Load-Balancer mit Cloud Run, App Engine oder Cloud Functions einrichten

Eine Netzwerk-Endpunktgruppe (NEG) ist eine Gruppe von Back-End-Endpunkten für einen Load-Balancer. Eine serverlose NEG ist ein Back-End, das auf einen Cloud Run-, App Engine- oder Cloud Functions-Dienst verweist.

Eine serverlose NEG kann für eine der folgenden Dinge stehen:

  • Einen Cloud Run-Dienst oder eine Gruppe von Diensten.
  • Ein Cloud Functions-Feature oder eine Gruppe von Features.
  • Eine App Engine-Anwendung (Standard oder Flex), einen bestimmten Dienst innerhalb einer Anwendung, eine bestimmte Version einer Anwendung oder eine Gruppe von Diensten.
Auf dieser Seite wird beschrieben, wie Sie einen externen HTTP(S)-Load-Balancer erstellen, um Anfragen an serverlose Back-Ends weiterzuleiten. Der Begriff „serverlos“ bezieht sich hier auf die folgenden serverlosen Computing-Produkte: App Engine, Cloud Functions und Cloud Run.

Serverlose NEGs bieten Ihnen die Möglichkeit, serverlose Google Cloud-Anwendungen mit externem HTTP(S)-Load-Balancing zu verwenden. Nachdem Sie einen Load-Balancer mit dem serverlosen NEG-Back-End konfiguriert haben, werden Anfragen an den Load-Balancer zum serverlosen Back-End der Anwendung geleitet.

Wenn Sie mehr über serverlose NEGs erfahren möchten, lesen Sie die Übersicht zu serverlosen NEGs.

Hinweis

  1. Stellen Sie einen App Engine-, Cloud Functions- oder Cloud Run-Dienst bereit.
  2. Installieren Sie das Google Cloud SDK, falls noch nicht geschehen.
  3. Konfigurieren Sie Berechtigungen.
  4. Fügen Sie eine SSL-Zertifikatsressource hinzu.

App Engine-, Cloud Functions- oder Cloud Run-Dienst bereitstellen

Bei den Anleitungen auf dieser Seite wird davon ausgegangen, dass Sie bereits einen Cloud Run-, Cloud Functions- oder App Engine-Dienst ausführen.

Für das Beispiel auf dieser Seite wurde die Python-Kurzanleitung für Cloud Run verwendet, um einen Cloud Run-Dienst in der Region us-central1 bereitzustellen. Auf der restlichen Seite wird beschrieben, wie Sie einen externen HTTP(S)-Load-Balancer einrichten, der ein serverloses NEG-Back-End verwendet, um Anfragen an diesen Dienst weiterzuleiten.

Wenn Sie noch keine serverlose Anwendung bereitgestellt haben oder eine serverlose NEG mit einer Beispielanwendung ausprobieren möchten, nutzen Sie eine der folgenden Kurzanleitungen. Sie können eine serverlose Anwendung in jeder Region erstellen, aber Sie müssen später zum Erstellen der serverlosen NEG und des Load-Balancers dieselbe Region verwenden.

Cloud Run

Wenn Sie eine einfache Hello World-Anwendung erstellen möchten, verpacken Sie sie in ein Container-Image und stellen Sie das Container-Image dann für Cloud Run bereit. Weitere Informationen finden Sie unter Kurzanleitung: Erstellen und bereitstellen.

Wenn Sie bereits einen Beispielcontainer nach Container Registry hochgeladen haben, finden Sie weitere Informationen unter Kurzanleitung: Vorgefertigten Beispielcontainer bereitstellen.

Cloud Functions

Siehe Cloud Functions: Python-Kurzanleitung.

App Engine

Informationen finden Sie in den folgenden App Engine-Kurzanleitungen für Python 3:

Google Cloud SDK installieren

Installieren Sie das gcloud-Befehlszeilentool. In der gcloud-Übersicht finden Sie Informationen zum Konzept und zur Installation des Tools.

Wenn Sie das gcloud-Befehlszeilentool bisher noch nicht verwendet haben, führen Sie zuerst gcloud init aus, um Ihr gcloud-Verzeichnis zu initialisieren.

Berechtigungen konfigurieren

Um dieser Anleitung zu folgen, müssen Sie in einem Projekt eine serverlose NEG und einen externen HTTP(S)-Load-Balancer erstellen. Sie sollten entweder Inhaber oder Bearbeiter des Projekts sein oder die folgenden IAM-Rollen für Compute Engine haben:

Aufgabe Erforderliche Rolle
Load-Balancer und Netzwerkkomponenten erstellen Netzwerkadministrator
NEGs erstellen und ändern Compute-Instanzadministrator
SSL-Zertifikate erstellen und ändern Sicherheitsadministrator

Externe IP-Adresse reservieren

Nachdem die Dienste nun ausgeführt werden, müssen Sie eine globale statische externe IP-Adresse einrichten, über die Ihre Kunden den Load-Balancer erreichen können.

Console

  1. Rufen Sie in der Google Cloud Console die Seite "Externe IP-Adressen" auf.
    Zur Seite "Externe IP-Adressen"
  2. Klicken Sie auf Statische Adresse reservieren, um eine IPv4-Adresse zu reservieren.
  3. Weisen Sie als Name example-ip zu.
  4. Legen Sie für die Netzwerkstufe Premium fest.
  5. Setzen Sie die IP-Version auf IPv4.
  6. Legen Sie für Typ Global fest.
  7. Klicken Sie auf Reservieren.

gcloud

gcloud compute addresses create example-ip \
    --ip-version=IPV4 \
    --global

Notieren Sie sich die reservierte IPv4-Adresse:

gcloud compute addresses describe example-ip \
    --format="get(address)" \
    --global

SSL-Zertifikatsressource erstellen

Zum Erstellen eines HTTPS-Load-Balancers müssen Sie dem Front-End des Load-Balancers eine SSL-Zertifikatsressource hinzufügen. Erstellen Sie eine SSL-Zertifikatsressource mit einem von Google verwalteten SSL-Zertifikat oder mit einem selbst verwalteten SSL-Zertifikat.

