Configura un bilanciatore del carico di rete passthrough interno per appliance di terze parti

In Google Cloud, puoi integrare appliance di terze parti con scalabilità ad alta disponibilità e scalabilità orizzontale. Per farlo, devi configurare una route statica personalizzata e impostare l'hop successivo sul bilanciatore del carico di rete passthrough interno di Google Cloud. In questo modo, il bilanciatore del carico può bilanciare il carico del traffico per un prefisso di destinazione verso un pool di appliance VM di terze parti sottoposte a controllo di integrità.

Questa guida utilizza un esempio per insegnarti come configurare un bilanciatore del carico di rete passthrough interno per essere un hop successivo. Prima di seguire questa guida, acquisisci familiarità con quanto segue:

Autorizzazioni

Per seguire questa guida, devi creare istanze e modificare una rete in un progetto. Devi essere un proprietario o un editor del progetto oppure disporre di tutti i seguenti ruoli IAM di Compute Engine:

Attività Ruolo richiesto
Crea reti, subnet e componenti del bilanciatore del carico Amministratore rete
Aggiungi e rimuovi regole firewall Amministratore sicurezza
Creare istanze Amministratore istanze Compute

Per ulteriori informazioni, consulta le seguenti guide:

Configurazione di bilanciatori del carico di rete passthrough interni come hop successivi con backend comuni

Questa guida mostra come utilizzare un bilanciatore del carico di rete passthrough interno come hop successivo per una route statica personalizzata in modo da integrare appliance virtuali con scale out.

La soluzione descritta in questa guida crea VM appliance che eseguono Debian Linux. Le VM di esempio non eseguono alcun filtro dei pacchetti, ma puoi aggiungere questa funzionalità modificando la configurazione di rete di questo esempio o utilizzando un altro software di filtro dei pacchetti o di routing.

I passaggi di questa sezione descrivono come configurare le seguenti risorse:

  • Reti VPC di esempio e subnet personalizzate
  • Regole firewall Google Cloud che consentono le connessioni in entrata alle macchine virtuali (VM) dell'appliance di backend
  • Route statiche personalizzate
  • Due VM client per testare le connessioni
  • I seguenti componenti del bilanciatore del carico di rete passthrough interno:
    • VM di backend in un gruppo di istanze gestite
    • Un controllo di integrità per le VM di backend
    • Un servizio di backend interno nella regione us-west1 per gestire la distribuzione della connessione tra le VM di backend
    • Una regola di forwarding interno e un indirizzo IP interno per il frontend del bilanciatore del carico

Questo esempio mostra il bilanciamento del carico su più NIC di backend, come descritto in Bilanciamento del carico su più NIC.

La topologia ha il seguente aspetto:

Esempio dettagliato multi-NIC per l'hop successivo per il bilanciatore del carico di rete passthrough interno.
Esempio dettagliato multi-NIC dell'hop successivo per il bilanciatore del carico di rete passthrough interno (fai clic per ingrandire).

Il diagramma mostra alcune delle risorse create nell'esempio:

  • Istanze di applicazione dietro un bilanciatore del carico di rete passthrough interno (fr-ilb1, in questo esempio). Le istanze dell'applicazione hanno solo indirizzi IP interni.
  • Per ogni istanza dell'applicazione è abilitato il flag can-ip-forward. Senza questo flag, una VM di Compute Engine può trasmettere un pacchetto solo se l'indirizzo IP di origine del pacchetto corrisponde all'indirizzo IP interno della VM, a un indirizzo IP da un intervallo IP alias o all'indirizzo IP di una regola di forwarding che risolve la VM. Il flag can-ip-forward modifica questo comportamento in modo che la VM possa trasmettere pacchetti con qualsiasi indirizzo IP di origine.
  • Una route statica personalizzata con destinazione 10.50.1.0/24 e hop successivo impostati sulla regola di forwarding del bilanciatore del carico, fr-ilb1.

Il diagramma mostra anche il flusso di traffico:

  • La rete VPC testing ha una route statica personalizzata per il traffico destinato alla subnet 10.50.1.0/24. Questa route indirizza il traffico al bilanciatore del carico.
  • Il bilanciatore del carico inoltra il traffico a una delle istanze dell'applicazione in base all'affinità sessione configurata. (L'affinità sessione influisce solo sul traffico TCP).

Per casi d'uso aggiuntivi, consulta Bilanciatori del carico TCP/UDP interni come hop successivi.

Configurazione di reti, regione e subnet

Questo esempio utilizza le seguenti reti VPC, regione e subnet:

  • Reti: questo esempio richiede due reti, ciascuna con almeno una subnet. Ogni VM dell'appliance di terze parti di backend deve avere almeno due interfacce di rete, una in ogni rete VPC. Le reti in questo esempio sono reti VPC in modalità personalizzata denominate testing e production. La rete testing in questo esempio contiene il client e il bilanciatore del carico. La rete production contiene la VM di destinazione.

