リージョン外部 HTTP(S) ロードバランサの設定

このドキュメントでは、Compute Engine VM で実行するサービス用にリージョン外部 HTTP(S) ロードバランサを構成する方法について説明します。

リージョン外部 HTTP(S) ロードバランサを使用すると、特定のリージョンにロードバランサを作成できるため、法令遵守要件のあるワークロードでよく使用されます。リージョン外部 HTTP(S) ロードバランサはスタンダード ネットワーク ティアをサポートしているため、スタンダード ネットワーク ティアの下り(外向き)にアクセスする必要があるワークロードでもリージョン外部 HTTP(S) ロードバランサが使用されています。

代替ソリューション

設定の準備

リージョン外部 HTTP(S) ロードバランサの設定は、次の 2 つの部分に分かれます。

  • 前提となる作業を行う(必要なアカウントに適切な権限を付与し、Virtual Private Cloud(VPC)ネットワークを準備するなど)。
  • ロードバランサのリソースを設定する。

このガイドに進む前に、次の内容を理解しておいてください。

権限

このガイドに従うには、プロジェクト内でインスタンスを作成してネットワークを変更できる必要があります。そのためにはプロジェクトのオーナーまたは編集者であるか、または次の Compute Engine IAM のロールをすべて持っている必要があります。

タスク 必要なロール
ネットワーク、サブネット、負荷分散コンポーネントの作成 ネットワーク管理者
ファイアウォール ルールの追加と削除 セキュリティ管理者
インスタンスの作成 インスタンス管理者

詳細については、次のガイドをご覧ください。

設定の概要

リージョン外部 HTTP(S) ロードバランサは、次の高レベルの構成フローで説明されているように構成できます。図の中で番号の付いている項目については、図の後で簡単に説明します。

リージョン外部 HTTP(S) ロードバランサの番号付きのコンポーネント(クリックして拡大)
リージョン外部 HTTP(S) ロードバランサの番号付きのコンポーネント(クリックして拡大)

図に示すようにこの例では、1 つのバックエンド サービスと 2 つのバックエンド インスタンス グループがある us-west1 リージョンの VPC ネットワークに、リージョン外部 HTTP(S) ロードバランサを作成します。

この図は次のことを示しています。

  1. 2 つのサブネットがある VPC ネットワーク:

    1. 1 つのサブネットがバックエンド(インスタンス グループ)に使用されます。プライマリ IP アドレスの範囲は 10.1.2.0/24 です。

    2. もう一つのサブネットは、us-west1 リージョンのプロキシ専用サブネットです。リージョン外部 HTTP(S) ロードバランサを使用する VPC ネットワークのリージョンごとにプロキシ専用サブネットを 1 つ作成する必要があります。リージョンのプロキシ専用サブネットは、リージョン内のすべてのリージョン ロードバランサで共有されます。ロードバランサからサービスのバックエンドに送信されるパケットのソースアドレスは、プロキシ専用サブネットから割り振られます。この例では、リージョンのプロキシ専用サブネットのプライマリ IP アドレスの範囲は 10.129.0.0/23 であり、これが推奨サブネット サイズです。詳細については、プロキシ専用サブネットをご覧ください。

  2. ネットワーク内のプロキシ専用サブネット トラフィック フローを許可するファイアウォール ルール。10.129.0.0/23(この例ではプロキシ専用サブネットの範囲)からの TCP ポート 804438080 トラフィックを許可する 1 つのルールが追加されることになります。ヘルスチェック プローブ用の別のファイアウォール ルール。

  3. バックエンド インスタンス。

  4. インスタンス グループ:

    1. Compute Engine VM デプロイのマネージド インスタンス グループまたは非マネージド インスタンス グループ
    2. GKE デプロイの NEG

    各ゾーンで、デプロイ要件に基づいてバックエンド グループタイプを組み合わせることができます。

  5. バックエンドの準備状況を報告するリージョン ヘルスチェック。

  6. バックエンドの使用状況と健全性をモニタリングするリージョン バックエンド サービス。

  7. リージョン URL マップはリクエストの URL を解析し、リクエスト URL のホストとパスに基づいて特定のバックエンド サービスにリクエストを転送します。

  8. リージョン ターゲット HTTP または HTTPS プロキシ。ユーザーからリクエストを受け取り、URL マップに転送します。HTTPS の場合、リージョン SSL 証明書リソースを構成します。HTTPS ロード バランシングを構成する場合、ターゲット プロキシは SSL 証明書を使用して SSL トラフィックを復号します。ターゲット プロキシは、HTTP または HTTPS を使用してトラフィックをインスタンスに転送できます。

  9. ロードバランサの外部 IP アドレスを含む転送ルール。受信リクエストをターゲット プロキシに転送します。

    ロードバランサの IP アドレスを予約で説明されているように、転送ルールに関連付けられている外部 IP アドレスは、gcloud beta compute addresses create コマンドを使用して予約されます。

ネットワークとサブネットの構成

ロードバランサのバックエンド用とロードバランサのプロキシ用の 2 つのサブネットが存在する VPC ネットワークが必要です。リージョン外部 HTTP(S) ロードバランサはリージョンで動作します。VPC ネットワーク内のトラフィックは、ロードバランサと同じリージョンのサブネット内にある場合にロードバランサに転送されます。

この例では、次の VPC ネットワーク、リージョン、サブネットを使用します。

  • ネットワーク。ネットワークは、lb-network という名前のカスタムモードの VPC ネットワークです。

  • バックエンドのサブネット。us-west1 リージョンの backend-subnet という名前のサブネット。プライマリ IP 範囲として 10.1.2.0/24 を使用します。

