設定具備 VM 執行個體群組後端的區域性內部應用程式負載平衡器

本文件將針對在 Compute Engine VM 中執行的服務,提供如何設定區域內部應用程式負載平衡器的操作說明。

如要為在 Google Kubernetes Engine (GKE) Pod 中執行的服務設定負載平衡,請參閱「使用獨立 NEG 的容器原生負載平衡」和「將區域內部應用程式負載平衡器連結至獨立 NEG」一節。

如要設定負載平衡器,以便使用 Private Service Connect 存取 Google API 和服務,請參閱「搭配消費者 HTTP(S) 服務控制項的 Private Service Connect 設定」。

內部應用程式負載平衡器的設定分為兩個部分:

  • 執行事前準備工作,例如確保必要帳戶具有正確的權限,以及準備虛擬私有雲 (VPC) 網路。
  • 設定負載平衡器資源。

在您依循這份指南操作之前,請先熟悉以下概念:

權限

如要依照本指南的說明操作,您必須能在專案中建立執行個體與修改網路。您必須是專案擁有者或編輯者,或是必須具有以下所有 Compute Engine 身分與存取權管理角色

工作 必要角色
建立網路、子網路和負載平衡器元件 Compute 網路管理員
新增與移除防火牆規則 Compute 安全管理員
建立執行個體 Compute 執行個體管理員

詳情請參閱下列指南:

設定總覽

您可以按照以下整體設定流程所述來設定內部應用程式負載平衡器。以下各個步驟編號對應至圖表中所標示的編號。

已標示編號的內部應用程式負載平衡器元件。
已標示編號的內部應用程式負載平衡器元件 (按一下可放大)。

如圖所示,這個範例在 us-west1 地區的虛擬私有雲端網路中,建立了一個內部應用程式負載平衡器,其中具有一個後端服務和兩個後端群組。

下圖顯示以下內容:

  1. 具有兩個子網路的虛擬私人雲端網路:

    1. 一個子網路是用於後端 (執行個體群組) 和轉送規則。其主要 IP 位址範圍為 10.1.2.0/24

    2. 一個子網路是 us-west1 地區中的僅限 Proxy 子網路。您必須在使用內部應用程式負載平衡器的虛擬私有雲網路的每個地區中,建立一個僅限 Proxy 的子網路。該地區的僅限 Proxy 子網路會在該地區的所有內部應用程式負載平衡器之間共用。系統會從僅限 Proxy 的子網路中分配從內部應用程式負載平衡器傳送至服務後端的封包來源位址。在這個範例中,該地區的僅限 Proxy 子網路的主要 IP 位址範圍為 10.129.0.0/23,這是建議的子網路大小。詳情請參閱「僅限 Proxy 的子網路」。

  2. 防火牆規則,允許僅限 Proxy 的子網路流量在網路中流動。也就是說,您需要新增一個規則,允許來自 10.129.0.0/23 (這個範例中僅限 Proxy 的子網路範圍) 的 TCP 通訊埠 804438080 流量。另一個用於健康狀態檢查探針的防火牆規則。

  3. 後端 Compute Engine VM 執行個體。

  4. Compute Engine VM 部署的代管或非代管執行個體群組。

    在每個區域中,您可以根據您的部署需求擁有不同類型的後端群組組合。

  5. 回報後端完備性的地區健康狀態檢查。

  6. 監控後端使用情況和健康狀態的地區後端服務。

  7. 地區網址對應,這項服務會剖析要求的網址,並根據要求網址的主機和路徑,將要求轉送至特定的後端服務。

  8. 地區目標 HTTP 或 HTTPS Proxy,這項服務會接收來自使用者的要求,並將其轉送至網址對應。如為 HTTPS,請設定地區安全資料傳輸層 (SSL) 憑證資源。如果您設定了 HTTPS 負載平衡,目標 Proxy 會使用 SSL 憑證來解密 SSL 流量。目標 Proxy 可使用 HTTP 或 HTTPS 將流量轉送至您的執行個體。

  9. 具有負載平衡器內部 IP 位址的轉送規則,可將每個傳入要求轉送至目標 Proxy。

    與轉送規則相關聯的內部 IP 位址可以來自相同網路和區域中的任何子網路。請注意下列條件:

    • IP 位址可以 (但不必) 與後端執行個體群組位於相同的子網路。
    • IP 位址不得來自保留的僅限 Proxy 子網路,且其 --purpose 標記必須設為 REGIONAL_MANAGED_PROXY
    • 如果您想將內部 IP 位址與多個轉送規則共用,請將 IP 位址的 --purpose 標記設為 SHARED_LOADBALANCER_VIP

    本頁的範例會為區域內部應用程式負載平衡器的轉送規則使用保留的內部 IP 位址,而不允許分配暫時的內部 IP 位址。建議您最好為轉送規則保留 IP 位址。

設定網路和子網路

您需要具有兩個子網路的虛擬私有雲網路:一個用於負載平衡器的後端,另一個用於負載平衡器的 Proxy。內部應用程式負載平衡器具有地區性。如果流量來源位於與負載平衡器相同地區的子網路中,虛擬私人雲端網路內的流量會轉送至負載平衡器。

這個範例會使用以下虛擬私人雲端網路、地區和子網路:

  • 網路:網路是名為 lb-network自訂模式虛擬私人雲端網路

  • 後端子網路。us-west1 地區中名為 backend-subnet 的子網路使用 10.1.2.0/24 做為其主要 IP 範圍。

  • Proxy 專用子網路。us-west1 地區中名為 proxy-only-subnet 的子網路使用 10.129.0.0/23 做為其主要 IP 範圍。

為了示範全域存取權,這個範例也會在不同區域和子網路中建立第二個測試用戶端 VM:

  • 區域:europe-west1
  • 子網路:europe-subnet,主要 IP 位址範圍為 10.3.4.0/24

設定網路和子網路

主控台

  1. 在 Google Cloud 控制台中,前往「VPC Networks」(虛擬私有雲網路) 頁面。

    前往「VPC networks」(虛擬私有雲網路)

  2. 按一下「建立虛擬私有雲網路」

  3. 在「Name」(名稱) 中輸入 lb-network

  4. 在「子網路」部分,將「子網路建立模式」設為「自訂」

  5. 為負載平衡器的後端建立子網路。在「New subnet」(新的子網路) 區段中,輸入以下資訊:

    • Name (名稱):backend-subnet
    • 區域us-west1
    • IP address range (IP 位址範圍):10.1.2.0/24
  6. 按一下 [完成]

  7. 按一下 [新增子網路]

  8. 建立子網路,以示範全球存取權。在「New subnet」(新的子網路) 區段中,輸入以下資訊:

    • Name (名稱):europe-subnet
    • 區域europe-west1
    • IP address range (IP 位址範圍):10.3.4.0/24
  9. 按一下 [完成]

  10. 按一下 [建立]。

gcloud

  1. 使用 gcloud compute networks create 指令建立自訂虛擬私有雲網路:

    gcloud compute networks create lb-network --subnet-mode=custom
    
  2. 使用 gcloud compute networks subnets create 指令,在 us-west1 區域的 lb-network 網路中建立子網路:

    gcloud compute networks subnets create backend-subnet \
        --network=lb-network \
        --range=10.1.2.0/24 \
        --region=us-west1
    
  3. 使用 gcloud compute networks subnets create 指令,在 europe-west1 地區的 lb-network 網路中建立子網路:

    gcloud compute networks subnets create europe-subnet \
        --network=lb-network \
        --range=10.3.4.0/24 \
        --region=europe-west1
    

API

networks.insert 方法提出 POST 要求。將 PROJECT_ID 替換為您的專案 ID。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks

{
 "routingConfig": {
   "routingMode": "REGIONAL"
 },
 "name": "lb-network",
 "autoCreateSubnetworks": false
}

subnetworks.insert 方法提出 POST 要求。將 PROJECT_ID 替換為您的專案 ID。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/subnetworks