  • Regione: le subnet si trovano nella regione us-west1. Le subnet devono trovarsi nella stessa regione perché le istanze VM sono risorse di zona.

  • Subnet: le subnet testing-subnet e production-subnet utilizzano rispettivamente gli intervalli di indirizzi IP principali 10.30.1.0/24 e 10.50.1.0/24.

Per creare le reti e le subnet di esempio, segui questi passaggi.

Console

Crea la rete testing e testing-subnet:

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic su Crea rete VPC.

  3. Inserisci un Nome pari a testing.

  4. Nella sezione Subnet:

    • Imposta Modalità di creazione subnet su Personalizzata.
    • Nella sezione Nuova subnet, inserisci le informazioni seguenti:
      • Nome: testing-subnet
      • Regione: us-west1
      • Intervallo di indirizzi IP: 10.30.1.0/24
      • Fai clic su Fine.

  5. Fai clic su Crea.

Crea la rete production e production-subnet:

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic su Crea rete VPC.

  3. Inserisci un Nome pari a production.

  4. Nella sezione Subnet:

    • Imposta Modalità di creazione subnet su Personalizzata.
    • Nella sezione Nuova subnet, inserisci le informazioni seguenti:
      • Nome: production-subnet
      • Regione: us-west1
      • Intervallo di indirizzi IP: 10.50.1.0/24
      • Fai clic su Fine.

  5. Fai clic su Crea.

gcloud

  1. Crea le reti VPC personalizzate:

    gcloud compute networks create testing --subnet-mode=custom

    gcloud compute networks create production --subnet-mode=custom

  2. Crea subnet nelle reti testing e production nella regione us-west1:

    gcloud compute networks subnets create testing-subnet \
    --network=testing \
    --range=10.30.1.0/24 \
    --region=us-west1

    gcloud compute networks subnets create production-subnet \
    --network=production \
    --range=10.50.1.0/24 \
    --region=us-west1

Configurazione delle regole del firewall

In questo esempio vengono utilizzate le seguenti regole firewall:

  • fw-allow-testing-from-both: una regola in entrata, applicabile a tutti i target nella rete testing. Questa regola consente il traffico dalle origini negli intervalli di indirizzi IP 10.30.1.0/24 e 10.50.1.0/24. Questi due intervalli coprono gli indirizzi IP interni principali delle VM in entrambe le reti.

  • fw-allow-production-from-both: una regola in entrata, applicabile a tutti i target nella rete production. Questa regola consente il traffico dalle origini negli intervalli di indirizzi IP 10.30.1.0/24 e 10.50.1.0/24. Questi due intervalli coprono gli indirizzi IP interni principali delle VM in entrambe le reti.

  • fw-allow-testing-ssh: una regola in entrata applicata alle istanze VM nella rete VPC testing. Questa regola consente la connettività SSH in entrata sulla porta TCP 22 da qualsiasi indirizzo. Puoi scegliere un intervallo IP di origine più restrittivo per questa regola; ad esempio, puoi specificare gli intervalli IP dei sistemi da cui prevedi di avviare sessioni SSH. Questo esempio utilizza il tag di destinazione allow-ssh per identificare le VM a cui si applica la regola firewall.

  • fw-allow-production-ssh: una regola in entrata applicata alle istanze VM nella rete VPC production. Questa regola consente la connettività SSH in entrata sulla porta TCP 22 da qualsiasi indirizzo. Come per la regola fw-allow-testing-ssh, puoi scegliere un intervallo IP di origine più restrittivo per questa regola.

  • fw-allow-health-check: una regola in entrata per le VM dell'appliance di terze parti in fase di bilanciamento del carico. Questa regola consente il traffico dai sistemi di controllo di integrità di Google Cloud (130.211.0.0/22 e 35.191.0.0/16). In questo esempio viene utilizzato il tag di destinazione allow-health-check per identificare le istanze a cui deve essere applicato.

  • fw-allow-production-health-check: una regola in entrata per le VM dell'appliance di terze parti in fase di bilanciamento del carico. Questa regola consente il traffico dai sistemi di controllo di integrità di Google Cloud (130.211.0.0/22 e 35.191.0.0/16). In questo esempio viene utilizzato il tag di destinazione allow-health-check per identificare le istanze a cui deve essere applicato.