  • プロキシのサブネット。us-west1 リージョンの proxy-only-subnet という名前のサブネット。プライマリ IP 範囲として 10.129.0.0/23 を使用します。

バックエンドのネットワークとサブネットの構成

gcloud

  1. gcloud beta compute networks create コマンドを使用してカスタム VPC ネットワークを作成します。

    gcloud beta compute networks create lb-network --subnet-mode=custom
    
  2. gcloud beta compute networks subnets create コマンドを使用して、us-west1 リージョンの lb-network ネットワークにサブネットを作成します。

    gcloud beta compute networks subnets create backend-subnet \
        --network=lb-network \
        --range=10.1.2.0/24 \
        --region=us-west1
    

API

  1. networks.insert メソッドに POST リクエストを送ります。PROJECT_ID は実際のプロジェクト ID に置き換えます。

    POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks
    {
     "routingConfig": {
       "routingMode": "REGIONAL"
     },
     "name": "lb-network",
     "autoCreateSubnetworks": false
    }
    
  2. subnetworks.insert メソッドに POST リクエストを送ります。PROJECT_ID は実際のプロジェクト ID に置き換えます。

    POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-west1/subnetworks
    {
     "name": "backend-subnet",
     "network": "projects/PROJECT_ID/global/networks/lb-network",
     "ipCidrRange": "10.1.2.0/24",
     "region": "projects/PROJECT_ID/regions/us-west1",
    }
    

プロキシ専用サブネットの構成

プロキシ専用サブネットは、同じリージョンと VPC ネットワークにあるすべてのリージョン外部 HTTP(S) ロードバランサ用です。

gcloud

gcloud beta compute networks subnets create コマンドを使用して、プロキシ専用サブネットを作成します。

gcloud beta compute networks subnets create proxy-only-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=us-west1 \
  --network=lb-network \
  --range=10.129.0.0/23

API

subnetworks.insert メソッドを使用してプロキシ専用サブネットを作成します。PROJECT_ID は実際のプロジェクト ID に置き換えます。

POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-west1/subnetworks
{
  "name": "proxy-only-subnet",
  "ipCidrRange": "10.129.0.0/23",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "region": "projects/PROJECT_ID/regions/us-west1",
  "purpose": "REGIONAL_MANAGED_PROXY",
  "role": "ACTIVE"
}

ファイアウォール ルールの構成

この例では、次のファイアウォール ルールを使用します。

  • fw-allow-ssh負荷分散されたインスタンスに適用される内向きルール。任意のアドレスから TCP ポート 22 への SSH 接続を許可します。このルールには、送信元の IP 範囲をより限定的に指定できます。たとえば、SSH セッションを開始するシステムの IP 範囲を指定できます。この例では、ターゲットタグ allow-ssh を使用しています。

  • fw-allow-health-check負荷分散されているインスタンスに適用される上り(内向き)ルール。Google Cloud ヘルスチェック システム(130.211.0.0/2235.191.0.0/16)からのすべての TCP トラフィックを許可します。この例では、ターゲットタグ load-balanced-backend を使用しています。

  • fw-allow-proxies。ロードバランスされているインスタンスに適用される上り(内向き)ルール。リージョン外部 HTTP(S) ロードバランサが管理するプロキシからポート 804438080 への TCP トラフィックを許可します。この例では、ターゲットタグ load-balanced-backend を使用しています。

これらのファイアウォール ルールがない場合は、デフォルトの上り拒否ルールによってバックエンド インスタンスへの受信トラフィックがブロックされます。

ターゲットタグは、バックエンド インスタンスを定義します。ターゲットタグがない場合、ファイアウォール ルールは VPC ネットワーク内のすべてのバックエンド インスタンスに適用されます。バックエンド VM を作成する場合は、マネージド インスタンス グループの作成の説明に沿って、指定したターゲットタグを忘れずに含めてください。

コンソール

  1. Google Cloud Console の [ファイアウォール ルール] ページに移動します。
    [ファイアウォール ルール] ページに移動
  2. [ファイアウォール ルールを作成] をクリックして、SSH 接続の受信を許可するルールを作成します。
    • 名前: fw-allow-ssh
    • ネットワーク: lb-network
    • トラフィックの方向: 上り(内向き)
    • 一致したときのアクション: 許可
    • ターゲット: 指定されたターゲットタグ
    • ターゲットタグ: allow-ssh
    • ソースフィルタ: IPv4 の範囲
    • 送信元 IP 範囲: 0.0.0.0/0
    • プロトコルとポート:
      • 指定されたプロトコルとポートを選択します。
      • [tcp] チェックボックスをオンにして、ポート番号に「22」と入力します。
  3. [作成] をクリックします。
  4. [ファイアウォール ルールを作成] をもう一度クリックして、Google Cloud ヘルスチェックを許可するルールを作成します。
    • 名前: fw-allow-health-check
    • ネットワーク: lb-network
    • トラフィックの方向: 上り(内向き)
    • 一致したときのアクション: 許可
    • ターゲット: 指定されたターゲットタグ
    • ターゲットタグ: load-balanced-backend
    • ソースフィルタ: IPv4 の範囲
    • 送信元 IPv4 範囲: 130.211.0.0/2235.191.0.0/16
    • プロトコルとポート:
      • 指定されたプロトコルとポートを選択します。
      • [tcp] チェックボックスをオンにして、ポート番号に「80」と入力します。
        このルールは、ヘルスチェックに使用されているプロトコルとポートのみに制限することをおすすめします。プロトコルとポートに tcp:80 を使用すると、Google Cloud はポート 80 で HTTP を使用して VM に接続できますが、ポート 443 では HTTPS を使用して VM に接続することはできません。
  5. [作成] をクリックします。
  6. [ファイアウォール ルールを作成] をもう一度クリックをして、ロードバランサのプロキシ サーバーがバックエンドに接続できるようにするルールを作成します:
    • 名前: fw-allow-proxies
    • ネットワーク: lb-network
    • トラフィックの方向: 上り(内向き)
    • 一致したときのアクション: 許可
    • ターゲット: 指定されたターゲットタグ
    • ターゲットタグ: load-balanced-backend
    • ソースフィルタ: IPv4 の範囲
    • 送信元 IPv4 範囲: 10.129.0.0/23
    • プロトコルとポート:
      • 指定されたプロトコルとポートを選択します。
      • [tcp] チェックボックスをオンにして、ポート番号に「80, 443, 8080」と入力します。
  7. [作成] をクリックします。

