Menyiapkan Load Balancer Aplikasi eksternal regional dengan backend eksternal

Panduan ini menunjukkan cara mengonfigurasi Load Balancer Aplikasi eksternal regional yang mengirimkan proxy permintaan ke backend eksternal. Backend eksternal adalah endpoint eksternal Google Cloud.

Sebelum mengikuti panduan ini, pahami dokumentasi ringkasan NEG Internet, termasuk batasannya.

Diagram arsitektur berikut menunjukkan frontend Load Balancer Aplikasi eksternal regional dengan backend eksternal.

Load Balancer Aplikasi eksternal regional dengan backend eksternal.
Gambar 1. Load Balancer Aplikasi eksternal regional dengan backend eksternal (klik untuk memperbesar).

Izin

Untuk mengikuti panduan ini, Anda perlu membuat NEG internet dan membuat atau mengubah Load Balancer Aplikasi di sebuah project. Anda harus memiliki peran Pemilik atau Editor project (roles/owner atau roles/editor), atau harus memiliki kedua peran IAM Compute Engine berikut.

Tugas Peran yang diperlukan
Membuat dan mengubah komponen load balancer Admin Jaringan Compute
(roles/compute.networkAdmin)
Membuat dan mengubah NEG Admin Instance Compute
(roles/compute.instanceAdmin)

Menyiapkan lingkungan backend eksternal di luar Google Cloud

Untuk menyiapkan lingkungan backend eksternal, lihat bagian berikut.

Mengonfigurasi endpoint jaringan

Konfigurasikan endpoint jaringan untuk mengekspos backend eksternal Anda ke Google Cloud. Pastikan endpoint—baik kombinasi IP:Port maupun nama domain yang sepenuhnya memenuhi syarat (FQDN) dan port—dapat dijangkau melalui internet. Endpoint ini kemudian dirujuk dari NEG internet.

Guna mengetahui persyaratan konfigurasi mendetail untuk endpoint NEG internet, lihat Ringkasan NEG Internet.

Izinkan backend eksternal menerima traffic dari Google Cloud

Langkah ini dapat diselesaikan setelah Anda membuat subnet khusus proxy dan menyiapkan gateway Cloud NAT.

Agar permintaan dari Google Cloud dapat mencapai backend eksternal, Anda harus melakukan langkah-langkah berikut:

  1. Konfigurasikan gateway Cloud NAT dengan alamat IP yang digunakan untuk traffic keluar dari Google Cloud. Gateway memetakan rentang subnet khusus proxy ke alamat IP eksternal. Untuk mengetahui langkah-langkahnya, lihat Menyiapkan gateway Cloud NAT.
  2. Pastikan lingkungan backend eksternal Anda sudah dikonfigurasi untuk mengizinkan traffic dari Google Cloud menjangkau backend eksternal. Misalnya, jika menggunakan alamat IP yang dicadangkan untuk gateway NAT, Anda akan memasukkan alamat IP tersebut ke daftar yang diizinkan di lingkungan eksternal. Anda mungkin harus bekerja sama dengan admin jaringan atau keamanan lingkungan eksternal Anda untuk menyiapkannya.

Menyiapkan lingkungan Google Cloud

Anda memerlukan jaringan VPC dengan dua subnet: satu untuk komponen load balancer dan satu lagi untuk subnet khusus proxy region. Kemudian, Anda akan membuat load balancer dengan backend NEG internet.

Membuat subnet dan jaringan VPC

Subnet ini digunakan untuk membuat komponen load balancer.