{
 "name": "backend-subnet",
 "network": "projects/PROJECT_ID/global/networks/lb-network",
 "ipCidrRange": "10.1.2.0/24",
 "region": "projects/PROJECT_ID/regions/us-west1",
}

subnetworks.insert 方法提出 POST 要求。將 PROJECT_ID 替換為您的專案 ID。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/europe-west1/subnetworks

{
 "name": "europe-subnet",
 "network": "projects/PROJECT_ID/global/networks/lb-network",
 "ipCidrRange": "10.3.4.0/24",
 "region": "projects/PROJECT_ID/regions/europe-west1",
}

設定僅限 Proxy 的子網路

這個僅限 Proxy 的子網路適用於 lb-networkus-west1 區域中,所有區域 Envoy 型負載平衡器

主控台

如果您使用的是 Google Cloud 控制台,可以等之後再於「負載平衡」頁面建立僅限 Proxy 的子網路。

如果您現在想建立僅限 Proxy 的子網路,請按照下列步驟操作:

  1. 在 Google Cloud 控制台中,前往「VPC Networks」(虛擬私有雲網路) 頁面。

    前往「VPC networks」(虛擬私有雲網路)

  2. 按一下虛擬私有雲網路的名稱:lb-network

  3. 按一下 [新增子網路]

  4. 在「Name」(名稱) 中輸入 proxy-only-subnet

  5. 在「Region」(區域) 中選取 us-west1

  6. 將「用途」設為「區域受管理 Proxy」

  7. 在「IP address range」(IP 位址範圍) 中,輸入 10.129.0.0/23

  8. 按一下「新增」。

gcloud

使用 gcloud compute networks subnets create 指令,建立僅限 Proxy 的子網路。

gcloud compute networks subnets create proxy-only-subnet \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=us-west1 \
  --network=lb-network \
  --range=10.129.0.0/23

API

使用 subnetworks.insert 方法建立僅限 Proxy 的子網路,並將 PROJECT_ID 替換為您的專案 ID。

POST https://compute.googleapis.com/compute/projects/PROJECT_ID/regions/us-west1/subnetworks

{
  "name": "proxy-only-subnet",
  "ipCidrRange": "10.129.0.0/23",
  "network": "projects/PROJECT_ID/global/networks/lb-network",
  "region": "projects/PROJECT_ID/regions/us-west1",
  "purpose": "REGIONAL_MANAGED_PROXY",
  "role": "ACTIVE"
}

設定防火牆規則

這個範例使用以下防火牆規則:

  • fw-allow-ssh:輸入規則,適用於要進行負載平衡的執行個體,可在 TCP 通訊埠 22 上允許來自任何位址的連入 SSH 連線。您可以為這項規則選擇較嚴格的來源 IP 範圍;例如,您可以僅指定要從其中啟動 SSH 工作階段之系統的 IP 範圍。這個範例會使用目標標記 allow-ssh 來辨識套用防火牆規則的 VM。

  • fw-allow-health-check:輸入規則,適用於要進行負載平衡的執行個體,可允許來自 Google Cloud健康狀態檢查系統 (在 130.211.0.0/2235.191.0.0/16 中) 的所有 TCP 流量。這個範例會使用目標標記 load-balanced-backend 來辨識套用防火牆規則的 VM。

  • fw-allow-proxies:輸入規則,適用於要進行負載平衡的執行個體,可在 804438080 通訊埠上允許來自內部應用程式負載平衡器代管 Proxy 的 TCP 流量。這個範例會使用目標標記 load-balanced-backend 來辨識套用防火牆規則的 VM。

如果沒有這些防火牆規則,預設拒絕輸入規則將會封鎖傳入至後端執行個體的流量。

目標代碼定義後端執行個體。如未指定目標標記,防火牆規則會套用至 VPC 網路中的所有後端執行個體。建立後端 VM 時,請務必加入指定的目標標記,如「建立代管執行個體群組」一文所示。

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。

    前往「防火牆政策」

  2. 按一下「Create firewall rule」(建立防火牆規則),建立允許連入 SSH 連線的規則:

    • Name (名稱):fw-allow-ssh
    • Network (網路):lb-network
    • Direction of traffic (流量方向):「Ingress」(輸入)
    • 「Action on match」(相符時執行的動作)「Allow」(允許)
    • 目標指定的目標標記
    • 「Target tags」(目標標記)allow-ssh
    • 來源篩選器IPv4 範圍
    • Source IPv4 ranges (來源 IPv4 範圍):0.0.0.0/0
    • 通訊協定和通訊埠
      • 選擇「Specified protocols and ports」
      • 勾選「TCP」核取方塊,然後輸入 22 做為「Port number」(通訊埠編號)。
  3. 按一下 [建立]。

  4. 再次按一下「Create firewall rule」(建立防火牆規則),建立允許Google Cloud 健康狀態檢查的規則:

    • Name (名稱):fw-allow-health-check
    • Network (網路):lb-network
    • Direction of traffic (流量方向):「Ingress」(輸入)
    • 「Action on match」(相符時執行的動作)「Allow」(允許)
    • 目標指定的目標標記
    • 「Target tags」(目標標記)load-balanced-backend
    • 來源篩選器IPv4 範圍
    • Source IPv4 ranges (來源 IPv4 範圍):130.211.0.0/2235.191.0.0/16
    • 通訊協定和通訊埠
      • 選擇「Specified protocols and ports」
      • 勾選「TCP」TCP核取方塊,然後輸入 80 做為「Port number」(通訊埠編號)。
        最佳做法是將這個規則限制為與健康檢查所使用的通訊協定和通訊埠相符。如果您將 tcp:80 用於通訊協定和通訊埠, Google Cloud 可以使用通訊埠 80 的 HTTP 與 VM 聯絡,但無法使用通訊埠 443 的 HTTPS 與 VM 聯絡。
  5. 按一下 [建立]。

  6. 第三次按一下「Create firewall rule」(建立防火牆規則),以建立允許負載平衡器 Proxy 伺服器連結後端的規則:

    • Name (名稱):fw-allow-proxies
    • Network (網路):lb-network
    • Direction of traffic (流量方向):「Ingress」(輸入)
    • 「Action on match」(相符時執行的動作)「Allow」(允許)
    • 目標指定的目標標記
    • 「Target tags」(目標標記)load-balanced-backend
    • 來源篩選器IPv4 範圍
    • Source IPv4 ranges (來源 IPv4 範圍):10.129.0.0/23
    • 通訊協定和通訊埠
      • 選擇「Specified protocols and ports」
      • 勾選「TCP」TCP核取方塊,然後輸入 80, 443, 8080 做為「Port number」(通訊埠編號)。
  7. 按一下 [建立]。

gcloud

  1. 建立 fw-allow-ssh 防火牆規則,允許與具有 allow-ssh 網路標記的 VM 建立 SSH 連線。若省略 source-ranges,Google Cloud 會將規則解讀為任何來源

    gcloud compute firewall-rules create fw-allow-ssh \
        --network=lb-network \
        --action=allow \
        --direction=ingress \
        --target-tags=allow-ssh \
        --rules=tcp:22
    
  2. 建立 fw-allow-health-check 規則,允許 Google Cloud健康狀態檢查。這個範例可允許來自健康狀態檢查探測器的所有 TCP 流量,但您可以根據自己的需求設定一組較少的通訊埠。

    gcloud compute firewall-rules create fw-allow-health-check \
        --network=lb-network \
        --action=allow \
        --direction=ingress \
        --source-ranges=130.211.0.0/22,35.191.0.0/16 \
        --target-tags=load-balanced-backend \
        --rules=tcp
    
  3. 建立 fw-allow-proxies 規則,允許內部應用程式負載平衡器的 Proxy 連結後端。將 source-ranges 設為僅限 Proxy 的子網路的已分配範圍,例如 10.129.0.0/23

    gcloud compute firewall-rules create fw-allow-proxies \
      --network=lb-network \
      --action=allow \
      --direction=ingress \
      --source-ranges=source-range \
      --target-tags=load-balanced-backend \
      --rules=tcp:80,tcp:443,tcp:8080
    