gcloud

  1. ネットワーク タグ allow-ssh を使用して、VM との SSH 接続を許可する fw-allow-ssh ファイアウォール ルールを作成します。source-ranges を省略すると、Google Cloud は任意の送信元としてルールを解釈します。

    gcloud beta compute firewall-rules create fw-allow-ssh \
        --network=lb-network \
        --action=allow \
        --direction=ingress \
        --target-tags=allow-ssh \
        --rules=tcp:22
    
  2. Google Cloud ヘルスチェックを許可する fw-allow-health-check ルールを作成します。この例では、ヘルスチェック プローブからのすべての TCP トラフィックを許可します。ただし、必要に応じてポートの範囲を狭く構成することもできます。

    gcloud beta compute firewall-rules create fw-allow-health-check \
        --network=lb-network \
        --action=allow \
        --direction=ingress \
        --source-ranges=130.211.0.0/22,35.191.0.0/16 \
        --target-tags=load-balanced-backend \
        --rules=tcp
    
  3. リージョン外部 HTTP(S) ロードバランサのプロキシにバックエンドへの接続を許可する fw-allow-proxies ルールを作成します。source-ranges をプロキシ専用サブネットの割り振り範囲に設定します(例: 10.129.0.0/23)。

    gcloud beta compute firewall-rules create fw-allow-proxies \
      --network=lb-network \
      --action=allow \
      --direction=ingress \
      --source-ranges=source-range \
      --target-tags=load-balanced-backend \
      --rules=tcp:80,tcp:443,tcp:8080
    

API

firewalls.insert メソッドに POST リクエストを送り、fw-allow-ssh ファイアウォール ルールを作成します。PROJECT_ID は実際のプロジェクト ID に置き換えます。

POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/global/firewalls
{
  "name": "fw-allow-ssh",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "sourceRanges": [
    "0.0.0.0/0"
  ],
  "targetTags": [
    "allow-ssh"
  ],
  "allowed": [
   {
     "IPProtocol": "tcp",
     "ports": [
       "22"
     ]
   }
  ],
  "direction": "INGRESS"
}

firewalls.insert メソッドに POST リクエストを送り、fw-allow-health-check ファイアウォール ルールを作成します。PROJECT_ID は実際のプロジェクト ID に置き換えます。

API

ファイアウォール ルールを作成します。

POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/global/firewalls
{
  "name": "fw-allow-health-check",
  "network": "projects/PROJECT-ID/global/networks/lb-network",
  "sourceRanges": [
    "130.211.0.0/22",
    "35.191.0.0/16"
  ],
  "targetTags": [
    "load-balanced-backend"
  ],
  "allowed": [
    {
      "IPProtocol": "tcp"
    }
  ],
  "direction": "INGRESS"
}

firewalls.insert メソッドのプロキシ サブネット内で TCP トラフィックを許可する fw-allow-proxies ファイアウォール ルールを作成します。PROJECT_ID は、実際のプロジェクト ID に置き換えます。

POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/global/firewalls
{
  "name": "fw-allow-proxies",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "sourceRanges": [
    "10.129.0.0/23"
  ],
  "targetTags": [
    "load-balanced-backend"
  ],
  "allowed": [
    {
      "IPProtocol": "tcp",
      "ports": [
        "80"
      ]
    },
    {
      "IPProtocol": "tcp",
      "ports": [
        "443"
      ]
    },
    {
      "IPProtocol": "tcp",
      "ports": [
        "8080"
      ]
    }
  ],
  "direction": "INGRESS"
}

VM ベースのサービスでのリージョン外部 HTTP(S) ロードバランサの構成

このセクションでは、Compute Engine VM 上で実行されるサービスに必要な構成について説明します。クライアント VM は、転送ルールで構成した IP アドレスとポートに接続されます。クライアント アプリケーションがこの IP アドレスとポートにトラフィックを送信すると、リージョン外部 HTTP(S) ロードバランサの URL マップに従ってバックエンド仮想マシン(VM)にリクエストが転送されます。

本ページのこの例では、エフェメラル外部 IP アドレスの割り振りを許可せずに、リージョン外部 HTTP(S) ロードバランサの転送ルールに予約済み外部 IP アドレスを明示的に設定しています。転送ルールの IP アドレスは予約しておくことをおすすめします。

転送ルールの IP アドレスには、backend-subnet を使用します。プロキシ専用サブネットを使用すると、転送ルールの作成に失敗します。

マネージド インスタンス グループを作成する

このセクションでは、テンプレートとマネージド インスタンス グループの作成方法を説明します。このマネージド インスタンス グループに VM インスタンスを作成し、リージョン外部 HTTP(S) ロードバランサのバックエンド サーバーを実行します。クライアントからのトラフィックは、これらのバックエンド サーバーに負荷分散されます。わかりやすく説明するために、バックエンド サーバーはそれぞれ独自のホスト名を提供します。

