Bilanciamento del carico nativo del container tramite NEG standalone a livello di zona

Questa pagina mostra come creare un servizio Kubernetes supportato da un NEG (gruppo di endpoint di rete) GCE_VM_IP_PORT a livello di zona in un cluster nativo VPC di Google Kubernetes Engine (GKE).

Consulta il bilanciamento del carico nativo del container per informazioni su vantaggi, requisiti e limitazioni del bilanciamento del carico nativo del container.

Panoramica

Un NEG rappresenta un gruppo di endpoint. GKE supporta NEG autonomi del tipo GCE_VM_IP_PORT. I NEG GCE_VM_IP_PORT supportano gli endpoint che utilizzano l'indirizzo IP interno principale della VM o un indirizzo IP da uno dei suoi intervalli IP alias.

Nel contesto di un cluster nativo di VPC GKE che utilizza NEG autonomi, ogni endpoint è un indirizzo IP di un pod e una porta di destinazione. Gli indirizzi IP dei pod provengono dall'intervallo IP alias dei nodi per i pod, che proviene dall'intervallo di indirizzi IP secondari di subnet per i pod.

GKE offre un controller NEG per gestire l'appartenenza ai GCE_VM_IP_PORT NEG. Puoi aggiungere i NEG creati come backend ai servizi di backend per i bilanciatori del carico che configuri al di fuori dell'API GKE.

Il seguente diagramma descrive in che modo gli oggetti dell'API Kubernetes corrispondono agli oggetti Compute Engine.

Ingress con NEG

Quando vengono utilizzati i NEG con GKE Ingress, il controller Ingress facilita la creazione di tutti gli aspetti del bilanciatore del carico. Ciò include la creazione di indirizzi IP virtuali, regole di forwarding, controlli di integrità, regole firewall e altro ancora.

Ingress è il modo consigliato per utilizzare il bilanciamento del carico nativo del container, in quanto dispone di numerose funzionalità che semplificano la gestione dei NEG. I NEG autonomi sono un'opzione se i NEG gestiti da Ingress non rispondono al tuo caso d'uso.

NEG standalone

Quando i NEG vengono implementati con bilanciatori del carico di cui non è stato eseguito il provisioning, sono considerati NEG autonomi. I NEG autonomi vengono implementati e gestiti tramite il controller NEG, ma le regole di forwarding, i controlli di integrità e altri oggetti di bilanciamento del carico vengono implementati manualmente.

I NEG autonomi non sono in conflitto con il bilanciamento del carico nativo del container abilitato per Ingress.

L'illustrazione seguente mostra le differenze nel deployment degli oggetti di bilanciamento del carico in ogni scenario:

Prevenire le perdite di NEG

Con i NEG autonomi, sei responsabile della gestione dei cicli di vita dei NEG e delle risorse che compongono il bilanciatore del carico. Puoi divulgare informazioni NEG nei seguenti modi:

• Quando un servizio GKE viene eliminato, il NEG associato non viene raccolto se il NEG fa ancora riferimento a un servizio di backend. Decodifica il NEG dal servizio di backend per consentire l'eliminazione del NEG.
• Quando un cluster viene eliminato, i NEG autonomi non vengono eliminati.

Casi d'uso di NEG autonomi

I NEG autonomi hanno numerosi utilizzi critici. I NEG autonomi sono molto flessibili. in contrasto con Ingress (utilizzato con o senza NEG), che definisce un insieme specifico di oggetti di bilanciamento del carico che sono stati scelti in modo ponderato per semplificarne l'utilizzo.

I casi d'uso per i NEG autonomi includono:

Servizi eterogenei di container e VM

I NEG possono contenere sia indirizzi IP di VM sia di container. Questo significa che un singolo indirizzo IP virtuale può puntare a un backend composto sia da carichi di lavoro Kubernetes che da carichi di lavoro non Kubernetes. Può essere utilizzato anche per eseguire la migrazione dei carichi di lavoro esistenti in un cluster GKE.

I NEG autonomi possono puntare agli IP delle VM, il che consente di configurare manualmente i bilanciatori del carico in modo che rimandino a backend composti sia da VM che da container per lo stesso VIP del servizio.

Controller Ingress personalizzati

Puoi utilizzare un controller Ingress personalizzato (o nessun controller Ingress) per configurare bilanciatori del carico che abbiano come target NEG autonomi.

Utilizzare Traffic Director con GKE

Puoi usare Traffic Director con GKE. Traffic Director utilizza i NEG autonomi per fornire il bilanciamento del carico nativo del container per il mesh di servizi gestiti.

Utilizza bilanciatori del carico del proxy TCP esterni con GKE

Puoi utilizzare i NEG autonomi per bilanciare il carico direttamente nei container con il bilanciatore del carico del proxy TCP esterno, che non è supportato in modo nativo da Kubernetes/GKE.

Preparazione del pod

Le gateway di prontezza sono una funzionalità di estensibilità di Kubernetes che consente l'inserimento di feedback o indicatori aggiuntivi nel PodStatus, per consentire il passaggio dello stato al pod. Il controller NEG gestisce un gate di idoneità personalizzato per garantire il funzionamento del percorso di rete completo dal bilanciatore del carico di Compute Engine al pod. Le porte di idoneità dei pod in GKE sono spiegate nel bilanciamento del carico nativo del container.

Ingress con NEG esegue il deployment e la gestione dei controlli di integrità di Compute Engine per conto del bilanciatore del carico. Tuttavia, i NEG autonomi non fanno supposizioni sui controlli di integrità di Compute Engine perché dovrebbero essere implementati e gestiti separatamente. I controlli di integrità di Compute Engine devono sempre essere configurati insieme al bilanciatore del carico, per evitare che il traffico venga inviato a backend non pronti a ricevere. Se al NEG non è associato uno stato di controllo di integrità (di solito perché non è configurato alcun controllo di integrità), il controller NEG segnalerà il valore del gate di idoneità del pod su True quando l'endpoint corrispondente è programmato in NEG.

