Configurare un bilanciatore del carico delle applicazioni esterno regionale con un backend esterno

La guida mostra come configurare un bilanciatore del carico delle applicazioni esterno regionale che esegue il proxy richieste a un backend esterno. Un backend esterno è un endpoint esterno a Google Cloud.

Prima di seguire questa guida, familiarizza con la documentazione relativa alla panoramica del NEG su internet, incluse le limitazioni.

Il seguente diagramma dell'architettura mostra il frontend di un bilanciatore del carico delle applicazioni esterno regionale con un backend esterno.

Un bilanciatore del carico delle applicazioni esterno regionale con un backend esterno.
Figura 1. Un bilanciatore del carico delle applicazioni esterno regionale con un backend esterno (fai clic per ingrandire).

Autorizzazioni

Per seguire questa guida, devi creare un NEG internet e creare o modificare un Bilanciatore del carico delle applicazioni in un progetto. Devi essere un proprietario o editor del progetto (roles/owner o roles/editor) oppure devi disporre di entrambi i seguenti ruoli IAM di Compute Engine.

Attività Ruolo richiesto
Creare e modificare i componenti del bilanciatore del carico Amministratore rete Compute
(roles/compute.networkAdmin)
Creare e modificare i NEG Amministratore istanze Compute
(roles/compute.instanceAdmin)

Configura il tuo ambiente di backend esterno al di fuori di Google Cloud

Per configurare l'ambiente di backend esterno, consulta le sezioni seguenti.

Configura gli endpoint di rete

Configura un endpoint di rete per esporre il backend esterno a in Google Cloud. Assicurati che l'endpoint (IP:Port) o un nome di dominio completo (FQDN) e una porta, è raggiungibile. su internet. A questo endpoint viene fatto riferimento in un secondo momento dal NEG internet.

Per i requisiti di configurazione dettagliati per gli endpoint NEG internet, consulta Panoramica dei NEG internet.

Consenti al backend esterno di ricevere traffico da Google Cloud

Questo passaggio può essere completato dopo aver creato la subnet solo proxy e aver impostato il gateway Cloud NAT.

Per consentire alle richieste da Google Cloud di raggiungere il tuo backend esterno, dovrai segui questi passaggi:

  1. Configura un gateway Cloud NAT con gli indirizzi IP utilizzati per e il traffico in uscita da Google Cloud. Il gateway mappa solo il proxy di subnet agli indirizzi IP esterni. Per i passaggi da seguire, vedi Configurare un il gateway Cloud NAT.
  2. Assicurati che l'ambiente di backend esterno sia configurato in modo da consentire da Google Cloud per raggiungere il backend esterno. Ad esempio, se hai utilizzato indirizzi IP prenotati in precedenza per il gateway NAT, inserirai questi indirizzi nella lista consentita nel tuo ambiente esterno. Probabilmente dovrai lavorare con l'amministratore di rete o della sicurezza del tuo ambiente esterno per impostare verso l'alto.

Configurare l'ambiente Google Cloud

È necessaria una rete VPC con due subnet: una per il carico e l'altro per la subnet solo proxy della regione. Poi creerai il bilanciatore del carico con un backend NEG internet.

Crea la rete e la subnet VPC

Questa subnet viene utilizzata per creare i componenti del bilanciatore del carico.

console Cloud

  1. Nella console Google Cloud, vai alla pagina Reti VPC.
    Vai alle reti VPC
  2. Fai clic su Crea rete VPC.
  3. Inserisci un Nome: LB_NETWORK.
  4. Nella sezione Subnet:
    • Imposta Modalità di creazione subnet su Personalizzata.
    • Nella sezione Nuova subnet, inserisci le seguenti informazioni:
      • Nome: LB_SUBNET_NAME
      • Regione: REGION
      • Intervallo di indirizzi IP: LB_SUBNET_RANGE
    • Fai clic su Fine.
  5. Fai clic su Crea.

gcloud

  1. Crea la rete VPC personalizzata utilizzando il comando gcloud compute networks create:

    gcloud compute networks create LB_NETWORK \
      --subnet-mode=custom
    
  2. Crea una subnet nella rete LB_NETWORK.

    gcloud compute networks subnets create LB_SUBNET_NAME \
      --network=LB_NETWORK \
      --range=LB_SUBNET_RANGE \
      --region=REGION
    

Configura la subnet solo proxy

Questa subnet solo proxy viene utilizzata da tutti i bilanciatori del carico basati su Envoy a livello di regione nella regione REGION.

