Avant de suivre ce guide, consultez la documentation de présentation des NEG Internet, y compris les limites.
Le schéma d'architecture suivant présente une interface d'équilibreur de charge d'application interne régional avec un backend externe.Autorisations
Pour suivre ce guide, vous devez créer un NEG Internet, puis créer ou modifier un équilibreur de charge d'application dans un projet. Vous devez être propriétaire ou éditeur du projet (roles/owner
ou roles/editor
) ou disposer des deux rôles IAM Compute Engine suivants.
Tâche | Rôle requis |
---|---|
Créer et modifier des composants d'équilibreur de charge | Administrateur de réseaux Compute ( roles/compute.networkAdmin ) |
Créer et modifier des NEG | Administrateur d'instances Compute ( roles/compute.instanceAdmin ) |
Configurer votre environnement backend externe en dehors de Google Cloud
Pour configurer votre environnement de backend externe, consultez les sections suivantes.
Configurer des points de terminaison du réseau
Configurez un point de terminaison du réseau pour exposer votre backend externe à Google Cloud. Assurez-vous que le point de terminaison (combinaison "adresse IP:port" ou nom de domaine complet et port) est accessible sur Internet. Ce point de terminaison est référencé ultérieurement depuis le NEG Internet.
Pour connaître les exigences de configuration détaillées des points de terminaison NEG Internet, consultez la présentation des NEG Internet.
Autoriser le backend externe à recevoir du trafic provenant de Google Cloud
Vous pouvez effectuer cette étape après avoir créé le sous-réseau proxy réservé et configuré la passerelle Cloud NAT.
Pour permettre aux requêtes de Google Cloud d'atteindre votre backend externe, procédez comme suit :
- Configurer une passerelle Cloud NAT avec des adresses IP utilisées pour le trafic de sortie de Google Cloud. La passerelle mappe la plage de sous-réseau proxy réservé aux adresses IP externes. Pour connaître la procédure à suivre, consultez la page Configurer une passerelle Cloud NAT.
- Assurez-vous que votre environnement backend externe est configuré pour autoriser le trafic provenant de Google Cloud à atteindre le backend externe. Par exemple, si vous avez utilisé des adresses IP pré-réservées pour la passerelle NAT, vous devez ajouter ces adresses IP à la liste d'autorisation dans votre environnement externe. Pour ce faire, vous devrez probablement vous adresser à l'administrateur réseau ou de sécurité de votre environnement externe.
Configurer votre environnement Google Cloud
Vous aurez besoin d'un réseau VPC avec deux sous-réseaux : un pour les composants de l'équilibreur de charge et l'autre pour le sous-réseau proxy réservé de la région. Vous allez ensuite créer l'équilibreur de charge avec un backend NEG Internet.
Créer le réseau et le sous-réseau VPC
Ce sous-réseau permet de créer les composants de l'équilibreur de charge.
Cloud Console
- Dans la console Google Cloud, accédez à la page Réseaux VPC.
Accéder à la page "Réseaux VPC" - Cliquez sur Créer un réseau VPC.
- Saisissez un Nom : LB_NETWORK.
- Dans la section Sous-réseaux :
- Définissez Mode de création du sous-réseau sur Personnalisé.
- Dans la section Nouveau sous-réseau, saisissez les informations suivantes :
- Nom : LB_SUBNET_NAME
- Région : REGION
- Plage d'adresses IP : LB_SUBNET_RANGE
- Cliquez sur OK.
- Cliquez sur Créer.
gcloud
Créez le réseau VPC personnalisé à l'aide de la commande
gcloud compute networks create
:gcloud compute networks create LB_NETWORK \ --subnet-mode=custom
Créez un sous-réseau dans le réseau LB_NETWORK.
gcloud compute networks subnets create LB_SUBNET_NAME \ --network=LB_NETWORK \ --range=LB_SUBNET_RANGE \ --region=REGION
Configurer le sous-réseau proxy réservé
Ce sous-réseau proxy réservé est utilisé par tous les équilibreurs de charge basés sur Envoy dans la région REGION.