Requisiti

Il cluster deve essere nativo di VPC. Per scoprire di più, consulta Creazione di un cluster nativo di VPC.

Nel cluster deve essere abilitato il componente aggiuntivo HttpLoadBalancing. Per impostazione predefinita, il componente aggiuntivo HttpLoadBalancing dei cluster GKE è abilitato.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

• Abilita l'API Google Kubernetes Engine.
Abilita l'API Google Kubernetes Engine
• Se vuoi utilizzare Google Cloud CLI per questa attività, installa e inizializza l'interfaccia alla gcloud CLI.

Utilizzo di NEG autonomi

Le seguenti istruzioni mostrano come utilizzare i NEG autonomi con un bilanciatore del carico HTTP esterno su GKE.

È necessario creare i seguenti oggetti:

• Un Deployment che crea e gestisce i pod.
• Un servizio che crea un NEG.
• Un bilanciatore del carico creato con l'API Compute Engine. È diverso dall'utilizzo di NEG con Ingress, nel qual caso la risorsa Ingress crea e configura un bilanciatore del carico per te. Con i NEG autonomi, sei responsabile di associare il NEG e il servizio di backend per connettere i pod al bilanciatore del carico. Il bilanciatore del carico è composto da diversi componenti, mostrati nel seguente diagramma:

Crea un cluster nativo di VPC

I cluster Autopilot sono nativi di VPC, quindi puoi passare a Eseguire il deployment di un carico di lavoro.

Per i cluster standard, crea un cluster nativo di VPC nella zona us-central1-a:

gcloud container clusters create neg-demo-cluster \
    --create-subnetwork="" \
    --network=default \
    --zone=us-central1-a

Creazione di un deployment

I file manifest di esempio seguenti specificano i deployment che eseguono tre istanze di un server HTTP containerizzato. Il server HTTP risponde alle richieste con il nome host del server delle applicazioni, il nome del pod su cui è in esecuzione.

Ti consigliamo di utilizzare carichi di lavoro che utilizzano il feedback di idoneità dei pod, se disponibili nella versione di GKE in uso. Consulta la sezione Preparazione dei pod per ulteriori informazioni e la sezione Requisiti per i requisiti relativi alla versione di GKE per l'utilizzo del feedback sull'idoneità dei pod. Valuta la possibilità di eseguire l'upgrade del cluster per utilizzare il feedback di idoneità del pod.

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    run: neg-demo-app # Label for the Deployment
  name: neg-demo-app # Name of Deployment
spec:
  replicas: 3
  selector:
    matchLabels:
      run: neg-demo-app
  template: # Pod template
    metadata:
      labels:
        run: neg-demo-app # Labels Pods from this Deployment
    spec: # Pod specification; each Pod created by this Deployment has this specification
      containers:
      - image: registry.k8s.io/serve_hostname:v1.4 # Application to run in Deployment's Pods
        name: hostname
  

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    run: neg-demo-app # Label for the Deployment
  name: neg-demo-app # Name of Deployment
spec:
  minReadySeconds: 60 # Number of seconds to wait after a Pod is created and its status is Ready
  replicas: 3
  selector:
    matchLabels:
      run: neg-demo-app
  template: # Pod template
    metadata:
      labels:
        run: neg-demo-app # Labels Pods from this Deployment
    spec: # Pod specification; each Pod created by this Deployment has this specification
      containers:
      - image: registry.k8s.io/serve_hostname:v1.4 # Application to run in Deployment's Pods
        name: hostname
  

Salva questo manifest come neg-demo-app.yaml, quindi crea il deployment eseguendo questo comando:

kubectl apply -f neg-demo-app.yaml

Crea un servizio

Il seguente manifest specifica un servizio in cui:

• Qualsiasi pod con l'etichetta run: neg-demo-app è membro di questo servizio.
• Il servizio ha un campo ServicePort con porta 80.
• L'annotazione cloud.google.com/neg specifica che la porta 80 verrà associata a un NEG. Nel campo facoltativo name è specificato che il NEG verrà denominato NEG_NAME. Se il campo name viene omesso, verrà generato automaticamente un nome univoco. Per i dettagli, consulta la sezione Denominazione dei NEG.
• Ogni pod membro deve avere un container in ascolto sulla porta TCP 9376.

apiVersion: v1
kind: Service
metadata:
  name: neg-demo-svc
  annotations:
    cloud.google.com/neg: '{"exposed_ports": {"80":{"name": "NEG_NAME"}}}'
spec:
  type: ClusterIP
  selector:
    run: neg-demo-app # Selects Pods labelled run: neg-demo-app
  ports:
  - port: 80
    protocol: TCP
    targetPort: 9376

Sostituisci NEG_NAME con il nome del NEG. Il nome NEG deve essere univoco nella rispettiva area geografica.

Salva questo manifest come neg-demo-svc.yaml, quindi crea il servizio eseguendo questo comando:

kubectl apply -f neg-demo-svc.yaml

Un NEG viene creato entro pochi minuti dalla creazione del servizio.

Tipi di servizi

Anche se questo esempio utilizza un servizio ClusterIP, tutti e cinque i tipi di servizi supportano i NEG autonomi. Consigliamo il tipo predefinito ClusterIP.

Denominazione dei NEG

Nelle versioni 1.18.18-gke.1200 e successive di GKE, puoi specificare un nome personalizzato per i NEG oppure GKE può generare un nome automaticamente. Le versioni precedenti di GKE supportano solo i nomi NEG generati automaticamente.

GKE crea un NEG in ogni zona utilizzata dal cluster. I NEG utilizzano tutti lo stesso nome.