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.
    Vai alle reti VPC
  2. Seleziona una Rete dall'elenco.
  3. Fai clic su Aggiungi subnet.
  4. Inserisci un Nome: PROXY_ONLY_SUBNET_NAME.
  5. Seleziona una Regione: REGION.
  6. Imposta Purpose su Regional Managed Proxy (Proxy gestito a livello di regione).
  7. Inserisci un intervallo di indirizzi IP: PROXY_ONLY_SUBNET_RANGE.
  8. Fai clic su Aggiungi.

gcloud

Crea la subnet solo proxy con il comando gcloud compute networks subnets create.

gcloud compute networks subnets create PROXY_ONLY_SUBNET_NAME \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=REGION \
  --network=LB_NETWORK \
  --range=PROXY_ONLY_SUBNET_RANGE

Configura un gateway Cloud NAT

Prima di configurare il gateway Cloud NAT, assicurati di aver esaminato le limitazioni e le considerazioni sui prezzi associati. Per maggiori dettagli, vedi NEG a livello di regione: utilizza Cloud NAT gateway VPN ad alta disponibilità.

I seguenti comandi descrivono come configurare un gateway Cloud NAT. Il gateway Cloud NAT può essere configurato per utilizzare indirizzi IP esterni NAT automatici, in cui l'allocazione si basa sulla domanda, o per utilizzare un insieme di indirizzi IP esterni prenotati manualmente. Il gateway mappa l'intervallo di subnet solo proxy agli indirizzi IP esterni.

Configurare gli indirizzi IP allocati automaticamente tramite NAT

Quando crei un gateway Cloud NAT con indirizzo IP NAT automatico l'allocazione, puoi specificare Network Service Tiers (livello Premium o Standard) da cui il gateway Cloud NAT alloca gli indirizzi IP.

Console

  1. Nella console Google Cloud, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic su Inizia o Crea gateway Cloud NAT.

  3. Inserisci il nome del gateway LB_NAT_CONFIG.

  4. Per Tipo NAT, seleziona Pubblico.

  5. Nell'elenco Rete, seleziona LB_NETWORK.

  6. Nell'elenco Regione, seleziona REGION.

  7. Crea un router Cloud nella regione.

  8. Per Tipo di endpoint di origine, seleziona Bilanciatori del carico proxy gestiti.

  9. Nell'elenco Origine, seleziona Personalizzato.

    • In Subnet, seleziona PROXY_ONLY_SUBNET_NAME.
  10. Nell'elenco Indirizzi IP Cloud NAT, seleziona Automatico (consigliato).

  11. Per Livello di servizio di rete, scegli Premium o Standard.

  12. Fai clic su Crea.

gcloud

Utilizza indirizzi IP allocati dinamicamente se il backend esterno non richiede la lista consentita di app Google Cloud Indirizzi IP che possono inviare traffico al backend esterno.

  1. Crea un router Cloud:

    gcloud beta compute routers create ROUTER_NAME \
      --network=LB_NETWORK \
      --region=REGION
  2. Configura il gateway Cloud NAT.

    gcloud beta compute routers nats create LB_NAT_CONFIG \
      --router=ROUTER_NAME \
      --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \
      --nat-custom-subnet-ip-ranges=PROXY_ONLY_SUBNET_NAME \
      --auto-allocate-nat-external-ips \
      --region=REGION
    

Sostituisci quanto segue:

  • LB_NAT_CONFIG: il nome della configurazione NAT.