Console
- Dans la console Google Cloud, accédez à la page Réseaux VPC.
Accéder à la page "Réseaux VPC" - Sélectionnez un réseau dans la liste.
- Cliquez sur Ajouter un sous-réseau.
- Saisissez un Nom : PROXY_ONLY_SUBNET_NAME.
- Sélectionnez une Région : REGION.
- Définissez le champ Objectif sur Proxy géré régional.
- Saisissez une plage d'adresses IP : PROXY_ONLY_SUBNET_RANGE.
- Cliquez sur Ajouter.
gcloud
Créez le sous-réseau proxy réservé à l'aide de la commande gcloud compute networks subnets
create
.
gcloud compute networks subnets create PROXY_ONLY_SUBNET_NAME \ --purpose=REGIONAL_MANAGED_PROXY \ --role=ACTIVE \ --region=REGION \ --network=LB_NETWORK \ --range=PROXY_ONLY_SUBNET_RANGE
Configurer une passerelle Cloud NAT
Avant de configurer la passerelle Cloud NAT, assurez-vous d'avoir consulté les limites et considérations tarifaires applicables. Pour en savoir plus, consultez la section NEG régionaux : utiliser une passerelle Cloud NAT.Les commandes suivantes décrivent comment configurer une passerelle Cloud NAT. La passerelle Cloud NAT peut être configurée pour utiliser des adresses IP externes NAT automatiques, dans lesquelles l'allocation est basée sur la demande ou utiliser un ensemble pré-réservé manuellement d'adresses IP externes. La passerelle mappe la plage de sous-réseau proxy réservé aux adresses IP externes.
Configurer des adresses IP NAT allouées automatiquement
Lorsque vous créez une passerelle Cloud NAT avec attribution automatique d'adresses IP NAT, vous pouvez spécifier les niveaux de service réseau (Premium ou Standard) à partir desquels la passerelle Cloud NAT alloue les adresses IP.
Console
Dans Google Cloud Console, accédez à la page Cloud NAT.
Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.
Saisissez un nom de passerelle LB_NAT_CONFIG.
Dans le champ Type de NAT, sélectionnezPublique.
Dans la liste Réseau, sélectionnez LB_NETWORK.
Dans la liste Région, sélectionnez REGION.
Créez un routeur Cloud Router dans la région.
Pour le type de point de terminaison source, sélectionnez Équilibreurs de charge proxy gérés.
Dans la liste Source, sélectionnez Personnalisée.
- Dans la liste Sous-réseaux, sélectionnez PROXY_ONLY_SUBNET_NAME.
Dans la liste Adresses IP Cloud NAT, sélectionnez Automatiques (recommandé).
Dans le champ Niveau de service réseau, choisissez Premium ou Standard.
Cliquez sur Créer.
gcloud
Utilisez des adresses IP allouées de manière dynamique si votre environnement backend externe ne vous oblige pas à ajouter sur une liste d'autorisation des adresses IP Google Cloud spécifiques pouvant envoyer du trafic vers le backend externe.
Créez un routeur Cloud Router :
gcloud beta compute routers create ROUTER_NAME \ --network=LB_NETWORK \ --region=REGION
Configurez la passerelle Cloud NAT.
gcloud beta compute routers nats create LB_NAT_CONFIG \ --router=ROUTER_NAME \ --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \ --nat-custom-subnet-ip-ranges=PROXY_ONLY_SUBNET_NAME \ --auto-allocate-nat-external-ips \ --region=REGION
Remplacez les éléments suivants :
LB_NAT_CONFIG
: nom de votre configuration NAT.ROUTER_NAME
: nom de votre routeur Cloud Router.REGION
: région du NAT à créer. Si la région n'est pas spécifiée, vous pouvez être invité à sélectionner une région (mode interactif uniquement).PROXY_ONLY_SUBNET_NAME
: nom de votre sous-réseau proxy réservé.
Configurer des adresses IP allouées manuellement
N'utilisez des adresses IP allouées manuellement que si votre environnement backend externe nécessite d'utiliser une liste d'autorisation pour les adresses IP Google Cloud spécifiques. Si l'environnement backend externe ne nécessite pas de liste d'autorisation, utilisez plutôt l'allocation dynamique, comme indiqué précédemment.