Senza queste regole firewall, la regola predefinita nega il traffico in entrata blocca il traffico in entrata verso le istanze di backend. Devi creare una regola firewall per consentire i controlli di integrità dagli intervalli IP dei sistemi probe Google Cloud. Per ulteriori informazioni, consulta la sezione Intervalli IP di probe.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Fai clic su Crea regola firewall e inserisci le seguenti informazioni per creare la regola e consentire alle VM di test di ricevere pacchetti dalle subnet di test e di produzione:

    • Nome: fw-allow-testing-from-both
    • Rete: testing
    • Priorità: 1000
    • Direzione del traffico: in entrata
    • Azione in caso di corrispondenza: consenti
    • Destinazioni: Tutte le istanze nella rete
    • Filtro di origine: intervalli IPv4
    • Intervalli IPv4 di origine: 10.30.1.0/24, 10.50.1.0/24
    • Protocolli e porte: Consenti tutto

  3. Fai clic su Crea.

  4. Fai clic su Crea regola firewall e inserisci le seguenti informazioni per creare la regola e consentire alle VM di produzione di ricevere pacchetti dalle subnet di test e di produzione:

    • Nome: fw-allow-production-from-both
    • Rete: production
    • Priorità: 1000
    • Direzione del traffico: in entrata
    • Azione in caso di corrispondenza: consenti
    • Destinazioni: Tutte le istanze nella rete
    • Filtro di origine: intervalli IPv4
    • Intervalli IPv4 di origine: 10.30.1.0/24, 10.50.1.0/24
    • Protocolli e porte: Consenti tutto

  5. Fai clic su Crea.

  6. Fai clic su Crea regola firewall per creare la regola che consente le connessioni SSH in entrata nell'ambiente di test:

    • Nome: fw-allow-testing-ssh
    • Rete: testing
    • Priorità: 1000
    • Direzione del traffico: in entrata
    • Azione in caso di corrispondenza: consenti
    • Target: Tag di destinazione specificati
    • Tag di destinazione: allow-ssh
    • Filtro di origine: intervalli IPv4
    • Intervalli IPv4 di origine: 0.0.0.0/0
    • Protocolli e porte: scegli Protocolli e porte specificati e digita tcp:22

  7. Fai clic su Crea.

  8. Fai clic su Crea regola firewall per creare la regola che consente le connessioni SSH in entrata nell'ambiente di produzione:

    • Nome: fw-allow-production-ssh
    • Rete: production
    • Priorità: 1000
    • Direzione del traffico: in entrata
    • Azione in caso di corrispondenza: consenti
    • Target: Tag di destinazione specificati
    • Tag di destinazione: allow-ssh
    • Filtro di origine: intervalli IPv4
    • Intervalli IPv4 di origine: 0.0.0.0/0
    • Protocolli e porte: scegli Protocolli e porte specificati e digita tcp:22

  9. Fai clic su Crea.

  10. Fai clic su Crea regola firewall per creare la regola che consente i controlli di integrità di Google Cloud nell'ambiente di test:

    • Nome: fw-allow-health-check
    • Rete: testing
    • Priorità: 1000
    • Direzione del traffico: in entrata
    • Azione in caso di corrispondenza: consenti
    • Target: Tag di destinazione specificati
    • Tag di destinazione: allow-health-check
    • Filtro di origine: intervalli IPv4
    • Intervalli IPv4 di origine: 130.211.0.0/22 e 35.191.0.0/16
    • Protocolli e porte: tcp

  11. Fai clic su Crea.

  12. Fai clic su Crea regola firewall per creare la regola che consente i controlli di integrità di Google Cloud nell'ambiente di produzione:

    • Nome: fw-allow-production-health-check
    • Rete: production
    • Priorità: 1000
    • Direzione del traffico: in entrata
    • Azione in caso di corrispondenza: consenti
    • Target: Tag di destinazione specificati
    • Tag di destinazione: allow-health-check
    • Filtro di origine: intervalli IPv4
    • Intervalli IPv4 di origine: 130.211.0.0/22 e 35.191.0.0/16
    • Protocolli e porte: tcp

  13. Fai clic su Crea.

gcloud

  1. Crea la regola firewall fw-allow-testing-subnet per consentire alle VM di test di ricevere pacchetti dalle subnet testing e production:

    gcloud compute firewall-rules create fw-allow-testing-from-both \
    --network=testing \
    --action=allow \
    --direction=ingress \
    --source-ranges=10.30.1.0/24,10.50.1.0/24 \
    --rules=all

  2. Crea la regola firewall fw-allow-production-subnet per consentire alle VM di produzione di ricevere pacchetti dalle subnet testing e production:

    gcloud compute firewall-rules create fw-allow-production-from-both \
    --network=production \
    --action=allow \
    --direction=ingress \
    --source-ranges=10.30.1.0/24,10.50.1.0/24 \
    --rules=all

  3. Crea la regola firewall fw-allow-testing-ssh per consentire la connettività SSH alle VM con il tag di rete allow-ssh. Se ometti source-ranges, Google Cloud interpreta la regola in modo che indichi qualsiasi origine.

