Questo tutorial descrive come utilizzare un bilanciatore del carico delle applicazioni esterno per distribuire il traffico ai server web Microsoft Internet Information Services (IIS) in esecuzione su VM di Compute Engine di cui è stato eseguito il provisioning in regioni diverse.
Scopo
Questo tutorial mostra come bilanciare il carico del traffico per il sito www.example.com
e garantire che:
- Le richieste in entrata vengono instradate alla regione più vicina.
- Se un'istanza non funziona o raggiunge la sua capacità, il bilanciatore del carico instrada le richieste ad altre istanze adattabili nella stessa regione o in un'altra regione.
La configurazione di questo scenario utilizza un bilanciatore del carico delle applicazioni esterno che accetta le richieste tramite un singolo indirizzo IP globale. Questo indirizzo IP può instradare ogni richiesta in entrata in base al tipo di connessione, ovvero HTTP o HTTPS. Per le richieste HTTPS, il bilanciatore del carico implementa la crittografia SSL/TLS tra il client che invia la richiesta e il bilanciatore del carico.
Il seguente diagramma mostra l'architettura del bilanciatore del carico:
Tieni presente che il bilanciatore del carico include diversi componenti per la massima configurabilità. Per una descrizione delle funzionalità di ciascun componente, consulta la Panoramica dell'Application Load Balancer esterno.
Questo tutorial ti mostra come completare le seguenti attività per raggiungere il tuo obiettivo:
- Configura le istanze di backend.
- Crea e configura il servizio di bilanciamento del carico.
- Invia il traffico ai backend.
- Limita l'accesso ai backend.
- Simulare un'interruzione.
Costi
In questo documento vengono utilizzati i seguenti componenti fatturabili di Google Cloud:
- Istanze di macchine virtuali (VM) Compute Engine
- Dischi permanenti Compute Engine
- Facoltativo: certificato SSL gestito da Google
- Immagini macchina Windows Server 2016
Per generare una stima dei costi in base all'utilizzo previsto,
utilizza il Calcolatore prezzi.
Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Abilita le API Compute Engine, BigQuery, and Cloud Firestore.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
-
Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Abilita le API Compute Engine, BigQuery, and Cloud Firestore.
- Installa Google Cloud CLI.
-
Per initialize gcloud CLI, esegui questo comando:
gcloud init
- Installa un client RDP (Remote Desktop Protocol). Per maggiori informazioni, consulta Client Microsoft Remote Desktop. Se hai già installato un client RDP, puoi saltare questa attività.
- Decidi le zone e le regioni in cui vuoi eseguire il provisioning delle risorse. Il diagramma dell'architettura mostra le risorse di cui è stato eseguito il deployment in diverse zone nelle regioni degli Stati Uniti e dell'UE. Questa informazione è solo per riferimento. Puoi eseguire il deployment delle tue risorse in qualsiasi regione/zona di tua scelta.
- (Facoltativo) Leggi e comprendi la panoramica sull'Application Load Balancer esterno.
Configura le istanze di backend
In questa sezione creerai due servizi di backend in regioni diverse. Ogni servizio di backend include due istanze di backend, ognuna delle quali esegue un server web Microsoft IIS su Windows Server 2016. Per evitare la complessa configurazione manuale di ogni server, crea un'immagine disco da un'istanza del server, quindi utilizza questa immagine per creare le altre istanze del server.
Crea e configura un'istanza Compute Engine
Per creare l'istanza da utilizzare come immagine di origine:
Da Google Cloud Marketplace, avvia un'istanza di Windows Server 2016 che esegue Microsoft IIS su Compute Engine in una zona a tua scelta e configura le regole firewall per consentire il traffico HTTP, HTTPS e RDP esterno all'istanza dell'immagine di origine:
Nella console Google Cloud, vai alla pagina di Cloud Marketplace ASP.NET Framework.
Fai clic su Launch .
Nel campo Nome deployment, inserisci src-img.
Nel campo Zona, seleziona una zona in cui vuoi eseguire il deployment dell'immagine.
