Load Balancer Aplikasi Eksternal dengan Identity-Aware Proxy (IAP) didukung dengan jenis backend berikut:
- Grup instance
- Grup endpoint jaringan zona (NEG)
- Serverless NEG: Satu atau beberapa layanan Cloud Run
- NEG Internet, untuk endpoint yang berada di luar Google Cloud (juga dikenal sebagai asal kustom)
Jika contoh ini tidak cocok dengan kasus penggunaan Anda, lihat salah satu halaman berikut:
- Untuk Cloud Run, lihat Menyiapkan load balancer dengan Cloud Run.
- Untuk mengetahui contoh multi-region yang menyertakan penyiapan sertifikat IPv6 dan SSL, lihat Menyiapkan load balancer HTTPS eksternal multi-region.
- Untuk Load Balancer Aplikasi eksternal regional, lihat Menyiapkan Load Balancer Aplikasi eksternal regional
- Jika Anda menggunakan GKE, load balancer biasanya dikonfigurasi oleh pengontrol Ingress Kubernetes. Untuk informasi selengkapnya, lihat Mengonfigurasi Ingress untuk load balancing eksternal.
Untuk konsep umum, lihat Ringkasan Load Balancer Aplikasi Eksternal.
Jika Anda adalah pengguna Load Balancer Aplikasi klasik yang sudah ada, pastikan Anda meninjau Merencanakan migrasi ke Load Balancer Aplikasi eksternal global saat merencanakan deployment baru dengan Load Balancer Aplikasi eksternal global.
Topologi load balancer
Untuk load balancer HTTPS, Anda dapat membuat konfigurasi yang ditampilkan dalam diagram berikut.
Untuk load balancer HTTP, Anda dapat membuat konfigurasi yang ditampilkan dalam diagram berikut.
Urutan peristiwa dalam diagram adalah sebagai berikut:
- Klien mengirimkan permintaan konten ke alamat IPv4 eksternal yang ditentukan dalam aturan penerusan.
Untuk load balancer HTTPS, aturan penerusan mengarahkan permintaan ke proxy HTTPS target.
Untuk load balancer HTTP, aturan penerusan mengarahkan permintaan ke proxy HTTP target.
Proxy target menggunakan aturan dalam peta URL untuk menentukan bahwa layanan backend tunggal menerima semua permintaan.
Load balancer menentukan bahwa layanan backend hanya memiliki satu grup instance dan mengarahkan permintaan ke instance virtual machine (VM) dalam grup tersebut.
VM menayangkan konten yang diminta oleh pengguna.
Sebelum memulai
Selesaikan langkah-langkah berikut sebelum Anda membuat load balancer.
Menyiapkan resource sertifikat SSL
Untuk load balancer HTTPS, buat resource sertifikat SSL seperti yang dijelaskan berikut:
Sebaiknya gunakan sertifikat yang dikelola Google.
Contoh ini mengasumsikan bahwa Anda sudah memiliki resource sertifikat SSL bernama www-ssl-cert
.
Siapkan izin
Untuk menyelesaikan langkah-langkah dalam panduan ini, Anda harus memiliki izin untuk membuat instance Compute Engine, aturan firewall, dan alamat IP yang dicadangkan dalam sebuah project. Anda harus memiliki peran pemilik atau editor project, atau Anda harus memiliki peran IAM Compute Engine berikut.
Tugas | Peran yang diperlukan |
---|---|
Membuat instance | Admin Instance |
Menambahkan dan menghapus aturan firewall | Security Admin |
Membuat komponen load balancer | Admin Jaringan |
Membuat project (opsional) | Kreator Project |
Untuk informasi selengkapnya, lihat panduan berikut:
Membuat grup instance terkelola
Untuk menyiapkan load balancer dengan backend Compute Engine, VM harus berada dalam grup instance. Panduan ini menjelaskan cara membuat grup instance terkelola dengan VM Linux yang menjalankan Apache, lalu menyiapkan load balancing. Grup instance terkelola membuat setiap instance terkelolanya berdasarkan template instance yang Anda tentukan.
