Diese Seite wurde von der Cloud Translation API übersetzt.

Externen HTTP(S)-Load-Balancer einrichten

Externe HTTP(S)-Load-Balancer mit Identity-Aware Proxy (IAP) werden mit den folgenden Back-End-Typen unterstützt:

Instanzgruppen
Zonale Netzwerk-Endpunktgruppen (NEGs)
Serverlose Dataflows: Ein oder mehrere Cloud Run-Dienste
Internet-NEGs für Endpunkte außerhalb von Google Cloud (auch als benutzerdefinierte Ursprünge bezeichnet)

In diesem Einrichtungsleitfaden erfahren Sie, wie Sie einen externen HTTP(S)-Load-Balancer mit einem Compute Engine-verwalteten Instanzgruppen-Back-End erstellen, wenn IAP aktiviert ist.

Wenn dieses Beispiel nicht zu Ihrem Anwendungsfall passt, lesen Sie eine der folgenden Seiten:

Informationen zu Cloud Run finden Sie unter Load-Balancer mit Cloud Run einrichten.
Ein Beispiel für mehrere Regionen, das die Einrichtung von IPv6- und SSL-Zertifikaten umfasst, finden Sie unter Externen HTTPS-Load-Balancer einrichten.
Informationen zu einem regionalen externen HTTP(S)-Load-Balancer finden Sie unter Regionalen externen HTTP(S)-Load-Balancer einrichten.
Wenn Sie GKE verwenden, wird der Load-Balancer in der Regel vom Kubernetes-Ingress-Controller konfiguriert. Weitere Informationen finden Sie unter Ingress für externes Load-Balancing konfigurieren.

Allgemeine Konzepte finden Sie in der Übersicht über den externen HTTP(S)-Load-Balancer.

Wenn Sie bereits Nutzer des globalen externen HTTP(S)-Load-Balancers (klassisch) sind, lesen Sie den Abschnitt Migration zum globalen externen HTTP(S)-Load-Balancer planen, wenn Sie eine neue Bereitstellung mit dem globalen externen HTTP(S)-Load-Balancer vorhaben.

Load-Balancer-Topologien

Für einen HTTPS-Load-Balancer erstellen Sie die im folgenden Diagramm dargestellte Konfiguration.

HTTPS-Load-Balancer mit einem MIG-Back-End (Managed Instance Group). — **Abbildung 1.** HTTPS-Load-Balancer mit einem MIG-Back-End (Managed Instance Group) (zum Vergrößern klicken)

Für einen HTTP-Load-Balancer erstellen Sie die im folgenden Diagramm dargestellte Konfiguration.

HTTP-Load-Balancer mit einem MIG-Back-End (Managed Instance Group). — **Abbildung 2.** HTTP-Load-Balancer mit einem MIG-Back-End (Managed Instance Group) (zum Vergrößern klicken)

Die Ereignisabfolge in den Diagrammen sieht folgendermaßen aus:

Ein Client sendet eine Inhaltsanfrage an die externe IPv4-Adresse, die in der Weiterleitungsregel definiert ist.
Bei einem HTTPS-Load-Balancer leitet die Weiterleitungsregel die Anfrage an den Ziel-HTTPS-Proxy weiter.

Bei einem HTTP-Load-Balancer leitet die Weiterleitungsregel die Anfrage an den Ziel-HTTP-Proxy weiter.
Der Zielproxy verwendet die Regel in der URL-Zuordnung, um zu prüfen, ob der einzelne Back-End-Dienst alle Anfragen empfängt.
Der Load-Balancer prüft, ob der Back-End-Dienst nur eine Instanzgruppe hat, und leitet die Anfrage an eine VM-Instanz in dieser Gruppe weiter.
Die VM sendet die vom Nutzer angeforderten Inhalte.

Hinweis

Führen Sie die folgenden Schritte aus, bevor Sie den Load-Balancer erstellen.

SSL-Zertifikatsressource einrichten

Erstellen Sie für einen HTTPS-Load-Balancer eine SSL-Zertifikatsressource, wie im Folgenden beschrieben:

Wir empfehlen die Verwendung eines von Google verwalteten Zertifikats.

In diesem Beispiel wird angenommen, dass Sie bereits eine SSL-Zertifikatsressource mit dem Namen www-ssl-cert haben.

