本頁說明如何部署區域內部應用程式負載平衡器,將流量負載平衡至地端或位於其他公有雲的網路端點,並使用混合式連線連線。
如果尚未瞭解,請參閱混合式連線 NEG 總覽,瞭解設定混合式負載平衡的網路需求。
設定總覽
本頁面的範例會設定下列部署作業:
設定混合式負載平衡部署作業前,請先設定混合式連線。這個頁面不包含混合式連線設定。
視您選擇的混合式連線產品 (Cloud VPN 或 Cloud Interconnect (專屬或合作夥伴)) 而定,請參閱相關產品說明文件。
權限
如要設定混合式負載平衡,您必須具備下列權限:
開啟 Google Cloud
- 在 Google Cloud 與您的地端環境或其他雲端環境之間建立混合式連線的權限。如需必要權限清單,請參閱相關的網路連線產品說明文件。
- 具備建立混合式連線 NEG 和負載平衡器的權限。Compute 負載平衡器管理員角色 (
roles/compute.loadBalancerAdmin) 包含執行本指南所述工作所需的權限。
地端部署環境或其他非Google Cloud 雲端環境
- 設定網路端點的權限,允許地端環境或其他雲端環境中的服務,透過Google Cloud 使用
IP:Port組合存取。如需更多資訊,請與環境的網路管理員聯絡。 - 在內部部署環境或其他雲端環境中建立防火牆規則的權限,允許 Google 健康狀態檢查探測器連線至端點。
- 設定網路端點的權限,允許地端環境或其他雲端環境中的服務,透過Google Cloud 使用
此外,如要完成本頁的操作說明,您需要建立混合式連線 NEG、負載平衡器和區域 NEG (及其端點),做為負載平衡器的 Google Cloud型後端。
因此您必須是專案擁有者或編輯者,或是需要下列 Compute Engine 身分與存取權管理角色。
| 工作 | 必要角色 |
|---|---|
| 建立網路、子網路和負載平衡器元件 | Compute 網路管理員
(roles/compute.networkAdmin) |
| 新增與移除防火牆規則 | Compute 安全管理員
(roles/compute.securityAdmin) |
| 建立執行個體 | Compute 執行個體管理員
(roles/compute.instanceAdmin) |
建立混合式連線
您的 Google Cloud 內部部署環境或其他雲端環境必須透過混合式連線連線,方法是使用 Cloud Interconnect VLAN 連結,或透過 Cloud Router 或路由器設備 VM 使用 Cloud VPN 通道。建議您使用高可用性連線。
啟用全域動態轉送的 Cloud Router 會透過邊界閘道通訊協定 (BGP) 瞭解特定端點,並將其程式化到 Google Cloud 虛擬私有雲網路中。系統不支援區域動態路由。也不支援靜態路徑。
您可以使用相同網路或相同專案中的不同虛擬私有雲網路,設定混合式網路 (Cloud Interconnect、Cloud VPN 或 Router 設備 VM) 和負載平衡器。注意事項:
如果您使用不同的虛擬私有雲網路,這兩個網路必須透過虛擬私有雲網路對等互連連線,或是必須是相同 Network Connectivity Center 中樞上的 虛擬私有雲網路節點。
如果使用相同的 VPC 網路,請確保 VPC 網路的子網路 CIDR 範圍與遠端 CIDR 範圍沒有衝突。如果 IP 位址重疊,系統會優先使用子網路路徑,而非遠端連線。
如需操作說明,請參閱下列文件:
設定外部環境 Google Cloud
如要設定地端環境或其他雲端環境,以進行混合式負載平衡,請按照下列步驟操作:
- 設定網路端點,將地端服務公開給Google Cloud (
IP:Port)。 - 在內部部署環境或其他雲端環境中設定防火牆規則。
- 設定 Cloud Router,向私有環境通告特定必要路徑。
設定網路端點
設定混合式連線後,您可以使用 IP:port 組合,在內部部署環境或其他雲端環境中,設定一或多個可透過 Cloud Interconnect、Cloud VPN 或路由器設備連線的網路端點。這個IP:port組合會設定為混合式連線 NEG 的一或多個端點,並在稍後的程序中建立。 Google Cloud
如果 IP 端點有多個路徑,路由會遵循Cloud Router 總覽中說明的行為。
設定防火牆規則
您必須在內部部署環境或其他雲端環境中建立下列防火牆規則:
- 在內部部署或其他雲端環境中建立防火牆允許輸入規則,允許來自該區域僅限 Proxy 的子網路的流量連上端點。
混合式 NEG 不一定要允許來自 Google 健康狀態檢查探測範圍的流量。不過,如果您在單一後端服務中同時使用混合式和區域 NEG,則必須允許區域 NEG 接收來自 Google 健康狀態檢查探測範圍的流量。
通告路徑
設定 Cloud Router,向地端部署環境或其他雲端環境通告下列自訂 IP 範圍:
- 區域僅限 Proxy 子網路的範圍。