  • ROUTER_NAME: il nome del tuo router Cloud.

  • REGION: la regione del NAT da creare. Se non specificato, ti potrebbe essere chiesto di selezionare una regione (solo modalità interattiva).

  • PROXY_ONLY_SUBNET_NAME: solo il nome del tuo proxy una subnet.

Configurare gli indirizzi IP assegnati manualmente

Utilizza gli indirizzi IP allocati manualmente solo se il backend esterno richiede l'uso di una lista consentita per indirizzi IP Google Cloud specifici indirizzi IP esterni. Se l'ambiente di backend esterno non ha bisogno di una lista consentita, utilizzare l'allocazione dinamica, come mostrato in precedenza.

Quando crei un gateway Cloud NAT, puoi scegliere di assegnare manualmente gli indirizzi IP NAT del livello Premium o del livello Standard o di entrambi, rispettando determinate condizioni.

Console

  1. Nella console Google Cloud, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic su Inizia o Crea gateway Cloud NAT.

  3. Inserisci il nome del gateway LB_NAT_CONFIG.

  4. Nell'elenco Rete, seleziona LB_NETWORK.

  5. Nell'elenco Regione, seleziona REGION.

  6. Seleziona o crea un router Cloud nella regione.

  7. Per Tipo di endpoint di origine, seleziona Bilanciatori del carico proxy gestiti.

  8. Nell'elenco Origine, seleziona Personalizzata.

    • In Subnet, seleziona PROXY_ONLY_SUBNET_NAME.
  9. Nell'elenco Indirizzi IP Cloud NAT, seleziona Manuale.

  10. In Livello di servizio di rete, scegli Premium o Standard.

  11. Seleziona o crea un indirizzo IP esterno statico riservato da utilizzare per NAT.

  12. Se vuoi specificare indirizzi IP aggiuntivi, fai clic su Aggiungi indirizzo IP. e poi selezionare o creare un altro indirizzo IP esterno statico e riservato.

  13. Fai clic su Crea.

gcloud

  1. Crea gli indirizzi IP. Poiché il gateway esegue la richiesta NAT one-to-one devi assicurarti che il pool di indirizzi IP riservati sia abbastanza grande da gestire la quantità di traffico prevista. Indirizzi IP NAT allocati in modo insufficiente potrebbero comportare la perdita di traffico.

    gcloud compute addresses create IP_ADDRESS_NAME_1 IP_ADDRESS_NAME_2 [IP_ADDRESS_NAME_3 ...] \
      --region=REGION
    
  2. Crea un router Cloud:

    gcloud compute routers create ROUTER_NAME \
      --network=LB_NETWORK \
      --region=REGION
  3. Configura il gateway Cloud NAT.

    gcloud beta compute routers nats create LB_NAT_CONFIG \
      --router=ROUTER_NAME \
      --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \
      --nat-custom-subnet-ip-ranges=PROXY_ONLY_SUBNET_NAME \
      --nat-external-ip-pool=IP_ADDRESS_NAME_1,IP_ADDRESS_NAME_2,[IP_ADDRESS_NAME_3 ...] \
      --region=REGION
    

    Sostituisci quanto segue:

  • LB_NAT_CONFIG: il nome della configurazione NAT.

  • ROUTER_NAME: il nome del tuo router Cloud.

  • PROXY_ONLY_SUBNET_NAME: solo il nome del tuo proxy una subnet.

  • REGION: la regione del NAT da creare. Se non specificato, ti potrebbe essere chiesto di selezionare una regione (solo modalità interattiva).

Per ulteriori informazioni, consulta Specificare intervalli di sottoreti per NAT nella documentazione di Cloud NAT.

Assicurati di utilizzare una lista consentita per gli intervalli di indirizzi IP NAT nel tuo ambiente backend esterno, in modo che il backend esterno possa ricevere traffico da Google Cloud.

Prenota l'indirizzo IP del bilanciatore del carico

Prenota un indirizzo IP statico per il bilanciatore del carico.