Berechtigungen einrichten

Sie benötigen die Berechtigung zum Erstellen von Compute Engine-Instanzen, Firewallregeln und reservierten IP-Adressen in einem Projekt, um die Schritte in dieser Anleitung ausführen zu können. Dafür benötigen Sie entweder die Rolle „Inhaber“ oder „Bearbeiter“ für das Projekt oder die folgenden IAM-Rollen für Compute Engine.

Task	Erforderliche Rolle
Instanzen erstellen	Instanzadministrator
Firewallregeln setzen und löschen	Sicherheitsadministrator
Load-Balancer-Komponenten erstellen	Netzwerkadministrator
Projekt erstellen (optional)	Projektersteller

Weitere Informationen finden Sie in folgenden Leitfäden:

Verwaltete Instanzgruppe erstellen

Wenn Sie einen Load-Balancer mit einem Compute Engine-Back-End einrichten möchten, müssen sich Ihre VMs in einer Instanzgruppe befinden. In dieser Anleitung wird beschrieben, wie Sie eine verwaltete Instanzgruppe mit Linux-VMs erstellen, auf denen Apache ausgeführt wird, und wie Sie dann das Load-Balancing einrichten. Eine verwaltete Instanzgruppe erstellt jede ihrer verwalteten Instanzen anhand der von Ihnen angegebenen Instanzvorlagen.

Die verwaltete Instanzgruppe stellt VMs bereit, auf denen die Back-End-Server eines externen HTTP(S)-Load-Balancers ausgeführt werden. Zu Demonstrationszwecken stellen Back-Ends ihre eigenen Hostnamen bereit.

Bevor Sie eine verwaltete Instanzgruppe erstellen, müssen Sie eine Instanzvorlage erstellen.

Console

Rufen Sie in der Google Cloud Console die Seite Instanzvorlagen auf.

Zu Instanzvorlagen
Klicken Sie auf Instanzvorlage erstellen.
Geben Sie für Name lb-backend-template ein.
Das Bootlaufwerk sollte auf ein Debian-Image wie Debian GNU/Linux 10 (Buster) eingestellt sein. Diese Anleitungen verwenden Befehle, die nur für Debian verfügbar sind, z. B. apt-get.
Konfigurieren Sie nicht die Option Firewall.

Da der externe HTTP(S)-Load-Balancer ein Proxy ist, müssen Sie unter Firewall weder HTTPS-Traffic zulassen noch HTTP-Traffic zulassen auswählen. Unter Firewallregel konfigurieren erstellen Sie die einzige erforderliche Firewallregel für diesen Load-Balancer.
Klicken Sie auf Erweiterte Optionen.
Klicken Sie auf Netzwerk und konfigurieren Sie das folgende Feld:
1. Geben Sie bei Netzwerk-Tags den Wert allow-health-check ein.

Klicken Sie auf Verwaltung. Fügen Sie im Feld Startskript das nachfolgende Skript ein.

#! /bin/bash
apt-get update
apt-get install apache2 -y
a2ensite default-ssl
a2enmod ssl
vm_hostname="$(curl -H "Metadata-Flavor:Google" \
http://metadata.google.internal/computeMetadata/v1/instance/name)"
echo "Page served from: $vm_hostname" | \
tee /var/www/html/index.html
systemctl restart apache2

Klicken Sie auf Erstellen.

gcloud

Erstellen Sie die Vorlage.

gcloud compute instance-templates create TEMPLATE_NAME \
   --region=us-east1 \
   --network=default \
   --subnet=default \
   --tags=allow-health-check \
   --image-family=debian-10 \
   --image-project=debian-cloud \
   --metadata=startup-script='#! /bin/bash
     apt-get update
     apt-get install apache2 -y
     a2ensite default-ssl
     a2enmod ssl
     vm_hostname="$(curl -H "Metadata-Flavor:Google" \
   http://metadata.google.internal/computeMetadata/v1/instance/name)"
   echo "Page served from: $vm_hostname" | \
   tee /var/www/html/index.html
   systemctl restart apache2'

Terraform

Verwenden Sie zum Erstellen der Instanzvorlage die Ressource google_compute_instance_template.