  • Von Google verwaltete Zertifikate. Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert. Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain und die zugehörigen DNS-Einträge, damit das Zertifikat bereitgestellt werden kann. Wenn Sie noch keine Domain haben, können Sie eine von Google Domains erhalten. Außerdem müssen Sie den DNS-A-Eintrag der Domain so aktualisieren, dass er auf die IP-Adresse des Load-Balancers verweist, die im vorherigen Schritt (example-ip) erstellt wurde. Eine ausführliche Anleitung finden Sie unter Von Google verwaltete SSL-Zertifikate verwenden.

  • Selbst signierte Zertifikate. Wenn Sie derzeit keine Domain einrichten möchten, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden.

In diesem Beispiel wird davon ausgegangen, dass Sie bereits eine SSL-Zertifikatsressource erstellt haben.

Wenn Sie diesen Prozess testen möchten, ohne eine SSL-Zertifikatsressource oder eine Domain (für von Google verwaltete Zertifikate erforderlich) zu erstellen, folgen Sie der Anleitung auf dieser Seite, um stattdessen einen HTTP-Load-Balancer einzurichten.

Externen HTTP(S)-Load-Balancer erstellen

Im folgenden Diagramm verwendet der Load-Balancer ein serverloses NEG-Back-End, um Anfragen zu einem serverlosen Cloud Run-Dienst zu leiten. Für dieses Beispiel wurde die Python-Kurzanleitung für Cloud Run verwendet, um einen Cloud Run-Dienst bereitzustellen.

HTTPS-Load-Balancing für eine Cloud Run-Anwendung (zum Vergrößern klicken)
HTTPS-Load-Balancing für eine Cloud Run-Anwendung

Da Systemdiagnosen für Back-End-Dienste mit serverlosen NEG-Back-Ends nicht unterstützt werden, müssen Sie keine Firewallregel erstellen, die Systemdiagnosen zulässt, wenn der Load-Balancer nur serverlose NEG-Back-Ends hat.

Console

Load-Balancer benennen

  1. Öffnen Sie in der Google Cloud Console die Seite "Load-Balancing".
    Zur Seite „Load-Balancing“
  2. Klicken Sie unter HTTP(S)-Load-Balancing auf Konfiguration starten.
  3. Wählen Sie unter Internet oder nur intern die Option Vom Internet zu meinen VMs aus.
  4. Klicken Sie auf Weiter.
  5. Geben Sie serverless-lb als Name für den Load-Balancer ein.
  6. Lassen Sie das Fenster geöffnet, um fortzufahren.

Back-End-Dienste konfigurieren

  1. Klicken Sie auf Back-End-Konfiguration.
  2. Halten Sie im Drop-down-Menü Back-End-Dienst erstellen oder auswählen den Mauszeiger auf Back-End-Dienste und wählen Sie Back-End-Dienst erstellen aus.
  3. Geben Sie einen Namen ein.
  4. Wählen Sie unter Back-End-Typ die Option Endpunktgruppe in serverlosem Netzwerk aus.
  5. Lassen Sie das Protokoll unverändert. Dieser Parameter wird ignoriert.
  6. Wählen Sie unter Back-Ends im Fenster Neues Back-End die Option Endpunktgruppe für ein serverloses Netzwerk erstellen aus.
  7. Geben Sie einen Namen ein.
  8. Wählen Sie unter Region die Option us-central1 aus. Wählen Sie dann Cloud Run aus.
  9. Wählen Sie Dienstname auswählen aus.
  10. Wählen Sie im Drop-down-Menü Dienst den Cloud Run-Dienst aus, für den Sie einen Load-Balancer erstellen möchten.
  11. Klicken Sie auf Erstellen.
  12. Klicken Sie unter dem Fenster Neues Back-End auf Fertig.
  13. Klicken Sie auf Erstellen.

Hostregeln und Pfad-Matcher konfigurieren

Hostregeln und Pfad-Matcher sind Konfigurationskomponenten der URL-Zuordnung eines externen HTTP(S)-Load-Balancers.

  1. Klicken Sie auf Host- und Pfadregeln.
  2. Behalten Sie die Standardhosts und -pfade bei. In diesem Beispiel werden alle Anfragen an den Back-End-Dienst gesendet, der im vorherigen Schritt erstellt wurde.

Front-End konfigurieren

  1. Klicken Sie auf Front-End-Konfiguration.
  2. Geben Sie einen Namen ein.
  3. Wenn Sie einen HTTPS-Load-Balancer erstellen möchten, benötigen Sie ein SSL-Zertifikat (gcloud compute ssl-certificates list). Wir empfehlen, wie bereits beschrieben, die Verwendung eines von Google verwalteten Zertifikats. Füllen Sie die folgenden Felder aus, um einen externen HTTP(S)-Load-Balancer zu konfigurieren.

    Prüfen Sie, ob die folgenden Optionen mit diesen Werten konfiguriert sind:

    Attribut Wert (Wert eingeben bzw. Option auswählen)
    Protokoll HTTPS
    Netzwerkdienststufe Premium
    IP-Version IPv4
    IP-Adresse Beispiel-IP
    Port 443
    Zertifikat Wählen Sie ein vorhandenes Zertifikat aus oder erstellen Sie ein neues.