Cloud Console

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.
    Buka jaringan VPC
  2. Klik Create VPC network.
  3. Masukkan Nama: LB_NETWORK.
  4. Di bagian Subnet:
    • Setel Subnet creation mode ke Custom.
    • Di bagian Subnet baru, masukkan informasi berikut:
      • Name: LB_SUBNET_NAME
      • Region: REGION
      • Rentang alamat IP: LB_SUBNET_RANGE
    • Klik Done.
  5. Klik Create.

gcloud

  1. Buat jaringan VPC kustom dengan menggunakan perintah gcloud compute networks create:

    gcloud compute networks create LB_NETWORK \
      --subnet-mode=custom
    
  2. Buat subnet di jaringan LB_NETWORK.

    gcloud compute networks subnets create LB_SUBNET_NAME \
      --network=LB_NETWORK \
      --range=LB_SUBNET_RANGE \
      --region=REGION
    

Mengonfigurasi subnet khusus proxy

Subnet khusus proxy ini digunakan oleh semua load balancer berbasis Envoy regional di region REGION.

Konsol

  1. Di Konsol Google Cloud, buka halaman jaringan VPC.
    Buka jaringan VPC
  2. Pilih Network dari daftar.
  3. Klik Tambahkan subnet.
  4. Masukkan Nama: PROXY_ONLY_SUBNET_NAME.
  5. Pilih Region: REGION.
  6. Tetapkan Destination ke Regional Managed Proxy.
  7. Masukkan rentang alamat IP: PROXY_ONLY_SUBNET_RANGE.
  8. Klik Tambahkan.

gcloud

Buat subnet khusus proxy dengan perintah gcloud compute networks subnets create.

gcloud compute networks subnets create PROXY_ONLY_SUBNET_NAME \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=REGION \
  --network=LB_NETWORK \
  --range=PROXY_ONLY_SUBNET_RANGE

Menyiapkan gateway Cloud NAT

Sebelum mengonfigurasi gateway Cloud NAT, pastikan Anda telah meninjau batasan terkait dan pertimbangan harga. Untuk mengetahui detailnya, lihat NEG Regional: Menggunakan gateway Cloud NAT.

Perintah berikut menjelaskan cara menyiapkan gateway Cloud NAT. Gateway Cloud NAT dapat dikonfigurasi untuk menggunakan alamat IP eksternal NAT otomatis, yang alokasinya didasarkan pada permintaan, atau menggunakan kumpulan alamat IP eksternal yang telah direservasi secara manual. Gateway memetakan rentang subnet khusus proxy ke alamat IP eksternal.

Menyiapkan alamat IP otomatis yang dialokasikan NAT

Saat membuat gateway Cloud NAT dengan alokasi alamat IP NAT otomatis, Anda dapat menentukan Network Service Tiers (Paket Premium atau Paket Standar) tempat gateway Cloud NAT mengalokasikan alamat IP.

Konsol

  1. Di Konsol Google Cloud, buka halaman Cloud NAT.

    Buka Cloud NAT

  2. Klik Get started atau Create Cloud NAT gateway.

  3. Masukkan nama gateway LB_NAT_CONFIG.

  4. Untuk jenis NAT, pilih Publik.

  5. Dalam daftar Network, pilih LB_NETWORK.

  6. Dalam daftar Region, pilih REGION.

  7. Membuat Cloud Router di region ini.

  8. Untuk Source endpoint type, pilih Managed proxy load balancers.

  9. Dalam daftar Sumber, pilih Kustom.

    • Untuk Subnets, pilih PROXY_ONLY_SUBNET_NAME.
  10. Dalam daftar Cloud NAT IP addresses, pilih Automatic (recommended).

  11. Untuk Tingkat layanan jaringan, pilih Premium atau Standar.

  12. Klik Create.

gcloud

Gunakan alamat IP yang dialokasikan secara dinamis jika lingkungan backend eksternal tidak mengharuskan Anda mengizinkan alamat IP Google Cloud tertentu yang dapat mengirim traffic ke backend eksternal.

  1. Membuat cloud router

    gcloud beta compute routers create ROUTER_NAME \
      --network=LB_NETWORK \
      --region=REGION
  2. Menyiapkan gateway Cloud NAT.

    gcloud beta compute routers nats create LB_NAT_CONFIG \
      --router=ROUTER_NAME \
      --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \
      --nat-custom-subnet-ip-ranges=PROXY_ONLY_SUBNET_NAME \
      --auto-allocate-nat-external-ips \
      --region=REGION
    

Ganti kode berikut:

  • LB_NAT_CONFIG: nama konfigurasi NAT Anda.

