- Le réseau de cloud privé virtuel (VPC) par défaut
- Un groupe d'instances géré Compute Engine
- Un port nommé qui spécifie le port 80 pour le trafic backend
- Un mappage d'URL par défaut
- Une vérification de l'état du backend simple
- Une règle de transfert de l'interface simple
- Une adresse IP externe réservée
- Un certificat SSL
Pour obtenir un exemple multirégional basé sur le contenu incluant la configuration d'IPv6 et de certificats SSL, consultez la page Configurer un équilibreur de charge HTTPS externe multirégional basé sur le contenu.
Pour des concepts généraux, consultez la présentation de l'équilibrage de charge HTTP(S) externe.
Si vous utilisez GKE, l'équilibreur de charge est généralement configuré par le contrôleur Ingress (contrôleur d'entrée) de Kubernetes. Pour plus d'informations, consultez la page Configurer Ingress pour l'équilibrage de charge externe.
Topologie d'équilibreur de charge HTTPS
Dans ce guide, vous créez la configuration illustrée dans le schéma suivant.
La séquence d'événements du diagramme est la suivante :
- Un client envoie une requête de contenu à l'adresse IPv4 externe définie dans la règle de transfert.
- La règle de transfert dirige la requête vers le proxy HTTPS cible.
- Le proxy cible utilise la règle du mappage d'URL pour identifier le service de backend unique qui reçoit toutes les requêtes.
- L'équilibreur de charge détermine que le service de backend ne possède qu'un seul groupe d'instances et dirige la requête vers une instance de machine virtuelle (VM) de ce groupe.
- La VM diffuse le contenu demandé par l'utilisateur.
Avant de commencer
Assurez-vous que votre configuration remplit les conditions préalables.
Configurer une ressource de certificat SSL
Créez une ressource de certificat SSL, comme décrit dans les articles suivants :
Nous vous recommandons d'utiliser un certificat géré par Google.
Dans cet exemple, nous partons du principe que vous disposez déjà d'une ressource de certificat SSL nommée www-ssl-cert
.
Configurer les autorisations
Pour suivre la procédure de ce guide, vous devez être autorisé à créer des instances Compute Engine, des règles de pare-feu et des adresses IP réservées au sein d'un projet. Vous devez disposer d'un rôle de propriétaire ou d'éditeur de projet, ou des rôles IAM Compute Engine suivants :
Tâche | Rôle requis |
---|---|
Créer des instances | Administrateur d'instances |
Ajouter et supprimer des règles de pare-feu | Administrateur de sécurité |
Créer des composants pour l'équilibreur de charge | Administrateur réseau |
Créer un projet (facultatif) | Créateur de projet |
Pour en savoir plus, consultez les guides suivants :
- Access control (Contrôle des accès)
- Conditions IAM
Créer un groupe d'instances géré
Pour que vous puissiez configurer un équilibreur de charge avec un backend Compute Engine, vos VM doivent appartenir à un groupe d'instances. Ce guide explique comment créer un groupe d'instances géré avec des VM Linux exécutant Apache, ainsi que comment configurer l'équilibrage de charge.
Le groupe d'instances géré fournit des VM exécutant les serveurs de backend d'un équilibreur de charge HTTPS externe. À des fins de démonstration, les backends diffusent leurs propres noms d'hôte.Console
- Dans Google Cloud Console, accédez à la page Groupes d'instances.
- Cliquez sur Créer un groupe d'instances.
- Sur la gauche, sélectionnez Nouveau groupe d'instances géré.
- Dans le champ Nom, saisissez
lb-backend-example
. - Pour l'emplacement, sélectionnez Zone unique.
- Pour Région, sélectionnez la région de votre choix. Cet exemple utilise
us-east1
. - Pour Zone, sélectionnez us-east1-b.
- Dans la section Modèle d'instance, sélectionnez Créer un modèle d'instance.
- Dans le champ Nom, saisissez
lb-backend-template
. - Assurez-vous que le disque de démarrage est défini sur une image Debian, telle que Debian GNU/Linux 9 (Stretch). Ces instructions utilisent des commandes uniquement disponibles dans Debian, comme
apt-get
. Sous Gestion, sécurité, disques, mise en réseau et location unique, dans l'onglet Gestion, insérez le script suivant dans le champ Script de démarrage.
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://169.254.169.254/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html
Dans l'onglet Réseau, ajoutez les tags réseau suivants :
allow-health-check
Cliquez sur Enregistrer et continuer.
Sous Mode autoscaling, sélectionnez Ne pas procéder à un autoscaling.