    Zum Erstellen eines HTTPS-Load-Balancers benötigen Sie eine SSL-Zertifikatsressource, die im HTTPS-Proxy verwendet wird. Sie können eine SSL-Zertifikatsressource entweder mit einem von Google verwalteten SSL-Zertifikat oder mit einem selbst verwalteten SSL-Zertifikat erstellen.
    Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain. Der A-Eintrag der Domain muss der IP-Adresse des Load-Balancers zugeordnet werden (in diesem Beispiel example-ip). Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert. Wenn Sie keine Domain haben, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden.
    (Optional) HTTP-zu-HTTPS-Weiterleitung aktivieren Klicken Sie dieses Kästchen an, um Weiterleitungen von Port 80 zu Port 443 zu aktivieren.

    Wenn Sie dieses Kästchen anklicken, wird ein zusätzlicher partieller HTTP-Load-Balancer erstellt, der dieselbe IP-Adresse wie Ihr HTTPS-Load-Balancer verwendet und die HTTP-Anfragen an das HTTPS-Front-End Ihres Load-Balancers weiterleitet.

    Dieses Kästchen kann nur aktiviert werden, wenn das HTTPS-Protokoll aktiviert und eine reservierte IP-Adresse verwendet wird.

    Wenn Sie diesen Prozess testen möchten, ohne eine SSL-Zertifikatsressource oder eine Domain einzurichten (für von Google verwaltete Zertifikate erforderlich), können Sie einen HTTP-Load-Balancer einrichten.

    Wenn Sie einen HTTP-Load-Balancer erstellen möchten, prüfen Sie, ob die folgenden Optionen mit diesen Werten konfiguriert sind:

    Attribut Wert (Wert eingeben bzw. Option auswählen)
    Protokoll HTTP
    Netzwerkdienststufe Premium
    IP-Version IPv4
    IP-Adresse Beispiel-IP
    Port 80

  4. Klicken Sie auf Fertig.

Konfiguration prüfen

  1. Klicken Sie auf Prüfen und abschließen.
  2. Prüfen Sie das Back-End, Host- und Pfadregeln sowie das Front-End.
  3. Klicken Sie auf Erstellen.
  4. Warten Sie, bis der Load-Balancer erstellt ist.
  5. Klicken Sie auf den Namen des Load-Balancers (serverless-lb).
  6. Notieren Sie die IP-Adresse des Load-Balancers für die nächste Aufgabe. Sie wird als IP_ADDRESS bezeichnet.

gcloud

  1. Erstellen Sie eine serverlose NEG für Ihre serverlose Anwendung. So erstellen Sie eine serverlose NEG mit einem Cloud Run-Dienst:

    gcloud compute network-endpoint-groups create SERVERLESS_NEG_NAME \
        --region=us-central1 \
        --network-endpoint-type=serverless  \
        --cloud-run-service=CLOUD_RUN_SERVICE_NAME
    
    Weitere Optionen finden Sie im gcloud-Referenzhandbuch für gcloud compute network-endpoint-groups create.
  2. Erstellen Sie einen Back-End-Dienst.
    gcloud compute backend-services create BACKEND_SERVICE_NAME \
        --global
    

  3. Fügen Sie dem Back-End-Dienst das serverlose NEG als Back-End hinzu.

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
        --global \
        --network-endpoint-group=SERVERLESS_NEG_NAME \
        --network-endpoint-group-region=us-central1
    
  4. Erstellen Sie eine URL-Zuordnung, um eingehende Anfragen an den Back-End-Dienst weiterzuleiten:
    gcloud compute url-maps create URL_MAP_NAME \
        --default-service BACKEND_SERVICE_NAME
    

    Diese beispielhafte URL-Zuordnung ist nur auf einen Back-End-Dienst ausgerichtet, der eine einzelne serverlose Anwendung darstellt. Daher müssen keine Hostregeln oder Tools zum Abgleich von Pfaden eingerichtet werden. Wenn Sie mehr als einen Back-End-Dienst haben, können Sie Hostregeln verwenden, um Anfragen basierend auf dem Hostnamen zu verschiedenen Diensten zu leiten. Sie können auch Tools zum Abgleich von Pfaden einrichten, um Anfragen basierend auf dem Anfragepfad zu verschiedenen Diensten zu leiten.

  5. Zum Erstellen eines HTTPS-Load-Balancers benötigen Sie eine SSL-Zertifikatsressource, die im HTTPS-Zielproxy verwendet wird. Sie können eine SSL-Zertifikatsressource entweder mit einem von Google verwalteten SSL-Zertifikat oder mit einem selbst verwalteten SSL-Zertifikat erstellen. Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert.

    Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain. Wenn Sie keine Domain haben, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden.

    So erstellen Sie eine von Google verwaltete SSL-Zertifikatsressource:

    gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \
        --domains DOMAIN
    

    So erstellen Sie eine selbstverwaltete SSL-Zertifikatressource:

    gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \
        --certificate CRT_FILE_PATH \
        --private-key KEY_FILE_PATH
    

  6. Erstellen Sie einen HTTP(S)-Zielproxy, um Anfragen an Ihre URL-Zuordnung zu leiten.

    Erstellen Sie einen HTTP-Zielproxy für einen HTTP-Load-Balancer:

    gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \
        --url-map=URL_MAP_NAME
    

    Erstellen Sie einen HTTPS-Zielproxy für einen HTTPS-Load-Balancer. Der Proxy ist der Teil des Load-Balancers, der das SSL-Zertifikat für den HTTPS-Load-Balancer besitzt. Daher laden Sie in diesem Schritt auch Ihr Zertifikat.

    gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
        --ssl-certificates=SSL_CERTIFICATE_NAME \
        --url-map=URL_MAP_NAME
    

  7. Erstellen Sie eine globale Weiterleitungsregel, um eingehende Anfragen zum Proxy weiterzuleiten.

    Für einen HTTP-Load-Balancer:

    gcloud compute forwarding-rules create HTTP_FORWARDING_RULE_NAME \
        --address=example-ip \
        --target-http-proxy=TARGET_HTTP_PROXY_NAME \
        --global \
        --ports=80
    

    Für einen HTTPS-Load-Balancer:

    gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \
        --address=example-ip \
        --target-https-proxy=TARGET_HTTPS_PROXY_NAME \
        --global \
        --ports=443
    

DNS-Einträge Ihrer Domain aktualisieren, um die IP-Adresse des Load-Balancers zu verwenden

Wenn Sie dies noch nicht getan haben, aktualisieren Sie den DNS-A-Eintrag Ihrer Domain so, dass er auf die IP-Adresse des Load-Balancers verweist. Dann wird Traffic, der an die vorhandenen benutzerdefinierten Domain-URLs gesendet wird, stattdessen über den Load-Balancer weitergeleitet.