設定 Google Cloud 環境
請務必在下列步驟中使用相同的虛擬私有雲網路 (在本程序中稱為 NETWORK),該網路用於設定環境之間的混合式連線。
此外,請確認您使用的區域 (在本程序中稱為 REGION) 與建立 Cloud VPN 通道或 Cloud Interconnect VLAN 連結時使用的區域相同。
設定僅限 Proxy 的子網路
這個僅限 Proxy 的子網路會用於 REGION 區域中的所有區域 Envoy 型負載平衡器。
主控台
- 在 Google Cloud 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
前往「VPC networks」(虛擬私有雲網路) - 前往用於設定環境間混合連線的網路。
- 按一下 [新增子網路]。
- 輸入「名稱」:PROXY_ONLY_SUBNET_NAME。
- 選取「區域」REGION。
- 將「用途」設為「區域受管理 Proxy」。
- 輸入「IP address range」(IP 位址範圍):PROXY_ONLY_SUBNET_RANGE。
- 按一下「新增」。
gcloud
使用 gcloud compute networks subnets
create 指令建立僅限 Proxy 的子網路。
gcloud compute networks subnets create PROXY_ONLY_SUBNET_NAME \ --purpose=REGIONAL_MANAGED_PROXY \ --role=ACTIVE \ --region=REGION \ --network=NETWORK \ --range=PROXY_ONLY_SUBNET_RANGE
設定負載平衡器子網路
這個子網路用於建立負載平衡器的區域 NEG 後端、前端和內部 IP 位址。
Cloud 控制台
- 在 Google Cloud 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。
前往「VPC networks」(虛擬私有雲網路) - 前往用於設定環境間混合式連線的網路。
- 在「Subnets」(子網路) 區段中:
- 將「Subnet creation mode」(子網路建立模式) 設為 [Custom] (自訂)。
- 在「New subnet」(新的子網路) 區段中,輸入以下資訊:
- Name (名稱):LB_SUBNET_NAME
- Region (區域):REGION
- IP address range (IP 位址範圍):LB_SUBNET_RANGE
- 按一下 [完成]。
- 點選「建立」。
gcloud
在用於設定環境間混合式連線的網路中建立子網路。
gcloud compute networks subnets create LB_SUBNET_NAME \ --network=NETWORK \ --range=LB_SUBNET_RANGE \ --region=REGION
保留負載平衡器的 IP 位址
根據預設,每個轉送規則會使用一個 IP 位址。您可以預留共用 IP 位址,以便透過多個轉送規則使用同一個 IP 位址。不過,如要使用 Private Service Connect 發布負載平衡器,請勿為轉送規則使用共用 IP 位址。
主控台
您可以使用Google Cloud 控制台保留獨立內部 IP 位址。
- 前往「VPC networks」(VPC 網路) 頁面。
- 按一下用於設定環境間混合式連線的網路。
- 按一下「靜態內部 IP 位址」,然後按一下「保留靜態位址」。
- 輸入「名稱」:LB_IP_ADDRESS。
- 在「Subnet」(子網路) 中,選取 LB_SUBNET_NAME。
- 如要指定要保留的 IP 位址,請在「Static IP address」(靜態 IP 位址) 下方選取「Let me choose」(自行選擇),然後填入「Custom IP address」(自訂 IP 位址)。否則,系統會自動從子網路中為您指派 IP 位址。
- 如要將這個 IP 位址用於多個轉送規則,請在「用途」下方選擇「共用」。
- 按一下「預訂」即可完成程序。
gcloud
使用 gcloud CLI 執行
compute addresses create指令:gcloud compute addresses create LB_IP_ADDRESS \ --region=REGION \ --subnet=LB_SUBNET_NAME \
使用
compute addresses describe指令 查看已分配的 IP 位址:gcloud compute addresses describe LB_IP_ADDRESS \ --region=REGION
如要將同一個 IP 位址用於多個轉送規則,請指定
--purpose=SHARED_LOADBALANCER_VIP。