Specificare un nome

La specifica di un nome NEG personalizzato semplifica la configurazione del bilanciatore del carico perché conosci il nome e la zona o le zone del NEG in anticipo. I nomi NEG personalizzati devono soddisfare i seguenti requisiti:

• È univoco per la zona del cluster per i cluster di zona o univoco per la regione per i cluster a livello di regione.
• Non deve corrispondere al nome di un NEG esistente che non è stato creato dal controller NEG di GKE.
• Non deve contenere trattini bassi.

Utilizza il campo name nell'annotazione cloud.google.com/neg del servizio per specificare un nome NEG:

cloud.google.com/neg: '{"exposed_ports": {"80":{"name": "NEG_NAME"}}}'

Sostituisci NEG_NAME con il nome del NEG. Il nome NEG deve essere univoco nella rispettiva area geografica.

Utilizzo di un nome generato automaticamente

I nomi NEG generati automaticamente sono univoci. Per utilizzare un nome generato automaticamente, ometti il campo name:

cloud.google.com/neg: '{"exposed_ports": {"80":{}}}'

Il nome generato automaticamente ha il seguente formato:

k8s1-CLUSTER_UID-NAMESPACE-SERVICE-PORT-RANDOM_HASH

Mappatura delle porte a più NEG

Un servizio può ascoltare su più porte. Per definizione, i NEG hanno un solo indirizzo IP e una singola porta. Ciò significa che, se specifichi un servizio con più porte, verrà creato un NEG per ogni porta.

Il formato dell'annotazione cloud.google.com/neg è:

cloud.google.com/neg: '{
   "exposed_ports":{
      "SERVICE_PORT_1":{},
      "SERVICE_PORT_2":{},
      "SERVICE_PORT_3":{},
      ...
   }
 }'

In questo esempio, ogni istanza di SERVICE_PORT_N è un numero di porta distinto che si riferisce alle porte di servizio esistenti del Servizio. Per ogni porta di servizio elencata, il controller NEG crea un NEG in ogni zona occupata dal cluster.

Recuperare gli stati NEG

Utilizza il comando seguente per recuperare gli stati dei servizi del cluster:

kubectl get service neg-demo-svc -o yaml

L'output è simile al seguente:

cloud.google.com/neg-status: '{
   "network-endpoint-groups":{
      "SERVICE_PORT_1": "NEG_NAME_1",
      "SERVICE_PORT_2": "NEG_NAME_2",
      ...
   },
   "zones":["ZONE_1", "ZONE_2", ...]
}

In questo output, ogni elemento nella mappatura network-endpoint-groups è una porta di servizio (come SERVICE_PORT_1) e il nome dei NEG gestiti corrispondenti (ad esempio NEG_NAME_1). L'elenco zones contiene ogni zona (come ZONE_1) che include un NEG.

L'output è simile al seguente:

apiVersion: v1
kind: Service
metadata:
  annotations:
    cloud.google.com/neg: '{"exposed_ports": {"80":{}}}'
    cloud.google.com/neg-status: '{"network_endpoint_groups":{"80":"k8s1-cca197ad-default-neg-demo-app-80-4db81e02"},"zones":["us-central1-a", "us-central1-b"]}'
  labels:
    run: neg-demo-app
  name: neg-demo-app
  namespace: default
  selfLink: /api/v1/namespaces/default/services/neg-demo-app
  ...
spec:
  clusterIP: 10.0.14.252
  ports:
  - port: 80
    protocol: TCP
    targetPort: 9376
  selector:
    run: neg-demo-app
  sessionAffinity: None
status:
  loadBalancer: {}

In questo esempio, l'annotazione mostra che la porta di servizio 80 è esposta ai NEG denominati k8s1-cca197ad-default-neg-demo-app-80-4db81e02 nelle zone us-central1-a e us-central1-b.

Convalida la creazione NEG

Un NEG viene creato entro pochi minuti dalla creazione del servizio. Se sono presenti pod che corrispondono all'etichetta specificata nel manifest del servizio, al momento della creazione il NEG conterrà gli IP dei pod.

Esistono due modi per verificare che il NEG sia creato e configurato correttamente. In GKE 1.18.6-gke.6400 e versioni successive, una risorsa personalizzata ServiceNetworkEndpointGroup archivia le informazioni sullo stato dei NEG create dal controller del servizio. Nelle versioni precedenti, devi controllare direttamente i NEG.

La risorsa ServiceNetworkEndpointGroup

Elenca i NEG in un cluster recuperando tutte le ServiceNetworkEndpointGroup risorse:

kubectl get svcneg

Osserva lo stato di un NEG controllando lo stato della risorsa ServiceNetworkEndpointGroup:

kubectl get svcneg NEG_NAME -o yaml

Sostituisci NEG_NAME con il nome del NEG individuale che vuoi controllare.

L'output di questo comando include una sezione di stato che potrebbe contenere messaggi di errore. Alcuni errori vengono segnalati come evento di servizio. Per ulteriori dettagli, esegui una query sull'oggetto Service:

kubectl describe service SERVICE_NAME

Sostituisci SERVICE_NAME con il nome del servizio pertinente.

Per verificare che il controller NEG stia sincronizzando correttamente il NEG, controlla il campo di stato della risorsa ServiceNetworkEndpointGroup per una condizione con type:Synced. L'ora della sincronizzazione più recente è nel campo status.lastSyncTime.

Le risorse ServiceNetworkEndpointGroup esistono solo in GKE 1.18 e versioni successive.

Ispezione diretta dei NEG

Verifica l'esistenza del NEG elencando i NEG nel tuo progetto Google Cloud e cercando un NEG corrispondente al servizio che hai creato. Il nome del NEG ha il seguente formato:

k8s1-CLUSTER_UID-NAMESPACE-SERVICE-PORT-RANDOM_HASH

Utilizza il seguente comando per elencare i NEG:

gcloud compute network-endpoint-groups list

L'output è simile al seguente:

NAME                                          LOCATION       ENDPOINT_TYPE   SIZE
k8s1-70aa83a6-default-my-service-80-c9710a6f  us-central1-a  GCE_VM_IP_PORT  3

Questo output mostra che il SIZE del NEG è 3, il che significa che ha tre endpoint che corrispondono ai tre pod nel deployment.

