Internes HTTP(S)-Load-Balancing mit VM-Instanzgruppen-Back-Ends einrichten

Dieses Dokument enthält Anleitungen zum Konfigurieren des internen HTTP(S)-Load-Balancings für Dienste, die auf Compute Engine-VMs ausgeführt werden.

Informationen zum Konfigurieren des Load-Balancings für Ihre Dienste, die in GKE-Pods ausgeführt werden, finden Sie unter Containernatives Load-Balancing mit eigenständigen NEGs und Internen HTTP(S)-Load-Balancer an eigenständige NEGs anhängen.

Informationen zum Konfigurieren des Load-Balancings für den Zugriff auf Google APIs und Google-Dienste mithilfe von Private Service Connect finden Sie unter Private Service Connect mit HTTP(S)-Dienststeuerungen konfigurieren.

Die Einrichtung für das interne HTTP(S)-Load-Balancing besteht aus zwei Teilen:

Erforderliche Aufgaben wie Prüfen notwendiger Konten auf die richtigen Berechtigungen und Vorbereiten des VPC-Netzwerks (Virtual Private Cloud) ausführen
Load-Balancer-Ressourcen einrichten

Bevor Sie diese Anleitung durcharbeiten, sollten Sie sich mit Folgendem vertraut machen:

Übersicht über das interne HTTP(S) -Load-Balancing, einschließlich des Abschnitts Einschränkungen
Übersicht über VPC-Firewallregeln

Berechtigungen

Damit Sie dieser Anleitung folgen können, müssen Sie in der Lage sein, Instanzen zu erstellen und ein Netzwerk in einem Projekt zu ändern. Sie müssen entweder Inhaber oder Bearbeiter des Projekts sein oder alle folgenden Compute Engine-IAM-Rollen haben.

Aufgabe	Erforderliche Rolle
Netzwerke, Subnetze und Load-Balancer-Komponenten erstellen	Compute-Netzwerkadministrator
Firewallregeln hinzufügen und löschen	Compute-Sicherheitsadministrator
Instanzen erstellen	Compute-Instanzadministrator

Weitere Informationen finden Sie in folgenden Leitfäden:

Einrichtung: Übersicht

Sie können das interne HTTP(S)-Load-Balancing wie im folgenden allgemeinen Konfigurationsablauf beschrieben konfigurieren. Die nummerierten Schritte beziehen sich auf die Zahlen im Diagramm.

Nummerierte Komponenten des internen HTTP(S)-Load-Balancings (zum Vergrößern klicken)

Wie im Diagramm dargestellt, wird in diesem Beispiel ein interner HTTP(S)-Load-Balancer in einem VPC-Netzwerk in der Region us-west1 mit einem Back-End-Dienst und zwei Back-End-Gruppen erstellt.

Das Diagramm zeigt Folgendes:

Ein VPC-Netzwerk mit zwei Subnetzen:
1. Das eine Subnetz wird für Back-Ends (Instanzgruppen und NEGs) und die Weiterleitungsregel verwendet. Der primäre IP-Adressbereich ist 10.1.2.0/24.
2. Das andere Subnetz ist ein Nur-Proxysubnetz in der Region us-west1. Sie müssen in jeder Region eines VPC-Netzwerks, in dem Sie interne HTTP(S)-Load-Balancer verwenden, ein Nur-Proxysubnetz erstellen. Das Nur-Proxysubnetz der Region wird von allen internen HTTP(S)-Load-Balancern in der Region gemeinsam genutzt. Quelladressen von Paketen, die der interne HTTP(S)-Load-Balancer an die Back-Ends Ihres Dienstes sendet, werden vom Nur-Proxysubnetz zugewiesen. In diesem Beispiel hat das Nur-Proxysubnetz für die Region den primären IP-Adressbereich 10.129.0.0/23. Dies ist die für Subnetze empfohlene Größe. Weitere Informationen finden Sie unter Nur-Proxysubnetze.
Eine Firewallregel, die Nur-Proxysubnetz-Traffic in Ihrem Netzwerk zulässt. Dies bedeutet, dass Sie eine Regel hinzufügen müssen, die Traffic von TCP-Port 80, 443 und 8080 über 10.129.0.0/23 zulässt (in diesem Beispiel der Bereich des Nur-Proxysubnetzes). Eine weitere Firewallregel für die Systemdiagnoseprüfungen.
Back-End-Instanzen. Dieses Beispieldiagramm zeigt die folgenden Back-End-Deployments:
1. Compute Engine-VMs
2. Google Kubernetes Engine-Back-Ends (GKE), die eigenständigen Netzwerk-Endpunktgruppen (NEGs) hinzugefügt wurden
Instanzgruppen und NEGs:
1. Verwaltete oder nicht verwaltete Instanzgruppen für Compute Engine-VM-Deployments
2. NEGs für GKE-Deployments
Je nach Anforderungen Ihres Deployments können Sie in jeder Zone eine Kombination aus Back-End-Gruppentypen verwenden.

Hinweis: In dieser Konfiguration wird gezeigt, wie Sie Load-Balancing-Anfragen nur auf Back-Ends von VM-Instanzgruppen verteilen. Informationen zum Load-Balancing von Anfragen an GKE-Pods finden Sie unter GKE Ingress für HTTP(S)-Load-Balancing.
Eine regionale Systemdiagnose, die die Bereitschaft Ihrer Back-Ends meldet.
Ein regionaler Back-End-Dienst, der die Nutzung und die Integrität von Back-Ends überwacht.
Eine regionale URL-Zuordnung, die die URL einer Anfrage parst und Anfragen anhand des Hosts und Pfades der Anfrage-URL an bestimmte Back-End-Dienste weiterleitet.
Ein regionaler HTTP- oder HTTPS-Zielproxy, der eine Anfrage vom Nutzer empfängt und an die URL-Zuordnung weiterleitet. Konfigurieren Sie für HTTPS eine regionale SSL-Zertifikatsressource. Der Zielproxy verwendet das SSL-Zertifikat, um SSL-Traffic zu entschlüsseln, wenn Sie das HTTPS-Load-Balancing konfigurieren. Der Zielproxy kann Traffic über HTTP oder HTTPS an Ihre Instanzen weiterleiten.
Eine Weiterleitungsregel mit der internen IP-Adresse Ihres Load-Balancers zum Weiterleiten jeder eingehenden Anfrage an den Zielproxy.

Die mit der Weiterleitungsregel verknüpfte interne IP-Adresse kann aus jedem Subnetz im selben Netzwerk und in derselben Region stammen. Beachten Sie folgende Bedingungen:
- Die IP-Adresse kann (nicht erforderlich) aus demselben Subnetz wie die Back-End-Instanzgruppen stammen.
- Die IP-Adresse darf nicht aus dem reservierten Nur-Proxy-Subnetz stammen, dessen Flag --purpose auf REGIONAL_MANAGED_PROXY gesetzt ist.
- Wenn Sie die interne IP-Adresse für mehrere Weiterleitungsregeln freigeben möchten, legen Sie das Flag --purpose der IP-Adresse auf SHARED_LOADBALANCER_VIP fest.

Netzwerk und Subnetze konfigurieren

Sie benötigen ein VPC-Netzwerk mit zwei Subnetzen: eines für die Back-Ends des Load-Balancers und eines für die Proxys des Load-Balancers. Ein interner HTTP(S)-Load-Balancer ist regional. Traffic innerhalb des VPC-Netzwerks wird an den Load-Balancer weitergeleitet, wenn sich die Quelle des Traffics in einem Subnetz in derselben Region wie der Load-Balancer befindet.

In diesem Beispiel werden das folgende VPC-Netzwerk, die folgende Region und die folgenden Subnetze verwendet:

Netzwerk. Das Netzwerk ist ein VPC-Netzwerk im benutzerdefinierten Modus mit dem Namen lb-network.
Subnetz für Back-Ends. Ein Subnetz mit dem Namen backend-subnet in der Region us-west1 verwendet 10.1.2.0/24 für seinen primären IP-Bereich.
Subnetz für Proxys Ein Subnetz mit dem Namen proxy-only-subnet in der Region us-west1 verwendet 10.129.0.0/23 für seinen primären IP-Bereich.