Grup instance terkelola menyediakan VM yang menjalankan server backend load balancer HTTP(S) eksternal. Untuk tujuan demonstrasi, backend menyalurkan nama host-nya sendiri.
Sebelum membuat grup instance terkelola, buat template instance.
Konsol
Di konsol Google Cloud, buka halaman Instance templates.
Klik Create instance template.
Untuk Name, masukkan
lb-backend-template
.Pastikan Boot disk disetel ke image Debian, seperti Debian GNU/Linux 10 (buster). Petunjuk ini menggunakan perintah yang hanya tersedia di Debian, seperti
apt-get
.Jangan konfigurasikan opsi Firewall.
Karena Load Balancer Aplikasi eksternal adalah proxy, Anda tidak perlu memilih Allow HTTPS traffic atau Allow HTTP traffic di bagian Firewall. Dalam bagian Mengonfigurasi aturan firewall, Anda membuat satu-satunya aturan firewall yang diperlukan untuk load balancer ini.
Klik Advanced options.
Klik Networking dan konfigurasikan kolom berikut:
- Untuk Tag jaringan, masukkan
allow-health-check
.
- Untuk Tag jaringan, masukkan
Klik Management. Masukkan skrip berikut ke kolom Skrip startup.
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html systemctl restart apache2
Klik Create.
gcloud
Buat template.
gcloud compute instance-templates create TEMPLATE_NAME \ --region=us-east1 \ --network=default \ --subnet=default \ --tags=allow-health-check \ --image-family=debian-10 \ --image-project=debian-cloud \ --metadata=startup-script='#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html systemctl restart apache2'
Terraform
Untuk membuat template instance, gunakan resource
google_compute_instance_template
.
Buat grup instance terkelola, lalu pilih template instance.
Konsol
Di Konsol Google Cloud, buka halaman Instance groups.
Klik Create grup instance.
Di sebelah kiri, pilih Grup instance terkelola baru (stateless).
Untuk Name, masukkan
lb-backend-example
.Di bagian Location, pilih Single zone.
Untuk Wilayah, pilih wilayah yang Anda inginkan. Contoh ini menggunakan
us-east1
.Untuk Zone, pilih us-east1-b.
Di bagian Instance template, pilih template instance
lb-backend-template
.Untuk Autoscaling mode, pilih On: add and remove instances to the group.
Tetapkan Minimum number of instances ke
2
, dan tetapkan Maximum number of instances ke2
atau lebih.Untuk membuat grup instance baru, klik Buat.
gcloud
Membuat grup instance terkelola berdasarkan template tersebut.
gcloud compute instance-groups managed create lb-backend-example \ --template=TEMPLATE_NAME --size=2 --zone=us-east1-b
Terraform
Untuk membuat grup instance terkelola, gunakan resource
google_compute_instance_group_manager
.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Menambahkan port bernama ke grup instance
Untuk grup instance, tentukan layanan HTTP dan petakan nama port ke port yang relevan. Layanan load balancing meneruskan traffic ke port yang bernama. Untuk mengetahui informasi selengkapnya, lihat Port bernama.
Konsol
Di Konsol Google Cloud, buka halaman Instance groups.
Klik nama grup instance Anda (dalam contoh ini
lb-backend-example
).Di halaman Overview grup instance, klik Edit
.Di bagian Pemetaan port, klik Tambahkan port.
- Untuk nama port, masukkan
http
. Untuk nomor port, masukkan80
.
- Untuk nama port, masukkan
Klik Save.
gcloud
Gunakan perintah
gcloud compute instance-groups
set-named-ports
.
gcloud compute instance-groups set-named-ports lb-backend-example \ --named-ports http:80 \ --zone us-east1-b
Terraform
Atribut named_port
disertakan dalam
contoh grup instance terkelola.