Nel campo Versione del sistema operativo Windows Server, seleziona 2016.
Nella sezione Networking - Firewall, seleziona solo le opzioni seguenti:
- Consenti traffico HTTP
- Consentire il traffico HTTPS
- Consenti traffico RDP
Accetta i Termini di servizio e fai clic su Esegui il deployment.
Attendi il completamento della creazione dell'istanza Compute Engine.
Configura l'istanza dell'immagine di origine
Per configurare la nuova istanza dell'immagine di origine, crea un nuovo utente Windows nell'istanza dell'immagine di origine e stabilisci una connessione RDP:
Nella console Google Cloud, vai alla pagina Istanze VM.
Fai clic sul nome dell'istanza dell'immagine di origine (
src-img
).Fai clic su Imposta password di Windows.
Nella finestra di dialogo Imposta nuova password di Windows, aggiungi il tuo nome utente e fai clic su Imposta per creare l'account utente nell'istanza.
Copia la password fornita e chiudi la finestra di dialogo.
Fai clic sul menu a discesa RDP e seleziona l'opzione Scarica il file RDP per scaricare il file RDP per la tua istanza. Utilizza questo file per connetterti all'istanza mediante un client RDP. Per ulteriori informazioni, vedi Client Microsoft Remote Desktop.
Dopo aver stabilito una connessione RDP con l'istanza dell'immagine di origine, aggiungi una home page predefinita nella directory web predefinita di IIS:
Nell'istanza dell'immagine di origine, apri PowerShell come amministratore.
Crea una nuova home page nella directory web IIS predefinita
C:\inetpub\wwwroot
:Echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' > C:\inetpub\wwwroot\index.html
Verifica che l'istanza dell'immagine di origine sia in grado di gestire contenuti
Nella console Google Cloud, vai alla pagina Istanze VM.
Fai clic sull'indirizzo IP esterno dell'istanza per verificare che pubblichi la home page creata in precedenza.
Crea un'immagine Windows Server 2016 riutilizzabile dall'istanza dell'immagine di origine
Dopo aver verificato che l'istanza dell'immagine di origine sia configurata correttamente e sia in grado di gestire i contenuti, crea un'immagine disco riutilizzabile dal disco permanente radice dell'istanza:
- Nell'istanza dell'immagine di origine, apri PowerShell come amministratore.
Esegui questo comando per preparare il sistema per la clonazione:
GCESysprep
Al completamento dell'operazione
GCESysprep
, la sessione RDP viene disconnessa automaticamente.Sulla macchina locale, esegui questo comando per eliminare l'istanza di origine mantenendo il disco permanente radice:
gcloud compute instances delete src-img \ --keep-disks=boot \ --zone=INSTANCE_ZONE
Sostituisci
INSTANCE_ZONE
con la zona dell'istanza di origine.Dopo aver eliminato l'istanza, crea una nuova immagine dal disco permanente radice che hai conservato:
gcloud compute images create win-be-img \ --source-disk=src-img \ --source-disk-zone=IMAGE_ZONE
Sostituisci
IMAGE_ZONE
con la zona in cui vuoi creare l'immagine di origine.
Crea un modello di istanza utilizzando l'immagine di origine
Utilizza l'immagine disco del server Windows configurato come immagine di origine per un modello di istanza. In seguito, configurerai due gruppi di istanze gestite in modo che utilizzino questo modello per le nuove istanze.
Sulla macchina locale, esegui questo comando per creare un modello di istanza che utilizza win-be-img
come immagine di origine e rdp-tag
e www-tag
come tag di istanza:
gcloud compute instance-templates create win-be-tmpl \ --tags=rdp-tag,www-tag \ --image=win-be-img
Crea un gruppo di istanze gestite per ogni regione
In ogni regione, crea gruppi di istanze gestite. Dopo aver creato ciascun gruppo di istanze, questo viene completato automaticamente con due istanze identiche in base al modello di istanza definito in precedenza. In seguito, configurerai il bilanciatore del carico per trattare questi gruppi di istanze come destinazioni del backend.