Lors de la création d'une passerelle Cloud NAT, vous pouvez choisir d'attribuer manuellement des adresses IP NAT de niveau Premium ou Standard, ou les deux, sous réserve de certaines conditions.
Console
Dans Google Cloud Console, accédez à la page Cloud NAT.
Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.
Saisissez un nom de passerelle LB_NAT_CONFIG.
Dans la liste Réseau, sélectionnez LB_NETWORK.
Dans la liste Région, sélectionnez REGION.
Sélectionnez ou créez un routeur Cloud Router dans la région.
Pour le type de point de terminaison source, sélectionnez Équilibreurs de charge proxy gérés.
Dans la liste Source, sélectionnez Personnalisée.
- Dans le champ sous-réseaux, sélectionnez PROXY_ONLY_SUBNET_NAME.
Dans la liste Adresses IP Cloud NAT, sélectionnez Manuelles.
Dans le champ Niveau de service réseau, choisissez Premium ou Standard.
Sélectionnez ou créez une adresse IP externe réservée statique à utiliser pour le NAT.
Si vous souhaitez spécifier des adresses IP supplémentaires, cliquez sur Ajouter une adresse IP, puis sélectionnez ou créez une adresse IP externe réservée statique supplémentaire.
Cliquez sur Créer.
gcloud
Créez les adresses IP. Étant donné que la passerelle effectue une traduction NAT de type un à un, vous devez vous assurer que le pool d'adresses IP réservées est assez grand pour gérer la quantité de trafic attendue. Une insuffisance d'allocation d'adresses IP NAT peut entraîner une perte de trafic.
gcloud compute addresses create IP_ADDRESS_NAME_1 IP_ADDRESS_NAME_2 [IP_ADDRESS_NAME_3 ...] \ --region=REGION
Créez un routeur Cloud Router :
gcloud compute routers create ROUTER_NAME \ --network=LB_NETWORK \ --region=REGION
Configurez la passerelle Cloud NAT.
gcloud beta compute routers nats create LB_NAT_CONFIG \ --router=ROUTER_NAME \ --endpoint-types=ENDPOINT_TYPE_MANAGED_PROXY_LB \ --nat-custom-subnet-ip-ranges=PROXY_ONLY_SUBNET_NAME \ --nat-external-ip-pool=IP_ADDRESS_NAME_1,IP_ADDRESS_NAME_2,[IP_ADDRESS_NAME_3 ...] \ --region=REGION
Remplacez les éléments suivants :
LB_NAT_CONFIG
: nom de votre configuration NAT.ROUTER_NAME
: nom de votre routeur Cloud Router.PROXY_ONLY_SUBNET_NAME
: nom de votre sous-réseau proxy réservé.REGION
: région du NAT à créer. Si la région n'est pas spécifiée, vous pouvez être invité à sélectionner une région (mode interactif uniquement).
Pour en savoir plus, consultez la section Spécifier des plages de sous-réseaux pour la NAT dans la documentation de Cloud NAT.
Assurez-vous d'utiliser une liste d'autorisation pour les plages d'adresses IP NAT dans votre environnement backend externe, afin que votre backend externe puisse recevoir du trafic issu de Google Cloud.
Réserver l'adresse IP de l'équilibreur de charge
Réservez une adresse IP interne pour l'équilibreur de charge.
Console
Vous pouvez réserver une adresse IP interne autonome à l'aide de la console Google Cloud.
- Accédez à la page des réseaux VPC.
- Cliquez sur le réseau utilisé pour configurer la connectivité hybride entre les environnements.
- Cliquez sur Adresses IP internes statiques, puis sur Réserver une adresse statique.
- Saisissez un Nom : LB_IP_ADDRESS.
- Pour le sous-réseau, sélectionnez LB_SUBNET_NAME.
- Si vous souhaitez spécifier l'adresse IP à réserver, sous Adresse IP statique, sélectionnez Laissez-moi choisir, puis indiquez une adresse IP personnalisée. Sinon, le système attribue automatiquement une adresse IP dans le sous-réseau.