為區域 NEG 建立防火牆規則
在本範例中,您會為 Google Cloud上的區域 NEG 後端建立下列防火牆規則:
fw-allow-health-check:輸入規則,適用於要進行負載平衡的執行個體,可允許來自Google Cloud 健康狀態檢查系統 (130.211.0.0/22和35.191.0.0/16) 的流量。這個範例會使用目標標記allow-health-check來辨識應套用此規則的後端 VM。混合式 NEG 不一定要允許來自 Google 健康狀態檢查探測範圍的流量。不過,如果您在單一後端服務中同時使用混合式和區域 NEG,則必須允許區域 NEG 接收來自 Google 健康狀態檢查探測範圍的流量。fw-allow-ssh:輸入規則,允許在 TCP 通訊埠 22 上來自任何位址的連入 SSH 連線。您可以為這項規則選擇較嚴格的來源 IP 範圍;例如,您可以僅指定要從其中啟動 SSH 工作階段之系統的 IP 範圍。本範例使用目標標記allow-ssh來識別應該適用此規則的 VM。fw-allow-proxy-only-subnet:允許來自僅限 Proxy 子網路的連線連上後端的輸入規則。
主控台
- 在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。
前往「防火牆政策」頁面 - 按一下「Create firewall rule」(建立防火牆規則),建立允許健康狀態檢查探測器流量的規則:
- 輸入
fw-allow-health-check的「Name」(名稱)。 - 在「Network」(網路) 下方選取 NETWORK。
- 在「Targets」(目標) 下方,選取 [Specified target tags] (指定的目標標記)。
- 在「Target tags」(目標標記) 欄位填入
allow-health-check。 - 將「Source filter」(來源篩選器) 設為「IPv4 ranges」(IPv4 範圍)。
- 將「Source IPv4 ranges」(來源 IPv4 範圍) 設為
130.211.0.0/22和35.191.0.0/16。 - 在「Protocols and ports」(通訊協定與通訊埠) 下方,選取「Specified protocols and ports」(指定的通訊協定與通訊埠)。
- 選取「TCP」TCP,然後輸入
80做為通訊埠編號。 - 點選「建立」。
- 輸入
- 再次按一下「Create firewall rule」(建立防火牆規則),以建立允許連入 SSH 連線的規則:
- Name (名稱):
fw-allow-ssh - Network (網路):NETWORK
- Priority (優先順序):
1000 - 「Direction of traffic」(流量方向):[ingress] (輸入)
- 「Action on match」(相符時執行的動作):[allow] (允許)
- 「Target」(目標):指定的目標標記
- 「Target tags」(目標標記):
allow-ssh - 來源篩選器:IPv4 範圍
- Source IPv4 ranges (來源 IPv4 範圍):
0.0.0.0/0 - 「Protocols and ports」(通訊協定和通訊埠):選擇「Specified protocols and ports」(指定的通訊協定和通訊埠)。
- 選取「TCP」TCP,然後輸入
22做為通訊埠編號。 - 點選「建立」。
- Name (名稱):
- 再次按一下「建立防火牆規則」,建立允許僅限 Proxy 子網路連入連線的規則:
- Name (名稱):
fw-allow-proxy-only-subnet - Network (網路):NETWORK
- Priority (優先順序):
1000 - 「Direction of traffic」(流量方向):[ingress] (輸入)
- 「Action on match」(相符時執行的動作):[allow] (允許)
- 「Target」(目標):指定的目標標記
- 「Target tags」(目標標記):
allow-proxy-only-subnet - 來源篩選器:IPv4 範圍
- Source IPv4 ranges (來源 IPv4 範圍):PROXY_ONLY_SUBNET_RANGE
- 「Protocols and ports」(通訊協定和通訊埠):選擇「Specified protocols and ports」(指定的通訊協定和通訊埠)
- 選取「TCP」TCP,然後輸入
80做為通訊埠編號。 - 點選「建立」。
- Name (名稱):
gcloud
建立
