Configurare il bilanciamento del carico tra le regioni per i server web Microsoft IIS

Questo tutorial descrive come utilizzare un bilanciatore del carico delle applicazioni esterno per distribuire il traffico ai server web Microsoft Internet Information Services (IIS) in esecuzione su VM Compute Engine di cui è stato eseguito il provisioning in diverse regioni.

Obiettivo

Questo tutorial mostra come bilanciare il carico del traffico per il sito www.example.com e assicurarsi che:

  • Le richieste in entrata vengono indirizzate alla regione più vicina.
  • Se un'istanza non funziona o raggiunge la capacità massima, il bilanciatore del carico instrada le richieste ad altre istanze reattive nella stessa regione o in una regione diversa.

La configurazione per questo scenario utilizza un bilanciatore del carico delle applicazioni esterno che accetta le richieste tramite un unico indirizzo IP globale. Questo indirizzo IP può instradare ogni richiesta in entrata in base al tipo di connessione, ovvero HTTP o HTTPS. Per le richieste HTTPS, il bilanciatore del carico implementa la crittografia SSL/TLS tra il client che invia la richiesta e il bilanciatore del carico.

Il seguente diagramma mostra l'architettura del bilanciatore del carico:

Bilanciamento del carico tra regioni.

Tieni presente che il bilanciatore del carico include diversi componenti per la massima configurabilità. Per una descrizione della funzione di ogni componente, consulta la panoramica del bilanciatore del carico delle applicazioni esterno.

Questo tutorial ti mostra come completare le seguenti attività per raggiungere il tuo obiettivo:

  • Configura le istanze di backend.
  • Crea e configura il servizio di bilanciamento del carico.
  • Invia traffico ai backend.
  • Limita l'accesso ai backend.
  • Simula un'interruzione del servizio.

Costi

In questo documento, utilizzi i seguenti componenti fatturabili di Google Cloud:

  • Compute Engine virtual machine (VM) instances
  • Compute Engine persistent disks
  • Optional: Google-managed SSL certificate
  • Windows Server 2016 machine images

Per generare una stima dei costi in base all'utilizzo previsto, utilizza il calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero avere diritto a una prova gratuita.

Al termine delle attività descritte in questo documento, puoi evitare l'addebito di ulteriori costi eliminando le risorse che hai creato. Per ulteriori informazioni, vedi Pulizia.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, BigQuery, and Cloud Firestore APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  7. To initialize the gcloud CLI, run the following command: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine, BigQuery, and Cloud Firestore APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  13. To initialize the gcloud CLI, run the following command: 

    gcloud init
    14. In alternativa, puoi utilizzare Cloud Shell su Google Cloud console per interagire con Google Cloud, nel qual caso non devi installare Google Cloud CLI.
  14. Installa un client RDP (Remote Desktop Protocol). Per saperne di più, vedi Client Microsoft Remote Desktop. Se hai già installato un client RDP, puoi saltare questa attività.
  15. Decidi le zone e le regioni in cui vuoi eseguire il provisioning delle risorse. Il diagramma dell'architettura mostra le risorse di cui è stato eseguito il deployment nelle diverse zone delle regioni USA e UE. Solo a scopo di riferimento. Puoi eseguire il deployment delle tue risorse in qualsiasi regione/zona di tua scelta.
  16. (Facoltativo) Leggi e comprendi la panoramica del bilanciatore del carico delle applicazioni esterno.

Configurare le istanze di backend

In questa sezione, creerai due servizi di backend in regioni diverse. Ogni servizio di backend include due istanze di backend, ognuna delle quali esegue un server web Microsoft IIS su Windows Server 2016. Per evitare la laboriosa configurazione manuale di ogni server, crea un'immagine del disco da un'istanza del server e poi utilizza questa immagine per creare le altre istanze del server.