Konfigurasikan aturan firewall
Dalam contoh ini, Anda membuat aturan firewall fw-allow-health-check
.
Ini adalah aturan masuk yang memungkinkan traffic dari sistem health check Google Cloud (130.211.0.0/22
dan 35.191.0.0/16
). Contoh ini menggunakan tag target allow-health-check
untuk mengidentifikasi VM.
Konsol
Di Konsol Google Cloud, buka halaman Firewall policies.
Klik Create firewall rule untuk membuat aturan firewall.
Untuk Name, masukkan
fw-allow-health-check
.Di bagian Jaringan, pilih Default.
Di bagian Target, pilih Tag target yang ditentukan.
Isi kolom Tag target dengan
allow-health-check
.Tetapkan Filter sumber ke rentang IPv4.
Setel Rentang IPv4 sumber ke
130.211.0.0/22
dan35.191.0.0/16
.Di bagian Protocols and ports, pilih Specified protocols and ports.
Pilih kotak centang TCP, lalu ketik
80
untuk nomor port.Klik Create.
gcloud
gcloud compute firewall-rules create fw-allow-health-check \ --network=default \ --action=allow \ --direction=ingress \ --source-ranges=130.211.0.0/22,35.191.0.0/16 \ --target-tags=allow-health-check \ --rules=tcp:80
Terraform
Untuk membuat aturan firewall, gunakan resource
google_compute_firewall
.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Mencadangkan alamat IP eksternal
Setelah instance Anda aktif dan berjalan, siapkan alamat IP eksternal statis global yang digunakan pelanggan untuk menjangkau load balancer Anda.
Konsol
Di konsol Google Cloud, buka halaman External IP addresses.
Untuk mencadangkan alamat IPv4, klik Reserve external static IP address.
Untuk Name, masukkan
lb-ipv4-1
.Tetapkan Tingkat Layanan Jaringan ke Premium.
Setel IP version ke IPv4.
Setel Type ke Global.
Klik Reserve.
gcloud
gcloud compute addresses create lb-ipv4-1 \ --ip-version=IPV4 \ --network-tier=PREMIUM \ --global
Perhatikan alamat IPv4 yang dicadangkan:
gcloud compute addresses describe lb-ipv4-1 \ --format="get(address)" \ --global
Terraform
Untuk mencadangkan alamat IP, gunakan resource
google_compute_global_address
.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Menyiapkan load balancer
Dalam contoh ini, Anda menggunakan HTTPS (frontend) antara klien dan load balancer. Untuk HTTPS, Anda memerlukan satu atau beberapa resource sertifikat SSL untuk mengonfigurasi proxy. Sebaiknya gunakan sertifikat yang dikelola Google.
Meskipun menggunakan HTTPS di frontend, Anda dapat menggunakan HTTP di backend. Google secara otomatis mengenkripsi traffic antara Google Front Ends (GFE) dan backend Anda yang berada dalam jaringan VPC Google Cloud.
Konsol
Memulai konfigurasi Anda
Di Konsol Google Cloud, buka halaman Load balancing.
- Klik Create load balancer.
- Untuk Type of load balancer, pilih Application Load Balancer (HTTP/HTTPS) lalu klik Next.
- Untuk Public facing or internal, pilih Public facing (eksternal), lalu klik Next.
- Untuk Global or single region deployment, pilih Best for global Workload, lalu klik Next.
- Untuk Load balancer generasi, pilih classic Application Load Balancer dan klik Next.
- Klik Konfigurasikan.
Konfigurasi dasar
Untuk Name load balancer, masukkan misalnya
web-map-https
atau web-map-http
.
Konfigurasi frontend
- Klik Frontend configuration.
- Tetapkan Protokol ke HTTPS.
- Tetapkan IP address ke
lb-ipv4-1
, yang Anda buat sebelumnya. - Tetapkan Port ke 443.