Cloud Console

  1. インスタンス テンプレートを作成します。Google Cloud Console で、[インスタンス テンプレート] ページに移動します。

    [インスタンス テンプレート] に移動

    1. [インスタンス テンプレートを作成] をクリックします。
    2. [名前] に「l7-xlb-backend-template」と入力します。
    3. [ブートディスク] が Debian GNU/Linux 9 (stretch) などの Debian イメージに設定されていることを確認します。以降の手順では、apt-get などの Debian でのみ使用できるコマンドを使用します。
    4. [管理、セキュリティ、ディスク、ネットワーク、単一テナンシー] の [管理] タブで、次のスクリプトを [起動スクリプト] フィールドに挿入します。

      #! /bin/bash
      sudo apt-get update
      sudo apt-get install apache2 -y
      sudo a2ensite default-ssl
      sudo a2enmod ssl
      sudo vm_hostname="$(curl -H "Metadata-Flavor:Google" \
      http://169.254.169.254/computeMetadata/v1/instance/name)"
      sudo echo "Page served from: $vm_hostname" | \
      tee /var/www/html/index.html
      sudo systemctl restart apache2
      
    5. [ネットワーキング] で、[ネットワーク] に lb-network を選択し、[サブネット] に backend-subnet を選択します。

    6. ネットワーク タグ allow-sshload-balanced-backend を追加します。

    7. [作成] をクリックします。

  2. マネージド インスタンス グループを作成します。
    Google Cloud Console の [インスタンス グループ] ページに移動します。

    [インスタンス グループ] に移動

    1. [インスタンス グループを作成] をクリックします。
    2. [新しいマネージド インスタンス グループ(ステートレス)] を選択します。詳細については、ステートレス MIG とステートフル MIG をご覧ください。
    3. [名前] に「l7-xlb-backend-example」と入力します。
    4. [ロケーション] で [シングルゾーン] を選択します。
    5. [リージョン] で、us-west1 を選択します。
    6. [ゾーン] で、[us-west1-a] を選択します。
    7. [インスタンス テンプレート] で l7-xlb-backend-template を選択します。
    8. [自動スケーリング] で次のいずれかを選択して、グループ内に作成されるインスタンスの数を制御します。

      • On: add and remove instances to the group
      • Scale up: only add instances to the group
      • Off: do not autoscale

      [インスタンスの最小数] を 2、[インスタンスの最大数] を 2 以上にそれぞれ設定します。

    9. [作成] をクリックします。

gcloud

このガイドの gcloud の手順は、Cloud Shell または bash がインストールされた別の環境を使用していることを前提としています。

  1. gcloud beta compute instance-templates create コマンドを使用して、HTTP サーバーで VM インスタンス テンプレートを作成します。

    gcloud beta compute instance-templates create l7-xlb-backend-template \
    --region=us-west1 \
    --network=lb-network \
    --subnet=backend-subnet \
    --tags=allow-ssh,load-balanced-backend \
    --image-family=debian-9 \
    --image-project=debian-cloud \
    --metadata=startup-script='#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo vm_hostname="$(curl -H "Metadata-Flavor:Google" \
    http://169.254.169.254/computeMetadata/v1/instance/name)"
    sudo echo "Page served from: $vm_hostname" | \
    tee /var/www/html/index.html
    sudo systemctl restart apache2'
    
  2. gcloud beta compute instance-groups managed create コマンドを使用して、ゾーンにマネージド インスタンス グループを作成します。

    gcloud beta compute instance-groups managed create l7-xlb-backend-example \
        --zone=us-west1-a \
        --size=2 \
        --template=l7-xlb-backend-template
    

API

  1. instanceTemplates.insert メソッドを使用してインスタンス テンプレートを作成します。PROJECT_ID は実際のプロジェクト ID に置き換えます。

    POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/global/instanceTemplates
    {
     "name":"l7-xlb-backend-template",
     "properties": {
       "machineType":"e2-standard-2",
       "tags": {
         "items":[
           "allow-ssh",
           "load-balanced-backend"
         ]
       },
       "metadata": {
         "kind":"compute#metadata",
         "items":[
           {
             "key":"startup-script",
             "value":"#! /bin/bash\nsudo apt-get update\nsudo apt-get install apache2 -y\nsudo a2ensite default-ssl\nsudo a2enmod ssl\nsudo vm_hostname=\"$(curl -H \"Metadata-Flavor:Google\" \\\nhttp://169.254.169.254/computeMetadata/v1/instance/name)\"\nsudo echo \"Page served from: $vm_hostname\" | \\\ntee /var/www/html/index.html\nsudo systemctl restart apache2"
           }
         ]
       },
       "networkInterfaces":[
         {
           "network":"projects/PROJECT_ID/global/networks/lb-network",
           "subnetwork":"regions/us-west1/subnetworks/backend-subnet",
           "accessConfigs":[
             {
               "type":"ONE_TO_ONE_NAT"
             }
           ]
         }
       ],
       "disks": [
         {
           "index":0,
           "boot":true,
           "initializeParams": {
             "sourceImage":"projects/debian-cloud/global/images/family/debian-9"
           },
           "autoDelete":true
         }
       ]
     }
    }
    
  2. instanceGroupManagers.insert メソッドを使用して、各ゾーンにマネージド インスタンス グループを作成します。PROJECT_ID は実際のプロジェクト ID に置き換えます。

    POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/zones/{zone}/instanceGroupManagers
    {
     "name": "l7-xlb-backend-example",
     "zone": "projects/PROJECT_ID/zones/us-west1-a",
     "instanceTemplate": "projects/PROJECT_ID/global/instanceTemplates/l7-xlb-backend-template",
     "baseInstanceName": "l7-xlb-backend-example",
     "targetSize": 2
    }
    

インスタンス グループへの名前付きポートの追加

インスタンス グループに HTTP サービスを定義し、ポート名を該当するポートにマッピングします。ロード バランシング サービスは、名前付きポートにトラフィックを転送します。

コンソール

  1. Google Cloud コンソールで、[インスタンス グループ] ページに移動します。

    [インスタンス グループ] に移動

  2. インスタンス グループの名前をクリックします(この例では l7-xlb-backend-example)。
  3. インスタンス グループの [概要] ページで、[EDIT] をクリックします。
  4. [ポート名のマッピングを指定する] をクリックします。
  5. [項目を追加] をクリックします。
  6. ポート名に「http」と入力します。ポート番号に「80」と入力します。
  7. [保存] をクリックします。

gcloud

gcloud beta compute instance-groups set-named-ports コマンドを使用します。

gcloud beta compute instance-groups set-named-ports l7-xlb-backend-example \
    --named-ports http:80 \
    --zone us-west1-a

ロードバランサの IP アドレスの予約

Cloud コンソール

  1. Google Cloud Console で、[静的アドレスの予約] ページに移動します。

    [静的アドレスの予約] に移動

  2. 新しいアドレスの名前を指定します。

  3. [ネットワーク サービス ティア] で [スタンダード] を選択します。

  4. [IPv4] を選択します。IPv6 アドレスはグローバルのみで、グローバル ロードバランサでのみ使用できます。

  5. [リージョン] を選択します。

  6. アドレスを作成するリージョンを選択します。

  7. [接続先] オプションを [なし] に設定したままにします。ロードバランサを作成すると、この IP アドレスがロードバランサの転送ルールに関連付けられます。

  8. [予約] をクリックして IP アドレスを予約します。

gcloud

  1. gcloud beta compute を使用して静的外部 IP アドレスを予約するには、compute addresses create コマンドを使用します。

    gcloud beta compute addresses create ADDRESS_NAME  \
       --region=us-west1 \
       --network-tier=STANDARD
    

    次のように置き換えます。

    • ADDRESS_NAME: このアドレスに付ける名前。
    • REGION: このアドレスを予約するリージョン。このリージョンは、ロードバランサと同じリージョンにする必要があります。すべてのリージョン IP アドレスは IPv4 です。
  2. 結果を表示するには、compute addresses describe コマンドを使用します。

    gcloud beta compute addresses describe ADDRESS_NAME
    

API

リージョン IPv4 アドレスを作成するには、リージョン addresses.insert メソッドを呼び出します。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

リクエスト本文は次のようにします。

{
  "name": "ADDRESS_NAME"
  "networkTier": "STANDARD"
  "region": "us-west1"
}

次のように置き換えます。

  • ADDRESS_NAME: アドレスの名前
  • REGION: このリクエストのリージョン名
  • PROJECT_ID: このリクエストのプロジェクト ID

ロードバランサを構成する

この例では、次のリージョン外部 HTTP(S) ロードバランサ リソースの作成方法を示します。

  • HTTP ヘルスチェック
  • マネージド インスタンス グループをバックエンドとして使用するバックエンド サービス
  • URL マップ
    • リージョンがターゲット HTTP(S) プロキシに定義されている場合は、必ずリージョン URL マップを参照してください。リージョン URL マップは、受信 URL のホストとパスに定義したルールに基づいて、リクエストをリージョン バックエンド サービスにルーティングします。リージョン URL マップを参照できるのは、同じリージョン内のリージョン ターゲット プロキシのルールのみです。
  • SSL 証明書(HTTPS の場合)
  • ターゲット プロキシ
  • 転送ルール

転送ルールの IP アドレスには、backend-subnet を使用します。プロキシ専用サブネットを使用すると、転送ルールの作成に失敗します。

プロキシの可用性

Google Cloud リージョンによっては、新しいロードバランサに対応するのに十分なプロキシ容量がない場合があります。その場合、ロードバランサの作成時に Google Cloud Console でプロキシの可用性に関する警告メッセージが表示されます。この問題を解決するには、次のいずれかを行います。

  • ロードバランサに別のリージョンを選択します。これは、別のリージョンにバックエンドがある場合には現実的な選択肢となります。
  • プロキシ専用サブネットがすでに割り当てられている VPC ネットワークを選択します。
  • 容量の問題が解決するまで待ちます。

Cloud コンソール

ロードバランサ タイプを選択する

  1. Google Cloud Console で、[ロードバランサの作成] ページに移動します。
    [ロードバランサの作成] に移動
  2. [HTTP(S) ロード バランシング] で [構成を開始] をクリックします。
  3. [インターネット接続または内部専用] セクションで、[インターネットから自分の VM またはサーバーレス サービスへ] を選択します。この設定により、ロードバランサは外部 HTTP(S) ロードバランサになります。
  4. [高度なトラフィック管理] セクションで、次の操作を行います。
    1. [高度なトラフィック管理を行う HTTP(S) ロードバランサ] を選択します。
    2. [リージョン HTTP(S) ロードバランサ] を選択します。
  5. [続行] をクリックします。

リージョン外部 HTTP(S) ロードバランサを作成する

  1. ロードバランサの [名前] に「regional-l7-xlb」と入力します。
  2. [リージョン] で us-west1 を選択します。
  3. [ネットワーク] で lb-network を選択します。

