôte et des outils de mise en correspondance des chemins

Les règles d'hôte et les outils de mise en correspondance des chemins sont les composants de configuration d'un mappage d'URL de l'équilibreur de charge HTTP(S) externe.

  1. Cliquez sur Règles d'hôte et de chemin d'accès.
  2. Conservez les hôtes et les chemins d'accès par défaut. Pour cet exemple, toutes les requêtes sont transmises au service de backend créé à l'étape précédente.

Configurer l'interface

  1. Cliquez sur Configuration du frontend.
  2. Saisissez un nom.
  3. Pour créer un équilibreur de charge HTTPS, vous devez disposer d'un certificat SSL (gcloud compute ssl-certificates list). Nous vous recommandons d'utiliser un certificat géré par Google, comme décrit précédemment. Pour configurer un équilibreur de charge HTTP(S) externe, renseignez les champs comme suit.

    Vérifiez que les options suivantes sont configurées avec les valeurs suivantes :

    Valeur Valeur (saisissez une valeur ou sélectionnez une option spécifiée)
    Protocole HTTPS
    Niveau de service réseau Premium
    Version IP IPv4
    Adresse IP example-ip
    Port 443
    Certificat Sélectionnez un certificat SSL existant ou créez-en un.

    Pour créer un équilibreur de charge HTTPS, vous devez disposer d'une ressource de certificat SSL à utiliser dans le proxy HTTPS. Vous pouvez créer une ressource de certificat SSL à l'aide d'un certificat SSL géré par Google ou d'un certificat SSL autogéré.
    Pour créer un certificat géré par Google, vous devez disposer d'un domaine. L'enregistrement A du domaine doit correspondre à l'adresse IP de l'équilibreur de charge (dans cet exemple, example-ip). Il est recommandé d'utiliser des certificats gérés par Google, car Google Cloud obtient, gère et renouvelle automatiquement ces certificats. Si vous ne disposez pas d'un domaine, vous pouvez utiliser un certificat SSL autosigné pour les tests.

  4. Cliquez sur OK.

Vérifier la configuration

  1. Cliquez sur Vérifier et finaliser.
  2. Examinez le backend, les règles d'hôte et de chemin d'accès, ainsi que l'interface.
  3. Cliquez sur Créer.
  4. Attendez jusqu'à ce que l'équilibreur de charge soit créé.
  5. Cliquez sur le nom de l'équilibreur de charge (serverless-lb).
  6. Notez l'adresse IP de l'équilibreur de charge pour la prochaine tâche. Elle est désignée par l'élément IP_ADDRESS.

gcloud

  1. Créez un NEG sans serveur pour votre application sans serveur. Pour créer un NEG sans serveur à l'aide d'un service Cloud Run, procédez comme suit :

    gcloud compute network-endpoint-groups create SERVERLESS_NEG_NAME \
        --region=us-central1 \
        --network-endpoint-type=serverless  \
        --cloud-run-service=CLOUD_RUN_SERVICE_NAME
    
    Pour plus d'options, consultez le guide de référence gcloud sur gcloud compute network-endpoint-groups create.
  2. Créez un service de backend.
    gcloud compute backend-services create BACKEND_SERVICE_NAME \
        --global \
        --enable-cdn \
        --cache-mode=CACHE_MODE \
        --custom-response-header='Cache-Status: {cdn_cache_status}' \
        --custom-response-header='Cache-ID: {cdn_cache_id}'
    

    Remplacez CACHE_MODE par l'un des éléments suivants :

    • CACHE_All_STATIC (par défaut) : met automatiquement en cache le contenu statique. Les réponses marquées comme ne pouvant pas être mises en cache (instructions private, no-store ou no-cache dans les en-têtes de réponse Cache-Control) ne sont pas mises en cache. Pour mettre en cache le contenu dynamique, celui-ci doit comporter des en-têtes de mise en cache valides. Il s'agit du comportement par défaut de tous les nouveaux backends pour lesquels Cloud CDN est activé.

    • USE_ORIGIN_HEADERS : exige que l'origine définisse des en-têtes de mise en cache valides pour mettre en cache le contenu. Sans ces en-têtes, les réponses ne sont pas mises en cache à la périphérie de Google et nécessitent un trajet complet vers l'origine à chaque demande, ce qui peut affecter les performances et augmenter la charge sur le serveur d'origine. Il s'agit du comportement par défaut de tous les backends existants pour lesquels Cloud CDN est activé.

    • FORCE_CACHE_ALL : met en cache tout le contenu, en ignorant les instructions private, no-store ou no-cache dans les en-têtes de réponse Cache-Control. Cela peut entraîner une mise en cache du contenu privé propre à l'utilisateur (informations personnelles de l'utilisateur). Vous ne devez activer cette fonctionnalité que sur les backends qui ne diffusent pas de contenus privés ou dynamiques, tels que des buckets Cloud Storage.