API

請向 firewalls.insert 方法提出 POST 要求,並將 PROJECT_ID 替換為您的專案 ID,藉此建立 fw-allow-ssh 防火牆規則。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls

{
 "name": "fw-allow-ssh",
 "network": "projects/PROJECT_ID/global/networks/lb-network",
 "sourceRanges": [
   "0.0.0.0/0"
 ],
 "targetTags": [
   "allow-ssh"
 ],
 "allowed": [
  {
    "IPProtocol": "tcp",
    "ports": [
      "22"
    ]
  }
 ],
"direction": "INGRESS"
}

請向 firewalls.insert 方法提出 POST 要求,並將 PROJECT_ID 替換為您的專案 ID,藉此建立 fw-allow-health-check 防火牆規則。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls

{
 "name": "fw-allow-health-check",
 "network": "projects/PROJECT_ID/global/networks/lb-network",
 "sourceRanges": [
   "130.211.0.0/22",
   "35.191.0.0/16"
 ],
 "targetTags": [
   "load-balanced-backend"
 ],
 "allowed": [
   {
     "IPProtocol": "tcp"
   }
 ],
 "direction": "INGRESS"
}

建立 fw-allow-proxies 防火牆規則,允許 proxy 子網路中的 TCP 流量,適用於 firewalls.insert 方法,並將 PROJECT_ID 替換為您的專案 ID。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls

{
 "name": "fw-allow-proxies",
 "network": "projects/PROJECT_ID/global/networks/lb-network",
 "sourceRanges": [
   "10.129.0.0/23"
 ],
 "targetTags": [
   "load-balanced-backend"
 ],
 "allowed": [
   {
     "IPProtocol": "tcp",
     "ports": [
       "80"
     ]
   },
 {
     "IPProtocol": "tcp",
     "ports": [
       "443"
     ]
   },
   {
     "IPProtocol": "tcp",
     "ports": [
       "8080"
     ]
   }
 ],
 "direction": "INGRESS"
}

保留負載平衡器的 IP 位址

根據預設,每個轉送規則都會使用一個 IP 位址。您可以預留共用 IP 位址,讓您在多個轉送規則中使用相同的 IP 位址。不過,如果您想使用 Private Service Connect 發布負載平衡器,請勿將共用 IP 位址用於轉送規則。

如要取得轉送規則的 IP 位址,請使用 backend-subnet。如果您嘗試使用僅限 Proxy 子網路,轉送規則建立作業將會失敗。

主控台

您可以使用Google Cloud 主控台保留獨立的內部 IP 位址。

  1. 前往「VPC networks」(VPC 網路) 頁面。

    前往「VPC networks」(虛擬私有雲網路)

  2. 按一下用於設定環境之間混合式連線的網路。
  3. 按一下「Static internal IP addresses」(靜態內部 IP 位址),然後點選「Reserve static address」(預留靜態位址)
  4. 在「Name」(名稱) 中輸入 l7-ilb-ip-address
  5. 在「子網路」中,選取 backend-subnet
  6. 如要指定要保留的 IP 位址,請在「Static IP address」(靜態 IP 位址) 下方選取「Let me choose」(自行選擇),然後填入「Custom IP address」(自訂 IP 位址)。否則,系統會自動在子網路中指派 IP 位址。
  7. 如果您想將這個 IP 位址用於多個轉送規則,請在「用途」下方選擇「共用」
  8. 按一下「預訂」,即可完成程序。

gcloud

  1. 使用 gcloud CLI 執行 compute addresses create 指令

    gcloud compute addresses create l7-ilb-ip-address \
      --region=us-west1 \
      --subnet=backend-subnet
    

    如果您想使用相同的 IP 位址搭配多個轉送規則,請指定 --purpose=SHARED_LOADBALANCER_VIP

  2. 使用 compute addresses describe 指令查看已分配的 IP 位址:

    gcloud compute addresses describe l7-ilb-ip-address \
      --region=us-west1
    

建立代管 VM 執行個體群組後端

本節說明如何建立執行個體群組範本和代管執行個體群組。代管執行個體群組提供的 VM 執行個體,會執行內部應用程式負載平衡器範例的後端伺服器。針對執行個體群組,您可以定義 HTTP 服務,並將通訊埠名稱對應至相關的通訊埠。負載平衡器的後端服務會將流量轉送至已命名的通訊埠。從用戶端到後端伺服器的流量會經過負載平衡。為示範之用,後端會提供自己的主機名稱。

主控台

  1. 建立執行個體範本。在 Google Cloud 控制台中,前往「Instance templates」(執行個體範本) 頁面。

    前往「Instance templates」(執行個體範本) 頁面

    1. 點選「建立執行個體範本」
    2. 在「Name」(名稱) 中輸入 l7-ilb-backend-template
    3. 確認「開機磁碟」已設為 Debian 映像檔,例如「Debian GNU/Linux 12 (bookworm)」。這些操作說明使用僅在 Debian 上可用的指令,例如 apt-get
    4. 點選「進階選項」
    5. 按一下「網路」,然後設定下列欄位:
      1. 在「Network tags」(網路標記) 中輸入 allow-sshload-balanced-backend
      2. 在「網路介面」中,選取下列項目:
        • Network (網路):lb-network
        • Subnet (子網路):backend-subnet
    6. 按一下 [Management] (管理)。在「Startup script」(開機指令碼) 欄位中輸入下列指令碼。

      #! /bin/bash
      apt-get update
      apt-get install apache2 -y
      a2ensite default-ssl
      a2enmod ssl
      vm_hostname="$(curl -H "Metadata-Flavor:Google" \
      http://metadata.google.internal/computeMetadata/v1/instance/name)"
      echo "Page served from: $vm_hostname" | \
      tee /var/www/html/index.html
      systemctl restart apache2
      
    7. 按一下 [建立]。

  2. 建立代管執行個體群組。在 Google Cloud 控制台中,前往「Instance groups」(執行個體群組) 頁面。

    前往「Instance groups」(執行個體群組)

    1. 點選「建立執行個體群組」
    2. 選取「New managed instance group (stateless)」(新增代管執行個體群組 (無狀態))。詳情請參閱「無狀態或有狀態的 MIG」。
    3. 在「Name」(名稱) 中輸入 l7-ilb-backend-example
    4. 在「Location」(位置) 中,選取「Single zone」(單一可用區)
    5. 在「Region」(區域) 中選取 us-west1
    6. 在「Zone」(區域) 中選取 us-west1-a
    7. 在「Instance template」(執行個體範本) 中選取 l7-ilb-backend-template
    8. 指定要在群組中建立的執行個體數量。

      在本例中,請在「Autoscaling」(自動調度資源) 下指定下列選項:

      • 針對「Autoscaling mode」(自動調度資源模式),選取 Off:do not autoscale
      • 在「Maximum number of instances」(執行個體數量上限) 中輸入 2

      您也可以根據需要,在 UI 的「Autoscaling」(自動調度資源) 區段中,將執行個體群組設為根據執行個體 CPU 使用量自動新增或移除執行個體

    9. 按一下 [建立]。

gcloud

本指南的 gcloud 操作說明假設您使用 Cloud Shell 或已安裝 bash 的其他環境。

  1. 使用 gcloud compute instance-templates create 指令,建立含有 HTTP 伺服器的 VM 執行個體範本。

    gcloud compute instance-templates create l7-ilb-backend-template \
    --region=us-west1 \
    --network=lb-network \
    --subnet=backend-subnet \
    --tags=allow-ssh,load-balanced-backend \
    --image-family=debian-12 \
    --image-project=debian-cloud \
    --metadata=startup-script='#! /bin/bash
      apt-get update
      apt-get install apache2 -y
      a2ensite default-ssl
      a2enmod ssl
      vm_hostname="$(curl -H "Metadata-Flavor:Google" \
      http://metadata.google.internal/computeMetadata/v1/instance/name)"
      echo "Page served from: $vm_hostname" | \
      tee /var/www/html/index.html
      systemctl restart apache2'
    