  • ROUTER_NAME: nama Cloud Router.

  • REGION: region NAT yang akan dibuat. Jika tidak ditentukan, Anda mungkin diminta untuk memilih region (khusus mode interaktif).

  • PROXY_ONLY_SUBNET_NAME: nama subnet khusus proxy Anda.

Menyiapkan alamat IP yang dialokasikan secara manual

Gunakan alamat IP yang dialokasikan secara manual hanya jika lingkungan backend eksternal mengharuskan Anda menggunakan daftar yang diizinkan untuk alamat IP Google Cloud tertentu. Jika lingkungan backend eksternal tidak memerlukan daftar yang diizinkan, gunakan alokasi dinamis seperti yang ditampilkan sebelumnya.

Saat membuat gateway Cloud NAT, Anda dapat memilih untuk menetapkan alamat IP NAT secara manual dari Paket Premium atau Paket Standar atau keduanya, dengan tunduk pada conditions tertentu.

Konsol

  1. Di Konsol Google Cloud, buka halaman Cloud NAT.

    Buka Cloud NAT

  2. Klik Get started atau Create Cloud NAT gateway.

  3. Masukkan nama gateway LB_NAT_CONFIG.

  4. Dalam daftar Network, pilih LB_NETWORK.

  5. Dalam daftar Region, pilih REGION.

  6. Pilih atau buat Cloud Router di region.

  7. Untuk Source endpoint type, pilih Managed proxy load balancers.

  8. Dalam daftar Sumber, pilih Kustom.

    • Di Subnets, pilih PROXY_ONLY_SUBNET_NAME.
  9. Dalam daftar Alamat IP Cloud NAT, pilih Manual.

  10. Untuk Tingkat layanan jaringan, pilih Premium atau Standar.

  11. Pilih atau buat alamat IP eksternal cadangan statis yang akan digunakan untuk NAT.

  12. Jika ingin menentukan alamat IP tambahan, klik Tambahkan alamat IP, lalu pilih atau buat alamat IP eksternal statis tambahan yang dicadangkan.

  13. Klik Create.

gcloud

  1. Buat alamat IP. Karena gateway melakukan terjemahan NAT one-to-one, Anda harus memastikan bahwa kumpulan alamat IP yang dicadangkan cukup besar untuk menangani jumlah traffic yang Anda harapkan. Alamat IP NAT yang tidak dialokasikan secara memadai dapat menyebabkan hilangnya traffic.

    gcloud compute addresses create IP_ADDRESS_NAME_1 IP_ADDRESS_NAME_2 [IP_ADDRESS_NAME_3 ...] \
      --region=REGION
    
  2. Membuat cloud router

    gcloud compute routers create ROUTER_NAME \
      --network=LB_NETWORK \
      --region=REGION
  3. Menyiapkan gateway Cloud NAT.

    gcloud beta compute routers nats create LB_NAT_CONFIG \
      --router=ROUTER_NAME \
      --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \
      --nat-custom-subnet-ip-ranges=PROXY_ONLY_SUBNET_NAME \
      --nat-external-ip-pool=IP_ADDRESS_NAME_1,IP_ADDRESS_NAME_2,[IP_ADDRESS_NAME_3 ...] \
      --region=REGION
    

    Ganti kode berikut:

  • LB_NAT_CONFIG: nama konfigurasi NAT Anda.

  • ROUTER_NAME: nama Cloud Router.

  • PROXY_ONLY_SUBNET_NAME: nama subnet khusus proxy Anda.

  • REGION: region NAT yang akan dibuat. Jika tidak ditentukan, Anda mungkin diminta untuk memilih region (khusus mode interaktif).

Untuk mengetahui informasi lebih lanjut, baca artikel Menentukan rentang subnet untuk NAT dalam dokumentasi Cloud NAT.