- Klik Certificate, lalu pilih sertifikat SSL utama Anda.
- Opsional: Buat kebijakan SSL:
- Dalam daftar SSL policy, pilih Create a policy.
- Setel nama kebijakan SSL ke
my-ssl-policy
. - Untuk Versi TLS Minimum, pilih TLS 1.0.
- Untuk Profil, pilih Modern. Fitur yang diaktifkan dan Fitur yang dinonaktifkan akan ditampilkan.
- Klik Save.
-
Opsional: Pilih kotak centang Aktifkan Pengalihan HTTP ke HTTPS
untuk mengaktifkan pengalihan.
Jika kotak ini dicentang, load balancer HTTP sebagian tambahan akan menggunakan alamat IP yang sama dengan load balancer HTTPS dan akan mengalihkan permintaan HTTP yang masuk ke frontend HTTPS load balancer.
Kotak centang ini hanya dapat dipilih jika protokol HTTPS dipilih dan alamat IP yang dicadangkan digunakan.
- Klik Done.
Konfigurasi backend
- Klik Backend configuration.
- Di bagian Create or select backend services & backend buckets, pilih Backend services > Create a backend service.
- Tambahkan nama untuk layanan backend Anda, seperti
web-backend-service
. - Di bagian Protocol, pilih HTTP.
- Untuk Port Bernama, masukkan
http
. - Di Backends > New backend >
Instance group, pilih grup instance Anda,
lb-backend-example
. - Untuk Nomor port, masukkan
80
. - Pertahankan setelan default lainnya.
- Di bagian Health check, pilih Create a health
check, lalu tambahkan nama untuk health check Anda, misalnya
http-basic-check
. - Setel protokol ke HTTP, lalu klik Save.
-
Opsional: Konfigurasikan kebijakan keamanan backend default. Kebijakan keamanan default membatasi traffic pada nilai minimum yang dikonfigurasi pengguna. Untuk informasi selengkapnya tentang kebijakan keamanan default, lihat Ringkasan pembatasan kapasitas.
- Untuk memilih tidak mengikuti kebijakan keamanan default Google Cloud Armor, pilih
None
di menu daftar kebijakan keamanan backend. - Di bagian Keamanan, pilih Kebijakan keamanan default.
- Di kolom Nama kebijakan, setujui nama yang dibuat otomatis atau masukkan nama untuk kebijakan keamanan Anda.
- Di kolom Request count, terima jumlah permintaan default atau masukkan bilangan bulat antara
1
dan10,000
. - Di kolom Interval, pilih interval.
- Di kolom Enforce on key, pilih salah satu nilai berikut: All, IP address, atau X-Forwarded-For IP address. Untuk informasi selengkapnya tentang opsi ini, lihat Mengidentifikasi klien untuk pembatasan kapasitas.
- Untuk memilih tidak mengikuti kebijakan keamanan default Google Cloud Armor, pilih
- Pertahankan setelan default lainnya.
- Klik Create.
Aturan host dan jalur
Untuk Aturan host dan jalur, pertahankan setelan default.
Tinjau dan selesaikan
- Klik Review and finalize.
- Tinjau setelan konfigurasi load balancer Anda.
- Opsional: Klik Equivalent code untuk melihat permintaan REST API yang akan digunakan untuk membuat load balancer.
- Klik Create.
Tunggu load balancer dibuat.
Jika membuat load balancer HTTPS dan mencentang kotak Aktifkan HTTP ke Pengalihan HTTPS, Anda juga akan melihat load balancer HTTP yang dibuat dengan akhiran -redirect.
- Klik nama load balancer.