    gcloud compute firewall-rules create fw-allow-testing-ssh \
    --network=testing \
    --action=allow \
    --direction=ingress \
    --target-tags=allow-ssh \
    --rules=tcp:22

  4. Crea la regola firewall fw-allow-production-ssh per consentire la connettività SSH alle VM con il tag di rete allow-ssh.

    gcloud compute firewall-rules create fw-allow-production-ssh \
    --network=production \
    --action=allow \
    --direction=ingress \
    --target-tags=allow-ssh \
    --rules=tcp:22

  5. Crea la regola fw-allow-health-check per consentire i controlli di integrità di Google Cloud alle VM dell'appliance di terze parti nella rete testing.

    gcloud compute firewall-rules create fw-allow-testing-health-check \
    --network=testing \
    --action=allow \
    --direction=ingress \
    --target-tags=allow-health-check \
    --source-ranges=130.211.0.0/22,35.191.0.0/16 \
    --rules=tcp

  6. Crea la regola firewall fw-allow-production-health-check per consentire i controlli di integrità di Google Cloud alle VM dell'appliance di terze parti nella rete production.

    gcloud compute firewall-rules create fw-allow-production-health-check \
    --network=production \
    --action=allow \
    --direction=ingress \
    --target-tags=allow-health-check \
    --source-ranges=130.211.0.0/22,35.191.0.0/16 \
    --rules=tcp

Creazione di appliance virtuali di terze parti

I passaggi seguenti dimostrano come creare un modello di istanza e un gruppo di istanze a livello di regione gestita con più di un'interfaccia di rete. Questo gruppo di istanze viene utilizzato come appliance virtuale di terze parti per questo esempio.

Console

Per questo passaggio devi utilizzare gcloud perché devi creare un modello di istanza con più di un'interfaccia di rete. La console Google Cloud attualmente non supporta la creazione di modelli di istanza con più di un'interfaccia di rete.

gcloud

  1. Crea un file locale denominato config.sh e inserisci il contenuto seguente:

    #!/bin/bash
# Enable IP forwarding:
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/20-example.conf
# Read VM network configuration:
md_vm="http://metadata.google.internal/computeMetadata/v1/instance/"
md_net="$md_vm/network-interfaces"
nic0_gw="$(curl $md_net/0/gateway -H "Metadata-Flavor:Google" )"
nic0_mask="$(curl $md_net/0/subnetmask -H "Metadata-Flavor:Google")"
nic0_addr="$(curl $md_net/0/ip -H "Metadata-Flavor:Google")"
nic0_id="$(ip addr show | grep $nic0_addr | awk '{print $NF}')"
nic1_gw="$(curl $md_net/1/gateway -H "Metadata-Flavor:Google")"
nic1_mask="$(curl $md_net/1/subnetmask -H "Metadata-Flavor:Google")"
nic1_addr="$(curl $md_net/1/ip -H "Metadata-Flavor:Google")"
nic1_id="$(ip addr show | grep $nic1_addr | awk '{print $NF}')"
# Source based policy routing for nic1
echo "100 rt-nic1" >> /etc/iproute2/rt_tables
sudo ip rule add pri 32000 from $nic1_gw/$nic1_mask table rt-nic1
sleep 1
sudo ip route add 35.191.0.0/16 via $nic1_gw dev $nic1_id table rt-nic1
sudo ip route add 130.211.0.0/22 via $nic1_gw dev $nic1_id table rt-nic1
# Use a web server to pass the health check for this example.
# You should use a more complete test in production.
sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
echo "Example web page to pass health check" | \
tee /var/www/html/index.html
sudo systemctl restart apache2

  2. Crea un modello di istanza per le appliance virtuali di terze parti. Il modello di istanza deve includere il flag --can-ip-forward in modo che le istanze VM create a partire dal modello possano inoltrare i pacchetti da altre istanze nelle reti testing e production.

    gcloud compute instance-templates create third-party-template-multinic \
    --region=us-west1 \
    --network-interface subnet=testing-subnet,address="" \
    --network-interface subnet=production-subnet \
    --tags=allow-ssh,allow-health-check,my-network-tag \
    --image-family=debian-10 \
    --image-project=debian-cloud \
    --can-ip-forward \
    --metadata=startup-script="$(< config.sh)"

  3. Crea un gruppo di istanze gestite per le appliance virtuali di terze parti. Questo comando crea un gruppo di istanze gestite a livello di regione, che può quindi essere scalata automaticamente in us-west1.

    gcloud compute instance-groups managed create third-party-instance-group \
    --region=us-west1 \
    --template=third-party-template-multinic \
    --size=3

crea le risorse di bilanciamento del carico

Questi passaggi consentono di configurare tutti i componenti del bilanciatore del carico di rete passthrough interno a partire dal controllo di integrità e dal servizio di backend, quindi i componenti del frontend:

  • Controllo di integrità: in questo esempio, il controllo di integrità HTTP verifica la presenza di una risposta 200 (OK) HTTP. Per ulteriori informazioni, consulta la sezione relativa ai controlli di integrità della panoramica sul bilanciatore del carico di rete passthrough interno.