Zur Veranschaulichung des globalen Zugriffs wird in diesem Beispiel eine zweite Testclient-VM in einer anderen Region und einem anderen Subnetz erstellt:

Region: europe-west1
Subnetz: europe-subnet, mit primärem IP-Adressbereich 10.3.4.0/24

Netzwerk und Subnetze konfigurieren

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf VPC-Netzwerk erstellen.
Geben Sie für Name lb-network ein.
Wählen Sie im Abschnitt Subnetze als Modus für die Subnetzerstellung Benutzerdefiniert aus.
Erstellen Sie ein Subnetz für die Back-Ends des Load-Balancers. Geben Sie im Bereich Neues Subnetz folgende Informationen ein:
- Name: backend-subnet
- Region: us-west1
- IP-Adressbereich: 10.1.2.0/24
Klicken Sie auf Fertig.
Klicken Sie auf Subnetz hinzufügen.
Erstellen Sie ein Subnetz, um den globalen Zugriff zu demonstrieren. Geben Sie im Bereich Neues Subnetz folgende Informationen ein:
- Name: europe-subnet
- Region: europe-west1
- IP-Adressbereich: 10.3.4.0/24
Klicken Sie auf Fertig.
Klicken Sie auf Erstellen.

gcloud

Erstellen Sie mit dem Befehl gcloud compute networks create das benutzerdefinierte VPC-Netzwerk:
```
gcloud compute networks create lb-network --subnet-mode=custom
```

Erstellen Sie mit dem Befehl gcloud compute networks subnets create ein Subnetz im Netzwerk lb-network in der Region us-west1:

gcloud compute networks subnets create backend-subnet \
    --network=lb-network \
    --range=10.1.2.0/24 \
    --region=us-west1

Erstellen Sie mit dem Befehl gcloud compute networks subnets create ein Subnetz im Netzwerk lb-network in der Region europe-west1:

gcloud compute networks subnets create europe-subnet \
    --network=lb-network \
    --range=10.3.4.0/24 \
    --region=europe-west1

API

Stellen Sie eine POST-Anfrage an die Methode networks.insert. Ersetzen Sie dabei PROJECT_ID durch Ihre Projekt-ID.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks

{
 "routingConfig": {
   "routingMode": "REGIONAL"
 },
 "name": "lb-network",
 "autoCreateSubnetworks": false
}

Stellen Sie eine POST-Anfrage an die Methode subnetworks.insert. Ersetzen Sie dabei PROJECT_ID durch Ihre Projekt-ID.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks

{
 "name": "backend-subnet",
 "network": "projects/PROJECT_ID/global/networks/lb-network",
 "ipCidrRange": "10.1.2.0/24",
 "region": "projects/PROJECT_ID/regions/us-west1",
}

Stellen Sie eine POST-Anfrage an die Methode subnetworks.insert. Ersetzen Sie dabei PROJECT_ID durch Ihre Projekt-ID.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/europe-west1/subnetworks

{
 "name": "europe-subnet",
 "network": "projects/PROJECT_ID/global/networks/lb-network",
 "ipCidrRange": "10.3.4.0/24",
 "region": "projects/PROJECT_ID/regions/europe-west1",
}

Nur-Proxy-Subnetz konfigurieren

Dieses Nur-Proxy-Subnetz gilt für alle regionalen Envoy-basierten Load-Balancer in der Region us-west1 der lb-network.

Console

Wenn Sie die Google Cloud Console verwenden, können Sie das Nur-Proxy-Subnetz später auf der Seite Load-Balancing erstellen.

Führen Sie die folgenden Schritte aus, wenn Sie jetzt das Nur-Proxy-Subnetz erstellen möchten:

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf lb-network, den Namen des VPC-Netzwerks.
Klicken Sie auf Subnetz hinzufügen.
Geben Sie für Name proxy-only-subnet ein.
Wählen Sie bei Region die Option us-west1 aus.
Setzen Sie Zweck auf Regional verwalteter Proxy.
Geben Sie 10.129.0.0/23 als IP-Adressbereich ein.
Klicken Sie auf Add (Hinzufügen).

gcloud

Erstellen Sie das Nur-Proxy-Subnetz mit dem Befehl gcloud compute networks subnets create.

gcloud compute networks subnets create proxy-only-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=us-west1 \
  --network=lb-network \
  --range=10.129.0.0/23

API

Erstellen Sie das Nur-Proxysubnetz durch die Methode subnetworks.insert und ersetzen Sie PROJECT_ID dabei durch Ihre Projekt-ID.

POST https://compute.googleapis.com/compute/projects/PROJECT_ID/regions/us-west1/subnetworks

{
  "name": "proxy-only-subnet",
  "ipCidrRange": "10.129.0.0/23",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "region": "projects/PROJECT_ID/regions/us-west1",
  "purpose": "REGIONAL_MANAGED_PROXY",
  "role": "ACTIVE"
}

Firewallregeln konfigurieren

In diesem Beispiel werden die folgenden Firewallregeln verwendet:

fw-allow-ssh: Eine Regel für eingehenden Traffic, die für die Instanzen mit Load-Balancing gilt und eingehende SSH-Verbindungen über TCP-Port 22 von jeder Adresse aus ermöglicht. Sie können einen restriktiveren IP-Quellbereich für diese Regel auswählen. Geben Sie dazu beispielsweise nur die IP-Bereiche des Systems an, von dem aus Sie SSH-Sitzungen initiieren. In diesem Beispiel wird das Ziel-Tag allow-ssh verwendet, um die VMs zu identifizieren, auf die die Firewallregel angewendet wird.
fw-allow-health-check. Eine Regel für eingehenden Traffic, die für die Instanzen mit Load-Balancing gilt und Traffic von den Google Cloud-Systemen für Systemdiagnosen zulässt (130.211.0.0/22 und 35.191.0.0/16. In diesem Beispiel wird das Ziel-Tag load-balanced-backend verwendet, um die VMs zu identifizieren, auf die die Firewallregel angewendet wird.
fw-allow-proxies. Eine Regel für eingehenden Traffic, die für die Instanzen mit Load-Balancing gilt und TCP-Traffic über Port 80, 443und 8080 von den verwalteten Proxys des internen HTTP(S)-Load-Balancers zulässt. In diesem Beispiel wird das Ziel-Tag load-balanced-backend verwendet, um die VMs zu identifizieren, auf die die Firewallregel angewendet wird.

Ohne diese Firewallregeln blockiert die Standardregel zum Ablehnen von eingehendem Traffic den eingehenden Traffic zu den Back-End-Instanzen.

Die Back-End-Instanzen werden von den Ziel-Tags definiert. Ohne die Ziel-Tags gelten die Firewallregeln für alle Ihre Back-End-Instanzen im VPC-Netzwerk. Achten Sie beim Erstellen der Back-End-VMs darauf, die angegebenen Ziel-Tags wie in Verwaltete Instanzgruppe erstellen beschrieben zu verwenden.

Console

Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.

Zu Firewallregeln
Klicken Sie auf Firewallregel erstellen, um die Regel zu erstellen, die eingehende SSH-Verbindungen zulässt:
- Name: fw-allow-ssh
- Netzwerk: lb-network
- Trafficrichtung: Eingehend
- Aktion bei Übereinstimmung: Zulassen
- Ziele: Angegebene Ziel-Tags
- Zieltags: allow-ssh
- Quellfilter: IPv4-Bereiche.
- IPv4-Quellbereiche: 0.0.0.0/0
- Protokolle und Ports:
  - Wählen Sie Angegebene Protokolle und Ports aus.
  - Klicken Sie das Kästchen TCP an und geben Sie 22 als Portnummer ein.
Klicken Sie auf Erstellen.
Klicken Sie ein zweites Mal auf Firewallregel erstellen, um die Regel zum Zulassen von Google Cloud-Systemdiagnosen zu erstellen:
- Name: fw-allow-health-check
- Netzwerk: lb-network
- Trafficrichtung: Eingehend
- Aktion bei Übereinstimmung: Zulassen
- Ziele: Angegebene Ziel-Tags
- Zieltags: load-balanced-backend
- Quellfilter: IPv4-Bereiche.
- IPv4-Quellbereiche: 130.211.0.0/22 und 35.191.0.0/16
- Protokolle und Ports:
  - Wählen Sie Angegebene Protokolle und Ports aus.
  - Klicken Sie das Kästchen TCP an und geben Sie 80 als Portnummer ein.
    Sie sollten diese Regeln nur auf Protokolle und Ports beschränken, die mit den von Ihren Systemdiagnosen verwendeten übereinstimmen. Wenn Sie tcp:80 für das Protokoll und den Port verwenden, kann Google Cloud HTTP auf Port 80 verwenden, um Ihre VMs zu kontaktieren. Es kann HTTPS jedoch nicht auf Port 443 verwenden, um den Kontakt herzustellen.
Klicken Sie auf Erstellen.
Klicken Sie ein drittes Mal auf Firewallregel erstellen, um die Regel zu erstellen, die Verbindungen von den Proxyservern des Load-Balancers zu den Back-Ends zulässt:
- Name: fw-allow-proxies
- Netzwerk: lb-network
- Trafficrichtung: Eingehend
- Aktion bei Übereinstimmung: Zulassen
- Ziele: Angegebene Ziel-Tags
- Zieltags: load-balanced-backend
- Quellfilter: IPv4-Bereiche.
- IPv4-Quellbereiche: 10.129.0.0/23
- Protokolle und Ports:
  - Wählen Sie Angegebene Protokolle und Ports aus.
  - Klicken Sie das Kästchen TCP an und geben Sie 80, 443, 8080 als Portnummer ein.
Klicken Sie auf Erstellen.