lb/external_http_lb_mig_backend/main.tf

Auf GitHub ansehen Feedback

resource "google_compute_instance_template" "default" {
  name = "lb-backend-template"
  disk {
    auto_delete  = true
    boot         = true
    device_name  = "persistent-disk-0"
    mode         = "READ_WRITE"
    source_image = "projects/debian-cloud/global/images/family/debian-11"
    type         = "PERSISTENT"
  }
  labels = {
    managed-by-cnrm = "true"
  }
  machine_type = "n1-standard-1"
  metadata = {
    startup-script = "#! /bin/bash\n     sudo apt-get update\n     sudo apt-get install apache2 -y\n     sudo a2ensite default-ssl\n     sudo a2enmod ssl\n     vm_hostname=\"$(curl -H \"Metadata-Flavor:Google\" \\\n   http://169.254.169.254/computeMetadata/v1/instance/name)\"\n   sudo echo \"Page served from: $vm_hostname\" | \\\n   tee /var/www/html/index.html\n   sudo systemctl restart apache2"
  }
  network_interface {
    access_config {
      network_tier = "PREMIUM"
    }
    network    = "global/networks/default"
    subnetwork = "regions/us-east1/subnetworks/default"
  }
  region = "us-east1"
  scheduling {
    automatic_restart   = true
    on_host_maintenance = "MIGRATE"
    provisioning_model  = "STANDARD"
  }
  service_account {
    email  = "default"
    scopes = ["https://www.googleapis.com/auth/devstorage.read_only", "https://www.googleapis.com/auth/logging.write", "https://www.googleapis.com/auth/monitoring.write", "https://www.googleapis.com/auth/pubsub", "https://www.googleapis.com/auth/service.management.readonly", "https://www.googleapis.com/auth/servicecontrol", "https://www.googleapis.com/auth/trace.append"]
  }
  tags = ["allow-health-check"]
}

Erstellen Sie die verwaltete Instanzgruppe und wählen Sie die Instanzvorlage aus.

Console

Rufen Sie in der Google Cloud Console die Seite Instanzgruppen auf.
Zur Seite Instanzgruppen
Klicken Sie auf Instanzgruppe erstellen.
Wählen Sie links Neue verwaltete Instanzgruppe (zustandslos) aus.
Geben Sie für Name lb-backend-example ein.
Wählen Sie unter Ort die Option Einzelne Zone aus.
Wählen Sie unter Region die gewünschte Region aus. In diesem Beispiel wird us-east1 verwendet.
Wählen Sie als Zone us-east1-b aus.
Wählen Sie unter Instanzvorlage die Instanzvorlage lb-backend-template aus.
Wählen Sie für den Autoscaling-Modus die Option Ein: der Gruppe Instanzen hinzufügen und aus ihr entfernen aus.

Setzen Sie die Mindestanzahl an Instanzen auf 2 und die maximale Anzahl von Instanzen auf 2 oder mehr.
Klicken Sie auf Erstellen, um die neue Instanzgruppe zu erstellen.

gcloud

Erstellen Sie anhand der Vorlage die verwaltete Instanzgruppe.

gcloud compute instance-groups managed create lb-backend-example \
--template=TEMPLATE_NAME --size=2 --zone=us-east1-b

Terraform

Verwenden Sie zum Erstellen der verwalteten Instanzgruppe die Ressource google_compute_instance_group_manager.

lb/external_http_lb_mig_backend/main.tf

Auf GitHub ansehen Feedback

resource "google_compute_instance_group_manager" "default" {
  name = "lb-backend-example"
  zone = "us-east1-b"
  named_port {
    name = "http"
    port = 80
  }
  version {
    instance_template = google_compute_instance_template.default.id
    name              = "primary"
  }
  base_instance_name = "vm"
  target_size        = 2
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Benannten Port zur Instanzgruppe hinzufügen

Legen Sie für Ihre Instanzgruppe einen HTTP-Dienst fest und ordnen Sie dem entsprechenden Port einen Portnamen zu. Der Load-Balancing-Dienst leitet den Traffic an den benannten Port weiter. Weitere Informationen finden Sie unter Benannte Ports.