Crea e configura un'istanza Compute Engine

Per creare l'istanza da utilizzare come immagine di origine:

Da Google Cloud Marketplace, avvia un'istanza di Windows Server 2016 che esegue Microsoft IIS su Compute Engine in una zona a tua scelta e configura le regole firewall per consentire il traffico HTTP, HTTPS e RDP esterno all'istanza dell'immagine di origine:

  1. Nella console Google Cloud , vai alla pagina Cloud Marketplace di ASP.NET Framework.

    Vai a Cloud Marketplace

  2. Fai clic su Launch .

  3. Nel campo Nome deployment, inserisci src-img.

  4. Nel campo Zona, seleziona una zona in cui vuoi eseguire il deployment dell'immagine.

  5. Nel campo Versione del sistema operativo Windows Server, seleziona 2016.

  6. Nella sezione Networking - Firewall, seleziona solo le seguenti opzioni:

    • Consenti traffico HTTP
    • Consenti traffico HTTPS
    • Consenti traffico RDP

  7. Accetta i termini di servizio e fai clic su Deploy.

  8. Attendi la creazione dell'istanza Compute Engine.

Configura l'istanza dell'immagine di origine

Per configurare la nuova istanza dell'immagine di origine, crea un nuovo utente Windows sull'istanza dell'immagine di origine e stabilisci una connessione RDP:

  1. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sul nome dell'istanza dell'immagine di origine (src-img).

  3. Fai clic su Imposta password di Windows.

  4. Nella finestra di dialogo Imposta nuova password di Windows, aggiungi il tuo nome utente e fai clic su Imposta per creare l'account utente sull'istanza.

  5. Copia la password fornita e chiudi la finestra di dialogo.

  6. Fai clic sul menu a discesa RDP e seleziona l'opzione Scarica il file RDP per scaricare il file RDP per la tua istanza. Utilizza questo file per connetterti all'istanza utilizzando un client RDP. Per saperne di più, vedi Client Microsoft Remote Desktop.

Dopo aver stabilito una connessione RDP con l'istanza dell'immagine di origine, aggiungi una home page predefinita nella directory web predefinita di IIS:

  1. Nell'istanza dell'immagine di origine, apri PowerShell come amministratore.

  2. Crea una nuova home page nella directory web IIS predefinita C:\inetpub\wwwroot:

    Echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' > C:\inetpub\wwwroot\index.html

Verifica che l'istanza dell'immagine di origine possa pubblicare contenuti

Nella console Google Cloud , vai alla pagina Istanze VM.

Vai a Istanze VM

Fai clic sull'indirizzo IP esterno dell'istanza per verificare che mostri la home page che hai creato in precedenza.

Crea un'immagine riutilizzabile di Windows Server 2016 dall'istanza dell'immagine di origine

Dopo aver verificato che l'istanza dell'immagine di origine sia configurata correttamente e in grado di pubblicare contenuti, crea un'immagine del disco riutilizzabile dal disco permanente root dell'istanza:

  1. Nell'istanza dell'immagine di origine, apri PowerShell come amministratore.

  2. Esegui questo comando per preparare il sistema alla clonazione:

    GCESysprep

    Al termine dell'operazione GCESysprep, la sessione RDP viene disconnessa automaticamente.

  3. Sulla tua macchina locale, esegui questo comando per eliminare l'istanza di origine mantenendo il relativo disco permanente di avvio:

    gcloud compute instances delete src-img \
   --keep-disks=boot \
   --zone=INSTANCE_ZONE

    Sostituisci INSTANCE_ZONE con la zona dell'istanza di origine.

  4. Dopo aver eliminato l'istanza, crea una nuova immagine dal disco permanente di avvio che hai conservato:

    gcloud compute images create win-be-img \
   --source-disk=src-img \
   --source-disk-zone=IMAGE_ZONE

    Sostituisci IMAGE_ZONE con la zona in cui vuoi creare l'immagine di origine.

Crea un modello di istanza utilizzando l'immagine di origine

Utilizza l'immagine disco del server Windows configurato come immagine di origine per un modello di istanza. In un secondo momento, configurerai due gruppi di istanze gestite per utilizzare questo modello per le nuove istanze.