- Si vous souhaitez utiliser cette adresse IP avec plusieurs règles de transfert, sous Usage, sélectionnez Partagée.
- Cliquez sur Réserver pour terminer le processus.
gcloud
En utilisant gcloud CLI, exécutez la commande
compute addresses create
:gcloud compute addresses create LB_IP_ADDRESS \ --region=REGION \ --subnet=LB_SUBNET_NAME
Utilisez la commande
compute addresses describe
pour afficher l'adresse IP allouée :gcloud compute addresses describe LB_IP_ADDRESS \ --region=REGION
Configurer le NEG Internet
Vous pouvez créer un NEG Internet avec des points de terminaison INTERNET_FQDN_PORT
ou INTERNET_IP_PORT
.
Console
Créer un NEG avec des points de terminaison INTERNET_FQDN_PORT
Dans la console Google Cloud, accédez à la page Groupe de points de terminaison du réseau.
Cliquez sur Créer un groupe de points de terminaison du réseau.
Spécifiez un paramètre INTERNET_NEG_NAME pour votre NEG Internet. Pour en savoir plus, consultez la section Recommandation pour l'attribution de noms aux ressources.
Dans la liste Type de groupe de points de terminaison du réseau, sélectionnez Groupe de points de terminaison du réseau (Internet), puis procédez comme suit :
- Dans la liste Champ d'application, sélectionnez Régional.
- Facultatif : Dans la liste Région, modifiez le paramètre REGION pour ce NEG.
- Dans la liste Réseau, sélectionnez LB_NETWORK.
- Dans la zone Port par défaut, saisissez DEFAULT_PORT_NUMBER.
- Dans la liste Ajouter des points de terminaison via, sélectionnez Nom de domaine complet et port.
- Sélectionnez Créer.
Ajoutez des points de terminaison INTERNET_FQDN_PORT
au NEG.
Dans la console Google Cloud, accédez à la page Groupe de points de terminaison du réseau.
- Cliquez sur INTERNET_NEG_NAME.
Saisissez le nom de domaine complet, tel que
myorg.example.com
. Vous devez spécifier les objets de nom de domaine complet dans la syntaxe de nom de domaine complet standard.Facultatif : Pour Type de port, sélectionnez Personnalisé. Si le type de port est
Default
, le port par défaut du NEG est utilisé.- Dans la zone Numéro de port, saisissez PORT_NUMBER_1.
- Sélectionnez Créer.
Créer un NEG avec des points de terminaison INTERNET_IP_PORT
Dans la console Google Cloud, accédez à la page Groupe de points de terminaison du réseau.
Cliquez sur Créer un groupe de points de terminaison du réseau.
Spécifiez un nom INTERNET_NEG_NAME pour votre NEG Internet. Pour en savoir plus, consultez la section Recommandation pour l'attribution de noms aux ressources.
Dans la liste Type de groupe de points de terminaison du réseau, sélectionnez Groupe de points de terminaison du réseau (Internet), puis procédez comme suit :
- Dans la liste Champ d'application, sélectionnez Régional.
- Facultatif : Dans la liste Région, modifiez le paramètre REGION pour ce NEG.
- Dans la liste Réseau, sélectionnez LB_NETWORK.
- Dans la zone Port par défaut, saisissez DEFAULT_PORT_NUMBER.
- Dans la liste Ajouter des points de terminaison via, sélectionnez Adresse IP et port.
- Sélectionnez Créer.
Ajoutez des points de terminaison INTERNET_IP_PORT
au NEG.
Dans la console Google Cloud, accédez à la page Groupe de points de terminaison du réseau.
- Cliquez sur INTERNET_NEG_NAME.
- Dans le champ Adresse IP, saisissez IP_ADDRESS_1.
Facultatif : Dans la liste Type de port, sélectionnez Personnalisé. Si le type de port est
Default
, le port par défaut du NEG est utilisé.- Dans le champ Numéro de port, saisissez PORT_NUMBER_1.