  2. 使用 gcloud compute instance-groups managed create 指令,在區域中建立代管執行個體群組。

    gcloud compute instance-groups managed create l7-ilb-backend-example \
        --zone=us-west1-a \
        --size=2 \
        --template=l7-ilb-backend-template
    

API

使用 instanceTemplates.insert 方法建立執行個體範本,並將 PROJECT_ID 替換為您的專案 ID。


POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/instanceTemplates
{
  "name":"l7-ilb-backend-template",
  "properties":{
     "machineType":"e2-standard-2",
     "tags":{
       "items":[
         "allow-ssh",
         "load-balanced-backend"
       ]
     },
     "metadata":{
        "kind":"compute#metadata",
        "items":[
          {
            "key":"startup-script",
            "value":"#! /bin/bash\napt-get update\napt-get install
            apache2 -y\na2ensite default-ssl\na2enmod ssl\n
            vm_hostname=\"$(curl -H \"Metadata-Flavor:Google\"
            \\\nhttp://metadata.google.internal/computeMetadata/v1/instance/name)\"\n
            echo \"Page served from: $vm_hostname\" | \\\ntee
            /var/www/html/index.html\nsystemctl restart apache2"
          }
        ]
     },
     "networkInterfaces":[
       {
         "network":"projects/PROJECT_ID/global/networks/lb-network",
         "subnetwork":"regions/us-west1/subnetworks/backend-subnet",
         "accessConfigs":[
           {
             "type":"ONE_TO_ONE_NAT"
           }
         ]
       }
     ],
     "disks":[
       {
         "index":0,
         "boot":true,
         "initializeParams":{
           "sourceImage":"projects/debian-cloud/global/images/family/debian-12"
         },
         "autoDelete":true
       }
     ]
  }
}

使用 instanceGroupManagers.insert 方法,在每個區域中建立受管理的執行個體群組,並將 PROJECT_ID 替換為您的專案 ID。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/{zone}/instanceGroupManagers
{
  "name": "l7-ilb-backend-example",
  "zone": "projects/PROJECT_ID/zones/us-west1-a",
  "instanceTemplate": "projects/PROJECT_ID/global/instanceTemplates/l7-ilb-backend-template",
  "baseInstanceName": "l7-ilb-backend-example",
  "targetSize": 2
}

設定負載平衡器

本範例會說明如何建立下列區域內部應用程式負載平衡器資源:

  • HTTP 健康狀態檢查
  • 以代管執行個體群組做為後端的後端服務
  • 網址對應
    • 如果為目標 HTTP(S) Proxy 定義了地區,請務必參照地區網址對應。地區網址對應會根據您為傳入網址的主機和路徑定義的規則,將要求轉送到地區後端服務。地區網址對應只能由同一地區中的地區目標 Proxy 規則所參照。
  • SSL 憑證 (適用於 HTTPS)
  • 目標 Proxy
  • 轉送規則

Proxy 可用性

有時 Google Cloud 區域的 Proxy 容量不足,無法支援新的負載平衡器。如果發生這種情況,您在建立負載均衡器時, Google Cloud 主控台會提供 Proxy 可用性警告訊息。如要解決這個問題,請採取下列任一做法:

  • 為負載平衡器選取其他區域。如果您在其他區域有後端,這可能是一個實用的選項。
  • 選取已分配專屬 Proxy 子網路的 VPC 網路。
  • 等待容量問題解決。

主控台

開始設定

  1. 前往 Google Cloud 控制台的「Load balancing」(負載平衡)頁面。

    前往「Load balancing」(負載平衡) 頁面

  2. 點選「建立負載平衡器」
  3. 在「Type of load balancer」(負載平衡器類型)部分,選取「Application Load Balancer (HTTP/HTTPS)」(應用程式負載平衡器 (HTTP/HTTPS)),然後點選「Next」(下一步)
  4. 在「公開或內部」部分,選取「內部」,然後點選「下一步」
  5. 在「跨區域或單一區域部署」部分,選取「最適合區域工作負載」,然後點選「Next」
  6. 按一下 [設定]

基本設定

  1. 在負載平衡器的「Name」(名稱) 中輸入 l7-ilb-map
  2. 在「Region」(區域) 中選取 us-west1
  3. 在「Network」(網路) 中選取 lb-network

保留僅限 Proxy 子網路

保留僅限 Proxy 的子網路:

  1. 按一下 [Reserve a Subnet] (保留子網路)
  2. 在「Name」(名稱) 中輸入 proxy-only-subnet
  3. 在「IP address range」(IP 位址範圍) 中,輸入 10.129.0.0/23
  4. 按一下「新增」。

設定後端服務

  1. 按一下 [Backend configuration] (後端設定)。
  2. 在「Create or select backend services」(建立或選取後端服務) 選單中,選取 [Create a backend service] (建立後端服務)。
  3. 將後端服務的名稱設為 l7-ilb-backend-service
  4. 將「後端類型」(Backend type) 設為「Instance group」(執行個體群組)
  5. 在「New backend」部分中:
    1. 將「Instance group」(執行個體群組) 設為 l7-ilb-backend-example
    2. 將「Port numbers」(通訊埠編號) 設為 80
    3. 將「Balancing mode」(平衡模式) 設為「Utilization」(使用率)
    4. 按一下 [完成]
  6. 在「Health check」清單中,按一下「Create a health check」,並使用下列參數:
    1. Name (名稱):l7-ilb-basic-check
    2. Protocol (通訊協定):HTTP
    3. Port (通訊埠):80
    4. 按一下 [儲存]
  7. 按一下 [建立]。

設定網址對應

  1. 按一下「Host and path rules」(主機與路徑規則)

  2. 在「Mode」中,選取「Simple host and path rule」

  3. 確認 l7-ilb-backend-service 是任何不相符主機和路徑的唯一後端服務。

如要瞭解流量管理,請參閱「設定流量管理」一文。

設定前端

HTTP

  1. 按一下「前端設定」
  2. 將轉送規則的名稱設為 l7-ilb-forwarding-rule
  3. 將「Protocol」(通訊協定) 設為 HTTP
  4. 將「Subnetwork」(子網路) 設為 backend-subnet
  5. 將「Port」(通訊埠) 設為 80
  6. 在「IP 位址」清單中選取 l7-ilb-ip-address
  7. 按一下 [完成]

適用於 HTTPS

  1. 按一下「前端設定」
  2. 將轉送規則的名稱設為 l7-ilb-forwarding-rule
  3. 將「Protocol」(通訊協定) 設為 HTTPS (includes HTTP/2)
  4. 將「Subnetwork」(子網路) 設為 backend-subnet
  5. 確認「Port」(通訊埠) 已設為 443,以允許 HTTPS 流量。
  6. 在「IP 位址」清單中選取 l7-ilb-ip-address
  7. 按一下「Certificate」下拉式清單。
    1. 如果您已擁有自行管理的 SSL 憑證資源,且想要做為主要 SSL 憑證使用,請從清單中選取所需資源。
    2. 否則,請選取「Create a new certificate」
      1. 將憑證名稱設為 l7-ilb-cert
      2. 將 PEM 格式的檔案上傳至相對應的欄位:
        • 公用金鑰憑證
        • 憑證鏈結
        • 私密金鑰
      3. 按一下 [建立]。
  8. 如要新增主要安全資料傳輸層 (SSL) 憑證資源以外的憑證資源,請按照下列指示操作:
    1. 按一下「新增憑證」
    2. 從「Certificates」清單中選取所需憑證,或是按一下「Create a new certificate」並按照指示操作。
  9. 從「SSL policy」清單中選取 SSL 政策。如要建立 SSL 政策,請視需要執行下列操作:

    1. 在「SSL policy」(安全資料傳輸層 (SSL) 政策) 清單中,選取「Create a policy」(建立政策)
    2. 輸入 SSL 政策的名稱。
    3. 選取最低 TLS 版本。預設值為 TLS 1.0
    4. 選取預先設定的 Google 代管設定檔,或選取「自訂」設定檔,以便個別選取 SSL 功能。接著,系統會顯示「已啟用的功能」和「已停用的功能」
    5. 按一下 [儲存]