gcloud

Erstellen Sie die Firewallregel fw-allow-ssh, um SSH-Verbindungen zu VMs mit dem Netzwerk-Tag allow-ssh zu ermöglichen. Wenn Sie source-ranges weglassen, bezieht Google Cloud die Regel auf jede Quelle.
```
gcloud compute firewall-rules create fw-allow-ssh \
    --network=lb-network \
    --action=allow \
    --direction=ingress \
    --target-tags=allow-ssh \
    --rules=tcp:22
```
Erstellen Sie die Regel fw-allow-health-check, um Google Cloud-Systemdiagnosen zuzulassen. In diesem Beispiel wird der gesamte TCP-Traffic von Systemdiagnosetests zugelassen. Sie können jedoch Ihren Anforderungen entsprechend eine kleinere Gruppe von Ports konfigurieren:
```
gcloud compute firewall-rules create fw-allow-health-check \
    --network=lb-network \
    --action=allow \
    --direction=ingress \
    --source-ranges=130.211.0.0/22,35.191.0.0/16 \
    --target-tags=load-balanced-backend \
    --rules=tcp
```
Erstellen Sie die Regel fw-allow-proxies, um Verbindungen von den Proxys des internen HTTP(S)-Load-Balancers zu Ihren Back-Ends zuzulassen. Legen Sie für source-ranges die zugewiesenen Bereiche des Nur-Proxy-Subnetzes fest, z. B. 10.129.0.0/23.
```
gcloud compute firewall-rules create fw-allow-proxies \
  --network=lb-network \
  --action=allow \
  --direction=ingress \
  --source-ranges=source-range \
  --target-tags=load-balanced-backend \
  --rules=tcp:80,tcp:443,tcp:8080
```

API

Erstellen Sie die Firewallregel fw-allow-ssh, indem Sie eine POST-Anfrage an die Methode firewalls.insert senden und dabei PROJECT_ID durch Ihre Projekt-ID ersetzen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls

{
 "name": "fw-allow-ssh",
 "network": "projects/PROJECT_ID/global/networks/lb-network",
 "sourceRanges": [
   "0.0.0.0/0"
 ],
 "targetTags": [
   "allow-ssh"
 ],
 "allowed": [
  {
    "IPProtocol": "tcp",
    "ports": [
      "22"
    ]
  }
 ],
"direction": "INGRESS"
}

Erstellen Sie die Firewallregel fw-allow-health-check, indem Sie eine POST-Anfrage an die Methode firewalls.insert senden und dabei PROJECT_ID durch Ihre Projekt-ID ersetzen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls

{
 "name": "fw-allow-health-check",
 "network": "projects/PROJECT_ID/global/networks/lb-network",
 "sourceRanges": [
   "130.211.0.0/22",
   "35.191.0.0/16"
 ],
 "targetTags": [
   "load-balanced-backend"
 ],
 "allowed": [
   {
     "IPProtocol": "tcp"
   }
 ],
 "direction": "INGRESS"
}

Erstellen Sie die Firewallregel fw-allow-proxies, um TCP-Traffic im Proxysubnetz für die Methode firewalls.insert zuzulassen. Ersetzen Sie dabei PROJECT_ID durch Ihre Projekt-ID.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls

{
 "name": "fw-allow-proxies",
 "network": "projects/PROJECT_ID/global/networks/lb-network",
 "sourceRanges": [
   "10.129.0.0/23"
 ],
 "targetTags": [
   "load-balanced-backend"
 ],
 "allowed": [
   {
     "IPProtocol": "tcp",
     "ports": [
       "80"
     ]
   },
 {
     "IPProtocol": "tcp",
     "ports": [
       "443"
     ]
   },
   {
     "IPProtocol": "tcp",
     "ports": [
       "8080"
     ]
   }
 ],
 "direction": "INGRESS"
}

Internes HTTP-Load-Balancing mit einem VM-basierten Dienst konfigurieren

In diesem Abschnitt wird die Konfiguration für Dienste erläutert, die auf Compute Engine-VMs ausgeführt werden. Client-VMs stellen eine Verbindung zur IP-Adresse und dem Port her, die Sie in der Weiterleitungsregel konfigurieren. Wenn Ihre Client-Anwendungen Traffic an diese IP-Adresse und diesen Port senden, werden ihre Anfragen entsprechend der URL-Zuordnung Ihres internen HTTP(S)-Load-Balancers an Ihre Back-End-VMs weitergeleitet.

Im Beispiel auf dieser Seite wird explizit eine reservierte interne IP-Adresse für die Weiterleitungsregel des internen HTTP(S)-Load-Balancers festgelegt, statt die Zuweisung einer sitzungsspezifischen internen IP-Adresse zuzulassen. Als Best Practice empfehlen wir, IP-Adressen für Weiterleitungsregeln zu reservieren.

Verwenden Sie backend-subnet für die IP-Adresse der Weiterleitungsregel. Wenn Sie das Nur-Proxy-Subnetz verwenden, schlägt das Erstellen der Weiterleitungsregel fehl.

Verwaltete Instanzgruppe erstellen

In diesem Abschnitt wird gezeigt, wie Sie eine Vorlage und eine verwaltete Instanzgruppe erstellen. Die verwaltete Instanzgruppe stellt VM-Instanzen bereit, auf denen die Back-End-Server eines beispielhaften internen HTTP(S)-Load-Balancers ausgeführt werden. Für Ihre Instanzgruppe können Sie einen HTTP-Dienst definieren und dem entsprechenden Port einen Portnamen zuordnen. Der Back-End-Dienst des Load-Balancers leitet den Traffic an den benannten Port weiter. Der Traffic von Clients wird auf Back-End-Server verteilt. Zur Veranschaulichung stellen Back-Ends ihre eigenen Hostnamen bereit.

Console

eine Instanzvorlage erstellen Rufen Sie in der Google Cloud Console die Seite Instanzvorlagen auf.

Zu Instanzvorlagen
1. Klicken Sie auf Instanzvorlage erstellen.
2. Geben Sie für Name l7-ilb-backend-template ein.
3. Das Bootlaufwerk sollte auf ein Debian-Image wie Debian GNU/Linux 10 (Buster) eingestellt sein. Diese Anleitungen verwenden Befehle, die nur für Debian verfügbar sind, z. B. apt-get.
4. Klicken Sie auf Erweiterte Optionen.
5. Klicken Sie auf Netzwerk und konfigurieren Sie die folgenden Felder:
  1. Geben Sie für Netzwerk-Tags allow-ssh und load-balanced-backend ein.
  2. Wählen Sie für Netzwerkschnittstellen Folgendes aus:
    - Netzwerk: lb-network
    - Subnetz: backend-subnet
6. Klicken Sie auf Verwaltung. Fügen Sie im Feld Startskript das nachfolgende Skript ein.
```
#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
vm_hostname="$(curl -H "Metadata-Flavor:Google" \
http://metadata.google.internal/computeMetadata/v1/instance/name)"
sudo echo "Page served from: $vm_hostname" | \
tee /var/www/html/index.html
sudo systemctl restart apache2
```
7. Klicken Sie auf Erstellen.
Erstellen Sie eine verwaltete Instanzgruppe. Rufen Sie in der Google Cloud Console die Seite Instanzgruppen auf.

Zu den Instanzgruppen
1. Klicken Sie auf Instanzgruppe erstellen.
2. Wählen Sie Neue verwaltete Instanzgruppe (zustandslos) aus. Weitere Informationen finden Sie unter Zustandslose oder zustandsorientierte MIGs.
3. Geben Sie für Name l7-ilb-backend-example ein.
4. Wählen Sie für Standort die Option Einzelne Zone aus.
5. Wählen Sie bei Region die Option us-west1 aus.
6. Wählen Sie bei Zone die Option us-west1-a aus.
7. Wählen Sie bei Instanzvorlage die Option l7-ilb-backend-template aus.
8. Geben Sie an, wie viele Instanzen die Gruppe umfassen soll.
  
  Geben Sie für dieses Beispiel unter Autoscaling die folgenden Optionen an:
  - Wählen Sie für Autoscaling-Modus Off:do not autoscale aus.
  - Geben Sie für Maximale Anzahl von Instanzen den Wert 2 ein.
  Optional können Sie im Abschnitt Autoscaling der Benutzeroberfläche die Instanzgruppe so konfigurieren, dass Instanzen basierend auf der CPU-Auslastung automatisch hinzugefügt oder entfernt werden.
9. Klicken Sie auf Erstellen.

gcloud

Bei den gcloud-Anleitungen in diesem Handbuch wird davon ausgegangen, dass Sie Cloud Shell oder eine andere Umgebung verwenden, in der Bash installiert ist.

