Questa pagina mostra come creare un bilanciatore del carico delle applicazioni esterno per instradare le richieste ai backend serverless. In questo caso, il termine serverless si riferisce i seguenti prodotti di serverless computing:
- App Engine
- Funzioni Cloud Run
- Cloud Run
L'integrazione di bilanciatori del carico delle applicazioni esterni API Gateway abilita e serverless per sfruttare tutte le funzionalità e Cloud Load Balancing. Per configurare un bilanciatore del carico delle applicazioni esterno per instradare il traffico in un API Gateway, consulta la Guida introduttiva il bilanciatore del carico delle applicazioni esterno Gateway API. Il supporto del bilanciatore del carico delle applicazioni esterno per API Gateway è in anteprima.
NEG serverless ti consentono di utilizzare le app serverless Google Cloud con bilanciatori del carico delle applicazioni esterni. Dopo configurare un bilanciatore del carico con il backend NEG serverless, le richieste al carico vengono indirizzate al backend dell'app serverless.
Per saperne di più sui NEG serverless, leggi la panoramica dei NEG serverless.
Prima di iniziare
- Esegui il deployment di un servizio App Engine, Cloud Run o Cloud Run.
- Se non lo hai già fatto, installa Google Cloud CLI.
- Configura le autorizzazioni.
- Aggiungi una risorsa del certificato SSL.
Esegui il deployment di un servizio App Engine, Cloud Functions o Cloud Run
Le istruzioni riportate in questa pagina presuppongono che tu abbia già eseguito un servizio Cloud Run, Cloud Run Functions o App Engine.
Per l'esempio in questa pagina, abbiamo utilizzato il comando Cloud Run Python
Guida rapida per eseguire il deployment di Cloud Run
nella regione us-central1
. Il resto di questa pagina mostra come configurare un bilanciatore del carico delle applicazioni esterno che utilizza un backend NEG serverless per instradare le richieste a questo servizio.
Se non hai ancora implementato un'app serverless o se vuoi provare un NEG serverless con un'app di esempio, utilizza una delle seguenti guide rapide. Puoi Crea un'app serverless in qualsiasi regione, ma devi utilizzare la stessa regione in un secondo momento per creare il NEG serverless e il bilanciatore del carico.
Cloud Run
Per creare una semplice applicazione Hello World, pacchettizzala in un'immagine container, eseguire il deployment dell'immagine container in Cloud Run, consulta Guida rapida: creazione e deployment.
Se hai già caricato un container di esempio su Container Registry, consulta Guida rapida: deployment di un container di esempio predefinito.
Funzioni Cloud Run
Consulta Funzioni Cloud Run: guida rapida a Python.
App Engine
Consulta le seguenti guide rapide di App Engine per Python 3:
Installa Google Cloud CLI
Installa Google Cloud CLI. Consulta la panoramica di gcloud per informazioni concettuali e di installazione dello strumento.
Se non hai mai eseguito gcloud CLI in precedenza, esegui prima
gcloud init
per inizializzare la directory gcloud.
Configura autorizzazioni
Per seguire questa guida, devi creare un NEG serverless e creare un del carico HTTP(S) in un progetto. Devi essere il proprietario o il proprietario di un progetto Editor oppure dovresti avere quanto segue Ruoli IAM di Compute Engine:
Attività | Ruolo richiesto |
---|---|
crea i componenti di networking e bilanciatore del carico | Amministratore di rete |
Crea e modifica i NEG | Amministratore istanze Compute |
Crea e modifica i certificati SSL | Amministratore sicurezza |
Prenotare un indirizzo IP esterno
Ora che i servizi sono operativi, configura un indirizzo IP esterno statico e globale che verrà utilizzato dai clienti per raggiungere il bilanciatore del carico.
Console
Nella console Google Cloud, vai alla pagina Indirizzi IP esterni.
Fai clic su Prenota indirizzo IP statico esterno.
In Nome, inserisci
example-ip
.In Livello di servizio di rete, seleziona Premium.
Per Versione IP, seleziona IPv4.
In Tipo, seleziona Globale.
Fai clic su Prenota.
gcloud
gcloud compute addresses create example-ip \ --network-tier=PREMIUM \ --ip-version=IPV4 \ --global
Prendi nota dell'indirizzo IPv4 riservato:
gcloud compute addresses describe example-ip \ --format="get(address)" \ --global
Crea una risorsa del certificato SSL
Per creare un bilanciatore del carico HTTPS, devi aggiungere un certificato SSL al frontend del bilanciatore del carico. Crea una risorsa del certificato SSL utilizzando un certificato SSL gestito da Google o un certificato SSL con gestione indipendente.