    如果您尚未建立任何 SSL 政策,系統會套用預設 Google Cloud SSL 政策

  10. 按一下 [完成]

檢閱設定

  1. 按一下「檢查並完成」
  2. 查看負載平衡器設定。
  3. 選用:按一下「等效程式碼」,查看用來建立負載平衡器的 REST API 要求。
  4. 按一下 [建立]。

gcloud

  1. 使用 gcloud compute health-checks create http 指令定義 HTTP 健康狀態檢查。

    gcloud compute health-checks create http l7-ilb-basic-check \
       --region=us-west1 \
       --use-serving-port
    
  2. 使用 gcloud compute backend-services create 指令定義後端服務。

    gcloud compute backend-services create l7-ilb-backend-service \
      --load-balancing-scheme=INTERNAL_MANAGED \
      --protocol=HTTP \
      --health-checks=l7-ilb-basic-check \
      --health-checks-region=us-west1 \
      --region=us-west1
    
  3. 使用 gcloud compute backend-services add-backend 指令,將後端新增到後端服務。

    gcloud compute backend-services add-backend l7-ilb-backend-service \
      --balancing-mode=UTILIZATION \
      --instance-group=l7-ilb-backend-example \
      --instance-group-zone=us-west1-a \
      --region=us-west1
    
  4. 使用 gcloud compute url-maps create 指令建立網址對應。

    gcloud compute url-maps create l7-ilb-map \
      --default-service=l7-ilb-backend-service \
      --region=us-west1
    
  5. 建立目標 Proxy。

    HTTP:

    針對內部 HTTP 負載平衡器,請使用 gcloud compute target-http-proxies create 指令建立目標 Proxy。

    gcloud compute target-http-proxies create l7-ilb-proxy \
      --url-map=l7-ilb-map \
      --url-map-region=us-west1 \
      --region=us-west1
    

    適用於 HTTPS:

    您可以建立 Compute Engine 或憑證管理工具憑證。請使用下列任一方法,透過憑證管理工具建立憑證:

    • 區域性自行管理憑證。如要進一步瞭解如何建立及使用區域性自行管理憑證,請參閱「部署區域性自行管理憑證」一文。不支援憑證對應。

    • 區域性 Google 代管憑證。不支援憑證對應。

      Certificate Manager 支援下列類型的區域性 Google 代管憑證:

    建立憑證後,請直接將憑證附加至目標 Proxy。

    將檔案路徑指派給變數名稱。

    export LB_CERT=path to PEM-formatted file
    
    export LB_PRIVATE_KEY=path to PEM-formatted file
    

    使用 gcloud compute ssl-certificates create 指令建立地區 SSL 憑證。

    gcloud compute ssl-certificates create l7-ilb-cert \
      --certificate=$LB_CERT \
      --private-key=$LB_PRIVATE_KEY \
      --region=us-west1
    

    使用地區 SSL 憑證,搭配 gcloud compute target-https-proxies create 指令建立目標 Proxy。

    gcloud compute target-https-proxies create l7-ilb-proxy \
      --url-map=l7-ilb-map \
      --region=us-west1 \
      --ssl-certificates=l7-ilb-cert
    
  6. 建立轉寄規則。

    如果是自訂網路,您必須參照轉送規則中的子網路。請注意,這是 VM 子網路,而不是 Proxy 子網路。

    HTTP:

    使用 gcloud compute forwarding-rules create 指令並加上正確的旗標。

    gcloud compute forwarding-rules create l7-ilb-forwarding-rule \
      --load-balancing-scheme=INTERNAL_MANAGED \
      --network=lb-network \
      --subnet=backend-subnet \
      --address=l7-ilb-ip-address \
      --ports=80 \
      --region=us-west1 \
      --target-http-proxy=l7-ilb-proxy \
      --target-http-proxy-region=us-west1
    

    適用於 HTTPS:

    使用 gcloud compute forwarding-rules create 指令搭配正確的旗標建立轉送規則。

    gcloud compute forwarding-rules create l7-ilb-forwarding-rule \
      --load-balancing-scheme=INTERNAL_MANAGED \
      --network=lb-network \
      --subnet=backend-subnet \
      --address=l7-ilb-ip-address \
      --ports=443 \
      --region=us-west1 \
      --target-https-proxy=l7-ilb-proxy \
      --target-https-proxy-region=us-west1
    

API

請向 regionHealthChecks.insert 方法提出 POST 要求,並將 PROJECT_ID 替換為您的專案 ID,藉此建立健康狀態檢查。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/{region}/healthChecks

{
"name": "l7-ilb-basic-check",
"type": "HTTP",
"httpHealthCheck": {
  "portSpecification": "USE_SERVING_PORT"
}
}

請對 regionBackendServices.insert 方法提出 POST 要求,並將 PROJECT_ID 替換為您的專案 ID,藉此建立區域後端服務。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/backendServices

{
"name": "l7-ilb-backend-service",
"backends": [
  {
    "group": "projects/PROJECT_ID/zones/us-west1-a/instanceGroups/l7-ilb-backend-example",
    "balancingMode": "UTILIZATION"
  }
],
"healthChecks": [
  "projects/PROJECT_ID/regions/us-west1/healthChecks/l7-ilb-basic-check"
],
"loadBalancingScheme": "INTERNAL_MANAGED"
}

regionUrlMaps.insert 方法提出 POST 要求,並將 PROJECT_ID 替換為您的專案 ID,藉此建立網址對應。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/urlMaps

{
"name": "l7-ilb-map",
"defaultService": "projects/PROJECT_ID/regions/us-west1/backendServices/l7-ilb-backend-service"
}

HTTP

請對 regionTargetHttpProxies.insert 方法提出 POST 要求,並將 PROJECT_ID 替換為您的專案 ID,藉此建立目標 HTTP Proxy。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/targetHttpProxy

{
"name": "l7-ilb-proxy",
"urlMap": "projects/PROJECT_ID/global/urlMaps/l7-ilb-map",
"region": "us-west1"
}

請對 forwardingRules.insert 方法提出 POST 要求,並將 PROJECT_ID 替換為您的專案 ID,藉此建立轉送規則。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules

{
"name": "l7-ilb-forwarding-rule",
"IPAddress": "IP_ADDRESS",
"IPProtocol": "TCP",
"portRange": "80-80",
"target": "projects/PROJECT_ID/regions/us-west1/targetHttpProxies/l7-ilb-proxy",
"loadBalancingScheme": "INTERNAL_MANAGED",
"subnetwork": "projects/PROJECT_ID/regions/us-west1/subnetworks/backend-subnet",
"network": "projects/PROJECT_ID/global/networks/lb-network",
"networkTier": "PREMIUM"
}

適用於 HTTPS

您可以建立 Compute Engine 或憑證管理工具憑證。請使用下列任一方法,透過憑證管理工具建立憑證:

  • 區域性自行管理憑證。如要進一步瞭解如何建立及使用區域性自行管理憑證,請參閱「部署區域性自行管理憑證」一文。不支援憑證對應。

  • 區域性 Google 代管憑證。不支援憑證對應。

    Certificate Manager 支援下列類型的區域性 Google 代管憑證:

建立憑證後,請直接將憑證附加至目標 Proxy。

讀取憑證和私密金鑰檔案,然後建立 SSL 憑證。以下範例說明如何使用 Python 執行這項操作。

from pathlib import Path
from pprint import pprint
from typing import Union

from googleapiclient import discovery


def create_regional_certificate(
    project_id: str,
    region: str,
    certificate_file: Union[str, Path],
    private_key_file: Union[str, Path],
    certificate_name: str,
    description: str = "Certificate created from a code sample.",
) -> dict:
    """
    Create a regional SSL self-signed certificate within your Google Cloud project.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        region: name of the region you want to use.
        certificate_file: path to the file with the certificate you want to create in your project.
        private_key_file: path to the private key you used to sign the certificate with.
        certificate_name: name for the certificate once it's created in your project.
        description: description of the certificate.