  • Servizio di backend: anche se il servizio di backend di questo esempio specifica il protocollo TCP, quando il bilanciatore del carico è l'hop successivo per una route, Google Cloud inoltra il traffico per tutti i protocolli (TCP, UDP e ICMP).

  • Regola di forwarding: anche se questa regola di forwarding di esempio specifica la porta TCP 80, quando il bilanciatore del carico è l'hop successivo per una route, il traffico su qualsiasi porta TCP o UDP viene inviato ai backend del bilanciatore del carico.

  • Indirizzo IP interno: l'esempio specifica un indirizzo IP interno, 10.30.1.99, per la regola di forwarding.

Console

Avvia la configurazione

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Fai clic su Crea bilanciatore del carico.
  3. In Tipo di bilanciatore del carico, seleziona Bilanciatore del carico di rete (TCP/UDP/SSL) e fai clic su Avanti.
  4. Per Proxy o passthrough, seleziona Bilanciatore del carico passthrough e fai clic su Avanti.
  5. In Per il pubblico o per uso interno, seleziona Interno e fai clic su Avanti.
  6. Fai clic su Configura.

Crea il primo bilanciatore del carico

  1. Imposta il campo Nome su ilb1.
  2. Imposta Regione su us-west1.
  3. Imposta la Rete su testing.
  4. Fai clic su Configurazione backend e apporta le seguenti modifiche:
    1. In Backend, nella sezione Nuovo elemento, seleziona il gruppo di istanze third-party-instance-group e fai clic su Fine.
    2. In Controllo di integrità, scegli Crea un altro controllo di integrità, inserisci le seguenti informazioni e fai clic su Salva e continua:
      • Nome: hc-http-80
      • Protocollo: HTTP
      • Porta: 80
      • Protocollo proxy: NONE
      • Percorso di richiesta: / Tieni presente che quando utilizzi la console Google Cloud per creare il bilanciatore del carico, il controllo di integrità è globale. Se vuoi creare un controllo di integrità a livello di regione, utilizza gcloud o l'API.
    3. In Affinità sessione, seleziona IP client.
    4. Verifica che sia presente un segno di spunta blu accanto a Configurazione backend prima di continuare. In caso contrario, rivedi questo passaggio.
  5. Fai clic su Configurazione frontend. Nella sezione Nuovo IP e nuova porta frontend, apporta le seguenti modifiche:
    1. Nome: fr-ilb1
    2. Subnet: testing-subnet
    3. In IP interno, scegli Prenota un indirizzo IP interno statico, inserisci le seguenti informazioni e fai clic su Prenota:
      • Nome: ip-ilb
      • Indirizzo IP statico: Scelta manuale
      • Indirizzo IP personalizzato: 10.30.1.99
    4. Porte: scegli Singola e inserisci 80 come Numero porta. Ricorda che la scelta di un protocollo e di una porta per il bilanciatore del carico non limita i protocolli e le porte utilizzati quando il bilanciatore del carico è l'hop successivo di una route.
    5. Verifica che sia presente un segno di spunta blu accanto a Configurazione frontend prima di continuare. In caso contrario, rivedi questo passaggio.
  6. Fai clic su Esamina e finalizza. Controlla le impostazioni.
  7. Fai clic su Crea.

Avvia la configurazione

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Fai clic su Crea bilanciatore del carico.
  3. In Tipo di bilanciatore del carico, seleziona Bilanciatore del carico di rete (TCP/UDP/SSL) e fai clic su Avanti.
  4. Per Proxy o passthrough, seleziona Bilanciatore del carico passthrough e fai clic su Avanti.
  5. In Per il pubblico o per uso interno, seleziona Interno e fai clic su Avanti.
  6. Fai clic su Configura.