Pastikan Anda menggunakan daftar yang diizinkan untuk rentang alamat IP NAT di lingkungan backend eksternal, sehingga backend eksternal Anda dapat menerima traffic dari Google Cloud.

Mencadangkan alamat IP load balancer

Cadangkan alamat IP eksternal untuk load balancer. Prosedur ini membuat alamat IP load balancer di Paket Standar. Load Balancer Aplikasi eksternal regional mendukung Tingkat Layanan Jaringan Premium dan Standar. Namun, pembuatan load balancer ini di Paket Premium tidak didukung di Konsol Google Cloud. Gunakan gcloud atau REST API sebagai gantinya.

Konsol

  1. Di konsol Google Cloud, buka halaman Reserve a static address.

    Buka Cadangkan alamat statis

  2. Pilih Nama untuk alamat baru.

  3. Untuk Network Service Tier, pilih Standard.

  4. Untuk IP version, pilih IPv4. Alamat IPv6 hanya bisa bersifat global dan hanya dapat digunakan dengan load balancer global.

  5. Untuk Type, pilih Regional.

  6. Pilih Region.

  7. Biarkan opsi Attached to ditetapkan ke None. Setelah Anda membuat load balancer, alamat IP ini akan dilampirkan ke aturan penerusan load balancer.

  8. Klik Reserve untuk mereservasi alamat IP.

gcloud

  1. Untuk mereservasi alamat IP eksternal statis menggunakan gcloud compute, gunakan perintah compute addresses create.

    gcloud compute addresses create LB_IP_ADDRESS  \
       --region=REGION \
       --network-tier=STANDARD
    

    Ganti kode berikut:

    • LB_IP_ADDRESS: nama yang ingin Anda panggil alamat ini.
    • REGION: region tempat Anda ingin mencadangkan alamat ini. Region ini harus memiliki region yang sama dengan load balancer. Semua alamat IP regional adalah IPv4.
  2. Gunakan perintah compute addresses describe untuk melihat hasilnya:

    gcloud compute addresses describe LB_IP_ADDRESS
    

Menyiapkan NEG internet

Anda dapat membuat NEG internet menggunakan endpoint INTERNET_FQDN_PORT atau endpoint INTERNET_IP_PORT.

Konsol

Buat NEG dengan endpoint INTERNET_FQDN_PORT

  1. Di konsol Google Cloud, buka halaman Network endpoint group.

    Buka Grup endpoint jaringan

  2. Klik Create network endpoint group.

  3. Tentukan INTERNET_NEG_NAME untuk NEG Internet Anda. Untuk mengetahui informasi selengkapnya, lihat Konvensi penamaan resource.

  4. Dalam daftar Network endpoint group type, pilih Network endpoint group (Internet), lalu lakukan hal berikut:

    • Dalam daftar Scope, pilih Regional.
    • Opsional: Di daftar Wilayah, ubah REGION untuk NEG ini.
    • Dalam daftar Network, pilih LB_NETWORK.
    • Di kotak Default port, masukkan DEFAULT_PORT_NUMBER.
    • Dalam daftar Add endpoint through, pilih Fully qualified domain name and port.
  5. Pilih Create.

Tambahkan endpoint INTERNET_FQDN_PORT ke NEG

  1. Di konsol Google Cloud, buka halaman Network endpoint group.

    Buka Grup endpoint jaringan

  2. Klik INTERNET_NEG_NAME.
  3. Masukkan Nama domain yang sepenuhnya memenuhi syarat (FQDN) seperti myorg.example.com. Anda harus menentukan objek FQDN dalam sintaksis FQDN standar.

  4. Opsional: Untuk Jenis port, pilih Kustom. Jika Jenis port adalah Default, port default NEG akan digunakan.

  5. Di kotak Port number, masukkan PORT_NUMBER_1.
  6. Pilih Create.

Buat NEG dengan endpoint INTERNET_IP_PORT

  1. Di konsol Google Cloud, buka halaman Network endpoint group.

    Buka Grup endpoint jaringan

  2. Klik Create network endpoint group.

  3. Tentukan nama INTERNET_NEG_NAME untuk NEG Internet Anda. Untuk mengetahui informasi selengkapnya, lihat Konvensi penamaan resource.