Certificati gestiti da Google. Ti consigliamo di utilizzare i certificati gestiti da Google perché Google Cloud li ottiene, li gestisce e li rinnova automaticamente. Per creare un certificato gestito da Google, devi disporre di un dominio e dei relativi record DNS per poter eseguire il provisioning del certificato. Inoltre, devi aggiornare il record DNS A del dominio in modo che indichi l'indirizzo IP del bilanciatore del carico creato nel passaggio precedente (
example-ip
). Per istruzioni dettagliate, consulta Utilizzare i certificati gestiti da Google.Certificati autofirmati. Se non vuoi configurare un dominio in questo puoi utilizzare un certificato SSL autofirmato per i test.
Questo esempio presuppone che tu abbia già creato una risorsa del certificato SSL.
Se vuoi testare questo processo senza creare un certificato SSL risorsa (o un dominio come richiesto dai certificati gestiti da Google), puoi comunque utilizzare le istruzioni in questa pagina per configurare un caricamento HTTP con il bilanciatore del carico di rete.
crea il bilanciatore del carico
Nel diagramma seguente, il bilanciatore del carico utilizza un backend NEG serverless per indirizzare le richieste a un servizio Cloud Run serverless. Per questo esempio, abbiamo utilizzato la guida introduttiva di Cloud Run per Python per eseguire il deployment di un servizio Cloud Run.
Perché i controlli di integrità non sono supportati per i servizi di backend con NEG serverless non è necessario creare una regola firewall che consenta i controlli di integrità se il bilanciatore del carico ha solo backend NEG serverless.
Console
Avvia la configurazione
Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
- Fai clic su Crea bilanciatore del carico.
- Per Tipo di bilanciatore del carico, seleziona Bilanciatore del carico delle applicazioni (HTTP/HTTPS) e fai clic su Avanti.
- In Pubblico o interno, seleziona Pubblico (esterno) e fai clic su Avanti.
- In Deployment globale o in una regione singola, seleziona Ideale per carichi di lavoro globali e fai clic su Avanti.
- Per Generazione del bilanciatore del carico, seleziona Classica Bilanciatore del carico delle applicazioni e fai clic su Avanti.
- Fai clic su Configura.
Configurazione di base
- Inserisci
serverless-lb
come nome del bilanciatore del carico. - Tieni la finestra aperta per continuare.
Configurazione frontend
- Fai clic su Configurazione frontend.
- In Nome, inserisci un nome.
-
Per creare un bilanciatore del carico HTTPS, devi avere
Un certificato SSL
(
gcloud compute ssl-certificates list
).Ti consigliamo di utilizzare un certificato gestito da Google, come descritto in precedenza.
- Fai clic su Fine.
Per configurare un bilanciatore del carico delle applicazioni esterno, compila i campi come segue.
Verifica che le seguenti opzioni siano configurate con questi valori:
Proprietà | Valore (digita un valore o seleziona un'opzione come specificato) |
---|---|
Protocollo | HTTPS |
Livello di servizio di rete | Premium |
Versione IP | IPv4 |
Indirizzo IP | example-ip |
Porta | 443 |
Certificato | Seleziona un certificato SSL esistente o creane uno nuovo. Per creare un bilanciatore del carico HTTPS, è necessario disporre di un SSL di certificazione da utilizzare nel proxy HTTPS. Puoi creare una risorsa del certificato SSL utilizzando un sistema SSL gestito o un certificato SSL autogestito. Per creare un certificato gestito da Google, devi avere un dominio. Il record A del dominio deve risolvere nell'indirizzo IP del load balancer (in questo esempio, example-ip). Si consiglia di utilizzare i certificati gestiti da Google perché Google Cloud li ottiene, li gestisce e li rinnova automaticamente. Se non hai un dominio, puoi utilizzare un certificato SSL autofirmato per i test. |
(Facoltativo) Attiva il reindirizzamento da HTTP a HTTPS |
Utilizza questa casella di controllo per attivare i reindirizzamenti da HTTP a HTTPS.