Per creare i gruppi di istanze gestite:
Sulla tua macchina locale, esegui questo comando per creare un nuovo gruppo di istanze gestite nella zona in cui hai creato l'immagine e compilarlo automaticamente con due istanze identiche:
gcloud compute instance-groups managed create MANAGED_INSTANCE_GROUP_NAME_1 \ --base-instance-name=BASE_INSTANCE_NAME_1 \ --size=2 \ --zone=ZONE_1 \ --template=win-be-tmpl
Sostituisci quanto segue:
MANAGED_INSTANCE_GROUP_NAME_1
: nome dell'istanza gestitaBASE_INSTANCE_NAME_1
: nome dell'istanza di baseZONE_1
: la zona in cui vuoi eseguire il deployment dell'istanza gestita
Crea un gruppo di istanze gestite nella seconda zona:
gcloud compute instance-groups managed create MANAGED_INSTANCE_GROUP_NAME_2 \ --base-instance-name=BASE_INSTANCE_NAME_2 \ --size=2 \ --zone=ZONE_2 \ --template=win-be-tmpl
Sostituisci quanto segue:
MANAGED_INSTANCE_GROUP_NAME_2
: nome dell'istanza gestitaBASE_INSTANCE_NAME_2
: nome dell'istanza di baseZONE_2
: la zona in cui vuoi eseguire il deployment dell'istanza gestita
Verifica che le istanze di backend siano in esecuzione
Nella console Google Cloud, vai alla pagina Istanze VM.
Fai clic sull'indirizzo IP esterno di ogni backend per verificare che quest'ultimo pubblichi la home page che hai creato in precedenza.
Crea e configura il servizio di bilanciamento del carico
Il servizio di bilanciamento del carico di Compute Engine include diversi componenti. In questa sezione, creerai questi componenti e li collegherai.
Sulla macchina locale, esegui questo comando per creare un nuovo controllo di integrità. Il bilanciatore del carico utilizza questo controllo per verificare la reattività delle istanze di backend:
gcloud compute http-health-checks create basic-check
Crea un servizio di backend:
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --protocol=HTTP \ --http-health-checks=basic-check \ --global
Sostituisci
BACKEND_SERVICE_NAME
con un nome per il servizio di backend.Aggiungi i gruppi di istanze come destinazioni di backend per il tuo servizio di backend:
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --instance-group=MANAGED_INSTANCE_GROUP_NAME_1 \ --instance-group-zone=ZONE_1 gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --instance-group=MANAGED_INSTANCE_GROUP_NAME_2 \ --instance-group-zone=ZONE_2
Crea una mappa URL predefinita che indirizzi tutte le richieste in entrata a tutte le tue istanze:
gcloud compute url-maps create lb-map \ --default-service=BACKEND_SERVICE_NAME
Crea una risorsa del certificato SSL. Il bilanciatore del carico utilizza questa risorsa per criptare e decriptare il traffico.
Se disponi già di una chiave privata e un certificato SSL di un'autorità di certificazione, puoi utilizzarli per creare una nuova risorsa
SSLCertificate
eseguendo il comando seguente. In caso contrario, puoi creare e utilizzare un certificato SSL gestito da Google o un certificato autofirmato per i test. Per ulteriori informazioni, consulta la sezione Certificati SSL.Esegui questo comando per creare la risorsa del certificato SSL:
gcloud compute ssl-certificates create www-cert \ --certificate CRT_FILE_PATH \ --private-key KEY_FILE_PATH
Sostituisci quanto segue:
CRT_FILE_PATH
: il percorso file locale del certificatoKEY_FILE_PATH
: percorso file della tua chiave privata
Crea proxy HTTP e HTTPS di destinazione per instradare le richieste alla mappa URL. Il proxy è la parte del bilanciatore del carico che contiene il certificato SSL per il bilanciamento del carico HTTPS, quindi devi caricare anche il certificato in questo passaggio:
gcloud compute target-http-proxies create http-lb-proxy \ --url-map=lb-map gcloud compute target-https-proxies create https-lb-proxy \ --url-map lb-map \ --ssl-certificate SSL_CERT
Sostituisci SSL_CERT in base a quanto segue:
- Se hai creato una risorsa SSLCertificate con il certificato SSL e la chiave privata, sostituisci
SSL_CERT
con www-cert. - Se utilizzi un certificato SSL gestito da Google o autofirmato, sostituisci
SSL_CERT
con il nome del certificato.