Sous Nombre d'instances, saisissez
2
.Pour créer le groupe d'instances, cliquez sur Créer.
gcloud
Créez le modèle.
gcloud compute instance-templates create lb-backend-template \ --region=us-east1 \ --network=default \ --subnet=default \ --tags=allow-health-check \ --image-family=debian-9 \ --image-project=debian-cloud \ --metadata=startup-script='#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://169.254.169.254/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html systemctl restart apache2'
Créez un groupe d'instances géré basé sur ce modèle.
gcloud compute instance-groups managed create lb-backend-example \ --template=lb-backend-template --size=2 --zone=us-east1-b
Ajouter un port nommé au groupe d'instances
Pour votre groupe d'instances, définissez un service HTTP et mappez un nom de port sur le port correspondant. Une fois configuré, le service d'équilibrage de charge transfère le trafic vers le port nommé.
Console
- Dans Google Cloud Console, accédez à la page Groupes d'instances.
- Cliquez sur le nom de votre groupe d'instances (dans cet exemple
lb-backend-example
), puis sur Modifier le groupe. - Cliquez sur Préciser le mappage des noms des ports.
- Cliquez sur Ajouter un élément.
- Pour le nom du port, saisissez
http
. Pour le numéro de port, saisissez80
. - Cliquez sur Enregistrer.
gcloud
Exécutez la commande gcloud compute instance-groups
set-named-ports
.
gcloud compute instance-groups set-named-ports lb-backend-example \ --named-ports http:80 \ --zone us-east1-b
Configurer une règle de pare-feu
Dans cet exemple, vous créez la règle de pare-feu fw-allow-health-check
.
Il s'agit d'une règle d'entrée qui autorise le trafic provenant des systèmes de vérification d'état Google Cloud (130.211.0.0/22
et 35.191.0.0/16
). Cet exemple utilise le tag cible allow-health-check
pour identifier les VM.
Console
- Dans Google Cloud Console, accédez à la page Pare-feu.
- Cliquez sur Créer une règle de pare-feu pour créer la deuxième règle de pare-feu :
- Dans le champ Nom, saisissez
fw-allow-health-check
. - Sous Réseau, sélectionnez Par défaut.
- Sous Cibles, sélectionnez Tags cibles spécifiés.
- Dans le champ Tags cibles, saisissez
allow-health-check
. - Définissez Filtre source sur Plages d'adresses IP.
- Définissez Plages d'adresses IP sources sur
130.211.0.0/22
et35.191.0.0/16
. - Dans Protocoles et ports, sélectionnez Protocoles et ports spécifiés.
- Cochez la case tcp, puis saisissez
80
pour les numéros de port. - Cliquez sur Créer.
gcloud
gcloud compute firewall-rules create fw-allow-health-check \ --network=default \ --action=allow \ --direction=ingress \ --source-ranges=130.211.0.0/22,35.191.0.0/16 \ --target-tags=allow-health-check \ --rules=tcp:80
Réserver une adresse IP externe
Maintenant que vos instances sont opérationnelles, configurez une adresse IP externe statique globale que vos clients utiliseront pour accéder à votre équilibreur de charge.
Console
- Dans Google Cloud Console, accédez à la page Adresses IP externes.
- Pour réserver une adresse IPv4, cliquez sur Réserver une adresse statique.
- Dans le champ Nom, saisissez
lb-ipv4-1
. - Définissez Niveau de service réseau sur Premium.
- Définissez Version IP sur IPv4.
- Définissez Type sur Global.
- Cliquez sur Réserver.
gcloud
gcloud compute addresses create lb-ipv4-1 \ --ip-version=IPV4 \ --global
Notez l'adresse IPv4 réservée :
gcloud compute addresses describe lb-ipv4-1 \ --format="get(address)" \ --global
Configurer l'équilibreur de charge
Dans cet exemple, vous utilisez le protocole HTTPS entre le client et l'équilibreur de charge. Vous devez donc disposer d'une ou plusieurs ressources de certificat SSL pour configurer le proxy. Nous vous recommandons d'utiliser un certificat géré par Google.Console
-
Dans Google Cloud Console, accédez à la page Équilibrage de charge.
- Cliquez sur Create load balancer (Créer un équilibreur de charge).
- Dans la section Équilibrage de charge HTTP(S), cliquez sur Démarrer la configuration.
- Sélectionnez D'Internet vers mes VM, puis cliquez sur Continuer.
- Attribuez le nom
web-map-https
à l'équilibreur de charge. - Cliquez sur Configuration du backend.
- Sous Créer ou sélectionner des services de backend et des buckets backend, sélectionnez Services de backend > Créer un service de backend.
- Ajoutez un nom pour votre service de backend (par exemple,
web-backend-service
). - Sous Protocole, sélectionnez HTTP.
- Pour le port nommé, saisissez
http
. - Dans la section Backends > Nouveau backend > Groupe d'instances, sélectionnez le groupe d'instances
lb-backend-example
. - Pour le champ Numéros de ports, saisissez
80
. - Conservez les autres paramètres par défaut.
- Sous Vérification d'état, sélectionnez Créer une vérification d'état, puis attribuez-lui un nom, tel que
http-basic-check
. - Définissez le protocole sur HTTP, puis cliquez sur Enregistrer et continuer.
- Conservez les autres paramètres par défaut.