Wenn Sie beispielsweise die benutzerdefinierte Domain example.com haben und alle Ihre Dienste dieser Domain zugeordnet sind, sollten Sie den DNS-A- oder AAAA-Eintrag für example.com so aktualisieren, dass er auf die IP-Adresse des Load-Balancers verweist.

Bevor Sie die DNS-Einträge aktualisieren, können Sie Ihre Konfiguration lokal testen. Erzwingen Sie dazu die lokale DNS-Auflösung der benutzerdefinierten Domain in die IP-Adresse des Load-Balancers. Passen Sie für lokale Tests entweder die Datei /etc/hosts/ auf Ihrem lokalen Computer an, damit example.com auf die IP-Adresse des Load-Balancers verweist, oder verwenden Sie das Flag curl --resolve, damit curl für die Anfrage die IP-Adresse des Load-Balancers verwendet.

Wird der DNS-Eintrag für example.com in die IP-Adresse des HTTPS-Load-Balancers aufgelöst, dann werden an example.com gesendete Anfragen über den Load-Balancer weitergeleitet. Der Load-Balancer leitet sie je nach URL-Zuordnung an den entsprechenden Back-End-Dienst weiter. Wenn der Back-End-Dienst mit einer URL-Maske konfiguriert ist, verwendet die serverlose NEG außerdem die Maske, um die Anfrage zum entsprechenden Cloud Run-, Cloud Functions- oder App Engine-Dienst zu leiten.

Wenn Sie von Google verwaltete Zertifikate verwenden, kann die Migration eines vorhandenen Dienstes zu einem externen HTTP(S)-Load-Balancer zu einer Ausfallzeit führen. In der Regel beträgt diese weniger als eine Stunde. Dies liegt daran, dass das SSL-Zertifikat für Ihren externen HTTP(S)-Load-Balancer erst bereitgestellt wird, wenn Sie Ihre DNS-Einträge so aktualisieren, dass sie auf die IP-Adresse des Load-Balancers verweisen.

Load-Balancer testen

Nachdem Sie den Load-Balancer konfiguriert haben, können Sie Traffic an die IP-Adresse des Load-Balancers senden. Wenn Sie eine Domain konfiguriert haben, können Sie auch Traffic an den Domainnamen senden. Die DNS-Weitergabe kann jedoch einige Zeit in Anspruch nehmen. Sie sollten daher zuerst die IP-Adresse zu Testzwecken verwenden.

  1. Öffnen Sie in der Google Cloud Console die Seite "Load-Balancing".
    Zur Seite „Load-Balancing“
  2. Klicken Sie auf den Load-Balancer, den Sie gerade erstellt haben.
  3. Notieren Sie sich seine IP-Adresse.
  4. Bei einem HTTP-Load-Balancer können Sie Ihren Load-Balancer mit einem Webbrowser testen. Rufen Sie dafür http://IP_ADDRESS auf. Ersetzen Sie IP_ADDRESS durch die IP-Adresse des Load-Balancers. Sie sollten zur Startseite des helloworld-Dienstes geleitet werden.
  5. Bei einem HTTPS-Load-Balancer können Sie Ihren Load-Balancer mit einem Webbrowser testen. Rufen Sie dafür https://IP_ADDRESS auf. Ersetzen Sie IP_ADDRESS durch die IP-Adresse des Load-Balancers. Sie sollten zur Startseite des helloworld-Dienstes geleitet werden.

    Sollte das nicht funktionieren und Sie verwenden ein von Google verwaltetes Zertifikat, prüfen Sie, ob der Status der Zertifikatsressource AKTIV ist. Weitere Informationen finden Sie unter Von Google verwaltete SSL-Zertifikate verwenden.

    Wenn Sie ein selbst signiertes Zertifikat zu Testzwecken genutzt haben, zeigt Ihr Browser eine Warnung an. Sie müssen Ihren Browser ausdrücklich anweisen, ein selbst signiertes Zertifikat zu akzeptieren. Bestätigen Sie die Warnung, um die eigentliche Seite zu sehen.

Zusätzliche Konfigurationsoptionen

In diesem Abschnitt wird die Konfiguration des Beispiels um alternative und zusätzliche Optionen erweitert. Alle Aufgaben sind optional. Sie können sie in beliebiger Reihenfolge ausführen.

Multiregionales Load-Balancing einrichten

Im oben beschriebenen Beispiel wird als Back-End nur ein einzelner Cloud Run-Dienst verwendet. Da die serverlose NEG nur jeweils auf einen Endpunkt verweisen kann, erfolgt kein Load-Balancing. Der externe HTTP(S)-Load-Balancer dient nur als Front-End und leitet den Traffic an den angegebenen Endpunkt der helloworld-Anwendung weiter. Unter Umständen ist es jedoch vorteilhafter, wenn Sie Ihre Cloud Run-Anwendung in mehreren Regionen bereitstellen, um die Verfügbarkeit Ihres Dienstes sowie die Latenz für die Nutzer zu verbessern.