Identifica i singoli endpoint con il seguente comando:

gcloud compute network-endpoint-groups list-network-endpoints NEG_NAME

Sostituisci NEG_NAME con il nome del NEG per cui vuoi visualizzare i singoli endpoint.

L'output mostra tre endpoint, ciascuno dei quali ha un indirizzo IP e una porta per un pod:

INSTANCE                                           IP_ADDRESS  PORT
gke-standard-cluster-3-default-pool-4cc71a15-qlpf  10.12.1.43  9376
gke-standard-cluster-3-default-pool-4cc71a15-qlpf  10.12.1.44  9376
gke-standard-cluster-3-default-pool-4cc71a15-w9nk  10.12.2.26  9376

Collegamento di un bilanciatore del carico HTTP(S) esterno a NEG autonomi

Puoi utilizzare i NEG come backend per un bilanciatore del carico HTTP(S) esterno utilizzando l'API Compute Engine.

1. Creare una regola firewall. I bilanciatori del carico devono accedere agli endpoint del cluster per eseguire i controlli di integrità. Questo comando crea una regola firewall per consentire l'accesso:

   gcloud compute firewall-rules create fw-allow-health-check-and-proxy \
      --network=NETWORK_NAME \
      --action=allow \
      --direction=ingress \
      --target-tags=GKE_NODE_NETWORK_TAGS \
      --source-ranges=130.211.0.0/22,35.191.0.0/16 \
      --rules=tcp:9376
   

   Sostituisci quanto segue:

   • NETWORK_NAME: la rete in cui viene eseguito il cluster.
   • GKE_NODE_NETWORK_TAGS: i tag di rete sui nodi GKE.

   Se non hai creato tag di rete personalizzati per i tuoi nodi, GKE genera automaticamente i tag per te. Per cercare questi tag generati, esegui il comando seguente:

   gcloud compute instances describe INSTANCE_NAME
   

   Sostituisci INSTANCE_NAME con il nome dell'istanza VM di Compute Engine che esegue il nodo GKE. Ad esempio, l'output nella sezione precedente mostra i nomi delle istanze nella colonna INSTANCE per i nodi GKE. Per i cluster standard, puoi anche eseguire gcloud compute instances list per elencare tutte le istanze nel progetto.

2. Crea un indirizzo IP virtuale globale per il bilanciatore del carico:

   gcloud compute addresses create hostname-server-vip \
       --ip-version=IPV4 \
       --global
   

3. Creare un controllo di integrità. Viene utilizzato dal bilanciatore del carico per rilevare l'attività dei singoli endpoint all'interno del NEG.

   gcloud compute health-checks create http http-basic-check \
       --use-serving-port
   

4. Crea un servizio di backend che specifichi che si tratta di un bilanciatore del carico HTTP(S) esterno globale:

   gcloud compute backend-services create my-bes \
       --protocol HTTP \
       --health-checks http-basic-check \
       --global
   

5. Crea una mappa URL e un proxy target per il bilanciatore del carico. Questo esempio è molto semplice perché l'app serve_hostname utilizzata per questa guida ha un singolo endpoint e non contiene URL.

   gcloud compute url-maps create web-map \
       --default-service my-bes
   

   gcloud compute target-http-proxies create http-lb-proxy \
       --url-map web-map
   

6. Crea una regola di inoltro. È questo che crea il bilanciatore del carico.

   gcloud compute forwarding-rules create http-forwarding-rule \
       --address=HOSTNAME_SERVER_VIP \
       --global \
       --target-http-proxy=http-lb-proxy \
       --ports=80
   

   Sostituisci HOSTNAME_SERVER_VIP con l'indirizzo IP da utilizzare per il bilanciatore del carico. A questo scopo, puoi prenotare un nuovo indirizzo IP esterno statico. Puoi anche omettere l'opzione --address e verrà assegnato automaticamente un indirizzo IP temporaneo.

Check Point

Ecco le risorse che hai creato finora:

• Un indirizzo IP virtuale esterno
• Le regole di forwarding
• Le regole firewall
• Il proxy HTTP di destinazione
• L'URL mappa il controllo di integrità di Compute Engine
• Il servizio di backend
• Controllo di integrità di Compute Engine

La relazione tra queste risorse è illustrata nel seguente diagramma:

Queste risorse insieme sono un bilanciatore del carico. Nel passaggio successivo aggiungerai backend al bilanciatore del carico.

Uno dei vantaggi dei NEG autonomi dimostrati qui è che i cicli di vita del bilanciatore del carico e del backend possono essere completamente indipendenti. Il bilanciatore del carico può continuare a essere eseguito dopo l'eliminazione dell'applicazione, dei servizi o del cluster GKE. Puoi aggiungere e rimuovere nuovi NEG o più NEG dal bilanciatore del carico senza modificare gli oggetti del bilanciatore del carico del frontend.

Aggiungi backend al bilanciatore del carico

Utilizza gcloud compute backend-services add-backend per connettere il NEG al bilanciatore del carico aggiungendolo come backend del servizio di backend my-bes:

gcloud compute backend-services add-backend my-bes \
    --global \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-zone=NEG_ZONE \
    --balancing-mode RATE --max-rate-per-endpoint 5

Sostituisci quanto segue:

• NEG_NAME: il nome del gruppo di endpoint di rete. Il nome è il nome specificato durante la creazione del NEG o un nome generato automaticamente. Se non hai specificato un nome per il NEG, consulta le seguenti istruzioni per trovare il nome generato automaticamente.
• NEG_ZONE: la zona in cui si trova il gruppo di endpoint di rete. Per trovare questo valore, segui le istruzioni riportate di seguito.