  4. Dalam daftar Network endpoint group type, pilih Network endpoint group (Internet), lalu lakukan hal berikut:

    • Dalam daftar Scope, pilih Regional.
    • Opsional: Di daftar Wilayah, ubah REGION untuk NEG ini.
    • Dalam daftar Network, pilih LB_NETWORK.
    • Di kotak Default port, masukkan DEFAULT_PORT_NUMBER.
    • Dalam daftar Add endpoint through, pilih IP and port.
  5. Pilih Create.

Tambahkan endpoint INTERNET_IP_PORT ke NEG

  1. Di konsol Google Cloud, buka halaman Network endpoint group.

    Buka Grup endpoint jaringan

  2. Klik INTERNET_NEG_NAME.
  3. Di kolom Alamat IP, masukkan IP_ADDRESS_1.
  4. Opsional: Dalam daftar Port type, pilih Custom. Jika Jenis port adalah Default, port default NEG akan digunakan.

  5. Di kolom Nomor port, masukkan PORT_NUMBER_1.
  6. Pilih Create.

gcloud

Untuk membuat NEG dengan endpoint INTERNET_FQDN_PORT:

  1. Buat resource NEG.

    gcloud beta compute network-endpoint-groups create INTERNET_NEG_NAME \
        --network-endpoint-type=INTERNET_FQDN_PORT \
        --default-port=DEFAULT_PORT_NUMBER \
        --network=LB_NETWORK \
        --region=REGION
    
  2. Tambahkan endpoint ke NEG. Jika port tidak ditentukan, port default NEG akan digunakan.

    gcloud beta compute network-endpoint-groups update INTERNET_NEG_NAME \
        --add-endpoint="fqdn=FULLY_QUALIFIED_DOMAIN_NAME_1,port=PORT_NUMBER_1" \
        [--add-endpoint="fqdn=FULLY_QUALIFIED_DOMAIN_NAME_2,port=PORT_NUMBER_2" \]
        --region=REGION
    

    Ganti kode berikut:

    • FULLY_QUALIFIED_DOMAIN_NAME: nama domain yang sepenuhnya memenuhi syarat untuk endpoint
    • PORT_NUMBER: nomor port untuk endpoint

    Anda dapat menambahkan hingga 256 endpoint per NEG.

Jika domain Anda dapat diselesaikan melalui internet, tidak ada konfigurasi lain yang diperlukan untuk menyiapkan DNS. Namun, jika menggunakan FQDN pribadi, Anda harus mengonfigurasi Cloud DNS untuk memfasilitasi resolusi DNS. Nama tersebut harus dihosting di Cloud DNS atau dapat diselesaikan melalui penerusan DNS dari Cloud DNS ke DNS lokal.

Mulailah dengan membuat zona Cloud DNS untuk menghosting data DNS di project Anda. Kemudian, tambahkan catatan DNS ke dalamnya. Lihat dokumentasi Cloud DNS untuk mengetahui langkah-langkah konfigurasi yang spesifik.

Untuk membuat NEG dengan endpoint INTERNET_IP_PORT:

  1. Buat resource NEG.

    gcloud beta compute network-endpoint-groups create INTERNET_NEG_NAME \
        --network-endpoint-type=INTERNET_IP_PORT \
        --default-port=DEFAULT_PORT_NUMBER \
        --network=LB_NETWORK \
        --region=REGION
    
  2. Tambahkan endpoint ke NEG. Jika port tidak ditentukan, port default NEG akan digunakan.

    gcloud beta compute network-endpoint-groups update INTERNET_NEG_NAME \
        --add-endpoint="ip=IP_ADDRESS_1,port=PORT_NUMBER_1" \
        [--add-endpoint="ip=IP_ADDRESS_2,port=PORT_NUMBER_2" \]
        --region=REGION
    

    Ganti kode berikut:

    • IP_ADDRESS: alamat IP untuk endpoint
    • PORT_NUMBER: nomor port untuk endpoint

    Anda dapat mengulangi langkah ini untuk menambahkan hingga 256 endpoint per NEG.