Console

Rufen Sie in der Google Cloud Console die Seite Instanzgruppen auf.
Zur Seite Instanzgruppen
Klicken Sie auf den Namen Ihrer Instanzgruppe (in diesem Beispiel lb-backend-example).
Klicken Sie auf der Seite Übersicht der Instanzgruppe auf Bearbeiten.
Klicken Sie unter Portzuordnung auf Port hinzufügen.
1. Geben Sie als Portname http ein. Geben Sie als Portnummer 80 ein.
Klicken Sie auf Speichern.

gcloud

Führen Sie den Befehl gcloud compute instance-groups set-named-ports aus.

gcloud compute instance-groups set-named-ports lb-backend-example \
    --named-ports http:80 \
    --zone us-east1-b

Terraform

Das Attribut named_port ist im Beispiel für verwaltete Instanzgruppen enthalten.

Firewallregel konfigurieren

In diesem Beispiel erstellen Sie die Firewallregel fw-allow-health-check. Dies ist eine Ingress-Regel, die Traffic von den Systemdiagnosen von Google Cloud (130.211.0.0/22 und 35.191.0.0/16) zulässt. In diesem Beispiel wird das Ziel-Tag allow-health-check zur Identifizierung der VMs verwendet.

Console

Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Zur Seite "Firewall"
Klicken Sie auf Firewallregel erstellen, um die Firewallregel zu erstellen.
Geben Sie für Name fw-allow-health-check ein.
Wählen Sie unter Netzwerk die Option Standard aus.
Wählen Sie unter Ziele Angegebene Zieltags aus.
Tragen Sie im Feld Ziel-Tags allow-health-check ein.
Legen Sie unter Quellfilter die Option IPv4-Bereiche fest.
Legen Sie unter Quell-IPv4-Bereiche die Werte 130.211.0.0/22 und 35.191.0.0/16 fest.
Wählen Sie unter Protokolle und Ports die Option Angegebene Protokolle und Ports aus.
Klicken Sie das Kästchen tcp an und geben Sie 80 als Portnummer ein.
Klicken Sie auf Erstellen.

gcloud

gcloud compute firewall-rules create fw-allow-health-check \
    --network=default \
    --action=allow \
    --direction=ingress \
    --source-ranges=130.211.0.0/22,35.191.0.0/16 \
    --target-tags=allow-health-check \
    --rules=tcp:80

Terraform

Verwenden Sie zum Erstellen der Firewallregel die Ressource google_compute_firewall.

lb/external_http_lb_mig_backend/main.tf

Auf GitHub ansehen Feedback

resource "google_compute_firewall" "default" {
  name          = "fw-allow-health-check"
  direction     = "INGRESS"
  network       = "global/networks/default"
  priority      = 1000
  source_ranges = ["130.211.0.0/22", "35.191.0.0/16"]
  target_tags   = ["allow-health-check"]
  allow {
    ports    = ["80"]
    protocol = "tcp"
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Externe IP-Adresse reservieren

Nachdem die Instanzen nun ausgeführt werden, richten Sie eine globale statische externe IP-Adresse ein, über die Ihre Kunden den Load-Balancer erreichen können.

Console

Rufen Sie in der Google Cloud Console die Seite Externe IP-Adressen auf.
Zur Seite "Externe IP-Adressen"
Um eine IPv4-Adresse zu reservieren, klicken Sie auf Statische Adresse reservieren.
Geben Sie für Name lb-ipv4-1 ein.
Setzen Sie die Netzwerkdienststufe auf Premium.
Setzen Sie die IP-Version auf IPv4.
Setzen Sie Typ auf Global.
Klicken Sie auf Reservieren.

gcloud

gcloud compute addresses create lb-ipv4-1 \
    --ip-version=IPV4 \
    --network-tier=PREMIUM \
    --global

Notieren Sie sich die reservierte IPv4-Adresse:

gcloud compute addresses describe lb-ipv4-1 \
    --format="get(address)" \
    --global

Terraform

Verwenden Sie zum Reservieren der IP-Adresse die Ressource google_compute_global_address.

lb/external_http_lb_mig_backend/main.tf

Auf GitHub ansehen Feedback

resource "google_compute_global_address" "default" {
  name       = "lb-ipv4-1"
  ip_version = "IPV4"
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Load-Balancer einrichten

In diesem Beispiel verwenden Sie HTTPS (Front-End) zwischen dem Client und dem Load-Balancer. Für HTTPS benötigen Sie eine oder mehrere SSL-Zertifikatsressourcen, um den Proxy zu konfigurieren. Wir empfehlen die Verwendung eines von Google verwalteten Zertifikats.