Utilizza questo comando per ottenere il nome e la posizione del NEG:

gcloud compute network-endpoint-groups list

L'output è simile al seguente:

NAME                                          LOCATION       ENDPOINT_TYPE   SIZE
k8s1-70aa83a6-default-my-service-80-c9710a6f  us-central1-a  GCE_VM_IP_PORT  3

In questo output di esempio, il nome del NEG è k8s1-70aa83a6-default-my-service-80-c9710a6f e si trova nella zona us-central1-a.

È possibile aggiungere più NEG allo stesso servizio di backend. I servizi di backend globali come my-bes possono avere backend NEG in aree geografiche diverse, mentre i servizi di backend regionali devono avere backend in un'unica area geografica.

Convalida che il bilanciatore del carico funzioni

Esistono due modi per verificare che il bilanciatore del carico che hai configurato funzioni:

• Verificare che il controllo di integrità sia configurato correttamente e che il report sia integro.
• Accedi all'applicazione e verifica la risposta.

Verificare i controlli di integrità

Verifica che il servizio di backend sia associato ai controllo di integrità e ai gruppi di endpoint di rete e che i singoli endpoint siano in stato integro.

Utilizza questo comando per verificare che il servizio di backend sia associato al controllo di integrità e al gruppo di endpoint di rete:

gcloud compute backend-services describe my-bes --global

L'output è simile al seguente:

backends:
- balancingMode: RATE
  capacityScaler: 1.0
  group: ... /networkEndpointGroups/k8s1-70aa83a6-default-my-service-80-c9710a6f
...
healthChecks:
- ... /healthChecks/http-basic-check
...
name: my-bes
...

Quindi, controlla l'integrità dei singoli endpoint:

gcloud compute backend-services get-health my-bes --global

La sezione status: dell'output è simile al seguente:

status:
  healthStatus:
  - healthState: HEALTHY
    instance: ... gke-standard-cluster-3-default-pool-4cc71a15-qlpf
    ipAddress: 10.12.1.43
    port: 50000
  - healthState: HEALTHY
    instance: ... gke-standard-cluster-3-default-pool-4cc71a15-qlpf
    ipAddress: 10.12.1.44
    port: 50000
  - healthState: HEALTHY
    instance: ... gke-standard-cluster-3-default-pool-4cc71a15-w9nk
    ipAddress: 10.12.2.26
    port: 50000

Accedere all'applicazione

Accedi all'applicazione tramite l'indirizzo IP del bilanciatore del carico per confermare che tutto funzioni.

Innanzitutto, recupera l'indirizzo IP virtuale del bilanciatore del carico:

gcloud compute addresses describe hostname-server-vip --global | grep "address:"

L'output include un indirizzo IP. Invia una richiesta all'indirizzo IP (34.98.102.37 in questo esempio):

curl 34.98.102.37

La risposta dell'app serve_hostname dovrebbe essere neg-demo-app.

Collegamento di un bilanciatore del carico HTTP(S) interno a NEG autonomi

Puoi utilizzare i NEG per configurare un bilanciatore del carico HTTP(S) interno per i servizi in esecuzione in pod GKE autonomi.

Configurazione della subnet solo proxy

La subnet solo proxy è per tutti i bilanciatori del carico HTTP(S) interni nella regione di questo bilanciatore del carico, in questo esempio us-west1.

gcloud compute networks subnets create proxy-only-subnet \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=us-west1 \
    --network=lb-network \
    --range=10.129.0.0/23

POST https://compute.googleapis.com/compute/projects/PROJECT_ID/regions/us-west1/subnetworks

{
  "name": "proxy-only-subnet",
  "ipCidrRange": "10.129.0.0/23",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "region": "projects/PROJECT_ID/regions/us-west1",
  "purpose": "REGIONAL_MANAGED_PROXY",
  "role": "ACTIVE"
}

Configurazione delle regole del firewall

In questo esempio vengono utilizzate le seguenti regole firewall:

• fw-allow-ssh: una regola in entrata, applicabile alle istanze in fase di bilanciamento del carico, che consente la connettività SSH in entrata sulla porta TCP 22 da qualsiasi indirizzo. Puoi scegliere un intervallo IP di origine più restrittivo per questa regola. Ad esempio, puoi specificare solo gli intervalli IP del sistema da cui avvii le sessioni SSH. In questo esempio viene utilizzato il tag di destinazione allow-ssh per identificare le VM a cui si applica la regola firewall.

• fw-allow-health-check: una regola in entrata, applicabile alle istanze in fase di bilanciamento del carico, che consente a tutto il traffico TCP proveniente dai sistemi di controllo di integrità di Google Cloud (in 130.211.0.0/22 e 35.191.0.0/16). In questo esempio viene utilizzato il tag di destinazione load-balanced-backend per identificare le istanze a cui deve essere applicato.

• fw-allow-proxies: una regola in entrata, applicabile alle istanze bilanciate del carico, che consente il traffico TCP sulla porta 9376 dai proxy gestiti del bilanciatore del carico HTTP(S) interno. Questo esempio utilizza il tag di destinazione load-balanced-backend per identificare le istanze a cui applicare.