        Returns:
        Dictionary with information about the new regional SSL self-signed certificate.
    """
    service = discovery.build("compute", "v1")

    # Read the cert into memory
    with open(certificate_file) as f:
        _temp_cert = f.read()

    # Read the private_key into memory
    with open(private_key_file) as f:
        _temp_key = f.read()

    # Now that the certificate and private key are in memory, you can create the
    # certificate resource
    ssl_certificate_body = {
        "name": certificate_name,
        "description": description,
        "certificate": _temp_cert,
        "privateKey": _temp_key,
    }
    request = service.regionSslCertificates().insert(
        project=project_id, region=region, body=ssl_certificate_body
    )
    response = request.execute()
    pprint(response)

    return response

請對 regionTargetHttpsProxies.insert 方法提出 POST 要求,並將 PROJECT_ID 替換為您的專案 ID,藉此建立目標 HTTPS Proxy。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/regionTargetHttpsProxy

{
"name": "l7-ilb-proxy",
"urlMap": "projects/PROJECT_ID/regions/us-west1/urlMaps/l7-ilb-map",
"sslCertificates": /projects/PROJECT_ID/regions/us-west1/sslCertificates/SSL_CERT_NAME
}

請對 forwardingRules.insert 方法提出 POST 要求,並將 PROJECT_ID 替換為您的專案 ID,藉此建立轉送規則。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-west1/forwardingRules

{
"name": "l7-ilb-forwarding-rule",
"IPAddress": "IP_ADDRESS",
"IPProtocol": "TCP",
"portRange": "80-80",
"target": "projects/PROJECT_ID/regions/us-west1/targetHttpsProxies/l7-ilb-proxy",
"loadBalancingScheme": "INTERNAL_MANAGED",
"subnetwork": "projects/PROJECT_ID/regions/us-west1/subnetworks/backend-subnet",
"network": "projects/PROJECT_ID/global/networks/lb-network",
"networkTier": "PREMIUM",
}

測試負載平衡器

如要測試負載平衡器,請建立用戶端 VM。接著,請與 VM 建立 SSH 工作階段,並將流量從 VM 傳送至負載平衡器。

建立 VM 執行個體來測試連線能力

主控台

  1. 前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面

    前往 VM 執行個體

  2. 點選「建立執行個體」

  3. 將「Name」(名稱) 設定為 l7-ilb-client-us-west1-a

  4. 將「可用區」設為 us-west1-a

  5. 點選「進階選項」

  6. 按一下「網路」,然後設定下列欄位:

    1. 在「網路標記」中輸入 allow-ssh
    2. 在「網路介面」中,選取下列項目:
      1. Network (網路):lb-network
      2. Subnet (子網路):backend-subnet
  7. 按一下 [建立]。

gcloud

gcloud compute instances create l7-ilb-client-us-west1-a \
    --image-family=debian-12 \
    --image-project=debian-cloud \
    --network=lb-network \
    --subnet=backend-subnet \
    --zone=us-west1-a \
    --tags=allow-ssh

將流量傳送至負載平衡器

登入您剛建立的執行個體,並測試後端的 HTTP(S) 服務是否可以透過區域內部應用程式負載平衡器的轉送規則 IP 位址連線,並且在後端執行個體之間進行流量負載平衡。

使用 SSH 連線至每個用戶端執行個體

gcloud compute ssh l7-ilb-client-us-west1-a \
    --zone=us-west1-a

取得負載平衡器的 IP 位址

使用 gcloud compute addresses describe 指令查看已分配的 IP 位址:

gcloud compute addresses describe l7-ilb-ip-address \
    --region=us-west1

驗證 IP 位址是否提供主機名稱

IP_ADDRESS 替換為負載平衡器的 IP 位址。

HTTP 測試:

curl IP_ADDRESS

HTTPS 測試:

curl -k -s 'https://DOMAIN_NAME:443' --connect-to DOMAIN_NAME:443:IP_ADDRESS:443

DOMAIN_NAME 替換為應用程式網域名稱,例如 test.example.com

-k 標記會讓 curl 略過憑證驗證。

執行 100 個要求並確認它們可達到負載平衡

IP_ADDRESS 替換為負載平衡器的 IP 位址。

HTTP

{
  RESULTS=
  for i in {1..100}
  do
      RESULTS="$RESULTS:$(curl --silent IP_ADDRESS)"
  done
  echo "***"
  echo "*** Results of load-balancing: "
  echo "***"
  echo "$RESULTS" | tr ':' '\n' | grep -Ev "^$" | sort | uniq -c
  echo
}

適用於 HTTPS

DOMAIN_NAME 替換為應用程式網域名稱,例如 test.example.com

{
  RESULTS=
  for i in {1..100}
  do
      RESULTS="$RESULTS:$(curl -k -s 'https://DOMAIN_NAME:443' --connect-to DOMAIN_NAME:443:IP_ADDRESS:443)"
  done
  echo "***"
  echo "*** Results of load-balancing: "
  echo "***"
  echo "$RESULTS" | tr ':' '\n' | grep -Ev "^$" | sort | uniq -c
  echo
}

額外設定選項

本節會延伸說明設定範例,並提供替代和其他設定選項。所有工作都是選填項目。您可以按任何順序執行這些工作。

啟用全域存取權

您可以為區域性內部應用程式負載平衡器和區域性內部 Proxy 網路負載平衡器啟用全域存取權,讓所有區域中的用戶端都能存取這些負載平衡器。示例負載平衡器的後端仍必須位於同一個區域 (us-west1)。

區域性內部應用程式負載平衡器 (全域存取)。
具備全域存取權的區域性內部應用程式負載平衡器 (按一下可放大)。

您無法修改現有的區域轉送規則,以便啟用全域存取權。您必須為此目的建立新的轉送規則,並刪除先前的轉送規則。此外,建立轉送規則並啟用全域存取權後,就無法再修改。如要停用全球存取權,您必須建立新的區域存取轉送規則,並刪除先前的全球存取轉送規則。

如要設定全域存取權,請進行下列設定變更。

主控台

為負載平衡器建立新的轉送規則:

  1. 前往 Google Cloud 控制台的「Load balancing」(負載平衡)頁面。

    前往「負載平衡」

  2. 在「Name」欄中,按一下負載平衡器。

  3. 按一下「前端設定」

  4. 按一下 [Add frontend IP and port] (新增前端 IP 和通訊埠)

  5. 輸入新轉送規則的名稱和子網路詳細資料。

  6. 在「Subnetwork」中,選取「backend-subnet」

  7. 在「IP 位址」部分,您可以選取與現有轉送規則相同的 IP 位址、預留新的 IP 位址,或使用臨時 IP 位址。如要在多個轉送規則中共用相同的 IP 位址,您必須在建立 IP 位址時將 IP 位址 --purpose 標記設為 SHARED_LOADBALANCER_VIP

  8. 在「Port number」(通訊埠編號) 中輸入 110

  9. 在「全域存取權」部分,選取「啟用」

  10. 按一下 [完成]

  11. 按一下「更新」

gcloud

  1. 使用 --allow-global-access 標記為負載平衡器建立新的轉送規則。

    HTTP:

    gcloud compute forwarding-rules create l7-ilb-forwarding-rule-global-access \
      --load-balancing-scheme=INTERNAL_MANAGED \
      --network=lb-network \
      --subnet=backend-subnet \
      --address=10.1.2.99 \
      --ports=80 \
      --region=us-west1 \
      --target-http-proxy=l7-ilb-proxy \
      --target-http-proxy-region=us-west1 \
      --allow-global-access
    

    適用於 HTTPS:

    gcloud compute forwarding-rules create l7-ilb-forwarding-rule-global-access \
      --load-balancing-scheme=INTERNAL_MANAGED \
      --network=lb-network \
      --subnet=backend-subnet \
      --address=10.1.2.99 \
      --ports=443 \
      --region=us-west1 \
      --target-https-proxy=l7-ilb-proxy \
      --target-https-proxy-region=us-west1 \
      --allow-global-access
    
  2. 您可以使用 gcloud compute forwarding-rules describe 指令,判斷轉送規則是否已啟用全域存取權。例如:

    gcloud compute forwarding-rules describe l7-ilb-forwarding-rule-global-access \
      --region=us-west1 \
      --format="get(name,region,allowGlobalAccess)"
    