Erstellen Sie mit dem Befehl gcloud compute instance-templates create eine VM-Instanzvorlage mit HTTP-Server.

gcloud compute instance-templates create `l7-ilb-backend-template` \
--region=us-west1 \
--network=lb-network \
--subnet=backend-subnet \
--tags=allow-ssh,load-balanced-backend \
--image-family=debian-10 \
--image-project=debian-cloud \
--metadata=startup-script='#! /bin/bash
  sudo apt-get update
  sudo apt-get install apache2 -y
  sudo a2ensite default-ssl
  sudo a2enmod ssl
  vm_hostname="$(curl -H "Metadata-Flavor:Google" \
  http://metadata.google.internal/computeMetadata/v1/instance/name)"
  sudo echo "Page served from: $vm_hostname" | \
  tee /var/www/html/index.html
  sudo systemctl restart apache2'

Erstellen Sie mit dem Befehl gcloud compute instance-groups managed create eine verwaltete Instanzgruppe in der Zone.

gcloud compute instance-groups managed create l7-ilb-backend-example \
    --zone=us-west1-a \
    --size=2 \
    --template=l7-ilb-backend-template

API

Erstellen Sie die Instanzvorlage mit der Methode instanceTemplates.insert und ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.


POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/instanceTemplates
{
  "name":"l7-ilb-backend-template",
  "properties":{
     "machineType":"e2-standard-2",
     "tags":{
       "items":[
         "allow-ssh",
         "load-balanced-backend"
       ]
     },
     "metadata":{
        "kind":"compute#metadata",
        "items":[
          {
            "key":"startup-script",
            "value":"#! /bin/bash\nsudo apt-get update\nsudo apt-get install
            apache2 -y\nsudo a2ensite default-ssl\nsudo a2enmod ssl\n
            vm_hostname=\"$(curl -H \"Metadata-Flavor:Google\"
            \\\nhttp://169.254.169.254/computeMetadata/v1/instance/name)\"\n
            sudo echo \"Page served from: $vm_hostname\" | \\\ntee
            /var/www/html/index.html\nsudo systemctl restart apache2"
          }
        ]
     },
     "networkInterfaces":[
       {
         "network":"projects/PROJECT_ID/global/networks/lb-network",
         "subnetwork":"regions/us-west1/subnetworks/backend-subnet",
         "accessConfigs":[
           {
             "type":"ONE_TO_ONE_NAT"
           }
         ]
       }
     ],
     "disks":[
       {
         "index":0,
         "boot":true,
         "initializeParams":{
           "sourceImage":"projects/debian-cloud/global/images/family/debian-10"
         },
         "autoDelete":true
       }
     ]
  }
}

Erstellen Sie in jeder Zone eine verwaltete Instanzgruppe mit der Methode instanceGroupManagers.insert. Ersetzen Sie PROJECT_ID dabei durch Ihre Projekt-ID.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/{zone}/instanceGroupManagers
{
  "name": "l7-ilb-backend-example",
  "zone": "projects/PROJECT_ID/zones/us-west1-a",
  "instanceTemplate": "projects/PROJECT_ID/global/instanceTemplates/l7-ilb-backend-template",
  "baseInstanceName": "l7-ilb-backend-example",
  "targetSize": 2
}

Load-Balancer konfigurieren

In diesem Beispiel wird gezeigt, wie Sie die folgenden Ressourcen für den internen HTTP(S)-Load-Balancer erstellen:

HTTP-Systemdiagnose
Back-End-Dienst mit einer verwalteten Instanzgruppe als Back-End
Eine URL-Zuordnung
- Vergewissern Sie sich, dass Sie auf eine regionale URL-Zuordnung verweisen, wenn eine Region für den HTTP(S)-Zielproxy definiert ist. Eine regionale URL-Zuordnung leitet Anfragen an einen regionalen Back-End-Dienst auf Grundlage von Regeln weiter, die Sie für den Host und den Pfad einer eingehenden URL definieren. Eine regionale URL-Zuordnung kann nur von einer regionalen Zielproxy-Regel in derselben Region referenziert werden.
SSL-Zertifikat (für HTTPS)
Zielproxy
Weiterleitungsregel

Verwenden Sie backend-subnet für die IP-Adresse der Weiterleitungsregel. Wenn Sie das Nur-Proxy-Subnetz verwenden, schlägt das Erstellen der Weiterleitungsregel fehl.

Proxyverfügbarkeit

Manchmal haben Google Cloud-Regionen nicht genügend Proxykapazität für einen neuen Load-Balancer. In diesem Fall gibt die Google Cloud Console beim Erstellen des Load-Balancers eine Warnmeldung zur Proxyverfügbarkeit aus. Sie haben folgende Möglichkeiten, dieses Problem zu beheben:

Wählen Sie eine andere Region für den Load-Balancer aus. Diese Option kann sinnvoll sein, wenn Sie Back-Ends in einer anderen Region haben.
Wählen Sie ein VPC-Netzwerk aus, dem bereits ein Nur-Proxy-Subnetz zugewiesen ist.
Warten Sie, bis das Kapazitätsproblem behoben ist.

Console

Load-Balancer-Typ auswählen

Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

Load-Balancing aufrufen
Klicken Sie auf der Karte HTTP(S)-Load-Balancing auf Konfiguration starten.
Wählen Sie im Bereich Internet oder nur intern die Option Nur zwischen meinen VMs aus. Diese Einstellung bedeutet, dass der Load-Balancer intern ist.
Klicken Sie auf Weiter.

Load-Balancer vorbereiten

Geben Sie l7-ilb-map als Name für den Load-Balancer ein.
Wählen Sie bei Region die Option us-west1 aus.
Wählen Sie für Netzwerk die Option lb-network aus.

Nur-Proxy-Subnetz reservieren

Reservieren Sie beim internen HTTP-Load-Balancing ein Proxy-Subnetz:

Klicken Sie auf Subnetz reservieren.
Geben Sie für Name proxy-only-subnet ein.
Geben Sie 10.129.0.0/23 als IP-Adressbereich ein.
Klicken Sie auf Add (Hinzufügen).

Back-End-Service konfigurieren

Klicken Sie auf Back-End-Konfiguration.
Wählen Sie im Menü Back-End-Dienst erstellen oder auswählen die Option Back-End-Dienst erstellen aus.
Legen Sie l7-ilb-backend-service als Name für den Back-End-Dienst fest.
Setzen Sie den Back-End-Typ auf Instanzgruppe.
Im Abschnitt Neues Back-End:
1. Legen Sie Instanzgruppe auf l7-ilb-backend-example fest.
2. Legen Sie für Portnummern den Wert 80 fest.
3. Setzen Sie den Balancing-Modus auf Auslastung.
4. Klicken Sie auf Fertig.
Klicken Sie im Drop-down-Menü Systemdiagnose auf Systemdiagnose erstellen mit den folgenden Parametern:
1. Name: l7-ilb-basic-check
2. Protokoll: HTTP
3. Port: 80
4. Klicken Sie auf Speichern.
Klicken Sie auf Erstellen.

URL-Zuordnung konfigurieren

Klicken Sie auf Host- und Pfadregeln.
Wählen Sie unter Modus die Option Einfache Host- und Pfadregel aus.
Achten Sie darauf, dass l7-ilb-backend-service der einzige Back-End-Dienst für alle nicht übereinstimmenden Hosts und alle nicht übereinstimmenden Pfade ist.

Weitere Informationen zur Trafficverwaltung finden Sie unter Trafficverwaltung einrichten.

Front-End konfigurieren

Bei HTTP:

Klicken Sie auf Front-End-Konfiguration.
Legen Sie den Namen der Weiterleitungsregel auf l7-ilb-forwarding-rule fest.
Legen Sie für Protokoll den Wert HTTP fest.
Setzen Sie die Option Subnetzwerk auf backend-subnet.
Legen Sie als Port 80 fest.
Wählen Sie im Drop-down-Menü IP-Adresse die Option IP-Adresse erstellen aus und geben Sie die folgenden Werte ein:
1. Name: l7-ilb-ip
2. Statische IP-Adresse: Selbst auswählen
3. Benutzerdefinierte IP-Adresse: 10.1.2.99
4. Klicken Sie auf Reservieren.
Klicken Sie auf Fertig.

Bei HTTPS:

Wenn Sie HTTPS zwischen dem Client und dem Load-Balancer verwenden, benötigen Sie eine oder mehrere SSL-Zertifikatsressourcen, um den Proxy zu konfigurieren. Informationen zum Erstellen von SSL-Zertifikatsressourcen finden Sie unter SSL-Zertifikate. Von Google verwaltete Zertifikate werden derzeit nicht von internen HTTP(S)-Load-Balancern unterstützt.