Senza queste regole firewall, la regola default innega blocca il traffico in entrata verso le istanze di backend.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls

{
  "name": "fw-allow-ssh",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "sourceRanges": [
    "0.0.0.0/0"
  ],
  "targetTags": [
    "allow-ssh"
  ],
  "allowed": [
   {
     "IPProtocol": "tcp",
     "ports": [
       "22"
     ]
   }
  ],
 "direction": "INGRESS"
}

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls

{
  "name": "fw-allow-health-check",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "sourceRanges": [
    "130.211.0.0/22",
    "35.191.0.0/16"
  ],
  "targetTags": [
    "load-balanced-backend"
  ],
  "allowed": [
    {
      "IPProtocol": "tcp"
    }
  ],
  "direction": "INGRESS"
}

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls

{
  "name": "fw-allow-proxies",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "sourceRanges": [
    "10.129.0.0/23"
  ],
  "targetTags": [
    "load-balanced-backend"
  ],
  "allowed": [
    {
      "IPProtocol": "tcp",
      "ports": [
        "9376"
      ]
    }
  ],
  "direction": "INGRESS"
}

Configurazione del bilanciatore del carico

Per l'indirizzo IP della regola di forwarding, utilizza una subnet di backend. Se provi a utilizzare la subnet solo proxy, la creazione della regola di forwarding non va a buon fine.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/healthChecks

{
   "name": "l7-ilb-gke-basic-check",
   "type": "HTTP",
   "httpHealthCheck": {
     "portSpecification": "USE_SERVING_PORT"
   }
}

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices

{
  "name": "l7-ilb-gke-backend-service",
  "backends": [
    {
      "group": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/zones/us-west1-b/networkEndpointGroups/NEG_NAME",
      "balancingMode": "RATE",
      "maxRatePerEndpoint": 5
    }
  ],
  "healthChecks": [
    "projects/PROJECT_ID/regions/us-west1/healthChecks/l7-ilb-gke-basic-check"
  ],
  "loadBalancingScheme": "INTERNAL_MANAGED"
}

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/urlMaps

{
  "name": "l7-ilb-gke-map",
  "defaultService": "projects/PROJECT_ID/regions/us-west1/backendServices/l7-ilb-gke-backend-service"
}

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/targetHttpProxy

{
  "name": "l7-ilb-gke-proxy",
  "urlMap": "projects/PROJECT_ID/global/urlMaps/l7-ilb-gke-map",
  "region": "us-west1"
}

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules

{
  "name": "l7-ilb-gke-forwarding-rule",
  "IPAddress": "10.1.2.199",
  "IPProtocol": "TCP",
  "portRange": "80-80",
  "target": "projects/PROJECT_ID/regions/us-west1/targetHttpProxies/l7-ilb-gke-proxy",
  "loadBalancingScheme": "INTERNAL_MANAGED",
  "subnetwork": "projects/PROJECT_ID/regions/us-west1/subnetworks/backend-subnet",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "networkTier": "PREMIUM",
}

Test

Crea un'istanza VM nella zona per testare la connettività:

gcloud compute instances create l7-ilb-client-us-west1-b \
    --image-family=debian-9 \
    --image-project=debian-cloud \
    --zone=us-west1-b \
    --network=lb-network \
    --subnet=backend-subnet \
    --tags=l7-ilb-client,allow-ssh

Accedi all'istanza client per verificare che i servizi HTTP(S) sui backend siano raggiungibili tramite l'indirizzo IP della regola di forwarding del bilanciatore del carico HTTP(S) interno e che il traffico venga bilanciato dal carico tra gli endpoint nel NEG.

Connettiti a ogni istanza client tramite SSH:

gcloud compute ssh l7-ilb-client-us-west1-b \
    --zone=us-west1-b

Verifica che l'IP fornisca il proprio nome host:

curl 10.1.2.199

Per i test HTTPS, esegui il comando seguente:

curl -k -s 'https://test.example.com:443' --connect-to test.example.com:443:10.1.2.199:443

Il flag -k fa sì che curl salti la convalida del certificato.

Esegui 100 richieste e verifica che siano bilanciate nel carico.

Per HTTP:

{
RESULTS=
for i in {1..100}
do
    RESULTS="$RESULTS:$(curl --silent 10.1.2.199)"
done
echo "***"
echo "*** Results of load-balancing to 10.1.2.199: "
echo "***"
echo "$RESULTS" | tr ':' '\n' | grep -Ev "^$" | sort | uniq -c
echo
}

Per HTTPS:

{
RESULTS=
for i in {1..100}
do
    RESULTS="$RESULTS:$(curl -k -s 'https://test.example.com:443' --connect-to test.example.com:443:10.1.2.199:443
)"
done
echo "***"
echo "*** Results of load-balancing to 10.1.2.199: "
echo "***"
echo "$RESULTS" | tr ':' '\n' | grep -Ev "^$" | sort | uniq -c
echo
}

Implementazione di servizi eterogenei (VM e container)

I bilanciatori del carico possono essere da frontend per carichi di lavoro Kubernetes e non Kubernetes misti. Questo potrebbe far parte di una migrazione dalle VM ai container o di un'architettura permanente che trae vantaggio da un bilanciatore del carico condiviso. Questo può essere ottenuto creando bilanciatori del carico che abbiano come target diversi tipi di backend, inclusi i NEG autonomi.

VM e container nello stesso servizio di backend

Questo esempio mostra come creare un NEG che punti a una VM esistente che esegue un carico di lavoro e come aggiungere questo NEG come un altro backend di un backendService esistente. In questo modo, un singolo bilanciatore del carico bilancia tra VM e container GKE.

Questo esempio estende l'esempio precedente che utilizza un bilanciatore del carico HTTP esterno.

Poiché tutti gli endpoint sono raggruppati con lo stesso backendService, gli endpoint VM e container sono considerati lo stesso servizio. Ciò significa che la corrispondenza host/percorso tratterà tutti i backend in modo identico in base alle regole della mappa URL.

Quando utilizzi un NEG come backend per un servizio di backend, anche tutti gli altri backend in quel servizio devono essere NEG. Non puoi utilizzare gruppi di istanze e NEG come backend nello stesso servizio di backend. Inoltre, i container e le VM non possono esistere come endpoint all'interno dello stesso NEG, quindi devono essere sempre configurati con NEG separati.