Crea il secondo bilanciatore del carico

  1. Imposta il campo Nome su ilb2.
  2. Imposta Regione su us-west1.
  3. Imposta la Rete su production.
  4. Fai clic su Configurazione backend e apporta le seguenti modifiche:
    1. In Backend, nella sezione Nuovo elemento, seleziona il gruppo di istanze third-party-instance-group e fai clic su Fine.
    2. In Controllo di integrità, seleziona hc-http-80.
    3. In Affinità sessione, seleziona IP client.
    4. Verifica che sia presente un segno di spunta blu accanto a Configurazione backend prima di continuare. In caso contrario, rivedi questo passaggio.
  5. Fai clic su Configurazione frontend. Nella sezione Nuovo IP e nuova porta frontend, apporta le seguenti modifiche:
    1. Nome: fr-ilb2
    2. Subnet: production-subnet
    3. In IP interno, scegli Prenota un indirizzo IP interno statico, inserisci le seguenti informazioni e fai clic su Prenota:
      • Nome: ip-ilb2
      • Indirizzo IP statico: Scelta manuale
      • Indirizzo IP personalizzato: 10.50.1.99
    4. Porte: scegli Singola e inserisci 80 come Numero porta. Ricorda che la scelta di un protocollo e di una porta per il bilanciatore del carico non limita i protocolli e le porte utilizzati quando il bilanciatore del carico è l'hop successivo di una route.
    5. Verifica che sia presente un segno di spunta blu accanto a Configurazione frontend prima di continuare. In caso contrario, rivedi questo passaggio.
  6. Fai clic su Esamina e finalizza. Controlla le impostazioni.

  7. Fai clic su Crea.

  8. Configura le risorse del bilanciatore del carico nella rete VPC production.

gcloud

  1. Creare un nuovo controllo di integrità HTTP per verificare la connettività TCP alle VM su 80.

    gcloud compute health-checks create http hc-http-80 \
    --region=us-west1 \
    --port=80

  2. Crea due servizi di backend interni nella regione us-west1.

    gcloud compute backend-services create ilb1 \
    --load-balancing-scheme=internal \
    --health-checks-region=us-west1 \
    --health-checks=hc-http-80 \
    --region=us-west1 \
    --network=testing \
    --session-affinity=CLIENT_IP

    gcloud compute backend-services create ilb2 \
    --load-balancing-scheme=internal \
    --health-checks-region=us-west1 \
    --health-checks=hc-http-80 \
    --region=us-west1 \
    --network=production \
    --session-affinity=CLIENT_IP

  3. Aggiungi i gruppi di istanze contenenti le appliance virtuali di terze parti come backend sui servizi di backend.

    gcloud compute backend-services add-backend ilb1 \
    --instance-group=third-party-instance-group \
    --instance-group-region=us-west1 \
    --region=us-west1

    gcloud compute backend-services add-backend ilb2 \
    --instance-group=third-party-instance-group \
    --instance-group-region=us-west1 \
    --region=us-west1

  4. Creare le regole di forwarding interno e connetterle ai servizi di backend per completare la configurazione del bilanciatore del carico. Ricorda che il protocollo (TCP) e la porta (80) dei bilanciatori del carico non limitano le porte e i protocolli inoltrati alle istanze di backend (appliance virtuali di terze parti) quando i bilanciatori del carico vengono utilizzati come hop successivi delle route.

    gcloud compute forwarding-rules create fr-ilb1 \
    --load-balancing-scheme=internal \
    --ports=80 \
    --network=testing \
    --subnet=testing-subnet \
    --region=us-west1 \
    --backend-service=ilb1 \
    --address=10.30.1.99

    gcloud compute forwarding-rules create fr-ilb2 \
    --load-balancing-scheme=internal \
    --ports=80 \
    --network=production \
    --subnet=production-subnet \
    --region=us-west1 \
    --backend-service=ilb2 \
    --address=10.50.1.99

Creazione delle route statiche che definiscono i bilanciatori del carico come hop successivi

Crea due route statiche personalizzate mostrate in next-hop-ilb.

Console

Crea la prima route

  1. Nella console Google Cloud, vai alla pagina Route.

    Vai a Routes

  2. Fai clic su Crea route.

  3. Per il nome del percorso, inserisci ilb-nhop-dest-10-50-1.

  4. Seleziona la rete testing.

  5. In Intervallo IP di destinazione, inserisci 10.50.1.0/24.

  6. In Tag istanza, inserisci my-network-tag.

  7. Per l'hop successivo della route, seleziona Specifica una regola di forwarding del bilanciatore del carico TCP/UDP interno.

    Per specificare l'indirizzo IP del bilanciatore del carico come hop successivo, utilizza gcloud CLI o l'API.

  8. Specifica il nome della regola di forwarding. Come nome della regola di forwarding, seleziona fr-ilb1.

  9. Fai clic su Crea.

Crea il secondo percorso

  1. Fai clic su Crea route.
  2. Per il nome del percorso, inserisci ilb-nhop-dest-10-30-1.
  3. Seleziona la rete testing.
  4. In Intervallo IP di destinazione, inserisci 10.30.1.0/24.

  5. Per l'hop successivo della route, seleziona Specifica una regola di forwarding del bilanciatore del carico TCP/UDP interno.

    Per specificare l'indirizzo IP del bilanciatore del carico come hop successivo, utilizza gcloud CLI o l'API.