プロキシ専用サブネットを予約します

リージョン外部 HTTP(S) ロードバランサの場合は、プロキシ専用サブネットを予約します。

  1. [サブネットの予約] をクリックします。
  2. [名前] に「proxy-only-subnet」と入力します。

  3. [IP アドレス範囲] に「10.129.0.0/23」と入力します。

  4. [追加] をクリックします。

フロントエンドを構成する

HTTP の場合:

  1. [フロントエンドの構成] をクリックします。
  2. [名前] を l7-xlb-forwarding-rule に設定します。
  3. [プロトコル] を HTTP に設定します。
  4. [ポート] を 80 に設定します。
  5. ロードバランサの IP アドレスの予約で作成した IP アドレスを選択します。
  6. [完了] をクリックします。

HTTPS の場合:

クライアントとロードバランサ間で HTTPS を使用する場合は、プロキシを構成するために 1 つ以上の SSL 証明書リソースが必要になります。SSL 証明書リソースの作成方法については、SSL 証明書をご覧ください。現在、リージョン外部 HTTP(S) ロードバランサでは Google マネージド証明書がサポートされません。

  1. [フロントエンドの構成] をクリックします。
  2. [名前] フィールドに「l7-xlb-forwarding-rule」と入力します。
  3. [プロトコル] フィールドで [HTTPS (includes HTTP/2)] を選択します。
  4. [ポート] が 443 に設定されていることを確認します。
  5. ロードバランサの IP アドレスの予約で作成した IP アドレスを選択します。
  6. 証明書リストで、次の操作を行います。
    1. セルフマネージド SSL 証明書リソースがすでにある場合は、プライマリ SSL 証明書を選択します。
    2. [新しい証明書の作成] をクリックします。
      1. [名前] フィールドに「l7-xlb-cert」と入力します。
      2. 該当するフィールドに PEM 形式のファイルをアップロードします。
        • 公開鍵証明書
        • 証明書チェーン
        • 秘密鍵
      3. [作成] をクリックします。
  7. 省略可: プライマリ SSL 証明書に加えて証明書を追加するには:
    1. [証明書を追加] をクリックします。
    2. すでに証明書がある場合は、[証明書] リストから証明書を選択します。
    3. (省略可)[新しい証明書を作成] をクリックし、上述の手順を行います。
  8. [完了] をクリックします。

バックエンド サービスを構成する

  1. [バックエンドの構成] をクリックします。
  2. [バックエンド サービスの作成または選択] メニューから [バックエンド サービスを作成] を選択します。
  3. バックエンド サービスの名前l7-xlb-backend-service に設定します。
  4. [プロトコル] で [HTTP] を選択します。
  5. [名前付きポート] に「http」と入力します。
  6. [バックエンド タイプ] を [インスタンス グループ] に設定します。
  7. [新しいバックエンド] セクションで、次の操作を行います。
    1. [インスタンス グループ] を l7-xlb-backend-example に設定します。
    2. [ポート番号] を 80 に設定します。
    3. [分散モード] を [使用率] に設定します。
    4. [完了] をクリックします。
  8. [ヘルスチェック] セクションで [ヘルスチェックを作成] をクリックします。
    1. [名前] を l7-xlb-basic-check に設定します。
    2. [プロトコル] を HTTP に設定します。
    3. [ポート] を 80 に設定します。
    4. [保存] をクリックします。
  9. [作成] をクリックします。

ルーティング ルールを構成する

  1. [ルーティング ルール] をクリックします。
  2. [モード] で、[単純なホストとパスのルール] を選択します。
  3. l7-xlb-backend-service が、ホストとパスが一致しなかった場合に使用される唯一のバックエンド サービスであることを確認します。

構成を完了する

[作成] をクリックします。

gcloud

  1. gcloud beta compute health-checks create http コマンドを使用して HTTP ヘルスチェックを定義します。

    gcloud beta compute health-checks create http l7-xlb-basic-check \
       --region=us-west1 \
       --request-path='/' \
       --use-serving-port
    
  2. gcloud beta compute backend-services create コマンドを使用してバックエンド サービスを定義します。

    gcloud beta compute backend-services create l7-xlb-backend-service \
      --load-balancing-scheme=EXTERNAL_MANAGED \
      --protocol=HTTP \
      --port-name=http \
      --health-checks=l7-xlb-basic-check \
      --health-checks-region=us-west1 \
      --region=us-west1
    
  3. gcloud beta compute backend-services add-backend コマンドを使用して、バックエンド サービスにバックエンドを追加します。

    gcloud beta compute backend-services add-backend l7-xlb-backend-service \
      --balancing-mode=UTILIZATION \
      --instance-group=l7-xlb-backend-example \
      --instance-group-zone=us-west1-a \
      --region=us-west1
    
  4. gcloud beta compute url-maps create コマンドを使用して、URL マップを作成します。

    gcloud beta compute url-maps create regional-l7-xlb-map \
      --default-service=l7-xlb-backend-service \
      --region=us-west1
    
  5. ターゲット プロキシを作成します。

    HTTP の場合:

    HTTP ロードバランサの場合は、gcloud beta compute target-http-proxies create コマンドを使用してターゲット プロキシを作成します。

    gcloud beta compute target-http-proxies create l7-xlb-proxy \
      --url-map=regional-l7-xlb-map \
      --url-map-region=us-west1 \
      --region=us-west1
    

    HTTPS の場合:

    SSL 証明書リソースの作成方法については、SSL 証明書をご覧ください。リージョン外部 HTTP(S) ロードバランサでは、Google マネージド証明書がサポートされません。