    啟用全域存取權後,輸出內容會在轉送規則的名稱和區域後方顯示 True 字樣。

建立用戶端 VM 以測試全域存取權

主控台

  1. 前往 Google Cloud 控制台的「VM instances」(VM 執行個體) 頁面

    前往 VM 執行個體

  2. 點選「建立執行個體」

  3. 將「Name」(名稱) 設定為 europe-client-vm

  4. 將「可用區」設為 europe-west1-b

  5. 點選「進階選項」

  6. 按一下「網路」,然後設定下列欄位:

    1. 在「網路標記」中輸入 allow-ssh
    2. 在「網路介面」中,選取下列項目:
      • Network (網路):lb-network
      • Subnet (子網路):europe-subnet
  7. 按一下 [建立]。

gcloud

europe-west1-b 可用區中建立用戶端 VM。

gcloud compute instances create europe-client-vm \
    --zone=europe-west1-b \
    --image-family=debian-12 \
    --image-project=debian-cloud \
    --tags=allow-ssh \
    --subnet=europe-subnet

連線至 VM 用戶端並測試連線功能

  1. 使用 ssh 連線至用戶端執行個體。

    gcloud compute ssh europe-client-vm \
        --zone=europe-west1-b
    
  2. 測試與負載平衡器的連線,就像從 us-west1 區域的 vm-client 測試一樣。

    curl http://10.1.2.99
    

啟用工作階段相依性

這些程序會說明如何更新範例區域內部應用程式負載平衡器或跨區域內部應用程式負載平衡器的後端服務,以便後端服務使用產生的 Cookie 相依性、標頭欄位相依性或 HTTP Cookie 相依性。

啟用產生的 Cookie 相依性後,負載平衡器會在第一個要求中發出 Cookie。對於每個具有相同 Cookie 的後續要求,負載平衡器會將要求導向相同的後端虛擬機器 (VM) 執行個體或端點。在這個範例中,Cookie 的名稱為 GCILB

啟用標頭欄位親和性後,負載平衡器會根據 --custom-request-header 標記中指定的 HTTP 標頭值,將要求轉送至網路端點群組 (NEG) 中的後端 VM 或端點。只有在負載平衡區域政策為 RING_HASHMAGLEV,且後端服務的一致雜湊指定 HTTP 標頭名稱時,標頭欄位相依性才會有效。

啟用 HTTP Cookie 相依性後,負載平衡器會根據 HTTP_COOKIE 標記中指定的 HTTP Cookie (使用選用的 --affinity-cookie-ttl 標記),將要求轉送至 NEG 中的後端 VM 或端點。如果用戶端未在 HTTP 要求中提供 Cookie,Proxy 會產生 Cookie,並透過 Set-Cookie 標頭傳回給用戶端。只有在負載平衡區域政策為 RING_HASHMAGLEV,且後端服務的一致雜湊指定 HTTP cookie 時,HTTP cookie 親和性才有效。

控制台

如要為後端服務啟用或變更工作階段相依性,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Load balancing」(負載平衡)頁面。

    前往「Load balancing」(負載平衡) 頁面

  2. 點選「後端」
  3. 按一下「l7-ilb-backend-service」 (您為本範例建立的後端服務名稱),然後按一下「Edit」
  4. 在「後端服務詳細資料」頁面中,按一下「進階設定」
  5. 在「工作階段相依性」下方,選取所需的工作階段相依性類型。
  6. 按一下「更新」

gcloud

使用下列 Google Cloud CLI 指令,將後端服務更新為不同類型的工作階段相依性:

    gcloud compute backend-services update l7-ilb-backend-service \
        --session-affinity=[GENERATED_COOKIE | HEADER_FIELD | HTTP_COOKIE | CLIENT_IP] \
        --region=us-west1
    

API

如要設定工作階段相依性,請對 backendServices/patch 方法提出 `PATCH` 要求。

    PATCH https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-west1/regionBackendServices/l7-ilb-backend-service
    {
      "sessionAffinity": ["GENERATED_COOKIE" | "HEADER_FIELD" | "HTTP_COOKIE" | "CLIENT_IP" ]
    }
    

限制哪些用戶端可以將流量傳送至負載平衡器

您可以在這些用戶端上設定輸出防火牆規則,限制用戶端連線至內部 Application Load Balancer 轉送規則 VIP。根據服務帳戶標記,在特定用戶端 VM 上設定這些防火牆規則。

您無法使用防火牆規則限制特定內部應用程式負載平衡器轉送規則 VIP 的傳入流量。位於與轉送規則 VIP 相同的 VPC 網路和區域中的任何用戶端,通常都能將流量傳送至轉送規則 VIP。

此外,所有後端要求都來自使用僅限 Proxy 的子網路範圍內 IP 位址的 Proxy。您無法根據用戶端使用的轉送規則 VIP 建立防火牆規則,以便允許或拒絕這些後端的入站流量。

以下列舉幾個範例,說明如何使用輸出防火牆規則,限制負載平衡器轉送規則 VIP 的流量。

主控台

如要識別用戶端 VM,請標記要限制的特定 VM。這些標記可用來將防火牆規則與標記的用戶端 VM 建立關聯。接著,請在下列步驟中將標記新增至 TARGET_TAG 欄位。

您可以使用單一防火牆規則或多個規則來設定這項功能。

單一輸出防火牆規則

您可以設定一個防火牆輸出規則,拒絕所有從標記用戶端 VM 傳出的流量,並將這些流量傳送至負載平衡器的 VIP。

  1. 在 Google Cloud 控制台中,前往「Firewall rules」(防火牆規則) 頁面。

    前往「防火牆規則」

  2. 按一下「Create firewall rule」,建立規則,拒絕標記用戶端 VM 的傳出流量,以便將流量傳送至負載平衡器的 VIP。

    • Name (名稱):fr-deny-access
    • Network (網路):lb-network
    • Priority (優先順序):100
    • 流量方向Egress
    • 「相符時執行的動作」「拒絕」
    • 目標指定的目標標記
    • 「Target tags」(目標標記)TARGET_TAG
    • Destination filter (目的地篩選器):IP ranges (IP 範圍)
    • 目的地 IP 範圍10.1.2.99
    • 通訊協定和通訊埠
      • 選擇「Specified protocols and ports」
      • 勾選「tcp」tcp核取方塊,然後輸入 80 做為「Port number」(通訊埠編號)。
  3. 按一下 [建立]。

多個輸出防火牆規則

更具擴充性的做法是設定兩個規則。這是預設的低優先順序規則,可限制所有用戶端存取負載平衡器的 VIP。第二個優先順序較高的規則,允許部分標記用戶端存取負載平衡器的 VIP。只有標記的 VM 可以存取 VIP。

  1. 在 Google Cloud 控制台中,前往「Firewall rules」(防火牆規則) 頁面。

    前往「防火牆規則」

  2. 按一下「Create firewall rule」,建立優先順序較低的規則,以便預設拒絕存取權限:

    • Name (名稱):fr-deny-all-access-low-priority
    • Network (網路):lb-network
    • Priority (優先順序):200
    • 流量方向Egress
    • 「相符時執行的動作」「拒絕」
    • 目標指定的目標標記
    • 「Target tags」(目標標記)TARGET_TAG
    • Destination filter (目的地篩選器):IP ranges (IP 範圍)
    • 目的地 IP 範圍10.1.2.99
    • 通訊協定和通訊埠
      • 選擇「Specified protocols and ports」
      • 勾選「TCP」核取方塊,然後輸入 80 做為「Port number」(通訊埠編號)。
  3. 按一下 [建立]。