Auch wenn Sie HTTPS im Front-End verwenden, können Sie HTTP im Back-End verwenden. Google verschlüsselt automatisch Traffic zwischen Google Front Ends (GFEs) und Ihren Back-Ends, die sich in Google Cloud VPC-Netzwerken befinden.

Console

Konfiguration starten

Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
Load-Balancing aufrufen
Klicken Sie unter HTTP(S)-Load-Balancing auf Konfiguration starten.
Wählen Sie unter Internet oder nur intern die Option Vom Internet zu meinen VMs aus.
Wählen Sie unter Global oder regional die Option Globaler HTTP(S)-Load-Balancer (klassisch) aus.
Klicken Sie auf Weiter.
Geben Sie für den Namen des Load-Balancers web-map-https oder web-map-http ein.

Front-End-Konfiguration

Klicken Sie auf Front-End-Konfiguration.
Legen Sie für Protokoll HTTPS fest.
Legen Sie die IP-Adresse auf lb-ipv4-1 fest, die Sie zuvor erstellt haben.
Achten Sie darauf, dass der Port auf 443 festgelegt ist, um HTTPS-Traffic zuzulassen.
Klicken Sie auf Zertifikat und wählen Sie Ihr primäres SSL-Zertifikat aus.
Optional: Erstellen Sie eine SSL-Richtlinie:
1. Wählen Sie in der Liste SSL-Richtlinie die Option Richtlinie erstellen aus.
2. Legen Sie als Name der SSL-Richtlinie my-ssl-policy fest.
3. Wählen Sie als Mindest-TLS-Version die Option TLS 1.0 aus.
4. Wählen Sie als Profil Modern aus. Anschließend werden Aktivierte Features und Deaktivierte Features angezeigt.
5. Klicken Sie auf Speichern.
6. Optional: Klicken Sie das Kästchen HTTP-zu-HTTPS-Weiterleitung aktivieren an, um Weiterleitungen von Port 80 zu Port 443 zu aktivieren.
  Wenn Sie dieses Kästchen aktivieren, wird ein zusätzlicher Teil-HTTP-Load-Balancer erstellt, der dieselbe IP-Adresse wie der HTTPS-Load-Balancer verwendet und eingehende HTTP-Anfragen an das HTTPS-Front-End des Load-Balancers weiterleitet.
  
  Dieses Kästchen kann nur angeklickt werden, wenn das HTTPS-Protokoll aktiviert und eine reservierte IP-Adresse verwendet wird.
Klicken Sie auf Fertig.

Back-End-Konfiguration

Klicken Sie auf Back-End-Konfiguration.
Wählen Sie unter Back-End-Dienste und Back-End-Buckets erstellen oder auswählen die Option Back-End-Dienste > Back-End-Dienst erstellen aus.
Geben Sie einen Namen für den Back-End-Dienst ein, z. B. web-backend-service.
Wählen Sie unter Protokoll die Option HTTP aus.
Geben Sie für Benannter Port http ein.
Wählen Sie unter Back-Ends > Neues Back-End > Instanzgruppe die Instanzgruppe lb-backend-example aus.
Geben Sie als Portnummern 80 ein.
Behalten Sie die anderen Standardeinstellungen bei.
Wählen Sie unter Systemdiagnose die Option Systemdiagnose erstellen aus und geben Sie dann einen Namen für die Systemdiagnose ein, z. B. http-basic-check.
Legen Sie als Protokoll HTTP fest und klicken Sie dann auf Speichern.
Optional: Konfigurieren Sie eine Standard-Back-End-Sicherheitsrichtlinie. Die Standardsicherheitsrichtlinie drosselt den Traffic über einen vom Nutzer konfigurierten Schwellenwert. Weitere Informationen zu Standardsicherheitsrichtlinien finden Sie in der Übersicht zur Ratenbegrenzung.
1. Wenn Sie die standardmäßige Google Cloud Armor-Sicherheitsrichtlinie deaktivieren möchten, wählen Sie im Menü der Back-End-Sicherheitsrichtlinie None aus.
2. Wählen Sie im Abschnitt Sicherheit die Option Standardsicherheitsrichtlinie aus.
3. Akzeptieren Sie im Feld Richtlinienname den automatisch generierten Namen oder geben Sie einen Namen für Ihre Sicherheitsrichtlinie ein.
4. Akzeptieren Sie im Feld Anzahl der Anfragen die Standardanzahl der Anfragen oder geben Sie eine Ganzzahl zwischen 1 und 10,000 ein.
5. Wählen Sie im Feld Intervall ein Intervall aus.
6. Wählen Sie im Feld Für Schlüssel erzwingen einen der folgenden Werte aus: Alle, IP-Adresse oder X-Forwarded-For IP-Adresse. Weitere Informationen zu diesen Optionen finden Sie unter Clients für die Ratenbegrenzung identifizieren.
Behalten Sie die anderen Standardeinstellungen bei.
Klicken Sie auf Erstellen.