    1. ファイルパスを変数名に割り当てます。

      export LB_CERT=path to PEM-formatted file
      
      export LB_PRIVATE_KEY=path to PEM-formatted file
      
    2. gcloud beta compute ssl-certificates create コマンドを使用してリージョン SSL 証明書を作成します。

      gcloud beta compute ssl-certificates create l7-xlb-cert \
       --certificate=$LB_CERT \
       --private-key=$LB_PRIVATE_KEY \
       --region=us-west1
      
    3. リージョン SSL 証明書を使用して、gcloud beta compute target-https-proxies create コマンドでターゲット プロキシを作成します。

      gcloud beta compute target-https-proxies create l7-xlb-proxy \
       --url-map=regional-l7-xlb-map \
       --region=us-west1 \
       --ssl-certificates=l7-xlb-cert
      
  6. 転送ルールを作成します。

    HTTP の場合:

    適切なフラグを設定して gcloud beta compute forwarding-rules create コマンドを実行します。

    gcloud beta compute forwarding-rules create l7-xlb-forwarding-rule \
      --load-balancing-scheme=EXTERNAL_MANAGED \
      --network-tier=STANDARD \
      --network=lb-network \
      --address=ADDRESS_NAME \
      --ports=80 \
      --region=us-west1 \
      --target-http-proxy=l7-xlb-proxy \
      --target-http-proxy-region=us-west1
    

    HTTPS の場合:

    適切なフラグを設定して gcloud beta compute forwarding-rules create コマンドを実行し、転送ルールを作成します。

    gcloud beta compute forwarding-rules create l7-xlb-forwarding-rule \
      --load-balancing-scheme=EXTERNAL_MANAGED \
      --network-tier=STANDARD \
      --network=lb-network \
      --address=ADDRESS_NAME \
      --ports=443 \
      --region=us-west1 \
      --target-https-proxy=l7-xlb-proxy \
      --target-https-proxy-region=us-west1
    

API

regionHealthChecks.insert メソッドに POST リクエストを送り、ヘルスチェックを作成します。PROJECT_ID は実際のプロジェクト ID に置き換えます。

POST https://compute.googleapis.com/compute/beta/projects/<var>PROJECT_ID</var>/regions/{region}/healthChecks
{
  "name": "l7-xlb-basic-check",
  "type": "HTTP",
  "httpHealthCheck": {
    "portSpecification": "USE_SERVING_PORT"
  }
}

regionBackendServices.insert メソッドに POST リクエストを送り、リージョン バックエンド サービスを作成します。PROJECT_ID は実際のプロジェクト ID に置き換えます。

POST https://compute.googleapis.com/compute/beta/projects/<var>PROJECT_ID</var>/regions/us-west1/backendServices
{
  "name": "l7-xlb-backend-service",
  "backends": [
    {
      "group": "projects/<var>PROJECT_ID</var>/zones/us-west1-a/instanceGroups/l7-xlb-backend-example",
      "balancingMode": "UTILIZATION"
    }
  ],
  "healthChecks": [
    "projects/<var>PROJECT_ID</var>/regions/us-west1/healthChecks/l7-xlb-basic-check"
  ],
  "loadBalancingScheme": "EXTERNAL_MANAGED"
}

regionUrlMaps.insert メソッドに POST リクエストを送り、URL マップを作成します。PROJECT_ID は実際のプロジェクト ID に置き換えます。

POST https://compute.googleapis.com/compute/beta/projects/<var>PROJECT_ID</var>/regions/us-west1/urlMaps
{
  "name": "regional-l7-xlb-map",
  "defaultService": "projects/<var>PROJECT_ID</var>/regions/us-west1/backendServices/l7-xlb-backend-service"
}

regionTargetHttpProxies.insert メソッドに POST リクエストを送り、ターゲット HTTP プロキシを作成します。PROJECT_ID は、実際のプロジェクト ID に置き換えます。

POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-west1/targetHttpProxy
{
  "name": "l7-xlb-proxy",
  "urlMap": "projects/PROJECT_ID/global/urlMaps/regional-l7-xlb-map",
  "region": "us-west1"
}

forwardingRules.insert メソッドに POST リクエストを送り、転送ルールを作成します。PROJECT_ID は実際のプロジェクト ID に置き換えます。

POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-west1/forwardingRules
{
  "name": "l7-xlb-forwarding-rule",
  "IPAddress": "10.1.2.99",
  "IPProtocol": "TCP",
  "portRange": "80-80",
  "target": "projects/PROJECT_ID/regions/us-west1/targetHttpProxies/l7-xlb-proxy",
  "loadBalancingScheme": "EXTERNAL_MANAGED",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "networkTier": "STANDARD",
}

ドメインをロードバランサに接続する

ロードバランサが作成されたら、ロードバランサに関連付けられた IP アドレスをメモします(例: 30.90.80.100)。ドメインがロードバランサを指すようするには、ドメイン登録サービスを使用して A レコードを作成します。SSL 証明書に複数のドメインを追加する場合は、それぞれについて A レコードを追加して、すべてがロードバランサの IP アドレスを指すようにする必要があります。たとえば、www.example.comexample.comA レコードを作成するには、次のようにします。

NAME                  TYPE     DATA
www                   A        30.90.80.100
@                     A        30.90.80.100