- Cliquez sur Créer.
- Dans Règles d'hôte et de chemin d'accès, conservez les paramètres par défaut.
- Dans Configuration de l'interface, utilisez les valeurs suivantes :
- Définissez Protocole sur HTTPS.
- Définissez Adresse IP sur
lb-ipv4-1
, que vous avez créé précédemment. - Assurez-vous que le paramètre Port est défini sur 443 pour autoriser le trafic HTTPS.
- Cliquez sur la liste déroulante Certificat, puis sélectionnez votre certificat SSL principal.
- Cliquez sur OK.
- Cliquez sur Review and finalize (Vérifier et finaliser).
- Une fois la configuration de l'équilibreur de charge terminée, cliquez sur Créer.
- Attendez que l'équilibreur de charge soit créé.
- Cliquez sur le nom de l'équilibreur de charge.
- Sur l'écran Détails de l'équilibreur de charge, notez la valeur IP:Port correspondant à votre équilibreur de charge.
gcloud
- Créez une vérification d'état.
gcloud compute health-checks create http http-basic-check \ --port 80
- Créez un service de backend.
gcloud compute backend-services create web-backend-service \ --protocol=HTTP \ --port-name=http \ --health-checks=http-basic-check \ --global
- Ajoutez votre groupe d'instances en tant que backend au service de backend.
gcloud compute backend-services add-backend web-backend-service \ --instance-group=lb-backend-example \ --instance-group-zone=us-east1-b \ --global
- Créez un mappage d'URL pour diriger les requêtes entrantes vers le service de backend par défaut.
gcloud compute url-maps create web-map-https \ --default-service web-backend-service
- Si vous ne l'avez pas déjà fait, créez la ressource de certificat SSL global, comme indiqué dans les articles suivants :
- Créer une ressource de certificat SSL géré par Google
- Créer une ressource de certificat SSL autogéré
L'exemple suivant suppose que vous disposez déjà d'un fichier de certificat appelé
certificate-file
et d'un fichier de clé privée appeléprivate-key-file
. L'exemple crée une ressource de certificat SSL appeléewww-ssl-cert
.gcloud compute ssl-certificates create www-ssl-cert \ --certificate=certificate-file \ --private-key=private-key-file \ --global
- Créez un proxy HTTPS cible pour rediriger les requêtes vers votre mappage d'URL. Le serveur proxy est la partie de l'équilibreur de charge qui contient le certificat SSL pour l'équilibrage de charge HTTPS. Vous chargez donc également votre certificat à cette étape :
gcloud compute target-https-proxies create https-lb-proxy \ --url-map web-map-https --ssl-certificates www-ssl-cert
- Créez une règle de transfert globale pour acheminer les requêtes entrantes vers le proxy.
gcloud compute forwarding-rules create https-content-rule \ --address=lb-ipv4-1\ --global \ --target-https-proxy=https-lb-proxy \ --ports=443
Tester le trafic envoyé à vos instances
Maintenant que le service d'équilibrage de charge est en cours d'exécution, vous pouvez envoyer le trafic vers la règle de transfert et observer la répartition du trafic entre les différentes instances.
Console
Dans Google Cloud Console, accédez à la page Équilibrage de charge.
- Cliquez sur l'équilibreur de charge que vous venez de créer.
- Dans la section Backend, vérifiez que les VM sont opérationnelles. La colonne Opérationnelles doit indiquer que les deux VM sont opérationnelles (
2/2
). Si ce n'est pas le cas, commencez par actualiser la page. Il peut s'écouler quelques instants avant que Cloud Console n'indique que les VM sont opérationnelles. Si les backends ne semblent toujours pas opérationnels au bout de quelques minutes, vérifiez la configuration du pare-feu et le tag réseau attribué à vos VM de backend. - Si vous utilisez un certificat géré par Google, vérifiez que l'état de votre ressource de certificat est ACTIVE. Pour plus d'informations, consultez la section État d'une ressource de certificat SSL géré par Google.
- Une fois que Cloud Console indique que les instances backend sont opérationnelles, vous pouvez tester votre équilibreur de charge à l'aide d'un navigateur Web en accédant à
https://IP_ADDRESS
. RemplacezIP_ADDRESS
par l'adresse IP de l'équilibreur de charge. - Si vous avez utilisé un certificat autosigné pour les tests, votre navigateur affiche un avertissement. Vous devez explicitement lui indiquer d'accepter un certificat autosigné.
- Votre navigateur doit afficher une page dont le contenu indique le nom de l'instance ayant diffusé la page, ainsi que sa zone (par exemple,
Page served from: lb-backend-example-xxxx
). Si ce n'est pas le cas, vérifiez les paramètres de configuration décrits dans ce guide.
Étape suivante
- Pour obtenir un exemple complexe d'équilibrage de charge interrégional basé sur le contenu avec IPv6, consultez la page Créer un équilibreur de charge HTTPS.
- Nettoyez la configuration de l'équilibreur de charge.