Wenn ein Back-End-Dienst mehrere NEGs enthält, sorgt der Load-Balancer für ausgewogenen Traffic, indem Anfragen zur serverlosen NEG in der nächsten verfügbaren Region weitergeleitet werden. Back-End-Dienste können jedoch pro Region nur eine serverlose NEG enthalten. Damit Ihr Cloud Run-Dienst in mehreren Regionen verfügbar ist, müssen Sie regionenübergreifendes Routing einrichten. Sie sollten ein einziges URL-Schema verwenden können, das überall auf der Welt funktioniert, aber Nutzeranfragen über die Region verarbeitet, die dem Nutzer am nächsten ist. Wenn die nächstgelegene Region nicht verfügbar ist oder nicht genügend Kapazitäten hat, wird die Anfrage zu einer anderen Region geleitet.

Zum Einrichten des Servings für mehrere Regionen müssen Sie die Premium-Netzwerkstufe verwenden, um sicherzustellen, dass alle regionalen Cloud Run-Bereitstellungen kompatibel und bereit sind, den Traffic aus jeder Region zu bedienen.

So richten Sie einen Load-Balancer für mehrere Regionen ein:

  1. Richten Sie zwei Cloud Run-Dienste in verschiedenen Regionen ein. Angenommen, Sie haben zwei Cloud Run-Dienste bereitgestellt: einen in einer Region in Europa und einen anderen in einer Region in den USA.
  2. Erstellen Sie einen externen HTTP(S)-Load-Balancer mit folgender Einrichtung:
    1. Richten Sie einen globalen Back-End-Dienst mit zwei serverlosen NEGs ein.
      1. Erstellen Sie die erste NEG in derselben Region, in der sich der in Europa bereitgestellte Cloud Run-Dienst befindet.
      2. Erstellen Sie die zweite NEG in derselben Region, in der sich der in den USA bereitgestellte Cloud Run-Dienst befindet.
    2. Richten Sie Ihre Front-End-Konfiguration mit der Premium-Netzwerkstufe ein.

Der Rest der Konfiguration kann wie zuvor beschrieben sein. Die resultierende Konfiguration sollte etwa so aussehen:

Traffic auf serverlose Anwendungen verteilen (zum Vergrößern klicken)
Multiregionales Routing für serverlose Anwendungen (mit Failover)

Authentifiziertes Pub/Sub-Push-Abo mit einer Cloud Run-Bereitstellung für mehrere Regionen verwenden

Standardmäßig sendet ein Pub/Sub-Dienst nur Nachrichten an Push-Endpunkte in derselben Google Cloud-Region, in der der Pub/Sub-Dienst die Nachrichten speichert. Bei authentifizierten Push-Anfragen erwartet der externe HTTP(S)-Load-Balancer ein regionsspezifisches Zielgruppenfeld im JWT der Push-Anfrage. Wenn die Push-Anfrage bei einer Bereitstellung in mehreren Regionen an einen Cloud Run-Dienst in einer anderen Region weitergeleitet wird, ist das JWT-Zielgruppentoken nicht authentifiziert und die Push-Anfrage schlägt fehl.

So umgehen Sie diese regionsspezifische Beschränkung:

  1. Erstellen Sie eine OAuth-Client-ID für die Anwendung.
  2. Stellen Sie die Cloud Run-Dienste in allen Regionen noch einmal bereit, damit diese die neue OAuth-Client-ID abrufen.
  3. Konfigurieren Sie die Cloud Pub/Sub-Push-Nachrichten so, dass sie die OAuth-Client-ID als Zielgruppe im JWT-Token verwenden.

Regionales Routing einrichten

Ein häufiger Grund für die Bereitstellung von Anwendungen in mehreren Regionen besteht darin, die Anforderungen an die Datenlokalität zu erfüllen. So können Sie beispielsweise sicherstellen, dass Anfragen von europäischen Nutzern immer in einer Region in Europa bearbeitet werden. Zum Einrichten benötigen Sie ein URL-Schema mit separaten URLs für Nutzer aus der EU und aus Nicht-EU-Ländern und müssen EU-Nutzer zu den URLs in der EU leiten.

In einem solchen Szenario würden Sie die URL-Zuordnung verwenden, um Anfragen von bestimmten URLs zu den entsprechenden Regionen zu leiten. Bei einer solchen Konfiguration werden Anfragen für eine Region niemals an eine andere Region gesendet. Dies sorgt für eine Isolierung der Regionen. Wenn dagegen eine Region ausfällt, werden Anfragen nicht zu einer anderen Region geleitet. Diese Konfiguration erhöht also nicht die Verfügbarkeit Ihres Dienstes.

Zum Einrichten des regionalen Routings müssen Sie die Premium-Netzwerkstufe verwenden, damit Sie verschiedene Regionen in einer Weiterleitungsregel kombinieren können.

So richten Sie einen Load-Balancer mit regionalem Routing ein:

  1. Richten Sie zwei Cloud Run-Dienste in verschiedenen Regionen ein. Angenommen, Sie haben zwei Cloud Run-Dienste bereitgestellt: "hello-world-eu" in einer Region in Europa und "hello-world-us" in einer Region in den USA.
  2. Erstellen Sie einen externen HTTP(S)-Load-Balancer mit folgender Einrichtung:
    1. Richten Sie einen Back-End-Dienst mit einer serverlosen NEG in Europa ein. Die serverlose NEG muss in derselben Region erstellt werden, wie der Cloud Run-Dienst bereitgestellt in Europa.
    2. Richten Sie einen zweiten Back-End-Dienst mit einer anderen serverlosen NEG in den USA ein. Diese serverlose NEG muss in derselben Region in den USA erstellt werden, in der sich der (vollständig verwaltete) Cloud Run-Dienst befindet.
    3. Richten Sie Ihre URL-Zuordnung mit den entsprechenden Host- und Pfadregeln ein, sodass eine Gruppe von URLs zum europäischen Back-End-Dienst leitet. Alle Anfragen werden dagegen zum Back-End-Dienst in den USA geleitet.
    4. Richten Sie Ihre Front-End-Konfiguration mit der Premium-Netzwerkstufe ein.