Google Domains を使用している場合は、Google Domains のヘルプページで詳細をご確認ください。

インスタンスに送信されるトラフィックのテスト

ロード バランシング サービスが稼働中になったので、転送ルールへトラフィックを送信できます。また、各インスタンスに分散されるトラフィックを監視できます。

Cloud コンソール

  1. Google Cloud コンソールで、[ロード バランシング] ページに移動します。

    [ロード バランシング] に移動

  2. 作成したロードバランサをクリックします。
  3. [バックエンド] セクションで、VM が正常であることを確認します。[正常] 列には、両方の VM が正常であること(2/2)が示されます。それ以外の場合は、最初にページを再読み込みしてみてください。VM が正常な状態であることが Google Cloud Console に表示されるまでに時間がかかる場合があります。数分経ってもバックエンドが正常に動作しない場合は、ファイアウォールの構成と、バックエンド VM に割り当てられているネットワーク タグを確認します。
  4. Google Cloud コンソールでバックエンド インスタンスが正常であることを確認したら、ウェブブラウザ(https://IP_ADDRESS または http://IP_ADDRESS)でロードバランサをテストできます。IP_ADDRESS は、ロードバランサの IP アドレスに置き換えます。
  5. HTTPS のテストに自己署名証明書を使用した場合は、ブラウザに警告が表示されます。自己署名証明書を受け付けるためには、ブラウザで明示的に設定する必要があります。
  6. ページを提供したインスタンスの名前とそのゾーン(Page served from: lb-backend-example-xxxx など)を示すコンテンツを含むページがブラウザで表示されます。お使いのブラウザでこのページがレンダリングされない場合は、このガイドの構成設定を確認してください。

gcloud

予約された IPv4 アドレスをメモします。

gcloud beta compute addresses describe ADDRESS_NAME \
    --format="get(address)" \
    --region="us-west1"

ウェブブラウザで https://IP_ADDRESS(または http://IP_ADDRESS)に移動して、ロードバランサをテストできます。IP_ADDRESS は、ロードバランサの IP アドレスに置き換えます。

HTTPS のテストに自己署名証明書を使用した場合は、ブラウザに警告が表示されます。自己署名証明書を受け付けるためには、ブラウザで明示的に設定する必要があります。

バックエンド インスタンスに関する最小限の情報を含むページがブラウザで表示されます。お使いのブラウザでこのページが表示されない場合は、このガイドの構成設定を確認してください。

追加の構成オプション

このセクションでは、代替および追加の構成オプションを提供する構成例を示します。これらのタスクはすべて省略可です。これらは任意の順序で実行できます。

セッション アフィニティを有効にする

これらの手順は、バックエンド サービスが生成された Cookie アフィニティ、ヘッダー フィールド アフィニティ、HTTP Cookie アフィニティを使用するように、サンプルのリージョン外部 HTTP(S) ロードバランサのバックエンド サービスを更新する方法を示しています。

生成された Cookie アフィニティが有効な場合、ロードバランサは最初のリクエストで Cookie を発行します。同じ Cookie を持つ後続のリクエストは、ロードバランサによって同じバックエンド VM またはエンドポイントに送信されます。リージョン外部 HTTP(S) ロードバランサの場合、Cookie の名前は GCILB になります。

ヘッダー フィールド アフィニティが有効になっている場合、ロードバランサは、--custom-request-header フラグで指定された HTTP ヘッダーの値に基づいて、NEG のバックエンド VM またはエンドポイントにリクエストをルーティングします。ヘッダー フィールド アフィニティは、負荷分散の局所性ポリシーが RING_HASH または MAGLEV であり、バックエンド サービスのコンシステント ハッシュが HTTP ヘッダーの名前を指定している場合にのみ有効です。

HTTP Cookie アフィニティが有効になっている場合、ロードバランサは、HTTP_COOKIE フラグ(およびオプションの --affinity-cookie-ttl フラグ)で指定された HTTP Cookie に基づいて、NEG のバックエンド VM またはエンドポイントにリクエストをルーティングします。クライアントが HTTP リクエストで Cookie を提供しない場合、プロキシは Cookie を生成し、それを Set-Cookie ヘッダーでクライアントに返します。HTTP Cookie アフィニティは、負荷分散の局所性ポリシーが RING_HASH または MAGLEV であり、バックエンド サービスのコンシステント ハッシュが HTTP Cookie を指定している場合にのみ有効です。

Cloud コンソール

バックエンド サービスのためのセッション アフィニティを有効化または変更するには、次に示す手順を行ってください。

  1. Google Cloud コンソールの [ロード バランシング] ページに移動します。
    [ロード バランシング] に移動
  2. 作成したロードバランサをクリックします。
  3. [バックエンド] をクリックします。
  4. l7-ilb-backend-service(この例で作成したバックエンド サービスの名前)をクリックし、[編集] をクリックします。
  5. [バックエンド サービスの詳細] ページで、[詳細構成] をクリックします。
  6. [セッション アフィニティ] で、必要なセッション アフィニティのタイプをメニューから選択します。
  7. [更新] をクリックします。

gcloud

次の gcloud コマンドを使用して、l7-xlb-backend-service バックエンド サービスをさまざまなタイプのセッション アフィニティに更新します。

gcloud beta compute backend-services update l7-xlb-backend-service \
    --session-affinity=[GENERATED_COOKIE | HEADER_FIELD | HTTP_COOKIE | CLIENT_IP]
    --region=us-west1

API

セッション アフィニティを設定するには、regionBackendServices/patch メソッドに PATCH リクエストを行います。

PATCH https://compute.googleapis.com/compute/beta/projects/[PROJECT_ID]/regions/us-west1/regionBackendServices/l7-xlb-backend-service
{
  "sessionAffinity": ["GENERATED_COOKIE" | "HEADER_FIELD" | "HTTP_COOKIE" | "CLIENT_IP" ]
}

次のステップ