- Sélectionnez Créer.
gcloud
Pour créer un NEG avec des points de terminaison INTERNET_FQDN_PORT
, procédez comme suit :
Créez la ressource NEG.
gcloud beta compute network-endpoint-groups create INTERNET_NEG_NAME \ --network-endpoint-type=INTERNET_FQDN_PORT \ --default-port=DEFAULT_PORT_NUMBER \ --network=LB_NETWORK \ --region=REGION
Ajoutez des points de terminaison au NEG. Si aucun port n'est spécifié, le port par défaut du NEG est utilisé.
gcloud beta compute network-endpoint-groups update INTERNET_NEG_NAME \ --add-endpoint="fqdn=FULLY_QUALIFIED_DOMAIN_NAME_1,port=PORT_NUMBER_1" \ [--add-endpoint="fqdn=FULLY_QUALIFIED_DOMAIN_NAME_2,port=PORT_NUMBER_2" \] --region=REGION
Remplacez les éléments suivants :
FULLY_QUALIFIED_DOMAIN_NAME
: nom de domaine complet du point de terminaisonPORT_NUMBER
: numéro de port du point de terminaison
Vous pouvez ajouter jusqu'à 256 points de terminaison par NEG.
Si votre domaine peut être résolu sur Internet, aucune autre configuration n'est nécessaire pour configurer le DNS. Toutefois, si vous utilisez des noms de domaine complets privés, vous devez configurer Cloud DNS pour faciliter la résolution DNS. Le nom doit être hébergé sur Cloud DNS ou doit pouvoir être résolu via le transfert DNS de Cloud DNS vers un DNS sur site.
Commencez par créer une zone Cloud DNS pour héberger les enregistrements DNS dans votre projet. Ajoutez-y ensuite les enregistrements DNS. Consultez la documentation de Cloud DNS pour connaître la procédure de configuration spécifique.
Pour créer un NEG avec des points de terminaison INTERNET_IP_PORT
, procédez comme suit :
Créez la ressource NEG.
gcloud beta compute network-endpoint-groups create INTERNET_NEG_NAME \ --network-endpoint-type=INTERNET_IP_PORT \ --default-port=DEFAULT_PORT_NUMBER \ --network=LB_NETWORK \ --region=REGION
Ajoutez des points de terminaison au NEG. Si aucun port n'est spécifié, le port par défaut du NEG est utilisé.
gcloud beta compute network-endpoint-groups update INTERNET_NEG_NAME \ --add-endpoint="ip=IP_ADDRESS_1,port=PORT_NUMBER_1" \ [--add-endpoint="ip=IP_ADDRESS_2,port=PORT_NUMBER_2" \] --region=REGION
Remplacez les éléments suivants :
IP_ADDRESS
: adresse IP du point de terminaisonPORT_NUMBER
: numéro de port du point de terminaison
Vous pouvez répéter cette étape pour ajouter jusqu'à 256 points de terminaison par NEG.
Créer l'équilibreur de charge
Console
Démarrer la configuration
Dans Google Cloud Console, accédez à la page Équilibrage de charge.
- Cliquez sur Créer un équilibreur de charge.
- Dans le champ Type d'équilibreur de charge, sélectionnez Équilibreur de charge d'application (HTTP/HTTPS), puis cliquez sur Suivant.
- Pour Public ou interne, sélectionnez Interne, puis cliquez sur Suivant.
- Pour Déploiement interrégional ou dans une seule région, sélectionnez Recommandé pour les charges de travail régionales, puis cliquez sur Suivant.
- Cliquez sur Configurer.
Configuration de base
- Saisissez un nom d'équilibreur de charge.
- Pour Région, sélectionnez REGION.
- Pour Réseau, sélectionnez LB_NETWORK.
Réserver un sous-réseau proxy réservé
Pour réserver un sous-réseau proxy réservé :
- Cliquez sur Réserver un sous-réseau.
- Dans le champ Nom, saisissez PROXY_ONLY_SUBNET_NAME.
- Dans Plage d'adresses IP, saisissez PROXY_ONLY_SUBNET_RANGE.
- Cliquez sur Ajouter.
Configuration du frontend
- Cliquez sur Configuration de l'interface.