  6. Come nome della regola di forwarding, seleziona fr-ilb2.

  7. Fai clic su Crea.

gcloud

Crea route avanzate con l'hop successivo impostato sulla regola di forwarding di ogni bilanciatore del carico e ogni intervallo di destinazione impostato di conseguenza.

Per il flag --next-hop-ilb, puoi specificare il nome della regola di forwarding o l'indirizzo IP. Se specifichi l'indirizzo IP, questo può essere appreso dai peer senza dover esportare la route personalizzata. Nell'esempio, la prima route utilizza l'indirizzo IP 10.30.1.99, mentre la seconda utilizza il nome della regola di forwarding fr-ilb12.

Facoltativamente, puoi specificare uno o più tag istanza sulla route. La route può essere applicata a VM specifiche se specifichi tag di rete lungo la route. Se non specifichi nessun tag di rete, la route si applica a tutte le VM nella rete VPC. In questo esempio, la route utilizza my-network-tag per il relativo tag di rete.

gcloud compute routes create ilb-nhop-dest-10-50-1 \
    --network=testing \
    --destination-range=10.50.1.0/24 \
    --next-hop-ilb=10.30.1.99 \
    --tags=my-network-tag

gcloud compute routes create ilb-nhop-dest-10-30-1 \
    --network=production \
    --destination-range=10.30.1.0/24 \
    --next-hop-ilb=fr-ilb2 \
    --next-hop-ilb-region=us-west1

Creazione dell'istanza VM testing in corso...

Questo esempio crea un'istanza VM con l'indirizzo IP 10.30.1.100 in testing-subnet (10.30.1.0/24) nella rete VPC testing.

gcloud

  1. Crea testing-vm eseguendo questo comando.

    gcloud compute instances create testing-vm \
    --zone=us-west1-a \
    --image-family=debian-10 \
    --image-project=debian-cloud \
    --tags=allow-ssh,my-network-tag \
    --subnet=testing-subnet \
    --private-network-ip 10.30.1.100 \
    --metadata=startup-script='#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    vm_hostname="$(curl -H "Metadata-Flavor:Google" \
    http://metadata.google.internal/computeMetadata/v1/instance/name)"
    echo "Page served from: $vm_hostname" | \
    tee /var/www/html/index.html
    sudo systemctl restart apache2'

Creazione dell'istanza VM production in corso...

Questo esempio crea un'istanza VM con l'indirizzo IP 10.50.1.100 in production-subnet (10.50.1.0/24) nella rete VPC production.

gcloud

production-vm può trovarsi in qualsiasi zona nella stessa regione del bilanciatore del carico e può utilizzare qualsiasi subnet in quella regione. In questo esempio, production-vm si trova nella zona us-west1-a.

  1. Crea production-vm eseguendo questo comando.

    gcloud compute instances create production-vm \
    --zone=us-west1-a \
    --image-family=debian-10 \
    --image-project=debian-cloud \
    --tags=allow-ssh \
    --subnet=production-subnet \
    --private-network-ip 10.50.1.100 \
    --metadata=startup-script='#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    vm_hostname="$(curl -H "Metadata-Flavor:Google" \
    http://metadata.google.internal/computeMetadata/v1/instance/name)"
    echo "Page served from: $vm_hostname" | \
    tee /var/www/html/index.html
    sudo systemctl restart apache2'

Test del bilanciamento del carico su un deployment multi-NIC

  1. Verifica l'integrità dei backend del bilanciatore del carico.

    gcloud compute backend-services get-health ilb1 --region us-west1

    gcloud compute backend-services get-health ilb2 --region us-west1

  2. Testa la connettività dalla VM testing.

    gcloud compute ssh testing-vm --zone=us-west1-a

    curl http://10.50.1.99

    exit

  3. Testa la connettività dalla VM production.

    gcloud compute ssh production-vm --zone=us-west1-a

    curl http://10.30.1.99

    exit

Attivazione dell'hashing simmetrico

Quando calcola l'hash mappato all'istanza di backend, Google Cloud ignora la direzione degli indirizzi IP e delle porte. Il valore hash coerente calcolato di un pacchetto TCP/UDP è lo stesso indipendentemente dalla direzione da cui ha origine il pacchetto. Questo sistema prende il nome di hashing simmetrico.

Per abilitare questo comportamento di hashing sui bilanciatori del carico di rete passthrough interni esistenti, devi ricreare la regola di forwarding e la route dell'hop successivo.

Per ulteriori informazioni, consulta la sezione Hashing simmetrico.

Elimina e ricrea le regole di forwarding

Console

Elimina la regola di forwarding e creane una nuova

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Fai clic sul bilanciatore del carico be-ilb e poi su Modifica.