fw-allow-health-check-and-proxy規則,允許健康狀態檢查在 TCP 通訊埠80上連線至後端執行個體: Google Cloudgcloud compute firewall-rules create fw-allow-health-check \ --network=NETWORK \ --action=allow \ --direction=ingress \ --target-tags=allow-health-check \ --source-ranges=130.211.0.0/22,35.191.0.0/16 \ --rules=tcp:80建立
fw-allow-ssh防火牆規則,允許與具有allow-ssh網路標記的 VM 建立 SSH 連線。若省略source-ranges,Google Cloud 會將規則解讀為任何來源。gcloud compute firewall-rules create fw-allow-ssh \ --network=NETWORK \ --action=allow \ --direction=ingress \ --target-tags=allow-ssh \ --rules=tcp:22為僅限 Proxy 的子網路建立允許輸入的防火牆規則,允許負載平衡器在 TCP 通訊埠
80上與後端執行個體通訊:gcloud compute firewall-rules create fw-allow-proxy-only-subnet \ --network=NETWORK \ --action=allow \ --direction=ingress \ --target-tags=allow-proxy-only-subnet \ --source-ranges=PROXY_ONLY_SUBNET_RANGE \ --rules=tcp:80
設定可用區 NEG
如果是 Google Cloud型後端,建議您在設定混合式連線的同一區域中,設定多個區域 NEG。
在本範例中,我們在 REGION 地區設定區域 NEG (具有 GCE_VM_IP_PORT 類型端點)。請先在 GCP_NEG_ZONE 區域中建立 VM。接著在相同 GCP_NEG_ZONE 中建立區域 NEG,並將 VM 的網路端點新增至 NEG。
建立 VM
主控台
- 前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
前往 VM 執行個體 - 點選「建立執行個體」。
- 將「Name」(名稱) 設為
vm-a1。 - 在「Region」(區域) 中選擇 REGION,然後選擇任何「Zone」(可用區)。在本程序中,這會稱為 GCP_NEG_ZONE。
- 在「Boot disk」(開機磁碟) 專區中,確認已為開機磁碟選項選取「Debian GNU/Linux 12 (bookworm)」。如有需要,請按一下「Choose」(選擇),以變更映像檔。
按一下「進階選項」,然後進行下列變更:
- 按一下「Networking」(網路),然後新增下列「Network tags」(網路標記):
allow-ssh、allow-health-check和allow-proxy-only-subnet。 - 按一下「網路介面」下方的「編輯」圖示 ,進行下列變更,然後按一下「完成」:
- Network (網路):NETWORK
- Subnet (子網路):LB_SUBNET_NAME
- 「Primary internal IP」(主要內部 IP):臨時 (自動)
- External IP (外部 IP):臨時
按一下 [Management] (管理)。在「Startup script」(開機指令碼) 欄位中,複製並貼上下列指令碼內容。四個 VM 的指令碼內容完全相同:
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html systemctl restart apache2
- 按一下「Networking」(網路),然後新增下列「Network tags」(網路標記):
點選「建立」。
使用下列名稱和區域組合,重複下列步驟來建立第二個 VM:
- 名稱:
vm-a2,區域:GCP_NEG_ZONE
- 名稱:
gcloud
使用下列 VM 名稱和區域的組合,執行以下指令兩次來建立 VM。兩個 VM 的指令碼內容完全相同。
- VM_NAME 個
vm-a1,以及您選擇的任何 GCP_NEG_ZONE 區域 VM_NAME 的
vm-a2,以及相同的 GCP_NEG_ZONE 區域gcloud compute instances create VM_NAME \ --zone=GCP_NEG_ZONE \ --image-family=debian-12 \ --image-project=debian-cloud \ --tags=allow-ssh,allow-health-check,allow-proxy-only-subnet \ --subnet=LB_SUBNET_NAME \ --metadata=startup-script='#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html systemctl restart apache2'