- Di layar Load balancer details, catat IP:Port untuk load balancer Anda.
gcloud
- Membuat health check.
gcloud compute health-checks create http http-basic-check \ --port 80
- Buat layanan backend.
gcloud compute backend-services create web-backend-service \ --load-balancing-scheme=EXTERNAL \ --protocol=HTTP \ --port-name=http \ --health-checks=http-basic-check \ --global
- Tambahkan grup instance sebagai backend ke layanan backend.
gcloud compute backend-services add-backend web-backend-service \ --instance-group=lb-backend-example \ --instance-group-zone=us-east1-b \ --global
- Untuk HTTP, buat peta URL guna mengarahkan permintaan masuk ke layanan backend
default.
gcloud compute url-maps create web-map-http \ --default-service web-backend-service
- Untuk HTTPS, buat peta URL guna mengarahkan permintaan masuk ke
layanan backend default.
gcloud compute url-maps create web-map-https \ --default-service web-backend-service
Menyiapkan frontend HTTPS
Lewati bagian ini untuk load balancer HTTP.
- Untuk HTTPS, jika Anda belum melakukannya, buat resource sertifikat SSL global, seperti yang ditunjukkan di:
Untuk HTTPS, buat proxy HTTPS target untuk merutekan permintaan ke peta URL Anda. Proxy adalah bagian dari load balancer yang menyimpan sertifikat SSL untuk load balancer HTTPS, sehingga Anda juga memuat sertifikat pada langkah ini.
gcloud compute target-https-proxies create https-lb-proxy \ --url-map=web-map-https \ --ssl-certificates=www-ssl-cert
- Untuk HTTPS, buat aturan penerusan global untuk mengarahkan permintaan masuk ke proxy.
gcloud compute forwarding-rules create https-content-rule \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --address=lb-ipv4-1 \ --global \ --target-https-proxy=https-lb-proxy \ --ports=443
- Opsional: Untuk HTTPS, buat kebijakan SSL global dan lampirkan ke proxy HTTPS.
Untuk membuat kebijakan SSL global: Untuk memasang kebijakan SSL ke proxy HTTPS target global:gcloud compute ssl-policies create my-ssl-policy \ --profile MODERN \ --min-tls-version 1.0
gcloud compute target-https-proxies update https-lb-proxy \ --ssl-policy my-ssl-policy
Menyiapkan frontend HTTP
Lewati bagian ini untuk load balancer HTTPS.
- Untuk HTTP, buat proxy HTTP target untuk merutekan permintaan ke peta URL Anda.
gcloud compute target-http-proxies create http-lb-proxy \ --url-map=web-map-http
- Untuk HTTP, buat aturan penerusan global untuk mengarahkan permintaan masuk ke proxy.
gcloud compute forwarding-rules create http-content-rule \ --load-balancing-scheme=EXTERNAL \ --address=lb-ipv4-1 \ --global \ --target-http-proxy=http-lb-proxy \ --ports=80
Terraform
-
Untuk membuat health check, gunakan resource
google_compute_health_check
. -
Untuk membuat layanan backend, gunakan resource
google_compute_backend_service
.Contoh ini menggunakan
load_balancing_scheme="EXTERNAL_MANAGED"
, yang menyiapkan Load Balancer Aplikasi eksternal global dengan kemampuan pengelolaan traffic lanjutan. Untuk membuat Load Balancer Aplikasi klasik, pastikan Anda mengubahload_balancing_scheme
menjadiEXTERNAL
sebelum menjalankan skrip. -
Untuk membuat peta URL, gunakan resource
google_compute_url_map
. -
Untuk membuat proxy HTTP target, gunakan resource
google_compute_target_http_proxy
. -
Untuk membuat aturan penerusan, gunakan resource
google_compute_global_forwarding_rule
.Contoh ini menggunakan
load_balancing_scheme="EXTERNAL_MANAGED"
, yang menyiapkan Load Balancer Aplikasi eksternal global dengan kemampuan pengelolaan traffic lanjutan. Untuk membuat Load Balancer Aplikasi klasik, pastikan Anda mengubahload_balancing_scheme
menjadiEXTERNAL
sebelum menjalankan skrip.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Mengaktifkan IAP di Load Balancer Aplikasi eksternal
Catatan: IAP tidak kompatibel dengan Cloud CDN.Anda dapat mengonfigurasi IAP untuk
diaktifkan atau dinonaktifkan (default). Jika diaktifkan, Anda harus memberikan nilai untuk
oauth2-client-id
dan oauth2-client-secret
.