Der Rest der Konfiguration kann wie zuvor beschrieben sein. Die resultierende Konfiguration sollte etwa so aussehen:

Traffic auf serverlose Anwendungen verteilen (zum Vergrößern klicken)
Regionales Routing für serverlose Anwendungen (kein Failover)

URL-Maske verwenden

Beim Erstellen einer serverlosen NEG können Sie, statt einen bestimmten Cloud Run-Dienst auszuwählen, eine URL-Maske verwenden, um auf mehrere Dienste zu verweisen, die in derselben Domain bereitgestellt werden. Eine URL-Maske ist eine Vorlage für Ihr URL-Schema. Die serverlose NEG verwendet diese Vorlage, um den Dienstnamen aus der URL der eingehenden Anfrage zu extrahieren und die Anfrage dem entsprechenden Dienst zuzuordnen.

URL-Masken sind besonders nützlich, wenn Ihr Dienst einer benutzerdefinierten Domain zugeordnet ist und nicht der Standardadresse, die Google Cloud für den bereitgestellten Dienst angibt. Eine URL-Maske bietet die Möglichkeit, mehrere Dienste und Versionen mit einer einzigen Regel anzusprechen, selbst wenn Ihre Anwendung ein benutzerdefiniertes URL-Muster verwendet.

Falls Sie es noch nicht getan haben, lesen Sie den Abschnitt zu URL-Masken in der Übersicht zu serverlosen NEGs.

URL-Maske erstellen

Wenn Sie eine URL-Maske für Ihren Load-Balancer erstellen möchten, beginnen Sie mit der URL Ihres Dienstes. In diesem Beispiel wird eine serverlose Beispielanwendung verwendet, die unter https://example.com/login ausgeführt wird. Dies ist die URL, unter der der login-Dienst der Anwendung bereitgestellt wird.

  1. Entfernen Sie http oder https aus der URL. Es verbleibt example.com/login.
  2. Ersetzen Sie den Dienstnamen durch einen Platzhalter für die URL-Maske.
    1. Cloud Run: Ersetzen Sie den Namen des Cloud Run-Dienstes durch den Platzhalter <service>. Wenn dem Cloud Run-Dienst ein Tag zugeordnet ist, ersetzen Sie den Namen des Tags durch den Platzhalter <tag>. In diesem Beispiel lautet die URL-Maske example.com/<service>.
    2. Cloud Functions: Ersetzen Sie den Namen der Funktion durch den Platzhalter <function>. In diesem Beispiel lautet die URL-Maske <function>.example.com.
    3. App Engine: Ersetzen Sie den Namen des Dienstes durch den Platzhalter <service>. Wenn dem Dienst eine Version zugeordnet ist, ersetzen Sie die Version durch den Platzhalter <version>. In diesem Beispiel lautet die URL-Maske example.com/<service>.
  3. Optional: Wenn sich der Dienstname (oder die Funktion, die Version oder das Tag) aus dem Pfadabschnitt der URL extrahieren lässt, kann die Domain weggelassen werden. Der Pfadteil der URL-Maske wird durch den ersten Schrägstrich (/) abgetrennt. Wenn in der URL-Maske kein / vorhanden ist, wird die Maske nur für den Host verwendet. Daher kann die URL-Maske in diesem Beispiel auf /<service> oder /<function> reduziert werden.

    Wenn sich der Dienstname aus dem Hostteil der URL extrahieren lässt, können Sie den Pfad in der URL-Maske vollständig weglassen.

    Sie können auch alle Host- oder Subdomain-Komponenten weglassen, die vor dem ersten Platzhalter stehen, sowie alle Pfadkomponenten, die nach dem letzten Platzhalter stehen. In solchen Fällen erfasst der Platzhalter die erforderlichen Informationen für die Komponente.

Hier einige weitere Beispiele zur Veranschaulichung dieser Regeln:

Cloud Run

In dieser Tabelle wird davon ausgegangen, dass Sie eine benutzerdefinierte Domain namens example.com haben und alle Ihre Cloud Run-Dienste dieser Domain zugeordnet werden.

Dienst, Tag-Name Benutzerdefinierte Domain-URL in Cloud Run URL-Maske
Dienst: login https://login-home.example.com/web <Dienst>-home.example.com
Dienst: login https://example.com/login/web example.com/<Dienst> oder /<Dienst>
Dienst: login; Tag: test https://test.login.example.com/web <Tag>.<Dienst>.example.com
Dienst: login; Tag: test https://example.com/home/login/test example.com/home/<Dienst>/<Tag> oder /home/<Dienst>/<Tag>
Dienst: login; Tag: test https://test.example.com/home/login/web <Tag>.example.com/home/<Dienst>

Cloud Functions

In dieser Tabelle wird davon ausgegangen, dass Sie eine benutzerdefinierte Domain namens example.com haben und alle Ihre Cloud Functions-Dienste dieser Domain zugeordnet sind.

Funktionsname Benutzerdefinierte Domain-URL in Cloud Functions URL-Maske
login https://example.com/login /<Funktion>
login https://example.com/home/login /home/<Funktion>
login https://login.example.com <Funktion>.example.com
login https://login.home.example.com <Funktion>.home.example.com

App Engine

In dieser Tabelle wird davon ausgegangen, dass Sie eine benutzerdefinierte Domain namens example.com haben und alle Ihre App Engine-Dienste dieser Domain zugeordnet sind.