Console

  1. Nella console Google Cloud, vai alla pagina Prenotare un indirizzo statico.

    Vai a Prenota un indirizzo statico

  2. Scegli un Nome per il nuovo indirizzo.

  3. In Network Service Tier (Livello di servizio di rete), seleziona Standard.

  4. Per Versione IP, seleziona IPv4. Gli indirizzi IPv6 possono essere solo globali e possono essere utilizzati solo con bilanciatori del carico globali.

  5. In Tipo, seleziona Regionale.

  6. Seleziona una Regione.

  7. Lascia l'opzione Allegato a impostata su Nessuno. Dopo aver creato bilanciatore del carico, questo indirizzo IP verrà collegato al carico la regola di forwarding del bilanciatore.

  8. Fai clic su Prenota per prenotare l'indirizzo IP.

gcloud

  1. Per prenotare un indirizzo IP esterno statico utilizzando gcloud compute, utilizza la Comando compute addresses create.

    gcloud compute addresses create LB_IP_ADDRESS  \
       --region=REGION \
       --network-tier=STANDARD
    

    Sostituisci quanto segue:

    • LB_IP_ADDRESS: il nome che vuoi chiamare .
    • REGION: la regione in cui vuoi prenotare questo indirizzo. Deve essere la stessa regione del bilanciatore del carico. Tutti gli indirizzi IP a livello di regione sono IPv4.
  2. Usa il comando compute addresses describe per visualizzare il risultato:

    gcloud compute addresses describe LB_IP_ADDRESS
    

Configura il NEG internet

Puoi creare un NEG internet utilizzando endpoint INTERNET_FQDN_PORT o INTERNET_IP_PORT.

Console

Crea un NEG con INTERNET_FQDN_PORT endpoint

  1. Nella console Google Cloud, vai alla pagina Gruppo di endpoint di rete.

    Vai al gruppo di endpoint di rete

  2. Fai clic su Crea gruppo di endpoint di rete.

  3. Specifica un valore INTERNET_NEG_NAME per il tuo NEG internet. Per ulteriori informazioni, vedi Convenzione di denominazione delle risorse.

  4. Nell'elenco Tipo di gruppo di endpoint di rete, seleziona Gruppo di endpoint di rete (Internet), quindi esegui la seguenti:

    • Nell'elenco Ambito, seleziona A livello di regione.
    • (Facoltativo) Nell'elenco Regione, modifica il REGION per questo NEG.
    • Nell'elenco Rete, seleziona LB_NETWORK.
    • Nella casella Porta predefinita, inserisci DEFAULT_PORT_NUMBER.
    • Nell'elenco Aggiungi endpoint tramite, seleziona Nome di dominio e porta completi.
  5. Seleziona Crea.

Aggiungi endpoint INTERNET_FQDN_PORT al NEG

  1. Nella console Google Cloud, vai alla pagina Gruppo di endpoint di rete.

    Vai a Gruppo di endpoint di rete

  2. Fai clic su INTERNET_NEG_NAME.
  3. Inserisci il Nome di dominio completo, ad esempio myorg.example.com. Devi specificare gli oggetti FQDN in sintassi standard del nome di dominio completo.

  4. (Facoltativo) Per Tipo di porta, seleziona Personalizzata. Se il tipo di porta è Default, viene utilizzata la porta predefinita del NEG.

  5. Nella casella Numero porta, inserisci PORT_NUMBER_1.
  6. Seleziona Crea.

Creare un gruppo di istanze elastiche con endpoint INTERNET_IP_PORT

  1. Nella console Google Cloud, vai alla pagina Gruppo di endpoint di rete.

    Vai a Gruppo di endpoint di rete

  2. Fai clic su Crea gruppo di endpoint di rete.

  3. Specifica un nome INTERNET_NEG_NAME per il tuo NEG internet. Per ulteriori informazioni, consulta la convenzione di denominazione delle risorse.