Klicken Sie auf Front-End-Konfiguration.
Legen Sie den Namen der Weiterleitungsregel auf l7-ilb-forwarding-rule fest.
Legen Sie für Protokoll den Wert HTTPS (includes HTTP/2) fest.
Legen Sie für Subnetzwerk backend-subnet fest.
Achten Sie darauf, dass der Port auf 443 festgelegt ist, um HTTPS-Traffic zuzulassen.
Wählen Sie im Drop-down-Menü IP-Adresse die Option IP-Adresse erstellen aus und geben Sie die folgenden Werte ein:
1. Name: l7-ilb-ip
2. Statische IP-Adresse: Selbst auswählen
3. Benutzerdefinierte IP-Adresse: 10.1.2.99
4. Klicken Sie auf Reservieren.
Klicken Sie auf das Drop-down-Menü Zertifikat.
1. Wenn Sie bereits eine selbstverwaltete SSL-Zertifikatressource haben, die Sie als primäres SSL-Zertifikat verwenden möchten, wählen Sie es aus der Liste aus.
2. Wählen Sie andernfalls Neues Zertifikat erstellen aus.
  1. Legen Sie l7-ilb-cert als Name für das Zertifikat fest.
  2. Laden Sie in den entsprechenden Feldern Ihre PEM-formatierten Dateien hoch:
    - Public-Key-Zertifikat
    - Zertifikatskette
    - Privater Schlüssel
  3. Klicken Sie auf Erstellen.
So fügen Sie zusätzlich zur primären SSL-Zertifikatsressource weitere Zertifikatsressourcen hinzu:
1. Klicken Sie auf Zertifikat hinzufügen.
2. Wählen Sie in der Liste Zertifikate ein Zertifikat aus oder klicken Sie auf Neues Zertifikat erstellen und folgen Sie der obigen Anleitung.
Wählen Sie eine SSL-Richtlinie aus der Liste SSL-Richtlinie aus. Wenn Sie keine SSL-Richtlinien erstellt haben, wird eine GCP-SSL-Standardrichtlinie angewendet.
Klicken Sie auf Fertig.

Konfiguration prüfen

Prüfen Sie, ob der Load-Balancer wie gewünscht konfiguriert ist, und klicken Sie dann auf Erstellen.

gcloud

Definieren Sie die HTTP-Systemdiagnose mit dem Befehl gcloud compute health-checks create http.

gcloud compute health-checks create http l7-ilb-basic-check \
   --region=us-west1 \
   --use-serving-port

Definieren Sie den Back-End-Dienst mit dem Befehl gcloud compute backend-services create.

gcloud compute backend-services create l7-ilb-backend-service \
  --load-balancing-scheme=INTERNAL_MANAGED \
  --protocol=HTTP \
  --health-checks=l7-ilb-basic-check \
  --health-checks-region=us-west1 \
  --region=us-west1

Fügen Sie dem Back-End-Dienst mit dem Befehl gcloud compute backend-services add-backend Back-Ends hinzu.

gcloud compute backend-services add-backend l7-ilb-backend-service \
  --balancing-mode=UTILIZATION \
  --instance-group=l7-ilb-backend-example \
  --instance-group-zone=us-west1-a \
  --region=us-west1

Erstellen Sie die URL-Zuordnung mit dem Befehl gcloud compute url-maps create.

gcloud compute url-maps create l7-ilb-map \
  --default-service=l7-ilb-backend-service \
  --region=us-west1

Erstellen Sie den Zielproxy.

Bei HTTP:

Erstellen Sie für einen internen HTTP-Load-Balancer den Zielproxy mit dem Befehl gcloud compute target-http-proxies create.
```
gcloud compute target-http-proxies create l7-ilb-proxy \
  --url-map=l7-ilb-map \
  --url-map-region=us-west1 \
  --region=us-west1
```
Bei HTTPS:

Informationen zum Erstellen von SSL-Zertifikatsressourcen finden Sie unter SSL-Zertifikate. Von Google verwaltete Zertifikate werden derzeit nicht von internen HTTP(S)-Load-Balancern unterstützt.

Weisen Sie Ihre Dateipfade den entsprechenden Variablennamen zu.
```
export LB_CERT=path to PEM-formatted file
```
```
export LB_PRIVATE_KEY=path to PEM-formatted file
```
Erstellen Sie ein regionales SSL-Zertifikat mit dem Befehl gcloud compute ssl-certificates create.
```
gcloud compute ssl-certificates create l7-ilb-cert \
  --certificate=$LB_CERT \
  --private-key=$LB_PRIVATE_KEY \
  --region=us-west1
```
Verwenden Sie das regionale SSL-Zertifikat, um mit dem Befehl gcloud compute target-https-proxies create einen Zielproxy zu erstellen.
```
gcloud compute target-https-proxies create l7-ilb-proxy \
  --url-map=l7-ilb-map \
  --region=us-west1 \
  --ssl-certificates=l7-ilb-cert
```

Erstellen Sie die Weiterleitungsregel.

Bei benutzerdefinierten Netzwerken müssen Sie in der Weiterleitungsregel auf das Subnetz verweisen. Achten Sie darauf, dass dies das VM-Subnetz und nicht das Proxy-Subnetz ist.

Bei HTTP:

Verwenden Sie den Befehl gcloud compute forwarding-rules create mit den richtigen Flags.

gcloud compute forwarding-rules create l7-ilb-forwarding-rule \
  --load-balancing-scheme=INTERNAL_MANAGED \
  --network=lb-network \
  --subnet=backend-subnet \
  --address=10.1.2.99 \
  --ports=80 \
  --region=us-west1 \
  --target-http-proxy=l7-ilb-proxy \
  --target-http-proxy-region=us-west1

Bei HTTPS:

Erstellen Sie die Weiterleitungsregel mit dem Befehl gcloud compute forwarding-rules create und den richtigen Flags.

gcloud compute forwarding-rules create l7-ilb-forwarding-rule \
  --load-balancing-scheme=INTERNAL_MANAGED \
  --network=lb-network \
  --subnet=backend-subnet \
  --address=10.1.2.99 \
  --ports=443 \
  --region=us-west1 \
  --target-https-proxy=l7-ilb-proxy \
  --target-https-proxy-region=us-west1

API

Erstellen Sie die Systemdiagnose durch Senden einer POST-Anfrage an die Methode regionHealthChecks.insert. Ersetzen Sie dabei PROJECT_ID durch Ihre Projekt-ID.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/{region}/healthChecks

{
"name": "l7-ilb-basic-check",
"type": "HTTP",
"httpHealthCheck": {
  "portSpecification": "USE_SERVING_PORT"
}
}

Erstellen Sie den regionalen Back-End-Dienst, indem Sie eine POST-Anfrage an die Methode regionBackendServices.insert stellen und dabei PROJECT_ID durch Ihre Projekt-ID ersetzen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices

{
"name": "l7-ilb-backend-service",
"backends": [
  {
    "group": "projects/PROJECT_ID/zones/us-west1-a/instanceGroups/l7-ilb-backend-example",
    "balancingMode": "UTILIZATION"
  }
],
"healthChecks": [
  "projects/PROJECT_ID/regions/us-west1/healthChecks/l7-ilb-basic-check"
],
"loadBalancingScheme": "INTERNAL_MANAGED"
}

Erstellen Sie die URL-Zuordnung durch Stellen einer POST-Anfrage an die Methode regionUrlMaps.insert. Ersetzen Sie dabei PROJECT_ID durch Ihre Projekt-ID.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/urlMaps

{
"name": "l7-ilb-map",
"defaultService": "projects/PROJECT_ID/regions/us-west1/backendServices/l7-ilb-backend-service"
}

Bei HTTP:

Erstellen Sie den Ziel-HTTP-Proxy durch Stellen einer POST-Anfrage an die Methode regionTargetHttpProxies.insert. Ersetzen Sie dabei PROJECT_ID durch Ihre Projekt-ID.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/targetHttpProxy

{
"name": "l7-ilb-proxy",
"urlMap": "projects/PROJECT_ID/global/urlMaps/l7-ilb-map",
"region": "us-west1"
}

Erstellen Sie die Firewallregel POST, indem Sie eine -Anfrage an die Methode forwardingRules.insertPROJECT_ID senden und dabei durch Ihre Projekt-ID ersetzen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules

{
"name": "l7-ilb-forwarding-rule",
"IPAddress": "10.1.2.99",
"IPProtocol": "TCP",
"portRange": "80-80",
"target": "projects/PROJECT_ID/regions/us-west1/targetHttpProxies/l7-ilb-proxy",
"loadBalancingScheme": "INTERNAL_MANAGED",
"subnetwork": "projects/PROJECT_ID/regions/us-west1/subnetworks/backend-subnet",
"network": "projects/PROJECT_ID/global/networks/lb-network",
"networkTier": "PREMIUM"
}