Sulla tua macchina locale, esegui il seguente comando per creare un modello di istanza che utilizza win-be-img come immagine di origine e rdp-tag e www-tag come tag dell'istanza:

gcloud compute instance-templates create win-be-tmpl \
    --tags=rdp-tag,www-tag \
    --image=win-be-img

Crea un gruppo di istanze gestite per ogni regione

In ogni regione, crea gruppi di istanze gestite. Dopo aver creato ogni gruppo di istanze, il gruppo viene compilato automaticamente con due istanze identiche in base al modello di istanza definito in precedenza. In un secondo momento, configurerai il bilanciatore del carico in modo che tratti questi gruppi di istanze come target di backend.

Per creare i gruppi di istanze gestite:

  1. Sulla tua macchina locale, esegui questo comando per creare un nuovo gruppo di istanze gestite nella zona in cui hai creato l'immagine e popolarlo automaticamente con due istanze identiche:

    gcloud compute instance-groups managed create MANAGED_INSTANCE_GROUP_NAME_1 \
   --base-instance-name=BASE_INSTANCE_NAME_1 \
   --size=2 \
   --zone=ZONE_1 \
   --template=win-be-tmpl

    Sostituisci quanto segue:

    • MANAGED_INSTANCE_GROUP_NAME_1: il nome dell'istanza gestita
    • BASE_INSTANCE_NAME_1: il nome dell'istanza di base
    • ZONE_1: la zona in cui vuoi eseguire il deployment dell'istanza gestita

  2. Crea un gruppo di istanze gestite nella seconda zona:

    gcloud compute instance-groups managed create MANAGED_INSTANCE_GROUP_NAME_2 \
   --base-instance-name=BASE_INSTANCE_NAME_2 \
   --size=2 \
   --zone=ZONE_2 \
   --template=win-be-tmpl

    Sostituisci quanto segue:

    • MANAGED_INSTANCE_GROUP_NAME_2: il nome dell'istanza gestita
    • BASE_INSTANCE_NAME_2: il nome dell'istanza di base
    • ZONE_2: la zona in cui vuoi eseguire il deployment dell'istanza gestita

Verifica che le istanze di backend siano in esecuzione

  1. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic sull'indirizzo IP esterno di ogni backend per verificare che il backend mostri la home page che hai creato in precedenza.

Crea e configura il servizio di bilanciamento del carico

Il servizio di bilanciamento del carico di Compute Engine include diversi componenti. In questa sezione creerai questi componenti e li collegherai tra loro.

  1. Sulla tua macchina locale, esegui questo comando per creare un nuovo controllo di integrità. Il bilanciatore del carico utilizza questo controllo per verificare la reattività delle istanze di backend:

    gcloud compute http-health-checks create basic-check

  2. Crea un servizio di backend:

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
  --protocol=HTTP \
  --http-health-checks=basic-check \
  --global

    Sostituisci BACKEND_SERVICE_NAME con un nome per il servizio di backend.

  3. Aggiungi i tuoi gruppi di istanze come target di backend per il tuo servizio di backend:

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
   --instance-group=MANAGED_INSTANCE_GROUP_NAME_1 \
   --instance-group-zone=ZONE_1

gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
   --instance-group=MANAGED_INSTANCE_GROUP_NAME_2 \
   --instance-group-zone=ZONE_2

  4. Crea una mappa URL predefinita che indirizza tutte le richieste in arrivo a tutte le tue istanze:

    gcloud compute url-maps create lb-map \
   --default-service=BACKEND_SERVICE_NAME

  5. Crea una risorsa del certificato SSL. Il bilanciatore del carico utilizza questa risorsa per criptare e decriptare il traffico.

    Se hai già una chiave privata e un certificato SSL di un'autorità di certificazione, puoi utilizzarli per creare una nuova risorsa SSLCertificate eseguendo il seguente comando. In alternativa, puoi creare e utilizzare un certificato SSL gestito da Google o un certificato autofirmato per i test. Per maggiori informazioni, consulta Certificati SSL.