  4. Nell'elenco Tipo di gruppo di endpoint di rete, seleziona Gruppo di endpoint di rete (internet) e poi procedi nel seguente modo:

    • Nell'elenco Ambito, seleziona A livello di regione.
    • (Facoltativo) Nell'elenco Regione, modifica il REGION per questo NEG.
    • Nell'elenco Rete, seleziona LB_NETWORK.
    • Nella casella Porta predefinita, inserisci DEFAULT_PORT_NUMBER.
    • Nell'elenco Add Endpoints through (Aggiungi endpoint tramite), seleziona IP e porta.
  5. Seleziona Crea.

Aggiungi endpoint INTERNET_IP_PORT al NEG

  1. Nella console Google Cloud, vai alla pagina Gruppo di endpoint di rete.

    Vai al gruppo di endpoint di rete

  2. Fai clic su INTERNET_NEG_NAME.
  3. Nel campo Indirizzo IP, inserisci IP_ADDRESS_1.
  4. (Facoltativo) Nell'elenco Tipo di porta, seleziona Personalizzata. Se il tipo di porta è Default, viene utilizzata la porta predefinita del NEG.

  5. Nel campo Numero porta, inserisci PORT_NUMBER_1.
  6. Seleziona Crea.

gcloud

Per creare un NEG con endpoint INTERNET_FQDN_PORT:

  1. Crea la risorsa NEG.

    gcloud beta compute network-endpoint-groups create INTERNET_NEG_NAME \
        --network-endpoint-type=INTERNET_FQDN_PORT \
        --default-port=DEFAULT_PORT_NUMBER \
        --network=LB_NETWORK \
        --region=REGION
    
  2. Aggiungi endpoint al gruppo di endpoint di rete. Se non viene specificata una porta, verrà utilizzata quella predefinita del NEG.

    gcloud beta compute network-endpoint-groups update INTERNET_NEG_NAME \
        --add-endpoint="fqdn=FULLY_QUALIFIED_DOMAIN_NAME_1,port=PORT_NUMBER_1" \
        [--add-endpoint="fqdn=FULLY_QUALIFIED_DOMAIN_NAME_2,port=PORT_NUMBER_2" \]
        --region=REGION
    

    Sostituisci quanto segue:

    • FULLY_QUALIFIED_DOMAIN_NAME: il nome di dominio completamente qualificato per l'endpoint
    • PORT_NUMBER: il numero di porta per endpoint

    Puoi aggiungere fino a 256 endpoint per NEG.

Se il tuo dominio è risolvibile tramite internet, non viene scelta nessun'altra configurazione necessari per configurare il DNS. Tuttavia, se utilizzi nomi di dominio completi privati, dovrai configurare Cloud DNS per facilitare la risoluzione DNS. Il nome devono essere ospitati su Cloud DNS o essere risolvibili tramite il forwarding DNS da Cloud DNS a un DNS on-premise.

Per iniziare, crea una zona Cloud DNS per ospitare i record DNS nel tuo progetto. quindi aggiungi i record DNS. Consulta la documentazione di Cloud DNS documentazione per gli specifici passaggi di configurazione.

Per creare un NEG con INTERNET_IP_PORT endpoint:

  1. Crea la risorsa NEG.

    gcloud beta compute network-endpoint-groups create INTERNET_NEG_NAME \
        --network-endpoint-type=INTERNET_IP_PORT \
        --default-port=DEFAULT_PORT_NUMBER \
        --network=LB_NETWORK \
        --region=REGION
    
  2. Aggiungi endpoint al gruppo di endpoint di rete. Se non viene specificata una porta, verrà utilizzata quella predefinita del NEG.

    gcloud beta compute network-endpoint-groups update INTERNET_NEG_NAME \
        --add-endpoint="ip=IP_ADDRESS_1,port=PORT_NUMBER_1" \
        [--add-endpoint="ip=IP_ADDRESS_2,port=PORT_NUMBER_2" \]
        --region=REGION
    

    Sostituisci quanto segue:

    • IP_ADDRESS: l'indirizzo IP dell'endpoint
    • PORT_NUMBER: il numero di porta per endpoint

    Puoi ripetere questo passaggio per aggiungere fino a 256 endpoint per NEG.