Bei HTTPS:

Lesen Sie die Zertifikat- und privaten Schlüsseldateien und erstellen Sie dann das SSL-Zertifikat. Im folgenden Beispiel wird gezeigt, wie das mit Python funktioniert.

compute/load_balancing/create_regional_certificate.py

Auf GitHub ansehen Feedback

from pprint import pprint
from typing import Union

from googleapiclient import discovery

def create_regional_certificate(
    project_id: str,
    region: str,
    certificate_file: Union[str, Path],
    private_key_file: Union[str, Path],
    certificate_name: str,
    description: str = "Certificate created from a code sample."
) -> None:
    """
    Create a regional SSL self-signed certificate within your Google Cloud project.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        region: name of the region you want to use.
        certificate_file: path to the file with the certificate you want to create in your project.
        private_key_file: path to the private key you used to sign the certificate with.
        certificate_name: name for the certificate once it's created in your project.
        description: description of the certificate.
    """
    service = discovery.build("compute", "v1")

    # Read the cert into memory
    with open(certificate_file) as f:
        _temp_cert = f.read()

    # Read the private_key into memory
    with open(private_key_file) as f:
        _temp_key = f.read()

    # Now that the certificate and private key are in memory, you can create the
    # certificate resource
    ssl_certificate_body = {
        "name": certificate_name,
        "description": description,
        "certificate": _temp_cert,
        "privateKey": _temp_key,
    }
    request = service.regionSslCertificates().insert(
        project=project_id, region=region, body=ssl_certificate_body
    )
    response = request.execute()
    pprint(response)

Erstellen Sie den Ziel-HTTPS-Proxy, indem Sie eine POST-Anfrage an die Methode regionTargetHttpsProxies.insert senden und dabei PROJECT_ID durch Ihre Projekt-ID ersetzen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/regionTargetHttpsProxy

{
"name": "l7-ilb-proxy",
"urlMap": "projects/PROJECT_ID/regions/us-west1/urlMaps/l7-ilb-map",
"sslCertificates": /projects/PROJECT_ID/regions/us-west1/sslCertificates/SSL_CERT_NAME
}

Erstellen Sie die Firewallregel POST,. Dazu senden Sie eine -Anfrage an die Methode forwardingRules.insert, wobei Sie PROJECT_ID durch Ihre Projekt-ID ersetzen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules

{
"name": "l7-ilb-forwarding-rule",
"IPAddress": "10.1.2.99",
"IPProtocol": "TCP",
"portRange": "80-80",
"target": "projects/PROJECT_ID/regions/us-west1/targetHttpsProxies/l7-ilb-proxy",
"loadBalancingScheme": "INTERNAL_MANAGED",
"subnetwork": "projects/PROJECT_ID/regions/us-west1/subnetworks/backend-subnet",
"network": "projects/PROJECT_ID/global/networks/lb-network",
"networkTier": "PREMIUM",
}

Load-Balancer testen

VM-Instanz zum Testen der Konnektivität erstellen

Console

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zu „VM-Instanzen“
Klicken Sie auf Instanz erstellen.
Legen Sie als Name l7-ilb-client-us-west1-a fest.
Legen Sie für Zone den Wert us-west1-a fest.
Klicken Sie auf Erweiterte Optionen.
Klicken Sie auf Netzwerk und konfigurieren Sie die folgenden Felder:
1. Geben Sie bei Netzwerk-Tags den Wert allow-ssh ein.
2. Wählen Sie für Netzwerkschnittstellen Folgendes aus:
  1. Netzwerk: lb-network
  2. Subnetz: backend-subnet
Klicken Sie auf Erstellen.

gcloud

gcloud compute instances create l7-ilb-client-us-west1-a \
    --image-family=debian-10 \
    --image-project=debian-cloud \
    --network=lb-network \
    --subnet=backend-subnet \
    --zone=us-west1-a \
    --tags=allow-ssh

Traffic an den Load-Balancer senden

Melden Sie sich in der soeben erstellten Instanz an und testen Sie, ob die HTTP(S)-Dienste auf den Back-Ends über die IP-Adresse der Weiterleitungsregel des internen HTTP(S)-Load-Balancers erreichbar sind und ob Traffic ausgeglichen auf die Back-End-Instanzen verteilt wird.

Über SSH eine Verbindung zu jeder Clientinstanz herstellen

gcloud compute ssh l7-ilb-client-us-west1-a \
    --zone=us-west1-a

Prüfen, ob die IP-Adresse ihren Hostnamen bereitstellt

curl 10.1.2.99

Ersetzen Sie für HTTPS-Tests curl durch:

curl -k -s 'https://test.example.com:443' --connect-to test.example.com:443:10.1.2.99:443

Das Flag -k bewirkt, dass curl die Zertifikatsvalidierung überspringt.

100 Anfragen ausführen und prüfen, ob ein Load-Balancing stattfindet

Bei HTTP:

{
  RESULTS=
  for i in {1..100}
  do
      RESULTS="$RESULTS:$(curl --silent 10.1.2.99)"
  done
  echo "***"
  echo "*** Results of load-balancing to 10.1.2.99: "
  echo "***"
  echo "$RESULTS" | tr ':' '\n' | grep -Ev "^$" | sort | uniq -c
  echo
}

Bei HTTPS:

{
  RESULTS=
  for i in {1..100}
  do
      RESULTS="$RESULTS:$(curl -k -s 'https://test.example.com:443' --connect-to test.example.com:443:10.1.2.99:443)"
  done
  echo "***"
  echo "*** Results of load-balancing to 10.1.2.99: "
  echo "***"
  echo "$RESULTS" | tr ':' '\n' | grep -Ev "^$" | sort | uniq -c
  echo
}

Zusätzliche Konfigurationsoptionen

In diesem Abschnitt wird die Konfiguration des Beispiels um alternative und zusätzliche Optionen erweitert. Alle Aufgaben sind optional. Sie können sie in beliebiger Reihenfolge ausführen.

Globalen Zugriff aktivieren

Sie können den globalen Zugriff für Ihren Load-Balancer aktivieren, damit Clients in beliebigen Regionen darauf zugreifen können. Die Back-Ends Ihres Beispiel-Load-Balancers müssen sich weiterhin in einer einzigen Region (us-west1) befinden.

Interner HTTP-Load-Balancer mit globalem Zugriff (zum Vergrößern klicken) — Interner HTTP(S)-Load-Balancer mit globalem Zugriff (zum Vergrößern klicken)

Sie können eine vorhandene regionale Weiterleitungsregel nicht ändern, um den globalen Zugriff zu aktivieren. Zu diesem Zweck müssen Sie eine neue Weiterleitungsregel erstellen. Nachdem eine Weiterleitungsregel mit aktiviertem globalem Zugriff erstellt wurde, kann sie nicht mehr geändert werden. Zum Deaktivieren des globalen Zugriffs müssen Sie eine neue regionale Weiterleitungsregel erstellen und die vorherige globale Weiterleitungsregel löschen.

Wenn Sie den globalen Zugriff konfigurieren möchten, nehmen Sie die folgenden Änderungen an der Konfiguration vor:

Console

Mit der Google Cloud Console können Sie den globalen Zugriff nicht aktivieren. Verwenden Sie stattdessen die gcloud CLI oder die REST API.

gcloud

Erstellen Sie eine neue Weiterleitungsregel für den Load-Balancer mit dem --allow-global-access-Flag.

Bei HTTP:

gcloud compute forwarding-rules create l7-ilb-forwarding-rule-global-access \
  --load-balancing-scheme=INTERNAL_MANAGED \
  --network=lb-network \
  --subnet=backend-subnet \
  --address=10.1.2.99 \
  --ports=80 \
  --region=us-west1 \
  --target-http-proxy=l7-ilb-proxy \
  --target-http-proxy-region=us-west1 \
  --allow-global-access

Bei HTTPS:

gcloud compute forwarding-rules create l7-ilb-forwarding-rule-global-access \
  --load-balancing-scheme=INTERNAL_MANAGED \
  --network=lb-network \
  --subnet=backend-subnet \
  --address=10.1.2.99 \
  --ports=443 \
  --region=us-west1 \
  --target-https-proxy=l7-ilb-proxy \
  --target-https-proxy-region=us-west1 \
  --allow-global-access

Mit dem Befehl gcloud compute forwarding-rules describe können Sie feststellen, ob für eine Weiterleitungsregel der globale Zugriff aktiviert ist. Beispiel:
```
gcloud compute forwarding-rules describe l7-ilb-forwarding-rule-global-access \
  --region=us-west1 \
  --format="get(name,region,allowGlobalAccess)"
```
Wenn der globale Zugriff aktiviert ist, wird das Wort True in der Ausgabe nach Namen und Region der Weiterleitungsregel angezeigt.