Host- und Pfadregeln

Unter Host- und Pfadregeln behalten Sie die Standardeinstellungen bei.

Prüfen und abschließen

Klicken Sie auf Prüfen und abschließen.
Prüfen Sie die Konfigurationseinstellungen des Load-Balancers.
Optional: Klicken Sie auf Entsprechender Code, um die REST API-Anfrage aufzurufen, die zum Erstellen des Load-Balancers verwendet wird.
Klicken Sie auf Erstellen.

Warten Sie, bis der Load-Balancer erstellt ist.

Wenn Sie einen HTTPS-Load-Balancer erstellt und das Kästchen HTTP-zu-HTTPS-Weiterleitung aktivieren angeklickt haben, wird auch ein HTTP-Load-Balancer mit dem Suffix -redirect erstellt.

Klicken Sie auf den Namen des Load-Balancers.
Notieren Sie sich auf dem Bildschirm Details zum Load-Balancer den IP:Port für den Load-Balancer.

gcloud

Erstellen Sie eine Systemdiagnose.

  gcloud compute health-checks create http http-basic-check \
      --port 80

Erstellen Sie einen Back-End-Dienst.

  gcloud compute backend-services create web-backend-service \
      --load-balancing-scheme=EXTERNAL \
      --protocol=HTTP \
      --port-name=http \
      --health-checks=http-basic-check \
      --global

Fügen Sie Ihre Instanzgruppe dem Back-End-Dienst als Back-End hinzu.

  gcloud compute backend-services add-backend web-backend-service \
      --instance-group=lb-backend-example \
      --instance-group-zone=us-east1-b \
      --global

Erstellen Sie für HTTP eine URL-Zuordnung, um die eingehenden Anfragen an den Back-End-Standarddienst weiterzuleiten.
```
  gcloud compute url-maps create web-map-http \
      --default-service web-backend-service
  
```
Erstellen Sie für HTTPS eine URL-Zuordnung, um die eingehenden Anfragen an den Back-End-Standarddienst weiterzuleiten.
```
  gcloud compute url-maps create web-map-https \
      --default-service web-backend-service
  
```

HTTPS-Front-End einrichten

Überspringen Sie diesen Abschnitt für HTTP-Load-Balancer.

Erstellen Sie für HTTPS die globale SSL-Zertifikatsressource, wenn Sie dies noch nicht getan haben. Beispiel:
- Von Google verwaltete SSL-Zertifikatsressource erstellen
- Selbstverwaltete SSL-Zertifikatsressource erstellen
Erstellen Sie für HTTPS einen Ziel-HTTPS-Proxy, um Anfragen an Ihre URL-Zuordnung weiterzuleiten. Der Proxy ist der Teil des Load-Balancers, der das SSL-Zertifikat für das HTTPS-Load-Balancing besitzt. Daher laden Sie in diesem Schritt auch Ihr Zertifikat.
```
  gcloud compute target-https-proxies create https-lb-proxy \
      --url-map=web-map-https \
      --ssl-certificates=www-ssl-cert
  
```

Erstellen Sie für HTTPS eine globale Weiterleitungsregel, um eingehende Anfragen an den Proxy weiterzuleiten.

  gcloud compute forwarding-rules create https-content-rule \
      --load-balancing-scheme=EXTERNAL \
      --network-tier=PREMIUM \
      --address=lb-ipv4-1 \
      --global \
      --target-https-proxy=https-lb-proxy \
      --ports=443

Optional: Erstellen Sie für HTTPS eine globale SSL-Richtlinie und hängen Sie sie an den HTTPS-Proxy an.
So erstellen Sie eine globale SSL-Richtlinie:
```
  gcloud compute ssl-policies create my-ssl-policy \
      --profile MODERN \
      --min-tls-version 1.0
  
```
So hängen Sie die SSL-Richtlinie an den globalen Ziel-HTTPS-Proxy an:
```
  gcloud compute target-https-proxies update https-lb-proxy \
      --ssl-policy my-ssl-policy
  
```

HTTP-Front-End einrichten

Überspringen Sie diesen Abschnitt für HTTPS-Load-Balancer.