L'attivazione di questa casella di controllo crea un carico HTTP parziale aggiuntivo che utilizza lo stesso indirizzo IP del carico HTTPS e reindirizza le richieste HTTP Frontend HTTPS. Questa casella di controllo può essere selezionata solo quando il protocollo HTTPS e viene utilizzato un indirizzo IP riservato. |
Se vuoi testare questa procedura senza configurare un certificato SSL risorsa (o un dominio come richiesto dai certificati gestiti da Google), può configurare un bilanciatore del carico HTTP.
Per creare un bilanciatore del carico HTTP, verifica che le seguenti opzioni sono configurate con questi valori:
Proprietà | Valore (digita un valore o seleziona un'opzione come specificato) |
---|---|
Protocollo | HTTP |
Livello di servizio di rete | Premium |
Versione IP | IPv4 |
Indirizzo IP | example-ip |
Porta | 80 |
Configurazione backend
- Fai clic su Configurazione backend.
- Nella sezione Servizi di backend e bucket di backend, fai clic su Crea un servizio di backend.
- In Nome, inserisci un nome.
- In Tipo di backend, seleziona Gruppo di endpoint di rete serverless.
- Lascia invariato il campo Protocollo. Questo parametro viene ignorato.
- Nella sezione Backend, in Nuovo backend, seleziona Crea gruppo di endpoint di rete serverless.
- In Nome, inserisci un nome.
- In Regione, seleziona us-central1, quindi seleziona Cloud Run.
- Seleziona Seleziona il nome servizio.
- Nell'elenco Servizio, seleziona il servizio Cloud Run per cui vuoi creare un bilanciatore del carico.
- Fai clic su Crea.
- Nella sezione Nuovo backend, fai clic su Fine.
- Fai clic su Crea.
Regole di routing
Le regole di routing determinano come viene indirizzato il traffico. Per configurare di routing, devi configurare le regole dell'host e i matcher di percorso, di configurazione di un pod la mappa URL del bilanciatore del carico delle applicazioni esterno.
-
Fai clic su Regole host e percorso.
- Conserva gli host e i percorsi predefiniti. Per questo esempio, tutte le richieste vengono inviate al servizio di backend creato nel passaggio precedente.
Revisione della configurazione
- Fai clic su Esamina e finalizza.
- Esamina tutte le impostazioni.
- (Facoltativo) Fai clic su Codice equivalente per visualizzare la richiesta dell'API REST che verrà utilizzata per creare il bilanciatore del carico.
- Fai clic su Crea.
- Attendi che la creazione del bilanciatore del carico sia completa.
- Fai clic sul nome del bilanciatore del carico (serverless-lb).
- Prendi nota dell'indirizzo IP del bilanciatore del carico, che utilizzerai nella prossima attività. Viene chiamato
IP_ADDRESS
.
gcloud
- Crea un NEG serverless per la tua app serverless.
Creazione di un NEG serverless con un Cloud Run servizio:
Per ulteriori opzioni, consulta la guida di riferimentogcloud compute network-endpoint-groups create SERVERLESS_NEG_NAME \ --region=us-central1 \ --network-endpoint-type=serverless \ --cloud-run-service=CLOUD_RUN_SERVICE_NAME
gcloud
pergcloud compute network-endpoint-groups create
. - Crea un servizio di backend.
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL \ --global
- Aggiungi il NEG serverless come backend del servizio di backend:
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --global \ --network-endpoint-group=SERVERLESS_NEG_NAME \ --network-endpoint-group-region=us-central1
- Crea una mappa URL per instradare le richieste in entrata al servizio di backend:
gcloud compute url-maps create URL_MAP_NAME \ --default-service BACKEND_SERVICE_NAME
Questa mappa URL di esempio ha come target un solo servizio di backend che rappresenta un singola app serverless, quindi non è necessario configurare regole host o matcher. Se hai più di un servizio di backend, puoi utilizzare l'host per indirizzare le richieste a servizi diversi in base al nome host, e puoi configurare matcher di percorso per indirizzare le richieste a diverse in base al percorso di richiesta.
-
Per creare un bilanciatore del carico HTTPS, devi disporre di una risorsa certificato SSL da utilizzare nel proxy di destinazione HTTPS.
Puoi creare un protocollo SSL
di certificazione utilizzando un certificato SSL gestito da Google
un certificato SSL autogestito. Ti consigliamo di utilizzare i certificati gestiti da Google perché Google Cloud li ottiene, li gestisce e li rinnova automaticamente.