- Saisissez un nom.
- Pour Sous-réseau, sélectionnez LB_SUBNET_NAME.
Pour créer un équilibreur de charge HTTPS, vous devez disposer d'un certificat SSL. Nous vous recommandons d'utiliser un certificat géré par Google.
Propriété Valeur (saisissez une valeur ou sélectionnez une option spécifiée) Protocole HTTPS Version IP IPv4 Adresse IP Sélectionnez l'adresse IP réservée précédemment : LB_IP_ADDRESS. Port 443 Certificat Sélectionnez un certificat SSL existant ou créez-en un.
Pour créer un équilibreur de charge HTTPS, vous devez disposer d'une ressource de certificat SSL à utiliser dans le proxy HTTPS.
Si vous souhaitez tester ce processus sans configurer une ressource de certificat SSL (ou un domaine comme requis par les certificats gérés par Google), vous pouvez configurer un équilibreur de charge HTTP.
Pour créer un équilibreur de charge HTTP, vérifiez que les options suivantes sont configurées avec ces valeurs :
Propriété Valeur (saisissez une valeur ou sélectionnez une option spécifiée) Protocole HTTP Version IP IPv4 Adresse IP Sélectionnez l'adresse IP réservée précédemment : LB_IP_ADDRESS. Port 80 Cliquez sur OK.
Configuration du backend
- Cliquez sur Configuration du backend.
- Cliquez sur Services de backend et buckets backend.
- Cliquez sur Créer un service backend.
- Saisissez un nom.
- Pour le type de backend, sélectionnez Groupe de points de terminaison du réseau Internet.
- Pour le champ Protocole, sélectionnez le protocole que vous souhaitez utiliser depuis l'équilibreur de charge vers le NEG Internet.
- Pour les Backends, dans la fenêtre Nouveau backend, sélectionnez le groupe de points de terminaison du réseau Internet régional créé à l'étape précédente.
- Cliquez sur OK.
- Configurez la vérification d'état :
- Dans la section Health check (Vérification d'état), sélectionnez Create a health check (Créer une vérification d'état).
- Définissez le nom de la vérification d'état sur HTTP_HEALTH_CHECK_NAME.
- Pour Protocole, sélectionnez HTTP.
- Définissez le paramètre Port sur
80
.
- Cliquez sur Créer.
Vérifier et finaliser
- Cliquez sur Vérifier et finaliser.
- Si tout semble correct, cliquez sur Créer.
gcloud
- Facultatif : créez une vérification d'état. Les vérifications d'état des backends externes utilisent les vérifications d'état distribuées Envoy et subissent ultérieurement une traduction NAT.
gcloud compute health-checks create http HTTP_HEALTH_CHECK_NAME \ --region=REGION \ --use-serving-port
- Créez un service de backend :
gcloud compute backend-services create BACKEND_SERVICE \ --load-balancing-scheme=INTERNAL_MANAGED \ --protocol=HTTP \ --health-checks=HTTP_HEALTH_CHECK_NAME \ --health-checks-region=REGION \ --region=REGION
- Ajoutez le NEG Internet au service de backend :
gcloud compute backend-services add-backend BACKEND_SERVICE \ --network-endpoint-group=INTERNET_NEG_NAME \ --network-endpoint-group-region=REGION \ --region=REGION
- Créez un mappage d'URL pour acheminer les requêtes entrantes vers le service de backend :
gcloud compute url-maps create URL_MAP_NAME \ --default-service=BACKEND_SERVICE \ --region=REGION
- Facultatif : effectuez cette étape si vous utilisez HTTPS entre le client et l'équilibreur de charge. Cette opération n'est pas requise pour les équilibreurs de charge HTTP.
Vous pouvez créer des certificats Compute Engine ou via le gestionnaire de certificats. Utilisez l'une des méthodes suivantes pour créer des certificats à l'aide du gestionnaire de certificats :
- Certificats régionaux autogérés. Pour en savoir plus sur la création et l'utilisation de certificats autogérés régionaux, consultez la page Déployer un certificat régional autogéré. Les mappages de certificats ne sont pas acceptés.