Erstellen Sie für HTTP einen Ziel-HTTP-Proxy, um Anfragen an Ihre URL-Zuordnung weiterzuleiten.

  gcloud compute target-http-proxies create http-lb-proxy \
      --url-map=web-map-http

Erstellen Sie für HTTP eine globale Weiterleitungsregel, um eingehende Anfragen an den Proxy weiterzuleiten.

  gcloud compute forwarding-rules create http-content-rule \
      --load-balancing-scheme=EXTERNAL \
      --address=lb-ipv4-1 \
      --global \
      --target-http-proxy=http-lb-proxy \
      --ports=80

Terraform

Verwenden Sie zum Erstellen der Systemdiagnose die Ressource google_compute_health_check.

lb/external_http_lb_mig_backend/main.tf

Auf GitHub ansehen Feedback

resource "google_compute_health_check" "default" {
  name               = "http-basic-check"
  check_interval_sec = 5
  healthy_threshold  = 2
  http_health_check {
    port               = 80
    port_specification = "USE_FIXED_PORT"
    proxy_header       = "NONE"
    request_path       = "/"
  }
  timeout_sec         = 5
  unhealthy_threshold = 2
}

Verwenden Sie zum Erstellen des Back-End-Dienstes die Ressource google_compute_backend_service.

In diesem Beispiel wird load_balancing_scheme="EXTERNAL_MANAGED" verwendet, das einen globalen externen HTTP(S)-Load-Balancer mit erweiterter Trafficverwaltungsfunktion einrichtet. Wenn Sie einen globalen externen HTTP(S)-Load-Balancer (klassisch) erstellen möchten, ändern Sie load_balancing_scheme in EXTERNAL, bevor Sie das Skript ausführen.

lb/external_http_lb_mig_backend/main.tf

Auf GitHub ansehen Feedback

resource "google_compute_backend_service" "default" {
  name                            = "web-backend-service"
  connection_draining_timeout_sec = 0
  health_checks                   = [google_compute_health_check.default.id]
  load_balancing_scheme           = "EXTERNAL_MANAGED"
  port_name                       = "http"
  protocol                        = "HTTP"
  session_affinity                = "NONE"
  timeout_sec                     = 30
  backend {
    group           = google_compute_instance_group_manager.default.instance_group
    balancing_mode  = "UTILIZATION"
    capacity_scaler = 1.0
  }
}

Verwenden Sie zum Erstellen der URL-Zuordnung die Ressource google_compute_url_map.

lb/external_http_lb_mig_backend/main.tf

Auf GitHub ansehen Feedback
```
resource "google_compute_url_map" "default" {
  name            = "web-map-http"
  default_service = google_compute_backend_service.default.id
}
```
Verwenden Sie zum Erstellen des Ziel-HTTP-Proxys die Ressource google_compute_target_http_proxy.

lb/external_http_lb_mig_backend/main.tf

Auf GitHub ansehen Feedback
```
resource "google_compute_target_http_proxy" "default" {
  name    = "http-lb-proxy"
  url_map = google_compute_url_map.default.id
}
```
Verwenden Sie zum Erstellen der Weiterleitungsregel die Ressource google_compute_global_forwarding_rule.

In diesem Beispiel wird load_balancing_scheme="EXTERNAL_MANAGED" verwendet, das einen globalen externen HTTP(S)-Load-Balancer mit erweiterter Trafficverwaltungsfunktion einrichtet. Wenn Sie einen globalen externen HTTP(S)-Load-Balancer (klassisch) erstellen möchten, ändern Sie load_balancing_scheme in EXTERNAL, bevor Sie das Skript ausführen.

lb/external_http_lb_mig_backend/main.tf

Auf GitHub ansehen Feedback
```
resource "google_compute_global_forwarding_rule" "default" {
  name                  = "http-content-rule"
  ip_protocol           = "TCP"
  load_balancing_scheme = "EXTERNAL_MANAGED"
  port_range            = "80-80"
  target                = google_compute_target_http_proxy.default.id
  ip_address            = google_compute_global_address.default.id
}
```

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

IAP auf dem externen HTTP(S)-Load-Balancer aktivieren

Sie können IAP so konfigurieren, dass es aktiviert oder deaktiviert (Standard) wird. Wenn diese Option aktiviert ist, müssen Werte für oauth2-client-id und oauth2-client-secret angegeben werden.