Membuat load balancer

Konsol

Memulai konfigurasi Anda

  1. Di Konsol Google Cloud, buka halaman Load balancing.

    Buka Load balancing

  2. Klik Create load balancer.
  3. Untuk Type of load balancer, pilih Application Load Balancer (HTTP/HTTPS) lalu klik Next.
  4. Untuk Public facing or internal, pilih Public facing (eksternal), lalu klik Next.
  5. Untuk Global or single region deployment, pilih Best for regional beban kerja, lalu klik Next.
  6. Klik Konfigurasikan.

Konfigurasi dasar

  1. Masukkan Nama load balancer.
  2. Untuk Region, pilih REGION.
  3. Untuk Network, pilih LB_NETWORK.

Mereservasi subnet khusus proxy

Untuk mencadangkan subnet khusus proxy:

  1. Klik Reserve subnet.
  2. Untuk Name, masukkan PROXY_ONLY_SUBNET_NAME.
  3. Untuk Rentang alamat IP, masukkan PROXY_ONLY_SUBNET_RANGE.
  4. Klik Tambahkan.

Konfigurasi frontend

  1. Klik Frontend configuration.
  2. Masukkan Nama.
  3. Untuk Subnetwork, pilih LB_SUBNET_NAME.
  4. Untuk membuat load balancer HTTPS, Anda harus memiliki sertifikat SSL. Sebaiknya gunakan sertifikat yang dikelola Google.

    Properti Nilai (ketik nilai atau pilih opsi yang ditentukan)
    Protokol HTTPS
    Network Service Tier Premium
    IP version IPv4
    Alamat IP Pilih alamat IP yang dicadangkan sebelumnya: LB_IP_ADDRESS.
    Port 443
    Certificate

    Pilih sertifikat SSL yang ada atau buat sertifikat baru.

    Untuk membuat load balancer HTTPS, Anda harus memiliki resource sertifikat SSL untuk digunakan di proxy HTTPS.

    Jika ingin menguji proses ini tanpa menyiapkan resource sertifikat SSL (atau domain seperti yang diwajibkan oleh sertifikat yang dikelola Google), Anda dapat menyiapkan load balancer HTTP.

    Untuk membuat load balancer HTTP, pastikan opsi berikut telah dikonfigurasi dengan nilai ini:

    Properti Nilai (ketik nilai atau pilih opsi yang ditentukan)
    Protokol HTTP
    Network Service Tier Premium
    IP version IPv4
    Alamat IP Pilih alamat IP yang dicadangkan sebelumnya: LB_IP_ADDRESS.
    Port 80
  5. Klik Done.

Konfigurasi backend

  1. Klik Backend configuration.
  2. Klik Backend services and backend buckets.
  3. Klik Create a backend service.
  4. Masukkan nama.
  5. Untuk Backend type, pilih Internet network endpoint group.
  6. Untuk Protocol, pilih protokol yang ingin Anda gunakan dari load balancer ke NEG internet.
  7. Untuk Backends, di jendela New backend, pilih Regional internet network endpoint yang dibuat di langkah sebelumnya.
  8. Klik Done.
  9. Konfigurasi health check:
    1. Untuk Health check, pilih Create a health check.
    2. Tetapkan nama health check ke HTTP_HEALTH_CHECK_NAME.
    3. Untuk Protocol, pilih HTTP.
    4. Tetapkan Port ke 80.
  10. Klik Create.