Client-VM erstellen, um den globalen Zugriff zu testen

Console

Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

Zu „VM-Instanzen“
Klicken Sie auf Instanz erstellen.
Legen Sie als Name europe-client-vm fest.
Legen Sie für Zone den Wert europe-west1-b fest.
Klicken Sie auf Erweiterte Optionen.
Klicken Sie auf Netzwerk und konfigurieren Sie die folgenden Felder:
1. Geben Sie bei Netzwerk-Tags den Wert allow-ssh ein.
2. Wählen Sie für Netzwerkschnittstellen Folgendes aus:
  - Netzwerk: lb-network
  - Subnetz: europe-subnet
Klicken Sie auf Erstellen.

gcloud

Erstellen Sie eine Client-VM in der europe-west1-b-Zone.

gcloud compute instances create europe-client-vm \
    --zone=europe-west1-b \
    --image-family=debian-10 \
    --image-project=debian-cloud \
    --tags=allow-ssh \
    --subnet=europe-subnet

Verbindung zum VM-Client herstellen und testen

Stellen Sie über ssh eine Verbindung zum Client her.

gcloud compute ssh europe-client-vm \
    --zone=europe-west1-b

Testen Sie Verbindungen zum Load-Balancer, wie Sie es vom vm-client in der us-west1-Region getan haben.
```
curl http://10.1.2.99
```

Sitzungsaffinität aktivieren

Mit diesen Verfahren wird gezeigt, wie Sie einen Back-End-Dienst für den internen HTTP(S)-Beispiel-Load-Balancer so aktualisieren, dass der Back-End-Dienst die generierte Cookie-Affinität, Header-Feld-Affinität oder HTTP-Cookie-Affinität verwendet.

Wenn die generierte Cookie-Affinität aktiviert ist, gibt der Load-Balancer bei der ersten Anfrage ein Cookie aus. Bei jeder nachfolgenden Anfrage mit demselben Cookie leitet der Load-Balancer die Anfrage an dieselbe Back-End-VM oder denselben Back-End-Endpunkt weiter. Für externe HTTP(S)-Load-Balancer lautet das Cookie GCILB.

Wenn die Header-Feld-Affinität aktiviert ist, leitet der Load-Balancer Anfragen an Back-End-VMs oder Endpunkte in einer NEG anhand des Werts des mit dem Flag --custom-request-header angegebenen HTTP-Headers weiter. Die Header-Feld-Affinität ist nur gültig, wenn die Load-Balancing-Lokalitätsrichtlinie entweder RING_HASH oder MAGLEV ist und der konsistente Hash des Back-End-Dienstes den Namen des HTTP-Headers angibt.

Wenn die HTTP-Cookie-Affinität aktiviert ist, leitet der Load-Balancer Anfragen an Back-End-VMs oder Endpunkte in einer NEG anhand eines HTTP-Cookies weiter, das im Flag HTTP_COOKIE mit dem optionalen Flag --affinity-cookie-ttl angegeben wird. Wenn der Client das Cookie in seiner HTTP-Anfrage nicht bereitstellt, generiert der Proxy das Cookie und gibt es in einem Set-Cookie-Header an den Client zurück. Die HTTP-Cookie-Affinität ist nur gültig, wenn die Load-Balancing-Lokalitätsrichtlinie entweder RING_HASH oder MAGLEV ist und der konsistente Hash des Back-End-Dienstes das HTTP-Cookie angibt.

Console

So aktivieren oder ändern Sie die Sitzungsaffinität für einen Back-End-Dienst:

Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

Load-Balancing aufrufen
Klicken Sie auf Back-Ends.
Klicken Sie auf l7-ilb-backend-service, den Namen des Back-End-Dienstes, den Sie für dieses Beispiel erstellt haben, und dann auf Bearbeiten.
Klicken Sie auf der Seite Back-End-Dienstdetails auf Erweiterte Konfiguration.
Wählen Sie unter Sitzungsaffinität die gewünschte Art der Sitzungsaffinität aus dem Menü aus.
Klicken Sie auf Aktualisieren.

gcloud

Mit den folgenden gcloud-Befehlen können Sie den Back-End-Dienst l7-ilb-backend-service auf verschiedene Arten der Sitzungsaffinität aktualisieren:

gcloud compute backend-services update l7-ilb-backend-service \
    --session-affinity=[GENERATED_COOKIE | HEADER_FIELD | HTTP_COOKIE | CLIENT_IP]
    --region=us-west1

API

Zum Festlegen der Sitzungsaffinität senden Sie eine PATCH-Anfrage an die Methode regionBackendServices/patch.

PATCH https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-west1/regionBackendServices/l7-ilb-backend-service
{
"sessionAffinity": ["GENERATED_COOKIE" | "HEADER_FIELD" | "HTTP_COOKIE" | "CLIENT_IP" ]
}

Einschränken, welche Clients Traffic an den Load-Balancer senden können

Sie können verhindern, dass Clients mit einer Weiterleitungsregel-VIP des internen HTTP(S)-Load-Balancers kommunizieren können, indem Sie für diese Clients Firewallregeln für ausgehenden Traffic konfigurieren. Legen Sie diese Firewallregeln für bestimmte Client-VMs fest, basierend auf Dienstkonten oder Tags.

Mit Firewallregeln können Sie den eingehenden Traffic nicht auf bestimmte Weiterleitungsregel-VIPs des internen HTTP(S)-Load-Balancers beschränken. Jeder Client im selben VPC-Netzwerk und in derselben Region wie die Weiterleitungsregel-VIP kann generell Traffic an die Weiterleitungsregel-VIP senden.

Darüber hinaus stammen alle Anfragen an Back-Ends von Proxys, die IP-Adressen im Bereich des Nur-Proxy-Subnetzes verwenden. Es ist nicht möglich, Firewallregeln zu erstellen, die eingehenden Traffic zu diesen Back-Ends anhand der von einem Client verwendeten Weiterleitungsregel-VIP zulassen oder ablehnen.

Die folgenden Beispiele zeigen, wie Sie Firewallregeln für ausgehenden Traffic verwenden können, um den Traffic zur Weiterleitungsregel-VIP des Load-Balancers zu beschränken.

Console

Zum Identifizieren der Client-VMs müssen Sie die spezifischen VMs taggen, die Sie einschränken möchten. Mit diesen Tags werden Firewallregeln mit den getaggten Client-VMs verknüpft. Fügen Sie das Tag in diesen Schritten dem Feld TARGET_TAG hinzu.

Verwenden Sie dazu eine einzelne Firewallregel oder mehrere Regeln.

Einzelne Firewallregel für ausgehenden Traffic

Sie können eine Firewallregel für ausgehenden Traffic so konfigurieren, dass der gesamte ausgehende Traffic von getaggten Client-VMs an die VIP eines Load-Balancers abgelehnt wird.

Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.

Zu Firewallregeln
Klicken Sie auf Firewallregel erstellen, um die Regel zu erstellen, durch die ausgehender Traffic von getaggten Client-VMs an die VIP eines Load-Balancers abgelehnt wird.
- Name: fr-deny-access
- Netzwerk: lb-network
- Priorität: 100
- Trafficrichtung: Ausgehend
- Aktion bei Übereinstimmung: Ablehnen
- Ziele: Specified target tags
- Zieltags: TARGET_TAG
- Zielfilter: IP-Bereiche
- Ziel-IP-Bereiche: 10.1.2.99
- Protokolle und Ports:
  - Wählen Sie Angegebene Protokolle und Ports aus.
  - Klicken Sie das Kästchen tcp an und geben Sie 80 als Portnummer ein.
Klicken Sie auf Erstellen.

Mehrere Firewallregeln für ausgehenden Traffic

Ein skalierbareres Vorgehen besteht darin, zwei Regeln festzulegen. Eine Standardregel mit niedriger Priorität, die verhindert, dass Clients auf die VIP des Load-Balancers zugreifen. Eine zweite Regel mit höherer Priorität, dank der eine Teilmenge von getaggten Clients auf die VIP des Load-Balancers zugreifen kann. Nur getaggte VMs können auf die VIP zugreifen.

Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.