- Se hai creato una risorsa SSLCertificate con il certificato SSL e la chiave privata, sostituisci
Affinché il bilanciatore del carico riceva il traffico in modo affidabile, devi assegnare un indirizzo IP statico globale alla regola di forwarding globale del bilanciatore del carico.
Per creare una risorsa di indirizzo IP statico globale, esegui questo comando:
gcloud compute addresses create lb-ip \ --global \ --network-tier=PREMIUM
Prendi nota dell'indirizzo IP.
Crea due regole di forwarding globali per gestire le richieste HTTP e HTTPS in entrata. Ogni regola di forwarding invia il traffico a uno dei proxy di destinazione che hai creato a seconda dell'indirizzo IP, del protocollo IP e della porta specificati.
-
Per un bilanciatore del carico delle applicazioni esterno globale, utilizza il comando gcloud CLI con
load-balancing-scheme=EXTERNAL_MANAGED
. Questa impostazione offre funzionalità avanzate di gestione del traffico. - Per un bilanciatore del carico delle applicazioni classico, utilizza
load-balancing-scheme=EXTERNAL
.
gcloud compute forwarding-rules create http-fwd-rule \ --load-balancing-scheme=LOAD_BALANCING_SCHEME \ --network-tier=PREMIUM \ --address=lb-ip \ --global \ --target-http-proxy=http-lb-proxy \ --ports=80 gcloud compute forwarding-rules create https-fwd-rule \ --load-balancing-scheme=LOAD_BALANCING_SCHEME \ --network-tier=PREMIUM \ --address=lb-ip \ --global \ --target-https-proxy=https-lb-proxy \ --ports=443
-
Per un bilanciatore del carico delle applicazioni esterno globale, utilizza il comando gcloud CLI con
Dopo aver creato le regole di forwarding globali, la propagazione della configurazione può richiedere diversi minuti. Per verificare l'avanzamento della propagazione, puoi monitorare la configurazione nella console Google Cloud o eseguire il seguente comando sulla tua macchina locale:
gcloud compute backend-services get-health BACKEND_SERVICE_NAME
Invia il traffico ai tuoi backend
Ora che hai configurato il servizio di bilanciamento del carico, puoi iniziare a inviare il traffico alla regola di forwarding e osservare che il traffico viene disperso in istanze diverse.
Invia il traffico ai tuoi backend nel seguente modo:
Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
Seleziona la scheda Front-end.
Per visualizzare la home page predefinita, fai clic sugli indirizzi IP nella colonna Indirizzo.
Limitare l'accesso ai backend
Dopo aver verificato che tutto funziona come previsto, modifica le regole firewall in modo che il traffico HTTP o HTTPS possa provenire solo dal tuo servizio di bilanciamento del carico:
Nella console Google Cloud, vai alla pagina Firewall.
Fai clic sulla regola firewall che consente l'accesso esterno alla porta 80.
Fai clic su Modifica per modificare la regola firewall.
Nel campo Intervalli IPv4 di origine, inserisci 130.211.0.0/22. In questo modo gli IP di origine consentiti della regola firewall vengono limitati all'intervallo
130.211.0.0/22
, ovvero l'intervallo IP del controllo di integrità del bilanciamento del carico HTTPS.Fai clic su Salva.
Nella console Google Cloud, vai alla pagina Istanze VM.
Fai clic sull'indirizzo IP esterno di ogni istanza per verificare che l'istanza sia ora inaccessibile.