Crea il bilanciatore del carico

Console

Avvia la configurazione

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Fai clic su Crea bilanciatore del carico.
  3. In Tipo di bilanciatore del carico, seleziona Bilanciatore del carico delle applicazioni (HTTP/HTTPS) e fai clic su Avanti.
  4. In Pubblico o interno, seleziona Pubblico (esterno) e fai clic su Avanti.
  5. In Deployment globale o in una regione singola, seleziona Ideale per carichi di lavoro regionali e fai clic su Avanti.
  6. Fai clic su Configura.

Configurazione di base

  1. Inserisci un nome del bilanciatore del carico.
  2. In Regione, seleziona REGION.
  3. In Rete, seleziona LB_NETWORK.

Riserva una subnet solo proxy

.

Per prenotare una subnet solo proxy:

  1. Fai clic su Riserva subnet.
  2. In Nome, inserisci PROXY_ONLY_SUBNET_NAME.
  3. In Intervallo di indirizzi IP, inserisci PROXY_ONLY_SUBNET_RANGE.
  4. Fai clic su Aggiungi.

Configurazione frontend

  1. Fai clic su Configurazione frontend.
  2. Inserisci un Nome.
  3. Per creare un bilanciatore del carico HTTPS, devi disporre di un certificato SSL. Ti consigliamo di utilizzare un certificato gestito da Google.

    Proprietà Valore (digita un valore o seleziona un'opzione come specificato)
    Protocollo HTTPS
    Versione IP IPv4
    Indirizzo IP Seleziona l'indirizzo IP riservato in precedenza: LB_IP_ADDRESS.
    Porta 443
    Certificato

    Seleziona un certificato SSL esistente o creane uno nuovo.

    Per creare un bilanciatore del carico HTTPS, devi disporre di una risorsa del certificato SSL da utilizzare nel proxy HTTPS.

    Se vuoi testare questa procedura senza configurare un certificato SSL risorsa (o un dominio come richiesto dai certificati gestiti da Google), può configurare un bilanciatore del carico HTTP.

    Per creare un bilanciatore del carico HTTP, verifica che le seguenti opzioni siano configurate con questi valori:

    Proprietà Valore (digita un valore o seleziona un'opzione come specificato)
    Protocollo HTTP
    Versione IP IPv4
    Indirizzo IP Seleziona l'indirizzo IP riservato in precedenza: LB_IP_ADDRESS.
    Porta 80
  4. Fai clic su Fine.

Configurazione backend

  1. Fai clic su Configurazione backend.
  2. Fai clic su Servizi e bucket di backend.
  3. Fai clic su Crea un servizio di backend.
  4. Inserisci un nome.
  5. In Tipo di backend, seleziona Gruppo di endpoint di rete internet.
  6. Per Protocollo, seleziona il protocollo che intendi utilizzare dal bilanciatore del carico al NEG internet.
  7. Per Backend, nella finestra Nuovo backend, seleziona la casella di controllo Regionale gruppo di endpoint di rete internet creato nel passaggio precedente.
  8. Fai clic su Fine.
  9. Configura il controllo di integrità:
    1. In Controllo di integrità, seleziona Crea un controllo di integrità.
    2. Imposta il nome del controllo di integrità su HTTP_HEALTH_CHECK_NAME.
    3. In Protocollo, seleziona HTTP.
    4. Imposta Porta su 80.
  10. Fai clic su Crea.