1. Esegui il deployment di una VM in Compute Engine con questo comando:

   gcloud compute instances create vm1 \
       --zone=ZONE \
       --network=NETWORK \
       --subnet=SUBNET \
       --image-project=cos-cloud \
       --image-family=cos-stable --tags=vm-neg-tag
   

   Sostituisci quanto segue:

   • ZONE: il nome della zona.
   • NETWORK: il nome della rete.
   • SUBNET: il nome della subnet associata alla rete.

2. Esegui il deployment di un'applicazione nella VM:

   gcloud compute ssh vm1 \
       --zone=ZONE \
       --command="docker run -d --rm --network=host registry.k8s.io/serve_hostname:v1.4 && sudo iptables -P INPUT ACCEPT"
   

   Questo comando esegue il deployment sulla VM della stessa applicazione di esempio utilizzata nell'esempio precedente. Per semplicità, l'applicazione viene eseguita come container Docker, ma non è essenziale. Il comando iptables è necessario per consentire l'accesso del firewall al container in esecuzione.

3. Verifica che l'applicazione sia pubblicata sulla porta 9376 e che indichi che è in esecuzione su vm1:

   gcloud compute ssh vm1 \
       --zone=ZONE \
       --command="curl -s localhost:9376"
   

   Il server dovrebbe rispondere con vm1.

4. Crea un NEG da utilizzare con l'endpoint VM. I container e le VM possono essere entrambi endpoint NEG, ma un singolo NEG non può avere endpoint VM e container.

   gcloud compute network-endpoint-groups create vm-neg \
       --subnet=SUBNET \
       --zone=ZONE
   

5. Collega l'endpoint della VM al NEG:

   gcloud compute network-endpoint-groups update vm-neg \
       --zone=ZONE \
       --add-endpoint="instance=vm1,ip=VM_PRIMARY_IP,port=9376"
   

   Sostituisci VM_PRIMARY_IP con l'indirizzo IP principale della VM.

6. Verifica che il NEG disponga dell'endpoint VM:

   gcloud compute network-endpoint-groups list-network-endpoints vm-neg \
       --zone ZONE
   

7. Allega il NEG al servizio di backend utilizzando lo stesso comando che hai utilizzato per aggiungere un backend del container:

   gcloud compute backend-services add-backend my-bes
       --global \
       --network-endpoint-group vm-neg \
       --network-endpoint-group-zone ZONE \
       --balancing-mode RATE --max-rate-per-endpoint 10
   

8. Apri il firewall per consentire il controllo di integrità della VM:

   gcloud compute firewall-rules create fw-allow-health-check-to-vm1 \
       --network=NETWORK \
       --action=allow \
       --direction=ingress \
       --target-tags=vm-neg-tag \
       --source-ranges=130.211.0.0/22,35.191.0.0/16 \
       --rules=tcp:9376
   

9. Verifica che il bilanciatore del carico inoltri il traffico al nuovo backend vm1 e al backend del container esistente inviando il traffico di prova:

   for i in `seq 1 100`; do curl ${VIP};echo; done
   

   Dovresti vedere le risposte degli endpoint sia del container (neg-demo-app) che della VM (vm1).

VM e container per diversi servizi di backend

Questo esempio mostra come creare un NEG che punti a una VM esistente che esegue un carico di lavoro e come aggiungere questo NEG come backend a un nuovo backendService. Questo è utile nel caso in cui container e VM siano servizi diversi, ma debbano condividere lo stesso bilanciatore del carico L7, ad esempio se i servizi condividono lo stesso indirizzo IP o lo stesso nome di dominio.

Questo esempio estende l'esempio precedente che ha un backend VM nello stesso servizio di backend del backend container. In questo esempio la VM viene riutilizzata.

Poiché il container e gli endpoint VM sono raggruppati in servizi di backend separati, sono considerati servizi diversi. Ciò significa che la mappa URL corrisponderà ai backend e reindirizzerà il traffico alla VM o al container in base al nome host.

Il seguente diagramma mostra in che modo un singolo indirizzo IP virtuale corrisponde a due nomi host, che a loro volta corrispondono a un servizio di backend basato su container e a un servizio di backend basato su VM.

Il seguente diagramma mostra l'architettura descritta nella sezione precedente:

1. Crea un nuovo servizio di backend per la VM:

   gcloud compute backend-services create my-vm-bes \
      --protocol HTTP \
      --health-checks http-basic-check \
      --global
   

2. Collega il NEG per la VM vm-neg al servizio di backend:

   gcloud compute backend-services add-backend my-vm-bes \
       --global \
       --network-endpoint-group vm-neg \
       --network-endpoint-group-zone ZONE \
       --balancing-mode RATE --max-rate-per-endpoint 10
   

3. Aggiungi una regola host alla mappa URL per indirizzare le richieste per l'host container.example.com al servizio di backend del container:

   gcloud compute url-maps add-path-matcher web-map \
       --path-matcher-name=container-path --default-service=my-bes \
       --new-hosts=container.example.com --global
   

4. Aggiungi un'altra regola host la mappa URL per indirizzare le richieste per l'host vm.example.com al servizio di backend VM:

   gcloud compute url-maps add-path-matcher web-map \
       --path-matcher-name=vm-path --default-service=my-vm-bes \
       --new-hosts=vm.example.com --global
   

5. Verifica che il bilanciatore del carico invii traffico al backend della VM in base al percorso richiesto:

   curl -H "HOST:vm.example.com" VIRTUAL_IP
   

   Sostituisci VIRTUAL_IP con l'indirizzo IP virtuale.

Limitazioni dei NEG autonomi

• Gli errori di convalida delle annotazioni vengono esposti all'utente tramite gli eventi Kubernetes.
• I limiti dei NEG si applicano anche ai NEG autonomi.
• I NEG autonomi non funzionano con le reti legacy.
• I NEG autonomi possono essere utilizzati solo con i servizi di rete compatibili, tra cui Traffic Director e i tipi di bilanciatore del carico compatibili.