Simulare un'interruzione
Per vedere come viene bilanciato un carico tra le istanze adattabili, puoi simulare un'interruzione per una o più istanze in un'area geografica.
Per impedire a un'istanza di ricevere richieste aggiuntive:
- Stabilisci una connessione RDP all'istanza.
- Nell'istanza, apri PowerShell come amministratore.
Esegui questo comando per creare una nuova regola firewall nell'istanza. Questo comando blocca il traffico del controllo di integrità proveniente dal controllo di integrità e impedisce tutte le nuove connessioni HTTP dal bilanciatore del carico all'istanza:
netsh advfirewall firewall add rule name="Outage Test" protocol=tcp dir=in localport=80 action=block remoteip=130.211.0.0/22
Sulla macchina locale, esegui questo comando per verificare che l'istanza riporti ora lo stato
UNHEALTHY
:gcloud compute backend-services get-health BACKEND_SERVICE_NAME
Quando l'istanza inizia a segnalare uno stato
UNHEALTHY
, invia una richiesta al bilanciatore del carico. Devono rispondere solo le istanze adattabili.Dopo aver terminato la simulazione di un'interruzione, puoi ripristinare la connettività dell'istanza eliminando la regola firewall. Dopo aver aperto PowerShell come amministratore dell'istanza che non risponde, esegui questo comando per eliminare la regola:
netsh advfirewall firewall delete rule name="Outage Test"
Esegui la pulizia
Al termine del tutorial, puoi eseguire la pulizia delle risorse che hai creato in modo che smettano di utilizzare la quota e non incorrano in addebiti. Le sezioni seguenti descrivono come eliminare o disattivare queste risorse.
Elimina il progetto
Il modo più semplice per eliminare la fatturazione è eliminare il progetto che hai creato per il tutorial.
Elimina un progetto Google Cloud:
gcloud projects delete PROJECT_ID
Elimina singole risorse
Dovrai eliminare singolarmente tutte le risorse create per il progetto (immagini, modelli di istanza, gruppi di istanze, controlli di integrità, servizi di backend, mappa URL, proxy HTTP, indirizzi, regole di forwarding). Non puoi eliminare le istanze VM finché non esegui i comandi seguenti.
Esegui questi comandi sulla macchina locale per eliminare le risorse create per il tutorial:
- Elimina le regole di forwarding HTTP/S:
gcloud compute forwarding-rules delete https-fwd-rule --global
gcloud compute forwarding-rules delete http-fwd-rule --global
- Elimina l'indirizzo IP statico globale:
gcloud compute addresses delete lb-ip --global
- Elimina i proxy HTTP/S:
gcloud compute target-https-proxies delete https-lb-proxy
gcloud compute target-http-proxies delete http-lb-proxy
- Elimina il certificato SSL:
gcloud compute ssl-certificates delete SSL_CERT
- Elimina la mappa URL:
gcloud compute url-maps delete lb-map
- Elimina il servizio di backend:
gcloud compute backend-services delete BACKEND_SERVICE_NAME --global
- Elimina il controllo di integrità HTTP:
gcloud compute http-health-checks delete basic-check
- Elimina i gruppi di istanze gestite:
gcloud compute instance-groups managed delete MANAGED_INSTANCE_GROUP_NAME_1 --zone=ZONE_1
gcloud compute instance-groups managed delete MANAGED_INSTANCE_GROUP_NAME_2 --zone=ZONE_2
- Elimina il modello di istanza:
gcloud compute instance-templates delete win-be-tmpl
-
Elimina l'immagine:
gcloud compute images delete IMAGE_NAME
-
Elimina il disco:
gcloud compute disks delete DISK_NAME
Passaggi successivi
- Segui il tutorial sul deployment dei server web IIS con bilanciamento del carico.
- Esamina le best practice nel framework dell'architettura Google Cloud.
- Esplora le architetture di riferimento, i diagrammi e le best practice su Google Cloud. Dai un'occhiata al nostro Cloud Architecture Center.