  3. Fai clic su Configurazione frontend.

  4. Tieni il puntatore sulla regola di forwarding e fai clic su Elimina per rimuoverla.

  5. Fai clic su Aggiungi IP e porta frontend.

  6. Nella sezione Nuovo IP e nuova porta del frontend, apporta le seguenti modifiche:

    1. Nome: FORWARDING_RULE_NAME
    2. Subnet: SUBNET_NAME
    3. In IP interno, seleziona IP_ADDRESS
    4. Porte: PORT_NUMBER o ALL.
    5. Fai clic su Fine.
    6. Verifica che sia presente un segno di spunta blu accanto a Configurazione frontend prima di continuare. In caso contrario, rivedi questo passaggio.

  7. Fai clic su Esamina e finalizza. Controlla le impostazioni.

  8. Fai clic su Crea.

gcloud

  1. Elimina le regole di forwarding esistenti.

    gcloud compute forwarding-rules delete FORWARDING_RULE_NAME \
    --region=REGION

  2. Crea regole di forwarding sostitutive con lo stesso nome.

    gcloud compute forwarding-rules create FORWARDING_RULE_NAME \
    --load-balancing-scheme=internal \
    --ports=PORT_NUMBER or `ALL` \
    --network=NETWORK_NAME \
    --subnet=SUBNET_NAME \
    --region=REGION \
    --backend-service=BACKEND_SERVICE_NAME \
    --address=IP_ADDRESS

Quando non è richiesta la funzionalità SNAT

Come dimostrato nell'esempio precedente, la Network Address Translation di origine (SNAT) non è necessaria quando si verificano tutte le seguenti condizioni:

  • La regola di forwarding per il bilanciatore del carico di rete passthrough interno è stata creata il 22 giugno 2021 o in una data successiva.
  • La route statica personalizzata che fa riferimento alla regola di forwarding è stata creata il 22 giugno 2021 o in una data successiva.
  • Il servizio di backend del bilanciatore del carico di rete passthrough interno non utilizza l'impostazione di affinità sessione NONE.

Puoi convertire una route esistente del bilanciatore del carico di rete passthrough interno dell'hop successivo per utilizzare l'hashing simmetrico seguendo questi passaggi:

  • Assicurati che il servizio di backend del bilanciatore del carico di rete passthrough interno non utilizzi l'impostazione di affinità sessione NONE

  • Crea una regola di forwarding sostitutiva che faccia riferimento allo stesso servizio di backend. La regola di forwarding di sostituzione utilizza un indirizzo IP diverso.

  • Crea una route statica personalizzata sostitutiva che faccia riferimento alla nuova regola di forwarding. Assicurati che questa route sostitutiva abbia una priorità più elevata rispetto a quella esistente.

  • Elimina la route esistente a priorità inferiore (fai riferimento alla regola di forwarding precedente) e poi elimina la regola di forwarding precedente.

esegui la pulizia

  1. Nella configurazione del bilanciatore del carico, rimuovi il backend dai servizi di backend.

    gcloud compute backend-services remove-backend ilb1 \
    --instance-group=third-party-instance-group \
    --instance-group-region=us-west1 \
    --region=us-west1

    gcloud compute backend-services remove-backend ilb2 \
    --instance-group=third-party-instance-group \
    --instance-group-region=us-west1 \
    --region=us-west1

  2. Elimina le route.

    gcloud compute routes delete ilb-nhop-dest-10-50-1

    gcloud compute routes delete ilb-nhop-dest-10-30-1

  3. Nelle configurazioni del bilanciatore del carico, elimina le regole di forwarding.

    gcloud compute forwarding-rules delete fr-ilb1 \
    --region=us-west1

    gcloud compute forwarding-rules delete fr-ilb2 \
    --region=us-west1

  4. Nelle configurazioni del bilanciatore del carico, elimina i servizi di backend.

    gcloud compute backend-services delete ilb1 \
    --region=us-west1

    gcloud compute backend-services delete ilb2 \
    --region=us-west1

  5. Nelle configurazioni del bilanciatore del carico, elimina il controllo di integrità.

    gcloud compute health-checks delete hc-http-80 \
    --region=us-west1

    Se hai utilizzato la console Google Cloud, il controllo di integrità è globale. Pertanto, il comando è il seguente:

    gcloud compute health-checks delete hc-http-80 \
     --global

  6. Elimina il gruppo di istanze gestite.

    gcloud compute instance-groups managed delete third-party-instance-group \
    --region=us-west1

  7. Elimina i modelli di istanza.

    gcloud compute instance-templates delete third-party-template

    gcloud compute instance-templates delete third-party-template-multinic

  8. Elimina le istanze di test e produzione.

    gcloud compute instances delete testing-vm \
    --zone=us-west1-a

    gcloud compute instances delete production-vm \
    --zone=us-west1-a

Passaggi successivi