Prezzi

Per maggiori dettagli sui prezzi del bilanciatore del carico, consulta la sezione relativa al bilanciamento del carico della pagina dei prezzi. Non sono previsti costi aggiuntivi per i NEG.

Risolvere i problemi

Nessun NEG autonomo configurato

Sintomo: non è stato creato alcun NEG.

Potenziale risoluzione:

• Controlla gli eventi associati al servizio e cerca i messaggi di errore.
• Verifica che l'annotazione NEG autonoma sia in formato JSON corretto e che le porte esposte corrispondano alle porte esistenti nella specifica del servizio.
• Verifica l'annotazione di stato del NEG e controlla se le porte di servizio previste hanno NEG corrispondenti.
• Verifica che i NEG siano stati creati nelle zone previste, con il comando gcloud compute network-endpoint-groups list.
• Se utilizzi GKE 1.18 o versioni successive, controlla se esiste la risorsa svcneg per il servizio. In questo caso, controlla se nella condizione Initialized sono presenti informazioni sull'errore.
• Se utilizzi nomi NEG personalizzati, assicurati che ogni nome NEG sia univoco nella relativa area geografica.

Il traffico non raggiunge gli endpoint

Sintomo: errori 502 o connessioni rifiutate.

Potenziale risoluzione:

• Dopo la configurazione del servizio, i nuovi endpoint diventano generalmente raggiungibili dopo il loro collegamento al NEG, a condizione che rispondano ai controlli di integrità.
• Se trascorso questo periodo di tempo il traffico non è ancora in grado di raggiungere gli endpoint e viene restituito il codice di errore 502 per HTTP(S) o il rifiuto delle connessioni per i bilanciatori del carico TCP/SSL, verifica quanto segue:
  • Verifica che le regole firewall consentano il traffico TCP in entrata verso i tuoi endpoint dai seguenti intervalli: 130.211.0.0/22 e 35.191.0.0/16.
  • Verifica che i tuoi endpoint siano in stato integro utilizzando l'interfaccia a Google Cloud CLI o chiamando l'API getHealth su backendService o l'API listEndpoints sul NEG con il parametro showHealth impostato su SHOW.

Implementazione bloccata

Sintomo: l'implementazione di un blocco di deployment aggiornato e il numero di repliche aggiornate non corrisponde al numero di repliche desiderato.

Potenziale risoluzione:

I controlli di integrità del deployment non vanno a buon fine. L'immagine container potrebbe essere errata o il controllo di integrità potrebbe essere configurato in modo errato. La sostituzione continua dei pod attende finché il pod appena avviato non supera il gate di preparazione al pod. Questo si verifica solo se il pod risponde ai controlli di integrità del bilanciatore del carico. Se il pod non risponde o se il controllo di integrità è configurato in modo errato, non è possibile soddisfare le condizioni del gate di idoneità e l'implementazione non può continuare.

• Se utilizzi kubectl 1.13 o versioni successive, puoi controllare lo stato delle porte di idoneità di un pod con il seguente comando:

  kubectl get my-Pod -o wide
  

  Controlla la colonna GATE DI PRONTO.

  Questa colonna non esiste in kubectl 1.12 e versioni precedenti. Un pod contrassegnato come in stato PRONTO potrebbe avere un gate di idoneità non riuscito. Per verificarlo, utilizza il comando seguente:

  kubectl get my-pod -o yaml
  

  I limiti di recupero e il loro stato sono elencati nell'output.

• Verifica che l'immagine container nella specifica dei pod del tuo deployment funzioni correttamente e che sia in grado di rispondere ai controlli di integrità.

• Verifica che i controlli di integrità siano configurati correttamente.

Il NEG non è spazzatura

Sintomo: esiste ancora un NEG che avrebbe dovuto essere eliminato.

Potenziale risoluzione:

• Il NEG non è spazzatura se il NEG è utilizzato da un servizio di backend. Per maggiori dettagli, consulta Prevenire le perdite di NEG.
• Se utilizzi 1.18 o versioni successive, puoi controllare gli eventi nella risorsa ServiceNetworkEndpointGroup utilizzando questa procedura.
• Verifica se il NEG è ancora necessario per un servizio. Controlla la risorsa svcneg per il servizio corrispondente al NEG e controlla se esiste un'annotazione di servizio.

Il NEG non è sincronizzato con il servizio

Sintomo: gli endpoint previsti (IP pod) non esistono nel NEG, il NEG non è sincronizzato o l'errore Failed to sync NEG_NAME (will not retry): neg name NEG_NAME is already in use, found a custom named neg with an empty description

Potenziale risoluzione:

Se utilizzi GKE 1.18 o versioni successive, consulta la risorsa svcneg per informazioni:

• Controlla il valore status.lastSyncTime per verificare se il NEG è stato sincronizzato di recente.
• Controlla la condizione Synced per verificare se sono presenti errori che si sono verificati nella sincronizzazione più recente.

Se utilizzi GKE 1.19.9 o versioni successive, verifica se esiste un NEG il cui nome e la zona corrispondono al nome e alla zona del NEG che il controller NEG di GKE deve creare. Ad esempio, un NEG con il nome che il controller NEG deve utilizzare potrebbe essere stato creato utilizzando gcloud CLI o la console Google Cloud nella zona del cluster (o una delle zone del cluster). In questo caso, devi eliminare il NEG esistente prima che il controller NEG possa sincronizzare i suoi endpoint. La creazione e l'iscrizione NEG indipendenti sono progettate per essere gestite dal controller NEG.

Passaggi successivi

• Concetti di bilanciamento del carico HTTP(S)
• Panoramica dei gruppi di endpoint di rete a livello di zona
• Servizi di backend
• Creazione di controlli di integrità
• Utilizzo dei proxy di destinazione
• Utilizzare le regole di forwarding