Certificats régionaux gérés par Google. Les mappages de certificats ne sont pas acceptés.
Les types de certificats régionaux gérés par Google suivants sont compatibles avec le gestionnaire de certificats :
- Certificats régionaux gérés par Google avec une autorisation DNS par projet. Pour en savoir plus, consultez la page Déployer un certificat régional géré par Google.
- Certificats régionaux gérés par Google (privés) avec Certificate Authority Service. Pour en savoir plus, consultez la page Déployer un certificat régional géré par Google avec le service d'autorité de certification.
Créez un proxy HTTP(S) cible, qui va rediriger les requêtes vers votre mappage d'URL.
Pour un équilibreur de charge HTTP, créez un proxy HTTP cible :
gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \ --url-map=URL_MAP_NAME \ --region=REGION
Pour un équilibreur de charge HTTPS, créez un proxy cible HTTPS. Le serveur proxy est la partie de l'équilibreur de charge qui contient le certificat SSL pour l'équilibrage de charge HTTPS. Vous chargez donc également votre certificat à cette étape :
gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \ --ssl-certificates=SSL_CERTIFICATE_NAME \ --url-map=URL_MAP_NAME \ --region=REGION
Créez une règle de transfert pour acheminer les requêtes entrantes vers le proxy.
Pour un équilibreur de charge HTTP, utilisez ce qui suit :
gcloud compute forwarding-rules create HTTP_FORWARDING_RULE_NAME \ --load-balancing-scheme=INTERNAL_MANAGED \ --network-tier=PREMIUM \ --network=LB_NETWORK \ --subnet=LB_SUBNET_NAME \ --address=LB_IP_ADDRESS \ --target-http-proxy=TARGET_HTTP_PROXY_NAME \ --target-http-proxy-region=REGION \ --region=REGION \ --ports=80
Pour un équilibreur de charge HTTPS, utilisez ce qui suit :
gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \ --load-balancing-scheme=INTERNAL_MANAGED \ --network-tier=PREMIUM \ --network=LB_NETWORK \ --subnet=LB_SUBNET_NAME \ --address=LB_IP_ADDRESS \ --target-https-proxy=TARGET_HTTPS_PROXY_NAME \ --target-http-proxy-region=REGION \ --region=REGION \ --ports=443
Après avoir créé des certificats, associez-les directement au proxy cible.
Pour créer une ressource de certificat SSL autogéré Compute Engine, procédez comme suit :gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --certificate CRT_FILE_PATH \ --private-key KEY_FILE_PATH
Connecter un domaine à votre équilibreur de charge
Une fois l'équilibreur de charge créé, notez l'adresse IP associée à celui-ci (par exemple, 30.90.80.100
). Pour faire pointer votre domaine vers votre équilibreur de charge, créez un enregistrement A
à l'aide de votre service d'enregistrement de domaine. Si vous avez ajouté plusieurs domaines à votre certificat SSL, vous devez ajouter un enregistrement A
à chacun d'eux, tous pointant vers l'adresse IP de l'équilibreur de charge. Par exemple, pour créer des enregistrements A
pour www.example.com
et example.com
, utilisez le code suivant :
NAME TYPE DATA www A 30.90.80.100 @ A 30.90.80.100
Si vous utilisez Cloud DNS comme fournisseur DNS, consultez la section Ajouter, modifier et supprimer des enregistrements.
Tester l'équilibreur de charge
Maintenant que vous avez configuré votre équilibreur de charge, vous pouvez commencer à envoyer du trafic vers son adresse IP.
Créer une VM cliente
Cet exemple crée une VM cliente (vm-client
) dans la même région que l'équilibreur de charge. Le client est utilisé pour valider la configuration de l'équilibreur de charge et faire la démonstration du comportement attendu.
gcloud
La VM cliente peut se trouver dans n'importe quelle zone de la même REGION que l'équilibreur de charge, et utiliser n'importe quel sous-réseau du même réseau VPC.
gcloud compute instances create vm-client \ --image-family=debian-10 \ --image-project=debian-cloud \ --tags=allow-ssh \ --network=LB_NETWORK \ --subnet=LB_SUBNET_NAME \ --zone=ZONE
Envoyer du trafic vers l'équilibreur de charge
La propagation de la configuration de l'équilibreur de charge peut prendre quelques minutes après son déploiement initial.