建立可用區 NEG
主控台
如要建立可用區網路端點群組,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「Network Endpoint Groups」(網路端點群組) 頁面。
前往「網路端點群組」頁面 - 按一下「建立網路端點群組」。
- 輸入區域 NEG 的「Name」(名稱)。在本程序中稱為「GCP_NEG_NAME」。
- 選取「網路端點群組類型」:網路端點群組 (區域性)。
- 選取「網路」:NETWORK
- 選取「子網路」:LB_SUBNET_NAME
- 選取「區域」:GCP_NEG_ZONE
- 輸入預設通訊埠:
80。 - 點選「建立」。
將端點新增至可用區性 NEG:
- 前往 Google Cloud 控制台的「Network Endpoint Groups」(網路端點群組) 頁面。
前往「網路端點群組」 - 按一下上一個步驟建立的網路端點群組「名稱」 (GCP_NEG_NAME)。畫面上會顯示「網路端點群組詳細資料」頁面。
- 在「Network endpoints in this group」(這個群組中的網路端點) 區段中,按一下 [Add network endpoint] (新增網路端點]。畫面會出現「Add network endpoint」(新增網路端點) 頁面。
- 選取某個 VM 執行個體,將其內部 IP 位址新增為網路端點。「網路介面」部分會顯示 VM 的名稱、區域和子網路。
- 在「IPv4 位址」欄位中,輸入新網路端點的 IPv4 位址。
- 選取「Port type」(通訊埠類型)。
- 如果您選取「預設」,則端點會使用網路端點群組中所有端點的預設通訊埠
80。由於 Apache 伺服器會在通訊埠80提供要求服務,因此這個範例已足夠。 - 如果您選取「Custom」(自訂),請輸入端點要使用的「Port number」(通訊埠編號)。
- 如果您選取「預設」,則端點會使用網路端點群組中所有端點的預設通訊埠
- 如要新增更多端點,請按一下「新增網路端點」,然後重複以上步驟。
- 新增所有端點後,按一下「建立」。
gcloud
使用
gcloud compute network-endpoint-groups create指令建立可用區 NEG (含GCE_VM_IP_PORT端點):gcloud compute network-endpoint-groups create GCP_NEG_NAME \ --network-endpoint-type=GCE_VM_IP_PORT \ --zone=GCP_NEG_ZONE \ --network=NETWORK \ --subnet=LB_SUBNET_NAME您可以在建立 NEG 時指定
--default-port,或為每個端點指定通訊埠號碼,如下一步所示。將端點新增至 GCP_NEG_NAME。
gcloud compute network-endpoint-groups update GCP_NEG_NAME \ --zone=GCP_NEG_ZONE \ --add-endpoint='instance=vm-a1,port=80' \ --add-endpoint='instance=vm-a2,port=80'
設定混合式連線 NEG
建立 NEG 時,請使用ZONE,盡量縮短ZONE與地端部署或其他雲端環境之間的地理距離。 Google Cloud 舉例來說,如果您在德國法蘭克福的內部部署環境中代管服務,則建立 NEG 時可以指定 europe-west3-a
Google Cloud 可用區。
此外,如果您使用 Cloud Interconnect,用於建立 NEG 的 ZONE 應與設定 Cloud Interconnect 附件的區域相同。
如要瞭解可用的區域和可用區,請參閱 Compute Engine 說明文件:可用的區域和可用區。
主控台
如要建立混合式連線網路端點群組,請按照下列步驟操作:
- 前往 Google Cloud 控制台的「Network Endpoint Groups」(網路端點群組) 頁面。
前往網路端點群組 - 按一下「建立網路端點群組」。
- 輸入混合式 NEG 的「名稱」。在本程序中稱為「ON_PREM_NEG_NAME」。
- 選取「網路端點群組類型」:混合式連線網路端點群組 (可用區)。
- 選取「網路」:NETWORK
- 選取「子網路」:LB_SUBNET_NAME
- 選取「區域」:ON_PREM_NEG_ZONE
- 輸入「預設通訊埠」。
- 按一下 [建立]。
將端點新增至混合式連線 NEG:
- 前往 Google Cloud 控制台的「Network Endpoint Groups」(網路端點群組) 頁面。