Melakukan peninjauan dan penyelesaian

  1. Klik Review and finalize.
  2. Jika semuanya sudah benar, klik Buat.

gcloud

  1. Opsional: Membuat health check. Pemeriksaan health check untuk backend eksternal menggunakan health check Envoy terdistribusi dan kemudian diterjemahkan oleh NAT.
    gcloud compute health-checks create http HTTP_HEALTH_CHECK_NAME \
        --region=REGION \
        --use-serving-port
    
  2. Buat layanan backend:
    gcloud compute backend-services create BACKEND_SERVICE \
        --load-balancing-scheme=EXTERNAL_MANAGED \
        --protocol=HTTP \
        --health-checks=HTTP_HEALTH_CHECK_NAME \
        --health-checks-region=REGION \
        --region=REGION
    
  3. Tambahkan NEG internet ke layanan backend:
    gcloud compute backend-services add-backend BACKEND_SERVICE \
        --network-endpoint-group=INTERNET_NEG_NAME \
        --network-endpoint-group-region=REGION \
        --region=REGION
    
    gcloud compute backend-services add-backend BACKEND_SERVICE \
        --network-endpoint-group=INTERNET_NEG_NAME \
        --network-endpoint-group-region=REGION \
        --region=REGION
      
  4. Buat peta URL untuk mengarahkan permintaan masuk ke layanan backend:
    gcloud compute url-maps create URL_MAP_NAME \
        --default-service=BACKEND_SERVICE \
        --region=REGION
    
  5. Opsional: Lakukan langkah ini jika Anda menggunakan HTTPS antara klien dan load balancer. Langkah ini tidak diperlukan untuk load balancer HTTP.

    Anda dapat membuat sertifikat Compute Engine atau Certificate Manager. Gunakan salah satu metode berikut untuk membuat sertifikat menggunakan Certificate Manager:

    • Sertifikat regional yang dikelola sendiri. Untuk mengetahui informasi tentang cara membuat dan menggunakan sertifikat yang dikelola sendiri secara regional, lihat men-deploy sertifikat yang dikelola sendiri secara regional. Peta sertifikat tidak didukung.

    • Sertifikat regional yang dikelola Google. Peta sertifikat tidak didukung.

      Jenis sertifikat regional yang dikelola Google berikut didukung oleh Certificate Manager:

    • Setelah Anda membuat sertifikat, lampirkan sertifikat tersebut langsung ke proxy target.

      Untuk membuat resource sertifikat SSL Compute Engine yang dikelola sendiri:
      gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \
          --certificate CRT_FILE_PATH \
          --private-key KEY_FILE_PATH
      
    • Buat proxy HTTP(S) target untuk merutekan permintaan ke peta URL Anda.

      Untuk load balancer HTTP, buat proxy target HTTP:

      gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \
          --url-map=URL_MAP_NAME \
          --region=REGION
      

      Untuk load balancer HTTPS, buat proxy target HTTPS. Proxy adalah bagian dari load balancer yang menyimpan sertifikat SSL untuk Load Balancing HTTPS, sehingga Anda juga memuat sertifikat pada langkah ini.

      gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
          --ssl-certificates=SSL_CERTIFICATE_NAME \
          --url-map=URL_MAP_NAME \
          --region=REGION
      
    • Buat aturan penerusan untuk mengarahkan permintaan masuk ke proxy.

      Untuk load balancer HTTP:

      gcloud compute forwarding-rules create HTTP_FORWARDING_RULE_NAME \
          --load-balancing-scheme=EXTERNAL_MANAGED \
          --network-tier=STANDARD \
          --address=LB_IP_ADDRESS \
          --target-http-proxy=TARGET_HTTP_PROXY_NAME \
          --target-http-proxy-region=REGION \
          --region=REGION \
          --ports=80
      

      Untuk load balancer HTTPS:

      gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \
          --load-balancing-scheme=EXTERNAL_MANAGED \
          --network-tier=STANDARD \
          --address=LB_IP_ADDRESS \
          --target-https-proxy=TARGET_HTTPS_PROXY_NAME \
          --target-http-proxy-region=REGION \
          --region=REGION \
          --ports=443
      

Menghubungkan domain ke load balancer

Setelah load balancer dibuat, catat alamat IP yang terkait dengan load balancer, misalnya, 30.90.80.100. Untuk mengarahkan domain ke load balancer, buat data A menggunakan layanan pendaftaran domain. Jika Anda menambahkan beberapa domain ke sertifikat SSL, Anda harus menambahkan data A untuk setiap domain, yang semuanya mengarah ke alamat IP load balancer. Misalnya, untuk membuat data A bagi www.example.com dan example.com, gunakan string berikut:

NAME                  TYPE     DATA
www                   A        30.90.80.100
@                     A        30.90.80.100

Jika Anda menggunakan Cloud DNS sebagai penyedia DNS, lihat Menambahkan, mengubah, dan menghapus data.