Connectez-vous à l'instance cliente via SSH.
gcloud compute ssh vm-client \ --zone=ZONE
Vérifiez que l'équilibreur de charge se connecte comme prévu à l'application que vous exécutez sur le backend externe.
Pour le test HTTP, exécutez la commande suivante :
curl IP_ADDRESS
Pour le test HTTPS, exécutez la commande suivante :
curl -k -s 'https://TEST_DOMAIN_URL:443' --connect-to TEST_DOMAIN_URL:443:IP_ADDRESS:443
Remplacez TEST_DOMAIN_URL par le domaine associé à votre application. Par exemple,
test.example.com
.L'option
-k
indique à curl d'ignorer l'étape de validation du certificat.
Configuration supplémentaire
Cette section développe l'exemple de configuration et propose d'autres options de configuration. Toutes les tâches décrites ici sont facultatives. Vous pouvez les exécuter dans n'importe quel ordre.
Pour activer encore plus de fonctionnalités pour votre équilibreur de charge d'application interne régional, tel que l'accès mondial (si vos clients se trouvent dans une région différente), consultez la page Configurer un équilibreur de charge d'application interne avec des backends de groupe d'instances de VM : Configuration supplémentaire.Utiliser un en-tête personnalisé pour authentifier les requêtes
Pour authentifier les requêtes envoyées à votre backend externe, vous pouvez définir un en-tête personnalisé pour indiquer qu'elles proviennent d'un équilibreur de charge Google Cloud. Vous devrez également configurer le backend externe pour qu'il attende cet en-tête personnalisé sur le trafic provenant de Google Cloud.
Pour apprendre à configurer des en-têtes personnalisés, consultez la page Configurer la gestion avancée du trafic.Pour connaître les autres méthodes d'authentification, consultez la page Authentifier les requêtes sur le backend externe.
Mettre à jour le délai d'expiration du message keepalive HTTP client
L'équilibreur de charge créé lors des étapes précédentes a été configuré avec une valeur par défaut pour le délai d'expiration du message keepalive HTTP du client.Pour mettre à jour le délai d'expiration du message HTTP du client, suivez les instructions ci-dessous.
Console
Dans la console Google Cloud, accédez à la page Équilibrage de charge.
- Cliquez sur le nom de l'équilibreur de charge que vous souhaitez modifier.
- Cliquez sur Modifier ( ).
- Cliquez sur Configuration de l'interface.
- Développez Fonctionnalités avancées. Dans le champ Délai avant expiration du message keepalive HTTP, saisissez une valeur de délai avant expiration.
- Cliquez sur Mettre à jour.
- Pour vérifier vos modifications, cliquez sur Vérification et finalisation, puis sur Mettre à jour.
gcloud
Pour un équilibreur de charge HTTP, mettez à jour le proxy HTTP cible à l'aide de la commande gcloud compute target-http-proxies update
.
gcloud compute target-http-proxies update TARGET_HTTP_PROXY_NAME \ --http-keep-alive-timeout-sec=HTTP_KEEP_ALIVE_TIMEOUT_SEC \ --region=REGION
Pour un équilibreur de charge HTTPS, mettez à jour le proxy HTTPS cible à l'aide de la commande gcloud compute target-https-proxies update
.
gcloud compute target-https-proxies update TARGET_HTTP_PROXY_NAME \ --http-keep-alive-timeout-sec=HTTP_KEEP_ALIVE_TIMEOUT_SEC \ --region REGION
Remplacez les éléments suivants :
TARGET_HTTP_PROXY_NAME
: nom du proxy HTTP cible.TARGET_HTTPS_PROXY_NAME
: nom du proxy HTTPS cible.HTTP_KEEP_ALIVE_TIMEOUT_SEC
: valeur du délai avant expiration du message keepalive HTTP comprise entre 5 et 600 secondes.