Esamina e finalizza

  1. Fai clic su Esamina e finalizza.
  2. Se è tutto corretto, fai clic su Crea.

gcloud

  1. (Facoltativo) Crea un controllo di integrità. Probe di controllo di integrità per dispositivi esterni i backend utilizzano lo strumento distribuito Controlli di integrità di Envoy e poi tradotti da NAT.
    gcloud compute health-checks create http HTTP_HEALTH_CHECK_NAME \
        --region=REGION \
        --use-serving-port
    
  2. Crea un servizio di backend:
    gcloud compute backend-services create BACKEND_SERVICE \
        --load-balancing-scheme=EXTERNAL_MANAGED \
        --protocol=HTTP \
        --health-checks=HTTP_HEALTH_CHECK_NAME \
        --health-checks-region=REGION \
        --region=REGION
    
  3. Aggiungi il NEG internet al servizio di backend:
    gcloud compute backend-services add-backend BACKEND_SERVICE \
        --network-endpoint-group=INTERNET_NEG_NAME \
        --network-endpoint-group-region=REGION \
        --region=REGION
    
  4. Crea una mappa URL per instradare le richieste in entrata al servizio di backend:
    gcloud compute url-maps create URL_MAP_NAME \
        --default-service=BACKEND_SERVICE \
        --region=REGION
    
  5. (Facoltativo) Esegui questo passaggio se utilizzi HTTPS tra il client e il bilanciatore del carico. Questo passaggio non è obbligatorio per i bilanciatori del carico HTTP.

    Puoi creare Compute Engine o Gestore certificati certificati. Utilizza uno dei seguenti metodi per creare certificati utilizzando Gestore certificati:

    • Certificati autogestiti a livello di regione. Per informazioni su come creare e utilizzare i certificati autogestiti a livello di regione, consulta la sezione Eseguire il deployment di un certificato autogestito a livello di regione. Le mappe di certificati non sono supportate.

    • Certificati gestiti da Google a livello di regione. Le mappe dei certificati non sono supportate.

      I seguenti tipi di certificati gestiti a livello di regione da Google sono supportati da Gestore certificati:

    • Dopo aver creato i certificati, collegali direttamente alla destinazione proxy.

      Per creare una risorsa del certificato SSL autogestita di Compute Engine:
      gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \
          --certificate CRT_FILE_PATH \
          --private-key KEY_FILE_PATH
      
    • Crea un proxy HTTP(S) di destinazione per instradare le richieste alla mappa di URL.

      Per un bilanciatore del carico HTTP, crea un proxy di destinazione HTTP:

      gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \
          --url-map=URL_MAP_NAME \
          --region=REGION
      

      Per un bilanciatore del carico HTTPS, crea un proxy di destinazione HTTPS. Il proxy è la parte del bilanciatore del carico che contiene il certificato SSL per il bilanciamento del carico HTTPS, quindi devi caricare anche il tuo certificato in questo passaggio.

      gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
          --ssl-certificates=SSL_CERTIFICATE_NAME \
          --url-map=URL_MAP_NAME \
          --region=REGION
      
    • Creare una regola di forwarding per instradare le richieste in entrata al proxy.

      Per un bilanciatore del carico HTTP:

      gcloud compute forwarding-rules create HTTP_FORWARDING_RULE_NAME \
          --load-balancing-scheme=EXTERNAL_MANAGED \
          --network-tier=STANDARD \
          --network=LB_NETWORK \
          --address=LB_IP_ADDRESS \
          --target-http-proxy=TARGET_HTTP_PROXY_NAME \
          --target-http-proxy-region=REGION \
          --region=REGION \
          --ports=80
      

      Per un bilanciatore del carico HTTPS:

      gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \
          --load-balancing-scheme=EXTERNAL_MANAGED \
          --network-tier=STANDARD \
          --network=LB_NETWORK \
          --address=LB_IP_ADDRESS \
          --target-https-proxy=TARGET_HTTPS_PROXY_NAME \
          --target-http-proxy-region=REGION \
          --region=REGION \
          --ports=443
      

Collegare il dominio al bilanciatore del carico

Dopo aver creato il bilanciatore del carico, prendi nota dell'indirizzo IP associato al bilanciatore del carico, ad esempio 30.90.80.100. Per indirizzare il tuo dominio al bilanciatore del carico, crea un record A utilizzando il servizio di registrazione del dominio. Se hai aggiunto più domini al tuo certificato SSL, devi aggiungere un record A per ciascuno, puntando tutti all'indirizzo IP del bilanciatore del carico. Ad esempio, per crea record A per www.example.com e example.com, usa quanto segue:

NAME                  TYPE     DATA
www                   A        30.90.80.100
@                     A        30.90.80.100

Se utilizzi Cloud DNS come provider DNS, consulta Aggiungere, modificare ed eliminare i record.