    Esegui questo comando per creare la risorsa del certificato SSL:

    gcloud compute ssl-certificates create www-cert \
   --certificate CRT_FILE_PATH \
   --private-key KEY_FILE_PATH

    Sostituisci quanto segue:

    • CRT_FILE_PATH: il percorso del file locale del certificato
    • KEY_FILE_PATH: il percorso del file della chiave privata

  6. Crea proxy HTTP e HTTPS di destinazione per instradare le richieste alla mappa URL. Il proxy è la parte del bilanciatore del carico che contiene il certificato SSL per il bilanciamento del carico HTTPS, quindi in questo passaggio carichi anche il certificato:

    gcloud compute target-http-proxies create http-lb-proxy \
   --url-map=lb-map

gcloud compute target-https-proxies create https-lb-proxy \
   --url-map lb-map \
   --ssl-certificate SSL_CERT

    Sostituisci SSL_CERT in base a quanto segue:

    • Se hai creato una risorsa SSLCertificate con il tuo certificato SSL e la chiave privata, sostituisci SSL_CERT con www-cert.
    • Se utilizzi un certificato SSL gestito da Google o autofirmato, sostituisci SSL_CERT con il nome del tuo certificato.

  7. Affinché il bilanciatore del carico riceva il traffico in modo affidabile, devi assegnare un indirizzo IP statico globale alla regola di forwarding globale del bilanciatore del carico.

    Per creare una risorsa indirizzo IP statico globale, esegui questo comando:

    gcloud compute addresses create lb-ip \
   --global \
   --network-tier=PREMIUM

    Prendi nota dell'indirizzo IP.

  8. Crea due regole di forwarding globale per gestire le richieste HTTP e HTTPS in entrata. Ogni regola di forwarding invia il traffico a uno dei proxy di destinazione che hai creato a seconda dell'indirizzo IP, del protocollo IP e della porta specificati.

    • Per un bilanciatore del carico delle applicazioni esterno globale, utilizza il comando gcloud CLI con load-balancing-scheme=EXTERNAL_MANAGED. Questa impostazione offre una funzionalità di gestione avanzata del traffico.
    • Per un bilanciatore del carico delle applicazioni classico, utilizza load-balancing-scheme=EXTERNAL.
    gcloud compute forwarding-rules create http-fwd-rule \
   --load-balancing-scheme=LOAD_BALANCING_SCHEME \
   --network-tier=PREMIUM \
   --address=lb-ip \
   --global \
   --target-http-proxy=http-lb-proxy \
   --ports=80

gcloud compute forwarding-rules create https-fwd-rule \
   --load-balancing-scheme=LOAD_BALANCING_SCHEME \
   --network-tier=PREMIUM \
   --address=lb-ip \
   --global \
   --target-https-proxy=https-lb-proxy \
   --ports=443

Dopo la creazione delle regole di forwarding globali, possono trascorrere alcuni minuti prima che la configurazione venga propagata. Per controllare l'avanzamento della propagazione, puoi monitorare la configurazione in Google Cloud console o eseguire il seguente comando sulla tua macchina locale:

gcloud compute backend-services get-health BACKEND_SERVICE_NAME

Inviare traffico ai backend

Ora che hai configurato il servizio di bilanciamento del carico, puoi iniziare a inviare traffico alla regola di forwarding e osservare la distribuzione del traffico su diverse istanze.

Invia il traffico ai tuoi backend nel seguente modo:

  1. Nella console Google Cloud , vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Seleziona la scheda Frontend.

  3. Per visualizzare la home page predefinita, fai clic sugli indirizzi IP nella colonna Indirizzo.

Limitare l'accesso ai backend

Dopo aver verificato che tutto funzioni come previsto, modifica le regole firewall in modo che il traffico HTTP o HTTPS possa provenire solo dal servizio di bilanciamento del carico:

  1. Nella console Google Cloud , vai alla pagina Firewall.

    Vai a Firewall

  2. Fai clic sul nome della regola firewall che consente l'accesso esterno alla porta tcp:80.

  3. Fai clic su Modifica per modificare la regola firewall.

  4. Nel campo Intervalli IPv4 di origine, rimuovi il valore 0.0.0.0/0 e inserisci 130.211.0.0/22. In questo modo, gli IP di origine consentiti della regola firewall vengono limitati all'intervallo 130.211.0.0/22, che è l'intervallo IP del controllo di integrità del bilanciamento del carico HTTPS.