前往「網路端點群組」頁面 - 按一下上一個步驟建立的網路端點群組「名稱」 (ON_PREM_NEG_NAME)。畫面上即會出現「Network endpoint group detail」(網路端點群組詳細資料) 頁面。
- 在「Network endpoints in this group」(這個群組中的網路端點) 區段中,按一下 [Add network endpoint] (新增網路端點]。畫面會出現「Add network endpoint」(新增網路端點) 頁面。
- 輸入新網路端點的「IP address」(IP 位址)。
- 選取「Port type」(通訊埠類型)。
- 如果您選取「預設」,則端點會使用網路端點群組中所有端點的預設通訊埠。
- 如果您選取「Custom」(自訂),可以輸入端點要使用的其他「Port number」(通訊埠編號)。
- 如要新增更多端點,請按一下「新增網路端點」,然後重複以上步驟。
- 新增所有非Google Cloud 端點後,按一下「建立」。
gcloud
使用
gcloud compute network-endpoint-groups create指令建立混合式連線 NEG。gcloud compute network-endpoint-groups create ON_PREM_NEG_NAME \ --network-endpoint-type=NON_GCP_PRIVATE_IP_PORT \ --zone=ON_PREM_NEG_ZONE \ --network=NETWORK將內部部署後端 VM 端點新增至 ON_PREM_NEG_NAME:
gcloud compute network-endpoint-groups update ON_PREM_NEG_NAME \ --zone=ON_PREM_NEG_ZONE \ --add-endpoint="ip=ON_PREM_IP_ADDRESS_1,port=PORT_1" \ --add-endpoint="ip=ON_PREM_IP_ADDRESS_2,port=PORT_2"
您可以使用這項指令,新增先前在內部部署或雲端環境中設定的網路端點。
視需要重複 --add-endpoint。
如有需要,您可以重複這些步驟來建立多個混合型 NEG。
設定負載平衡器
主控台
gcloud
- 為後端建立健康狀態檢查。
gcloud compute health-checks create http HTTP_HEALTH_CHECK_NAME \ --region=REGION \ --use-serving-port - 為 Google Cloud型後端建立後端服務。您會將單一可用區 NEG 和混合式連線 NEG 都新增至這個後端服務,做為後端。
gcloud compute backend-services create BACKEND_SERVICE \ --load-balancing-scheme=INTERNAL_MANAGED \ --protocol=HTTP \ --health-checks=HTTP_HEALTH_CHECK_NAME \ --health-checks-region=REGION \ --region=REGION - 將區域 NEG 新增至後端服務,以做為後端使用。
gcloud compute backend-services add-backend BACKEND_SERVICE \ --region=REGION \ --balancing-mode=RATE \ --max-rate-per-endpoint=MAX_REQUEST_RATE_PER_ENDPOINT \ --network-endpoint-group=GCP_NEG_NAME \ --network-endpoint-group-zone=GCP_NEG_ZONE--max-rate-per-endpoint參數的 gcloud CLI 說明文件。 - 將混合式 NEG 新增至後端服務,以做為後端使用。
gcloud compute backend-services add-backend BACKEND_SERVICE \ --region=REGION \ --balancing-mode=RATE \ --max-rate-per-endpoint=MAX_REQUEST_RATE_PER_ENDPOINT \ --network-endpoint-group=ON_PREM_NEG_NAME \ --network-endpoint-group-zone=ON_PREM_NEG_ZONE--max-rate-per-endpoint參數的 gcloud CLI 說明文件。 - 建立網址對應,將連入要求轉送至後端服務:
gcloud compute url-maps create URL_MAP_NAME \ --default-service BACKEND_SERVICE \ --region=REGION - 選用:如果要在用戶端與負載平衡器之間使用 HTTPS,請執行這個步驟。HTTP 負載平衡器不需要這項設定。
您可以建立 Compute Engine 或 Certificate Manager 憑證。您可以使用下列任一方法,透過 Certificate Manager 建立憑證:
- 區域性自行管理憑證。如要瞭解如何建立及使用區域性自行管理憑證,請參閱部署區域性自行管理憑證。不支援憑證對應。
區域性 Google 代管憑證。不支援憑證對應。
Certificate Manager 支援下列類型的區域性 Google 代管憑證:
- 區域性 Google 代管憑證,並提供專案專屬的 DNS 授權。詳情請參閱「使用 DNS 授權部署區域性 Google 代管憑證」。
- 透過憑證授權單位服務,使用區域性 Google 代管 (私人) 憑證。 詳情請參閱「使用憑證授權機構服務部署區域性 Google 代管憑證」。
建立憑證後,請直接將憑證附加至目標 Proxy。
如要建立 Compute Engine 自行管理的 SSL 憑證資源,請按照下列步驟操作:gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --certificate CRT_FILE_PATH \ --private-key KEY_FILE_PATH - 建立目標 HTTP(S) Proxy,將要求轉送至網址對應。
如果是 HTTP 負載平衡器,請建立 HTTP 目標 Proxy:gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \ --url-map=URL_MAP_NAME \ --url-map-region=REGION \ --region=REGIONgcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \ --ssl-certificates=SSL_CERTIFICATE_NAME \ --url-map=URL_MAP_NAME \ --url-map-region=REGION \ --region=REGION - 建立轉送規則,將連入要求轉送至 Proxy。請勿使用僅限 Proxy 的子網路建立轉送規則。
如果是 HTTP 負載平衡器:gcloud compute forwarding-rules create HTTP_FORWARDING_RULE_NAME \ --load-balancing-scheme=INTERNAL_MANAGED \ --network=NETWORK \ --subnet=LB_SUBNET_NAME \ --address=LB_IP_ADDRESS \ --ports=80 \ --region=REGION \ --target-http-proxy=TARGET_HTTP_PROXY_NAME \ --target-http-proxy-region=REGIONgcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \ --load-balancing-scheme=INTERNAL_MANAGED \ --network=NETWORK \ --subnet=LB_SUBNET_NAME \ --address=LB_IP_ADDRESS \ --ports=443 \ --region=REGION \ --target-https-proxy=TARGET_HTTPS_PROXY_NAME \ --target-https-proxy-region=REGION
將網域連結至負載平衡器
建立負載平衡器後,請記下與負載平衡器相關聯的 IP 位址,例如 30.90.80.100。如要將網域指向負載平衡器,請使用網域註冊服務建立 A 記錄。如果 SSL 憑證中新增了多個網域,請為每個網域新增 A 記錄,並全部指向負載平衡器的 IP 位址。舉例來說,如要為 www.example.com 和 example.com 建立 A 記錄,請使用下列指令:
NAME TYPE DATA www A 30.90.80.100 @ A 30.90.80.100
如果您使用 Cloud DNS 做為 DNS 供應商,請參閱「新增、修改及刪除記錄」。
測試負載平衡器
如要測試負載平衡器,請在與負載平衡器相同的地區中建立用戶端 VM。然後將流量從用戶端傳送至負載平衡器。
建立用戶端 VM
這個範例會在與後端 NEG 相同的地區中建立用戶端 VM (vm-client)。該用戶端用於驗證負載平衡器的設定,以及示範測試一節中所述的預期行為。
主控台
- 前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面。