Dienstname, Version Benutzerdefinierte Domain-URL in App Engine URL-Maske
Dienst: login https://login.example.com/web <Dienst>.example.com
Dienst: login https://example.com/home/login/web example.com/home/<Dienst> oder /home/<Dienst>
Dienst: login; Version: test https://test.example.com/login/web <Version>.example.com/<Dienst>
Dienst: login; Version: test https://example.com/login/test example.com/<Dienst>/<Version>

Serverlose NEG mit URL-Maske erstellen

Console

Für einen neuen Load-Balancer können Sie den gleichen gesamten Prozess verwenden, wie weiter oben in diesem Thema beschrieben. Geben Sie bei der Konfiguration des Back-End-Dienstes eine URL-Maske ein, statt einen bestimmten Dienst auszuwählen.

Wenn Sie bereits einen Load-Balancer haben, können Sie die Back-End-Konfiguration bearbeiten und die serverlose NEG auf eine URL-Maske statt auf einen bestimmten Dienst verweisen lassen.

So fügen Sie einem vorhandenen Back-End-Dienst eine serverlose NEG hinzu, die auf eine URL-Maske verweist:

  1. Öffnen Sie in der Google Cloud Console die Seite "Load-Balancing".
    Zur Seite „Load-Balancing“
  2. Klicken Sie auf den Namen des Load-Balancers, dessen Back-End-Dienst Sie bearbeiten möchten.
  3. Klicken Sie auf der Seite Details zum Load-Balancer auf Bearbeiten .
  4. Klicken Sie auf der Seite HTTP(S)-Load-Balancer bearbeiten auf Back-End-Konfiguration.
  5. Klicken Sie auf der Seite Back-End-Konfiguration für den Back-End-Dienst, den Sie ändern möchten, auf Bearbeiten.
  6. Klicken Sie auf Back-End hinzufügen.
  7. Wählen Sie Serverlose Netzwerk-Endpunktgruppe erstellen aus.
    1. Geben Sie im Feld Name helloworld-serverless-neg ein.
    2. Wählen Sie unter Region die Option us-central1 aus.
    3. Wählen Sie unter Typ der Endpunktgruppe für ein serverloses Netzwerk die Plattform aus, auf der Ihre serverlosen Anwendungen (oder Dienste oder Funktionen) erstellt wurden.
      1. Wählen Sie URL-Maske verwenden aus.
      2. Geben Sie eine URL-Maske ein. Eine Anleitung zum Erstellen einer URL-Maske finden Sie unter URL-Maske erstellen.
      3. Klicken Sie auf Erstellen.
  8. Klicken Sie unter dem Fenster Neues Back-End auf Fertig.
  9. Klicken Sie auf Aktualisieren.

gcloud: Cloud Run

So erstellen Sie eine serverlose NEG mit der URL-Beispielmaske example.com/<service>:

gcloud compute network-endpoint-groups create helloworld-neg-mask \
    --region=us-central1 \
    --network-endpoint-type=serverless \
    --cloud-run-url-mask="example.com/<service>"

gcloud: Cloud Functions

So erstellen Sie eine serverlose NEG mit der URL-Beispielmaske example.com/<function>:

gcloud compute network-endpoint-groups create helloworld-neg-mask \
    --region=us-central1 \
    --network-endpoint-type=serverless \
    --cloud-function-url-mask="example.com/<function>"

gcloud: App Engine

So erstellen Sie eine serverlose NEG mit der URL-Beispielmaske example.com/<service>:

gcloud compute network-endpoint-groups create helloworld-neg-mask \
    --region=us-central1 \
    --network-endpoint-type=serverless \
    --app-engine-url-mask="example.com/<service>"

Informationen dazu, wie der Load-Balancer mit Problemen bei nicht übereinstimmenden URL-Masken umgeht, finden Sie unter Probleme mit serverlosen NEGs beheben.

Vom externen HTTP(S)-Load-Balancer bereitgestellte benutzerdefinierte Domain verschieben

Wenn Ihre serverlosen Computing-Anwendungen benutzerdefinierten Domains zugeordnet werden, sollten Sie Ihre DNS-Einträge aktualisieren, damit der Traffic, der an die vorhandenen benutzerdefinierten Domain-URLs von Cloud Run, Cloud Functions oder App Engine gesendet wird, weitergeleitet wird über den Load-Balancer stattdessen.

Wenn Sie beispielsweise eine benutzerdefinierte Domain namens example.com haben und alle Ihre Cloud Run-Dienste dieser Domain zugeordnet sind, sollten Sie den DNS-Eintrag für example.com so aktualisieren, sodass er auf die IP-Adresse des Load-Balancers verweist.

Bevor Sie die DNS-Einträge aktualisieren, können Sie Ihre Konfiguration lokal testen. Erzwingen Sie dazu die lokale DNS-Auflösung der benutzerdefinierten Domain in die IP-Adresse des Load-Balancers. Passen Sie für lokale Tests entweder die Datei /etc/hosts/ auf Ihrem lokalen Computer an, damit example.com auf die IP-Adresse des Load-Balancers verweist, oder verwenden Sie das Flag curl --resolve, damit curl für die Anfrage die IP-Adresse des Load-Balancers verwendet.

Wird der DNS-Eintrag für example.com in die IP-Adresse des HTTP(S)-Load-Balancers aufgelöst, dann werden an example.com gesendete Anfragen über den Load-Balancer geleitet. Der Load-Balancer leitet sie je nach URL-Zuordnung an den entsprechenden Back-End-Dienst weiter. Wenn der Back-End-Dienst mit einer URL-Maske konfiguriert ist, verwendet die serverlose NEG außerdem die Maske, um die Anfrage zum entsprechenden Cloud Run-, Cloud Functions- oder App Engine-Dienst zu leiten.

Cloud CDN aktivieren

Wenn Sie Cloud CDN für Ihren Cloud Run-Dienst aktivieren, können Sie die Inhaltsübermittlung optimieren, indem Sie Inhalte im Cache in der Nähe Ihrer Nutzer speichern.