Aktualisieren Sie zum Aktivieren von IAP den Back-End-Dienst so, dass das Flag --iap=enabled mit oauth2-client-id und oauth2-client-secret enthalten ist.

gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --iap=enabled,oauth2-client-id=ID,oauth2-client-secret=SECRET \
    --global

Domain mit dem Load-Balancer verbinden

Notieren Sie sich nach der Erstellung des Load-Balancers die IP-Adresse, die diesem zugewiesen ist, z. B. 30.90.80.100. Wenn Sie Ihre Domain auf den Load-Balancer verweisen möchten, erstellen Sie mit Ihrem Domain-Registrierungsdienst einen A-Eintrag. Wenn Sie Ihrem SSL-Zertifikat mehrere Domains hinzugefügt haben, müssen Sie für jede Domain einen A-Eintrag hinzufügen, der auf die IP-Adresse des Load-Balancers verweist. So erstellen Sie beispielsweise A-Einträge für www.example.com und example.com:

NAME                  TYPE     DATA
www                   A        30.90.80.100
@                     A        30.90.80.100

Wenn Sie Google Domains verwenden, finden Sie in der Google Domains-Hilfe weitere Informationen.

An Ihre Instanzen gesendeten Traffic testen

Da der Load-Balancing-Dienst nun ausgeführt wird, können Sie Traffic an die Weiterleitungsregel senden. Dieser wird dann an verschiedene Instanzen verteilt.

Console

Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

Zur Seite „Load-Balancing“
Klicken Sie auf den Load-Balancer, den Sie gerade erstellt haben.
Prüfen Sie im Bereich Back-End, ob die VMs fehlerfrei sind. Die Spalte Fehlerfrei sollte ausgefüllt sein; in diesem Fall sind beide VMs fehlerfrei (2/2). Falls sie doch leer ist, aktualisieren Sie zuerst die Seite. Es kann einige Minuten dauern, bis in der Google Cloud Console angezeigt wird, dass die VMs fehlerfrei sind. Wenn die Back-Ends nach einigen Minuten nicht als fehlerfrei angezeigt werden, prüfen Sie die Firewallkonfiguration und das Netzwerk-Tag, die Ihren Back-End-VMs zugewiesen ist.
Wenn Sie bei HTTPS ein von Google verwaltetes Zertifikat verwenden, prüfen Sie, ob der Status der Zertifikatsressource AKTIV ist. Weitere Informationen finden Sie unter Status der von Google verwalteten SSL-Zertifikatressourcen.
Nachdem die Google Cloud Console anzeigt, dass die Back-End-Instanzen in Ordnung sind, können Sie Ihren Load-Balancer mit einem Webbrowser testen. Rufen Sie dafür https://IP_ADDRESS (oder http://IP_ADDRESS) auf. Ersetzen Sie IP_ADDRESS durch die IP-Adresse des Load-Balancers.
Wenn Sie ein selbst signiertes Zertifikat genutzt haben, um HTTPS zu testen, zeigt Ihr Browser eine Warnung an. Sie müssen den Browser ausdrücklich anweisen, ein selbst signiertes Zertifikat zu akzeptieren.
Im Browser sollte eine Seite mit Inhalt dargestellt werden, der den Namen der Instanz, die die Seite bereitstellt, und deren Zone enthält (z. B. Page served from: lb-backend-example-xxxx). Wenn der Browser diese Seite nicht anzeigt, prüfen Sie die Konfigurationseinstellungen aus dieser Anleitung.

gcloud

gcloud compute addresses describe lb-ipv4-1 \
   --format="get(address)" \
   --global

Nach einigen Minuten können Sie die Einrichtung mit dem folgenden curl-Befehl testen.

curl http://IP_ADDRESS

-ODER-

curl https://HOSTNAME

Nächste Schritte

Cloud Load Balancing für GKE aktivieren
Mehr über Instanzgruppen erfahren
Weitere Informationen zu Load-Balancing und Skalierung