  5. Fai clic su Salva.

  6. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  7. Fai clic sull'indirizzo IP esterno di ogni istanza per verificare che ora non sia più accessibile.

Simulare un'interruzione del servizio

Per vedere come viene bilanciato un carico tra le istanze reattive, puoi simulare un'interruzione per una o più istanze in una regione.

Per impedire a un'istanza di ricevere richieste aggiuntive:

  1. Stabilisci una connessione RDP all'istanza.
  2. Nell'istanza, apri PowerShell come amministratore.

  3. Esegui questo comando per creare una nuova regola firewall sull'istanza. Questo comando blocca il traffico di controllo di integrità dal controllo di integrità e impedisce tutte le nuove connessioni HTTP dal bilanciatore del carico all'istanza:

    netsh advfirewall firewall add rule name="Outage Test" protocol=tcp dir=in localport=80 action=block remoteip=130.211.0.0/22

  4. Sulla macchina locale, esegui questo comando per verificare che l'istanza ora riporti lo stato UNHEALTHY:

    gcloud compute backend-services get-health BACKEND_SERVICE_NAME

  5. Dopo che l'istanza inizia a segnalare uno stato UNHEALTHY, invia una richiesta al bilanciatore del carico. Solo le istanze reattive devono rispondere.

  6. Una volta terminata la simulazione di un'interruzione, puoi ripristinare la connettività dell'istanza eliminando la regola firewall. Dopo aver aperto PowerShell come amministratore nell'istanza che non risponde, esegui il seguente comando per eliminare la regola:

    netsh advfirewall firewall delete rule name="Outage Test"

Esegui la pulizia

Al termine del tutorial, puoi liberare spazio eliminando le risorse che hai creato in modo che non utilizzino più la quota e non generino addebiti. Le seguenti sezioni descrivono come eliminare o disattivare queste risorse.

Elimina il progetto

Il modo più semplice per eliminare la fatturazione è quello di eliminare il progetto creato per il tutorial.

    Delete a Google Cloud project:

    gcloud projects delete PROJECT_ID

Elimina singole risorse

Dovrai eliminare singolarmente tutte le risorse create per il progetto (immagini, modelli di istanza, gruppi di istanze, controlli di integrità, servizi di backend, mappa URL, proxy HTTP, indirizzi, regole di forwarding). Non puoi eliminare le istanze VM finché non esegui i seguenti comandi.

Esegui questi comandi sulla tua macchina locale per eliminare le risorse create per il tutorial:

  1. Elimina le regole di forwarding HTTP/S: 
    gcloud compute forwarding-rules delete https-fwd-rule --global

    gcloud compute forwarding-rules delete http-fwd-rule --global
  2. Elimina l'indirizzo IP statico globale: 
    gcloud compute addresses delete lb-ip --global
  3. Elimina i proxy HTTP/S: 
    gcloud compute target-https-proxies delete https-lb-proxy

    gcloud compute target-http-proxies delete http-lb-proxy
  4. Elimina il certificato SSL: 
    gcloud compute ssl-certificates delete SSL_CERT
  5. Elimina la mappa URL: 
    gcloud compute url-maps delete lb-map
  6. Elimina il servizio di backend: 
    gcloud compute backend-services delete BACKEND_SERVICE_NAME --global
  7. Elimina il controllo di integrità HTTP: 
    gcloud compute http-health-checks delete basic-check
  8. Elimina i gruppi di istanze gestite: 
    gcloud compute instance-groups managed delete MANAGED_INSTANCE_GROUP_NAME_1 --zone=ZONE_1

    gcloud compute instance-groups managed delete MANAGED_INSTANCE_GROUP_NAME_2 --zone=ZONE_2
  9. Elimina il modello di istanza: 
    gcloud compute instance-templates delete win-be-tmpl
  10. Elimina l'immagine: 
    gcloud compute images delete IMAGE_NAME
  11. Elimina il disco: 
    gcloud compute disks delete DISK_NAME

Passaggi successivi