Sie können Cloud CDN mit dem Befehl gcloud compute backend-services update im Back-End-Dienst des externen HTTP(S)-Load-Balancers aktivieren.

  gcloud compute backend-services update helloworld-backend-service \
    --enable-cdn \
    --global

Cloud CDN wird für Back-End-Dienste mit Cloud Run-, Cloud Functions- und App Engine-Back-Ends unterstützt.

IAP für den externen HTTP(S)-Load-Balancer aktivieren

Sie können IAP so konfigurieren, dass es aktiviert oder deaktiviert (Standard) wird. Wenn diese Option aktiviert ist, müssen Werte für oauth2-client-id und oauth2-client-secret angegeben werden.

Aktualisieren Sie zum Aktivieren von IAP den Back-End-Dienst so, dass das Flag --iap=enabled mit oauth2-client-id und oauth2-client-secret enthalten ist.

gcloud compute backend-services update BACKEND_SERVICE_NAME \
    --iap=enabled,oauth2-client-id=ID,oauth2-client-secret=SECRET \
    --global

Google Cloud Armor aktivieren

Google Cloud Armor ist ein Sicherheitsprodukt, das Schutz vor DDoS-Angriffen (Distributed Denial of Service) für alle GCLB-Proxy-Load-Balancer bietet. Google Cloud Armor stellt außerdem konfigurierbare Sicherheitsrichtlinien für Dienste bereit, auf die über einen externen HTTP(S)-Load-Balancer zugegriffen wird. Informationen zu Google Cloud Armor-Sicherheitsrichtlinien für HTTP(S)-Load-Balancing finden Sie unter Übersicht über die Google Cloud Armor-Sicherheitsrichtlinie.

Wenn Sie Cloud Functions verwenden, können Sie mithilfe der Einstellung internal-and-gclb für eingehenden Traffic dafür sorgen, dass Anfragen geblockt werden, die an Standard-URLs gesendet werden.

Wenn Sie Cloud Run verwenden, können Sie sicherstellen, dass Anfragen, die an Standard-URLs oder andere über Cloud Run eingerichtete benutzerdefinierte Domains gesendet werden, geblockt werden durch das beschränken des eingehenden Traffics auf "internes und Cloud-Load-Balancing".

Wenn Sie App Engine verwenden, können Sie mithilfe von Steuerelementen für eingehenden Traffic festlegen, dass Ihre Anwendung nur Anfragen empfängt, die vom Load-Balancer (und gegebenenfalls von der VPC) gesendet werden.

Ohne die richtigen Einstellungen für eingehenden Traffic können Nutzer die Standard-URL Ihrer serverlosen Anwendung verwenden, um Load-Balancer, Google Cloud Armor-Sicherheitsrichtlinien, SSL-Zertifikate und private Schlüssel zu umgehen, die durch den Load-Balancer übergeben werden.

Logging und Monitoring aktivieren

Sie können Logs für den Back-End-Dienst des HTTP(S)-Load-Balancings aktivieren, deaktivieren und aufrufen. Bei Verwendung der Google Cloud Console ist Logging standardmäßig für Back-End-Dienste mit serverlosen NEG-Back-Ends aktiviert. Sie können gcloud verwenden, um das Logging für jeden Back-End-Dienst nach Bedarf zu deaktivieren. Eine Anleitung finden Sie unter Logging.

HTTP(S)-Load-Balancing exportiert auch Monitoring-Daten an Cloud Monitoring. Monitoring-Messwerte können dazu verwendet werden, die Konfiguration, Auslastung und Leistung eines Load-Balancers zu beurteilen. Messwerte können auch verwendet werden, um Probleme zu beheben und die Ressourcennutzung und Nutzerfreundlichkeit zu verbessern. Eine Anleitung dazu finden Sie unter Monitoring.

Serverlose NEG löschen

Eine Netzwerk-Endpunktgruppe kann nicht gelöscht werden, wenn sie mit einem Back-End-Dienst verknüpft ist. Bevor Sie eine NEG löschen, muss sie vom Back-End-Dienst getrennt sein.

Console

  1. Wechseln Sie zum Tab Back-End-Dienste im erweiterten Load-Balancing-Menü, damit der zu löschende serverlose NEG derzeit von keinem Back-End-Dienst verwendet wird.
    Zum Tab „Back-End-Dienste“
  2. Wenn die serverlose NEG aktuell verwendet wird:
    1. Klicken Sie mithilfe der serverlosen NEG auf den Namen des Back-End-Dienstes.
    2. Klicken Sie auf Bearbeiten .
    3. Klicken Sie in der Liste der Back-Ends auf , um das serverlose NEG-Back-End aus dem Back-End-Dienst zu entfernen.
    4. Klicken Sie auf Speichern.
  3. Rufen Sie in der Cloud Console die Seite Netzwerk-Endpunktgruppe auf.
    Zur Seite „Netzwerk-Endpunktgruppe“
  4. Aktivieren Sie das Kästchen für die serverlose NEG, die Sie löschen möchten.
  5. Klicken Sie auf Löschen.
  6. Klicken Sie zur Bestätigung noch einmal auf Löschen.

gcloud

Um eine serverlose NEG aus einem Back-End-Dienst zu entfernen, müssen Sie die Region angeben, in der die NEG erstellt wurde. Sie müssen auch das Flag --global angeben, da helloworld-backend-service eine globale Ressource ist.

gcloud compute backend-services remove-backend helloworld-backend-service \
    --network-endpoint-group=helloworld-serverless-neg \
    --network-endpoint-group-region=us-central1 \
    --global

So löschen Sie die serverlose NEG:

gcloud compute network-endpoint-groups delete helloworld-serverless-neg \
    --region=us-central1

Nächste Schritte