Testa il bilanciatore del carico

Ora che hai configurato il bilanciatore del carico, puoi iniziare a inviare traffico al suo indirizzo IP. Se hai configurato un dominio, puoi: inviare traffico anche al nome di dominio. Tuttavia, la propagazione DNS può richiedere tempo per completare, quindi puoi iniziare utilizzando l'indirizzo IP a scopo di test.

Console

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Fai clic sul bilanciatore del carico che hai appena creato.

  3. Prendi nota dell'indirizzo IP del bilanciatore del carico.

  4. Invia traffico al bilanciatore del carico.

    • Se hai creato un bilanciatore del carico HTTP, puoi testarlo visitando http://IP_ADDRESS. Sostituisci IP_ADDRESS con indirizzo IP del bilanciatore del carico. Tu dovrebbe essere indirizzato all'applicazione in esecuzione sul backend esterno.

    • Se hai creato un bilanciatore del carico HTTPS, puoi testarlo andando su https://IP_ADDRESS. Sostituisci IP_ADDRESS con indirizzo IP del bilanciatore del carico. Tu dovrebbe essere indirizzato all'applicazione in esecuzione sul backend esterno.

    Se non funziona e utilizzi un certificato gestito da Google, verifica che lo stato della risorsa del certificato sia ATTIVO. Per ulteriori informazioni, consulta lo stato della risorsa del certificato SSL gestito da Google.

    In alternativa, puoi utilizzare curl dalla riga di comando della tua macchina locale. Sostituisci IP_ADDRESS con l'indirizzo IPv4 del bilanciatore del carico. Se utilizzi un certificato gestito da Google, testa il dominio che rimanda all'indirizzo IP del bilanciatore del carico. Ad esempio:

    curl -s 'https://www.example.com:443' --resolve www.example.com:443:IP_ADDRESS
    
  5. (Facoltativo) Se utilizzi un dominio personalizzato, potresti dover attendere il ha aggiornato le impostazioni DNS per la propagazione. Quindi, testa il dominio nel browser web.

    Per assistenza con la risoluzione dei problemi, vedi Risoluzione dei problemi relativi a backend esterno e internet Problemi relativi al NEG.

Configurazione aggiuntiva

Questa sezione espande l'esempio della configurazione per fornire alternative e e altre opzioni di configurazione. Tutte le attività sono facoltative. Puoi eseguire queste operazioni in qualsiasi ordine.

Utilizza un'intestazione personalizzata per autenticare le richieste

Per autenticare le richieste inviate al tuo backend esterno, puoi impostare un per indicare che la richiesta proviene da un carico Google Cloud con il bilanciatore del carico di rete passthrough esterno regionale. Dovrai anche configurare il backend esterno per ottenere personalizzata per il traffico proveniente da Google Cloud.

Per scoprire come impostare le intestazioni personalizzate, consulta la sezione Configurare opzioni avanzate gestione del traffico.

Per altri metodi di autenticazione, consulta Autenticare le richieste all'esterno di backend.

Abilita IAP sul bilanciatore del carico delle applicazioni esterno

Puoi configurare gli acquisti in-app in modo che siano attivati o disattivati (impostazione predefinita). Se l'opzione è attivata, devi fornire i valori per oauth2-client-id e oauth2-client-secret.

Per abilitare l'IAP, aggiorna il servizio di backend in modo da includere il flag --iap=enabled con oauth2-client-id e oauth2-client-secret.

Se vuoi, puoi abilitare l'IAP per una risorsa Compute Engine utilizzando la console Google Cloud, gcloud CLI o l'API.

Passaggi successivi