前往 VM 執行個體 - 點選「建立執行個體」。
- 將「Name」(名稱) 設為
vm-client。 - 將「Zone」(區域) 設為 CLIENT_VM_ZONE。
- 按一下「進階選項」並進行下列變更:
- 按一下「Networking」(網路),然後將
allow-ssh新增至「Network tags」(網路標記)。 - 按一下「Network interfaces」(網路介面) 下方的「編輯」按鈕,進行下列變更,然後按一下「完成」:
- Network (網路):NETWORK
- Subnet (子網路):LB_SUBNET_NAME
- 「Primary internal IP」(主要內部 IP):臨時 (自動)
- 「External IP」(外部 IP):[Ephemeral] (臨時)
- 按一下「Networking」(網路),然後將
- 點選「建立」。
gcloud
用戶端 VM 可以位於與負載平衡器相同地區的任何區域中,也可以使用該地區中的任何子網路。在本範例中,用戶端位於 CLIENT_VM_ZONE 區域,並使用與後端 VM 相同的子網路。
gcloud compute instances create vm-client \
--zone=CLIENT_VM_ZONE \
--image-family=debian-12 \
--image-project=debian-cloud \
--tags=allow-ssh \
--subnet=LB_SUBNET_NAME
將流量傳送至負載平衡器
負載平衡器設定完成後,即可開始將流量傳送至負載平衡器的 IP 位址。
使用 SSH 連線至用戶端執行個體。
gcloud compute ssh client-vm \ --zone=CLIENT_VM_ZONE
取得負載平衡器的 IP 位址。使用
compute addresses describe指令 查看已分配的 IP 位址:gcloud compute addresses describe l7-ilb-ip-address \ --region=us-west1
確認負載平衡器是否如預期提供後端主機名稱。將 IP_ADDRESS 替換為負載平衡器的 IP 位址。
如要測試 HTTP,請執行:
curl IP_ADDRESS
如要測試 HTTPS,請執行下列指令:
curl -k -s 'https://DOMAIN_NAME:443' --connect-to DOMAIN_NAME:443:IP_ADDRESS:443
將 DOMAIN_NAME 替換為您的應用程式網域名稱,例如 test.example.com。
-k 旗標會讓 curl 略過憑證驗證。
測試非Google Cloud 端點取決於您透過混合 NEG 端點公開的服務。
額外設定選項
本節會延伸說明設定範例,並提供替代和其他設定選項。所有工作都是選擇性的。您可以按任何順序執行這些工作。
更新用戶端 HTTP 保持運作逾時
先前步驟中建立的負載平衡器已設定 用戶端 HTTP 保持連線逾時的預設值。如要更新用戶端 HTTP 保持連線逾時,請按照下列操作說明操作。
控制台
前往 Google Cloud 控制台的「Load balancing」(負載平衡)頁面。
- 按一下要修改的負載平衡器名稱。
- 按一下「編輯」。
- 按一下「前端設定」。
- 展開「進階功能」。在「HTTP 保持運作逾時」部分, 輸入逾時值。
- 按一下「更新」。
- 如要檢查變更,請依序按一下「檢查並完成」和「更新」。
gcloud
如果是 HTTP 負載平衡器,請使用 gcloud compute target-http-proxies update 指令更新目標 HTTP Proxy。
gcloud compute target-http-proxies update TARGET_HTTP_PROXY_NAME \
--http-keep-alive-timeout-sec=HTTP_KEEP_ALIVE_TIMEOUT_SEC \
--region=REGION
如果是 HTTPS 負載平衡器,請使用 gcloud compute target-https-proxies update 指令更新目標 HTTPS Proxy。
gcloud compute target-https-proxies update TARGET_HTTP_PROXY_NAME \
--http-keep-alive-timeout-sec=HTTP_KEEP_ALIVE_TIMEOUT_SEC \
--region REGION
更改下列內容:
TARGET_HTTP_PROXY_NAME:目標 HTTP Proxy 的名稱。TARGET_HTTPS_PROXY_NAME:目標 HTTPS Proxy 的名稱。HTTP_KEEP_ALIVE_TIMEOUT_SEC:HTTP 保持運作逾時值,範圍為 5 到 600 秒。