Menguji load balancer

Setelah mengonfigurasi load balancer, Anda dapat mulai mengirim traffic ke alamat IP load balancer. Jika mengonfigurasi domain, Anda juga dapat mengirim traffic ke nama domain. Namun, penerapan DNS dapat memerlukan waktu untuk diselesaikan sehingga Anda dapat memulai dengan menggunakan alamat IP untuk pengujian.

Konsol

  1. Di konsol Google Cloud, buka halaman Load balancing.

    Buka Load balancing

  2. Klik load balancer yang baru saja dibuat.

  3. Catat alamat IP load balancer.

  4. Mengirim traffic ke load balancer.

    • Jika membuat load balancer HTTP, Anda dapat menguji load balancer dengan membuka http://IP_ADDRESS. Ganti IP_ADDRESS dengan alamat IP load balancer. Anda akan diarahkan ke aplikasi yang Anda jalankan di backend eksternal.

    • Jika membuat load balancer HTTPS, Anda dapat menguji load balancer dengan membuka https://IP_ADDRESS. Ganti IP_ADDRESS dengan alamat IP load balancer. Anda akan diarahkan ke aplikasi yang Anda jalankan di backend eksternal.

    Jika tidak berhasil dan Anda menggunakan sertifikat yang dikelola Google, konfirmasikan bahwa status resource sertifikat Anda AKTIF. Untuk mengetahui informasi selengkapnya, lihat Status resource sertifikat SSL yang dikelola Google.

    Atau, Anda dapat menggunakan curl dari command line komputer lokal Anda. Ganti IP_ADDRESS dengan alamat IPv4 load balancer. Jika Anda menggunakan sertifikat yang dikelola Google, uji domain yang mengarah ke alamat IP load balancer. Contoh:

    curl -s 'https://www.example.com:443' --resolve www.example.com:443:IP_ADDRESS
    
  5. Opsional: Jika menggunakan domain kustom, Anda mungkin perlu menunggu hingga setelan DNS yang telah diperbarui diterapkan. Kemudian, uji domain Anda di browser web.

    Untuk mendapatkan bantuan terkait pemecahan masalah, lihat Memecahkan masalah backend eksternal dan NEG internet.

Konfigurasi tambahan

Bagian ini memperluas contoh konfigurasi untuk memberikan opsi konfigurasi alternatif dan tambahan. Semua tugas bersifat opsional. Anda dapat melakukannya dalam urutan apa pun.

Menggunakan header kustom untuk mengautentikasi permintaan

Untuk mengautentikasi permintaan yang dikirim ke backend eksternal, Anda dapat menetapkan header kustom untuk menunjukkan bahwa permintaan tersebut berasal dari load balancer Google Cloud. Anda juga harus mengonfigurasi backend eksternal untuk mengharapkan header kustom ini pada traffic yang berasal dari Google Cloud.

Untuk mempelajari cara menyiapkan header kustom, lihat Menyiapkan pengelolaan traffic lanjutan.

Untuk metode autentikasi lainnya, lihat Mengautentikasi permintaan ke backend eksternal.

Mengaktifkan IAP di Load Balancer Aplikasi eksternal

Anda dapat mengonfigurasi IAP untuk diaktifkan atau dinonaktifkan (default). Jika diaktifkan, Anda harus memberikan nilai untuk oauth2-client-id dan oauth2-client-secret.

Untuk mengaktifkan IAP, update layanan backend agar menyertakan flag --iap=enabled dengan oauth2-client-id dan oauth2-client-secret.

Langkah selanjutnya