  4. 按一下「Create firewall rule」(建立防火牆規則),建立優先順序較高的規則,允許來自特定標記執行個體的流量。

    • Name (名稱):fr-allow-some-access-high-priority
    • Network (網路):lb-network
    • Priority (優先順序):100
    • 流量方向Egress
    • 「Action on match」(相符時執行的動作)「Allow」(允許)
    • 目標指定的目標標記
    • 「Target tags」(目標標記)TARGET_TAG
    • Destination filter (目的地篩選器):IP ranges (IP 範圍)
    • 目的地 IP 範圍10.1.2.99
    • 通訊協定和通訊埠
      • 選擇「Specified protocols and ports」
      • 勾選「TCP」核取方塊,然後輸入 80 做為「Port number」(通訊埠編號)。
  5. 按一下 [建立]。

gcloud

如要識別用戶端 VM,請標記要限制的特定 VM。然後在這些步驟中將標籤新增至 TARGET_TAG 欄位。

您可以使用單一防火牆規則或多個規則來設定這項功能。

單一輸出防火牆規則

您可以設定一個防火牆輸出規則,拒絕所有從標記用戶端 VM 傳出的流量,並將這些流量傳送至負載平衡器的 VIP。

gcloud compute firewall-rules create fr-deny-access \
  --network=lb-network \
  --action=deny \
  --direction=egress \
  --rules=tcp \
  --priority=100 \
  --destination-ranges=10.1.2.99 \
  --target-tags=TARGET_TAG

多個輸出防火牆規則

更具擴充性的做法是設定兩個規則:預設的低優先順序規則,可限制所有用戶端存取負載平衡器的 VIP,以及第二個優先順序較高的規則,可允許標記的用戶端存取負載平衡器的 VIP。只有標記的 VM 可以存取 VIP。

  1. 建立優先順序較低的規則:

    gcloud compute firewall-rules create fr-deny-all-access-low-priority \
      --network=lb-network \
      --action=deny \
      --direction=egress \
      --rules=tcp \
      --priority=200 \
      --destination-ranges=10.1.2.99
    
  2. 建立優先順序較高的規則:

    gcloud compute firewall-rules create fr-allow-some-access-high-priority \
      --network=lb-network \
      --action=allow \
      --direction=egress \
      --rules=tcp \
      --priority=100 \
      --destination-ranges=10.1.2.99 \
      --target-tags=TARGET_TAG
    

如要使用服務帳戶 (而非標記) 控管存取權,請在建立防火牆規則時使用 --target-service-accounts 選項,而非 --target-tags 標記。

根據子網路調整內部應用程式負載平衡器後端的受限存取權

隨著轉送規則數量增加,維持個別防火牆規則或在現有規則中新增負載平衡 IP 位址 (如前一個章節所述) 就會變得相當不便。如要避免這種情況,您可以從保留的子網路中分配轉送規則 IP 位址。接著,您可以使用保留的子網路做為防火牆規則的目的地範圍,允許或封鎖標記執行個體或服務帳戶的流量。這樣一來,您就能有效控管一組轉送規則 VIP 的存取權,而不必維護個別 VIP 防火牆輸出規則。

以下是設定這項功能的大致步驟,假設您會個別建立所有其他必要的負載平衡器資源。

gcloud

  1. 建立地區子網路,用於為轉送規則分配負載平衡 IP 位址:

    gcloud compute networks subnets create l7-ilb-restricted-subnet \
      --network=lb-network \
      --region=us-west1 \
      --range=10.127.0.0/24
    
  2. 建立轉送規則,從子網路取得位址。以下範例使用前一個步驟建立的子網路中的 10.127.0.1 位址。

    gcloud compute forwarding-rules create l7-ilb-forwarding-rule-restricted \
      --load-balancing-scheme=INTERNAL_MANAGED \
      --network=lb-network \
      --subnet=l7-ilb-restricted-subnet \
      --address=10.127.0.1 \
      --ports=80 \
      --region=us-west1 \
      --target-http-proxy=l7-ilb-proxy \
      --target-http-proxy-region=us-west1
    

  3. 建立防火牆規則,限制目的地為轉送規則子網路 (l7-ilb-restricted-subnet) 中的 IP 範圍的流量:

    gcloud compute firewall-rules create restrict-traffic-to-subnet \
      --network=lb-network \
      --action=deny \
      --direction=egress \
      --rules=tcp:80 \
      --priority=100 \
      --destination-ranges=10.127.0.0/24 \
      --target-tags=TARGET_TAG
    

設定後端子集

後端子集會將後端子集指派給每個 Proxy 執行個體,進而改善效能和可擴充性。為後端服務啟用後端子集後,系統會調整每個 Proxy 執行個體使用的後端數量,如下所示:

  • 隨著參與負載平衡器的 Proxy 執行個體數量增加,子集大小就會減少。

  • 如果網路中的後端總數超過單一 Proxy 執行個體的容量,則系統會自動縮減已啟用後端子集的每項服務的子集大小。

本範例說明如何建立區域內部應用程式負載平衡器資源,並啟用後端子集

  1. 使用範例設定建立區域性後端服務 l7-ilb-backend-service
  2. --subsetting-policy 標記指定為 CONSISTENT_HASH_SUBSETTING,即可啟用後端子集。將負載平衡架構設為 INTERNAL_MANAGED

    gcloud

    使用下列 gcloud 指令,透過後端子集更新 l7-ilb-backend-service

    gcloud beta compute backend-services update l7-ilb-backend-service \
       --region=us-west1 \
       --subsetting-policy=CONSISTENT_HASH_SUBSETTING
    

    API

    regionBackendServices/patch 方法發出 PATCH 要求。

    PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-west1/backendServices/l7-ilb-backend-service
    
    {
     "subsetting":
    {
     "policy": CONSISTENT_HASH_SUBSETTING
    }
    }
    

您也可以設定 localityLbPolicy 政策,進一步調整後端負載平衡。詳情請參閱「流量政策」。

在多個內部轉送規則之間使用相同的 IP 位址

如要讓多個內部轉送規則共用相同的內部 IP 位址,您必須保留 IP 位址,並將其 --purpose 旗標設為 SHARED_LOADBALANCER_VIP

gcloud

gcloud compute addresses create SHARED_IP_ADDRESS_NAME \
    --region=REGION \
    --subnet=SUBNET_NAME \
    --purpose=SHARED_LOADBALANCER_VIP
如果您需要將 HTTP 流量重新導向至 HTTPS,可以建立兩個使用共用 IP 位址的轉送規則。詳情請參閱「為內部應用程式負載平衡器設定 HTTP 至 HTTPS 重新導向」。

更新用戶端 HTTP 保持運作逾時時間

在先前步驟中建立的負載平衡器已設定 用戶端 HTTP keepalive 逾時 的預設值。

如要更新用戶端 HTTP keepalive 逾時值,請按照下列操作說明操作。

控制台

  1. 前往 Google Cloud 控制台的「Load balancing」(負載平衡)頁面。

    前往「負載平衡」

  2. 按一下要修改的負載平衡器名稱。
  3. 按一下「編輯」圖示
  4. 按一下「前端設定」
  5. 展開「進階功能」。在「HTTP 保持運作逾時」中,輸入逾時值。
  6. 按一下「更新」
  7. 如要查看變更內容,請依序按一下「Review and finalize」和「Update」

gcloud

對於 HTTP 負載平衡器,請使用 gcloud compute target-http-proxies update 指令更新目標 HTTP Proxy。

      gcloud compute target-http-proxies update TARGET_HTTP_PROXY_NAME \
         --http-keep-alive-timeout-sec=HTTP_KEEP_ALIVE_TIMEOUT_SEC \
         --region=REGION
      

針對 HTTPS 負載平衡器,請使用 gcloud compute target-https-proxies update 指令更新目標 HTTPS Proxy。

      gcloud compute target-https-proxies update TARGET_HTTP_PROXY_NAME \
         --http-keep-alive-timeout-sec=HTTP_KEEP_ALIVE_TIMEOUT_SEC \
         --region REGION
      

更改下列內容:

  • TARGET_HTTP_PROXY_NAME:目標 HTTP Proxy 的名稱。
  • TARGET_HTTPS_PROXY_NAME:目標 HTTPS Proxy 的名稱。
  • HTTP_KEEP_ALIVE_TIMEOUT_SEC:HTTP 保持運作逾時值,介於 5 到 600 秒。

後續步驟