Zu Firewallregeln
Klicken Sie auf Firewallregel erstellen, um die Regel mit niedrigerer Priorität zu erstellen und den Zugriff standardmäßig abzulehnen:
- Name: fr-deny-all-access-low-priority
- Netzwerk: lb-network
- Priorität: 200
- Trafficrichtung: Ausgehend
- Aktion bei Übereinstimmung: Ablehnen
- Ziele: Specified target tags
- Zieltags: TARGET_TAG
- Zielfilter: IP-Bereiche
- Ziel-IP-Bereiche: 10.1.2.99
- Protokolle und Ports:
  - Wählen Sie Angegebene Protokolle und Ports aus.
  - Klicken Sie das Kästchen tcp an und geben Sie 80 als Portnummer ein.
Klicken Sie auf Erstellen.
Klicken Sie auf Firewallregel erstellen, um die Regel mit höherer Priorität zu erstellen, um Traffic von bestimmten getaggten Instanzen zuzulassen.
- Name: fr-allow-some-access-high-priority
- Netzwerk: lb-network
- Priorität: 100
- Trafficrichtung: Ausgehend
- Aktion bei Übereinstimmung: Zulassen
- Ziele: Angegebene Ziel-Tags
- Zieltags: TARGET_TAG
- Zielfilter: IP-Bereiche
- Ziel-IP-Bereiche: 10.1.2.99
- Protokolle und Ports:
  - Wählen Sie Angegebene Protokolle und Ports aus.
  - Klicken Sie das Kästchen tcp an und geben Sie 80 als Portnummer ein.
Klicken Sie auf Erstellen.

gcloud

Zum Identifizieren der Client-VMs müssen Sie die spezifischen VMs taggen, die Sie einschränken möchten. Fügen Sie das Tag in diesen Schritten dem Feld TARGET_TAG hinzu.

Verwenden Sie dazu eine einzelne Firewallregel oder mehrere Regeln.

Einzelne Firewallregel für ausgehenden Traffic

Sie können eine Firewallregel für ausgehenden Traffic so konfigurieren, dass der gesamte ausgehende Traffic von getaggten Client-VMs an die VIP eines Load-Balancers abgelehnt wird.

gcloud compute firewall-rules create fr-deny-access \
  --network=lb-network \
  --action=deny \
  --direction=egress \
  --rules=tcp \
  --priority=100 \
  --destination-ranges=10.1.2.99 \
  --target-tags=TARGET_TAG

Mehrere Firewallregeln für ausgehenden Traffic

Erstellen Sie die Regel mit niedrigerer Priorität:

gcloud compute firewall-rules create fr-deny-all-access-low-priority \
--network=lb-network \
--action=deny \
--direction=egress \
--rules=tcp \
--priority=200 \
--destination-ranges=10.1.2.99

Erstellen Sie die Regel mit höherer Priorität:

gcloud compute firewall-rules create fr-allow-some-access-high-priority \
--network=lb-network \
--action=allow \
--direction=egress \
--rules=tcp \
--priority=100 \
--destination-ranges=10.1.2.99 \
--target-tags=TARGET_TAG

Wenn Sie den Zugriff über Dienstkonten steuern möchten, verwenden Sie beim Erstellen von Firewallregeln einfach das Flag --target-service-accounts anstelle des Flags --target-tags.

Eingeschränkten Zugriff auf Back-Ends des internen HTTP(S)-Load-Balancers basierend auf Subnetzen skalieren

Es ist nicht ratsam, separate Firewallregeln zu verwalten oder neue IP-Adressen mit Load-Balancing zu bestehenden Regeln hinzuzufügen, wie im vorherigen Abschnitt beschrieben, wenn die Anzahl der Weiterleitungsregeln zunimmt. Sie können dies verhindern, indem Sie IP-Adressen von Weiterleitungsregeln aus einem reservierten Subnetz zuweisen. Anschließend kann der Traffic von getaggten Instanzen oder Dienstkonten zugelassen oder blockiert werden. Dazu wird das reservierte Subnetz als Zielbereich für Firewallregeln verwendet. Auf diese Weise können Sie den Zugriff auf eine Gruppe von Weiterleitungsregel-VIPs effektiv steuern, ohne VIP-spezifische Firewallregeln für ausgehenden Traffic verwenden zu müssen.

Im Folgenden werden die grundlegenden Schritte beschrieben, mit denen Sie separat alle anderen erforderlichen Load-Balancer-Ressourcen erstellen.

gcloud

Erstellen Sie ein regionales Subnetz, das für die Zuordnung von IP-Adressen mit Load-Balancing für Weiterleitungsregeln verwendet wird:

gcloud compute networks subnets create l7-ilb-restricted-subnet \
  --network=lb-network \
  --region=us-west1 \
  --range=10.127.0.0/24

Erstellen Sie eine Weiterleitungsregel, die eine Adresse aus dem neu zugewiesenen Subnetz verwendet. Für dieses Beispiel haben wir 10.127.0.1 aus dem Subnetz ausgewählt, das im vorherigen Schritt erstellt wurde.

gcloud compute forwarding-rules create l7-ilb-forwarding-rule-restricted \
  --load-balancing-scheme=INTERNAL_MANAGED \
  --network=lb-network \
  --subnet=l7-ilb-restricted-subnet \
  --address=10.127.0.1 \
  --ports=80 \
  --region=us-west1 \
  --target-http-proxy=l7-ilb-proxy \
  --target-http-proxy-region=us-west1

Erstellen Sie eine Firewallregel, um den Traffic für die Bereichs-IP-Adressen im Subnetz der Weiterleitungsregel (l7-ilb-restricted-subnet) zu beschränken:

gcloud compute firewall-rules create restrict-traffic-to-subnet \
  --network=lb-network \
  --action=deny \
  --direction=egress \
  --rules=tcp:80 \
  --priority=100 \
  --destination-ranges=10.127.0.0/24 \
  --target-tags=TARGET_TAG

Back-End-Teileinstellung konfigurieren

Die Back-End-Teilmenge verbessert die Leistung und Skalierbarkeit, indem jeder der Proxy-Instanzen eine Teilmenge von Back-Ends zugewiesen wird. Wenn dies für einen Back-End-Dienst aktiviert ist, wird die Anzahl der von jeder Proxy-Instanz verwendeten Back-Ends so angepasst:

Wenn die Anzahl der Proxy-Instanzen, die am Load-Balancer teilnehmen, zunimmt, nimmt die Teilmenge ab.
Wenn die Gesamtzahl der Back-Ends in einem Netzwerk die Kapazität einer einzelnen Proxy-Instanz überschreitet, wird die Teilmenge automatisch für jeden Dienst reduziert, für den die Back-End-Teileinstellung aktiviert ist.

In diesem Beispiel wird gezeigt, wie Sie die Ressourcen für den internen HTTP(S)-Load-Balancer erstellen und die Back-End-Teilmengeneinstellung aktivieren:

Verwenden Sie die Beispielkonfiguration, um einen regionalen Back-End-Dienst l7-ilb-backend-service zu erstellen.
Aktivieren Sie die Back-End-Teilmengeneinstellung, indem Sie --subsetting-policy als CONSISTENT_HASH_SUBSETTING angeben. Das Load-Balancing-Schema ist INTERNAL_MANAGED.
gcloud
Verwenden Sie den folgenden gcloud-Befehl, um l7-ilb-backend-service mit Back-End-Teileinstellung zu aktualisieren:
```
gcloud beta compute backend-services update l7-ilb-backend-service \
   --region=us-west1 \
   --subsetting-policy=CONSISTENT_HASH_SUBSETTING
```
API
Stellen Sie eine PATCH-Anfrage an die Methode regionBackendServices/patch.

PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-west1/backendServices/l7-ilb-backend-service
```
{
 "subsetting":
{
 "policy": CONSISTENT_HASH_SUBSETTING
}
}
```

Sie können das Back-End für das Load-Balancing auch optimieren, indem Sie die Richtlinie localityLbPolicy festlegen. Weitere Informationen finden Sie unter Trafficrichtlinien.

Gemeinsame IP-Adresse zwischen mehreren internen Weiterleitungsregeln verwenden

Damit mehrere interne Weiterleitungsregeln eine gemeinsame interne IP-Adresse haben, müssen Sie die IP-Adresse reservieren und das Flag --purpose auf SHARED_LOADBALANCER_VIP setzen.

gcloud

gcloud compute addresses create IP_ADDRESS_NAME \
    --region=us-west1 \
    --subnet=backend-subnet \
    --purpose=SHARED_LOADBALANCER_VIP

Wenn Sie HTTP-Traffic an HTTPS weiterleiten müssen, können Sie zwei Weiterleitungsregeln mit einer gemeinsamen IP-Adresse erstellen. Weitere Informationen finden Sie unter HTTP-zu-HTTPS-Weiterleitung für interne HTTP(S)-Load-Balancer einrichten.

Nächste Schritte

Informationen zur Funktionsweise des internen HTTP(S)-Load-Balancings finden Sie unter Übersicht über das Interne HTTP(S)-Load-Balancing.
Informationen zum Verwalten der Nur-Proxy-Subnetzressource, die für das interne HTTP(S)-Load-Balancing erforderlich ist, finden Sie unter Nur-Proxy-Subnetz für interne HTTP(S)-Load-Balancer.
Informationen zum Aktualisieren des SSL-Zertifikats des internen HTTP(S)-Load-Balancers finden Sie unter Selbstverwaltete SSL-Zertifikate verwenden.
Einrichtung des Load-Balancers bereinigen.