    Pour en savoir plus sur les instructions de cache acceptées par Cloud CDN et sur les éléments non mis en cache par ce service, consultez les sections Contenu pouvant être mis en cache et Contenu ne pouvant pas être mis en cache.

  3. Ajoutez le NEG sans serveur en tant que backend au service de backend :

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
        --global \
        --network-endpoint-group=SERVERLESS_NEG_NAME \
        --network-endpoint-group-region=us-central1
    
  4. Créez un mappage d'URL pour acheminer les requêtes entrantes vers le service de backend :
    gcloud compute url-maps create URL_MAP_NAME \
        --default-service BACKEND_SERVICE_NAME
    

    Cet exemple de mappage d'URL ne cible qu'un service de backend représentant une seule application sans serveur. Vous n'avez donc pas besoin de configurer de règles d'hôte ni de mises en correspondance des chemins d'accès. Si vous disposez de plusieurs services de backend, vous pouvez utiliser des règles d'hôte pour acheminer les requêtes vers différents services en fonction du nom d'hôte. Vous pouvez également configurer un outil de mise en correspondance des chemins d'accès pour diriger les requêtes vers différents services en fonction du chemin d'accès des requêtes.

  5. Pour créer un équilibreur de charge HTTPS, vous devez disposer d'une ressource de certificat SSL à utiliser dans le proxy HTTPS cible. Vous pouvez créer une ressource de certificat SSL à l'aide d'un certificat SSL géré par Google ou d'un certificat SSL autogéré. L'utilisation de certificats gérés par Google est recommandée, car Google Cloud obtient, gère et renouvelle automatiquement ces certificats.

    Pour créer un certificat géré par Google, vous devez disposer d'un domaine. Si vous ne détenez pas de domaine, vous pouvez utiliser un certificat SSL autosigné pour les tests.

    Pour créer une ressource de certificat SSL géré par Google, procédez comme suit :

    gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \
        --domains DOMAIN
    

    Pour créer une ressource de certificat SSL autogéré, procédez comme suit :

    gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \
        --certificate CRT_FILE_PATH \
        --private-key KEY_FILE_PATH
    

  6. Créez un proxy HTTP(S) cible pour acheminer les requêtes vers votre mappage d'URL.

    Pour un équilibreur de charge HTTPS, créez un proxy cible HTTPS. Le serveur proxy est la partie de l'équilibreur de charge qui contient le certificat SSL pour l'équilibrage de charge HTTPS. Vous chargez donc également votre certificat à cette étape :

    gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
        --ssl-certificates=SSL_CERTIFICATE_NAME \
        --url-map=URL_MAP_NAME
    

  7. Créez une règle de transfert globale pour acheminer les requêtes entrantes vers le proxy.

    Pour un équilibreur de charge HTTPS, utilisez ce qui suit :

    gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \
        --address=example-ip \
        --target-https-proxy=TARGET_HTTPS_PROXY_NAME \
        --global \
        --ports=443
    

Mettre à jour les enregistrements DNS de votre domaine pour utiliser l'adresse IP de l'équilibreur de charge

Si vous ne l'avez pas déjà fait, mettez à jour l'enregistrement DNS A ou AAAA de votre domaine pour qu'il pointe vers l'adresse IP de l'équilibreur de charge afin que le trafic envoyé vers les URL de domaines personnalisés existants soit acheminé via l'équilibreur de charge.

Par exemple, si vous disposez d'un domaine personnalisé example.com et que tous vos services sont mappés à ce domaine, vous devez mettre à jour l'enregistrement DNS A ou AAAA pour que example.com pointe vers l'adresse IP de l'équilibreur de charge.

Avant de mettre à jour les enregistrements DNS, vous pouvez tester votre configuration localement en forçant la résolution DNS locale du domaine personnalisé sur l'adresse IP de l'équilibreur de charge. Pour effectuer un test en local, modifiez le fichier /etc/hosts/ sur votre ordinateur local de sorte que example.com pointe vers l'adresse IP de l'équilibreur de charge, ou utilisez l'option curl --resolve afin de forcer curl à utiliser l'adresse IP de l'équilibreur de charge pour la requête.

Lorsque l'enregistrement DNS de example.com renvoie à l'adresse IP de l'équilibreur de charge HTTPS, les requêtes envoyées à example.com commencent à être acheminées via l'équilibreur de charge. L'équilibreur de charge les distribue au service de backend approprié en fonction de son mappage d'URL. En outre, si le service de backend est configuré avec un masque d'URL, le NEG sans serveur utilise celui-ci pour acheminer la requête vers le service Cloud Run, Cloud Functions ou App Engine approprié.