Untuk mengaktifkan IAP, update layanan backend
agar menyertakan flag --iap=enabled
dengan oauth2-client-id
dan
oauth2-client-secret
.
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --iap=enabled,oauth2-client-id=ID,oauth2-client-secret=SECRET \ --global
Menghubungkan domain ke load balancer
Setelah load balancer dibuat, catat alamat IP yang terkait dengan load balancer, misalnya, 30.90.80.100
. Untuk mengarahkan domain ke load balancer, buat data A
menggunakan layanan pendaftaran domain. Jika
Anda menambahkan beberapa domain ke sertifikat SSL, Anda harus menambahkan data A
untuk setiap domain, yang semuanya mengarah ke alamat IP load balancer. Misalnya, untuk
membuat data A
bagi www.example.com
dan example.com
, gunakan string berikut:
NAME TYPE DATA www A 30.90.80.100 @ A 30.90.80.100
Jika Anda menggunakan Cloud DNS sebagai penyedia DNS, lihat Menambahkan, mengubah, dan menghapus data.
Traffic pengujian yang dikirim ke instance Anda
Setelah layanan load balancing berjalan, Anda dapat mengirim traffic ke aturan penerusan dan melihat traffic tersebar ke berbagai instance.
Konsol
Di konsol Google Cloud, buka halaman Load balancing.
- Klik load balancer yang baru saja dibuat.
- Di bagian Backend, pastikan bahwa VM responsif. Kolom
Healthy akan diisi, yang menunjukkan bahwa kedua VM
sehat (
2/2
). Jika Anda melihat sebaliknya, coba muat ulang halaman terlebih dahulu. Perlu waktu beberapa saat bagi Google Cloud Console untuk menunjukkan bahwa VM responsif. Jika backend terlihat tidak responsif setelah beberapa menit, tinjau konfigurasi firewall dan tag jaringan yang ditetapkan ke VM backend Anda. - Untuk HTTPS, jika Anda menggunakan sertifikat yang dikelola Google, konfirmasikan bahwa status resource sertifikat Anda AKTIF. Untuk informasi selengkapnya, lihat Status resource sertifikat SSL yang dikelola Google.
- Setelah konsol Google Cloud menunjukkan bahwa backend instance responsif, Anda dapat menguji load balancer menggunakan browser web dengan membuka
https://IP_ADDRESS
(atauhttp://IP_ADDRESS
). GantiIP_ADDRESS
dengan alamat IP load balancer. - Jika Anda menggunakan sertifikat yang ditandatangani sendiri untuk menguji HTTPS, browser akan menampilkan peringatan. Anda harus secara eksplisit memerintahkan browser untuk menerima sertifikat yang ditandatangani sendiri.
- Browser akan merender halaman dengan konten yang menampilkan nama
instance yang menampilkan halaman tersebut, beserta zonanya (misalnya,
Page served from: lb-backend-example-xxxx
). Jika browser tidak merender halaman ini, tinjau setelan konfigurasi dalam panduan ini.
gcloud
gcloud compute addresses describe lb-ipv4-1 \ --format="get(address)" \ --global
Setelah beberapa menit, Anda dapat menguji penyiapan dengan menjalankan perintah
curl
berikut.
curl http://IP_ADDRESS
-ATAU-
curl https://HOSTNAME
Langkah selanjutnya
- Baca cara mengaktifkan Cloud Load Balancing untuk GKE
- Pelajari lebih lanjut group instance.
- Baca informasi tentang load balancing dan penskalaan.