Si vous utilisez des certificats gérés par Google, la migration d'un service existant vers un équilibreur de charge HTTP(S) externe peut occasionner des temps d'arrêt. En général, ceux-ci durent moins d'une heure. Cela est dû au fait que le certificat SSL de votre équilibreur de charge HTTP(S) externe ne sera pas provisionné tant que vous n'aurez pas mis à jour vos enregistrements DNS pour qu'ils pointent vers l'adresse IP de l'équilibreur de charge.

Tester l'équilibreur de charge

Maintenant que vous avez configuré votre équilibreur de charge, vous pouvez commencer à envoyer du trafic vers son adresse IP. Si vous avez configuré un domaine, vous pouvez également envoyer du trafic vers le nom de domaine. Toutefois, la propagation DNS peut prendre un certain temps. Vous pouvez donc commencer à utiliser l'adresse IP à des fins de test.

  1. Accédez à la page Équilibrage de charge dans Google Cloud Console.
    Accéder à la page Équilibrage de charge
  2. Cliquez sur l'équilibreur de charge que vous venez de créer.
  3. Notez l'adresse IP de l'équilibreur de charge.
  4. S'il s'agit d'un équilibreur de charge HTTPS, vous pouvez le tester à l'aide d'un navigateur Web en accédant à https://IP_ADDRESS. Remplacez IP_ADDRESS par l'adresse IP de l'équilibreur de charge. Vous devriez être redirigé vers la page d'accueil du service helloworld.

    Si cela ne fonctionne pas et que vous utilisez un certificat géré par Google, vérifiez que l'état de votre ressource de certificat est ACTIF. Pour en savoir plus, consultez la section Vérifier l'état du certificat SSL géré par Google.

    Si vous avez utilisé un certificat autosigné pour les tests, votre navigateur affiche un avertissement. Vous devez explicitement lui indiquer d'accepter un certificat autosigné. Cliquez sur l'avertissement pour afficher la page.

  5. Pour vérifier les réponses du cache, utilisez curl depuis la ligne de commande de votre machine locale. Remplacez IP_ADDRESS par l'adresse IPv4 de l'équilibreur de charge.

    curl -v -o/dev/null https://IP_ADDRESS
    

    Si vous utilisez un certificat géré par Google, testez le domaine pointant vers l'adresse IP de l'équilibreur de charge. Exemple :

    curl -v -o/dev/null -k -s 'https://DOMAIN:443' --connect-to DOMAIN:443:IP_ADDRESS:443
    

    Si vous utilisez un certificat autosigné, vous devez également spécifier l'option -k. L'option curl -k permet à curl de fonctionner si vous disposez d'un certificat autosigné. Vous ne devez utiliser le paramètre -k que pour tester votre propre site. Dans des circonstances normales, un certificat valide est une mesure de sécurité importante. Souvenez-vous que vous ne devez pas ignorer les avertissements relatifs aux certificats.

    Le résultat doit contenir les en-têtes personnalisés Cache-ID et Cache-Status que vous avez configurés pour indiquer si la réponse a été diffusée à partir du cache :

    HTTP/2 200
    cache-status: hit
    cache-id: SEA-b9fa975e
    

    Le résultat contient les en-têtes de réponse qui indiquent un succès de cache (hit), ce qui signifie que l'élément statique de l'application sans serveur a été diffusé à l'utilisateur depuis un cache périphérique Cloud CDN.

    L'en-tête cache-status présente la valeur disabled pour les réponses qui ne sont pas mises en cache dans Cloud CDN. Pour les réponses mises en cache, la valeur de l'en-tête cache-status correspond à hit, miss ou revalidated.

Désactiver Cloud CDN

Console

Désactiver Cloud CDN pour un seul service de backend

  1. Dans Google Cloud Console, accédez à la page Cloud CDN.

    Accéder à la page "Cloud CDN"

  2. Sur le côté droit de la ligne concernant l'origine, cliquez sur Menu , puis sélectionnez Modifier.
  3. Décochez les cases des services de backend qui ne doivent plus utiliser Cloud CDN.
  4. Cliquez sur Mettre à jour.

Supprimer Cloud CDN pour tous les services de backend d'une origine

  1. Dans Cloud Console, accédez à la page Cloud CDN.

    Accéder à la page "Cloud CDN"

  2. Sur le côté droit de la ligne concernant l'origine, cliquez sur Menu , puis sélectionnez Supprimer.
  3. Cliquez sur Supprimer pour confirmer votre choix.

gcloud

gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --no-enable-cdn

La désactivation de Cloud CDN n'invalide pas et ne purge pas les caches. Si vous désactivez puis réactivez Cloud CDN, tout ou partie du contenu mis en cache peut rester en cache. Pour empêcher les caches d'utiliser un contenu, vous devez invalider ce contenu.

Étape suivante