Per creare un certificato gestito da Google, devi avere un dominio. Se non hai un dominio, puoi utilizzare un certificato SSL autofirmato per i test.
Per creare una risorsa del certificato SSL gestita da Google: Per creare una risorsa del certificato SSL autogestita:gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --domains DOMAIN
gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --certificate CRT_FILE_PATH \ --private-key KEY_FILE_PATH
-
Crea un proxy HTTP(S) di destinazione per instradare le richieste alla mappa URL.
Per un bilanciatore del carico HTTP, crea un proxy di destinazione HTTP:
gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \ --url-map=URL_MAP_NAME
Per un bilanciatore del carico HTTPS, crea un proxy di destinazione HTTPS. Il proxy è la parte del bilanciatore del carico che contiene il certificato SSL per il bilanciamento del carico HTTPS, quindi devi caricare anche il certificato in questo passaggio.
gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \ --ssl-certificates=SSL_CERTIFICATE_NAME \ --url-map=URL_MAP_NAME
- Crea una regola di inoltro per instradare le richieste in entrata al proxy.
Per un bilanciatore del carico HTTP:
gcloud compute forwarding-rules create HTTP_FORWARDING_RULE_NAME \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --address=example-ip \ --target-http-proxy=TARGET_HTTP_PROXY_NAME \ --global \ --ports=80
Per un bilanciatore del carico HTTPS:
gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --address=example-ip \ --target-https-proxy=TARGET_HTTPS_PROXY_NAME \ --global \ --ports=443
Collegare il dominio al bilanciatore del carico
Dopo aver creato il bilanciatore del carico, prendi nota dell'indirizzo IP associato
dal bilanciatore del carico, ad esempio 30.90.80.100
. Per puntare il dominio verso
bilanciatore del carico, crea un record A
utilizzando il servizio di registrazione del dominio. Se
hai aggiunto più domini al tuo certificato SSL, devi aggiungere un record A
per ciascuno, puntando tutti all'indirizzo IP del bilanciatore del carico. Ad esempio, per
crea record A
per www.example.com
e example.com
, usa quanto segue:
NAME TYPE DATA www A 30.90.80.100 @ A 30.90.80.100
Se utilizzi Cloud DNS come provider DNS, consulta Aggiungere, modificare ed eliminare record.
Testa il bilanciatore del carico
Ora che hai configurato il bilanciatore del carico, puoi iniziare a inviare all'indirizzo IP del bilanciatore del carico. Se hai configurato un dominio, puoi anche inviare traffico al nome di dominio. Tuttavia, la propagazione DNS può richiedere del tempo per essere completata, quindi puoi iniziare utilizzando l'indirizzo IP per i test.
Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
Fai clic sul bilanciatore del carico appena creato.
Prendi nota dell'indirizzo IP del bilanciatore del carico.
Per un bilanciatore del carico HTTP, puoi testare il bilanciatore del carico da un browser web dalla pagina
http://IP_ADDRESS
. SostituisciIP_ADDRESS
con indirizzo IP del bilanciatore del carico. Dovresti essere indirizzato alla home page del serviziohelloworld
.
Per un bilanciatore del carico HTTPS, puoi testare il bilanciatore del carico da un browser web dalla pagina
https://IP_ADDRESS
. SostituisciIP_ADDRESS
con l'indirizzo IP del bilanciatore del carico. Tu deve essere indirizzato alla home page del serviziohelloworld
.
Se non funziona e utilizzi un certificato gestito da Google, verifica che lo stato della risorsa del certificato sia ATTIVO. Per ulteriori informazioni, consulta lo stato della risorsa del certificato SSL gestito da Google.
Se hai utilizzato un certificato autofirmato per i test, il browser visualizza un avviso. Devi indicare esplicitamente al browser di accettare un certificato autofirmato. Fai clic sull'avviso per visualizzare la pagina effettiva.
Opzioni di configurazione aggiuntive
Questa sezione espande l'esempio della configurazione per fornire alternative e e altre opzioni di configurazione. Tutte le attività sono facoltative. Puoi eseguire in qualsiasi ordine.
Configurare il bilanciamento del carico su più regioni
Nell'esempio descritto in precedenza in questa pagina, abbiamo un solo servizio Cloud Run che funge da backend nella regione us-central1
. Poiché il gruppo di elenchi di negazioni serverless può puntare a un solo endpoint alla volta, il bilanciamento del carico non viene eseguito in più regioni. La
il bilanciatore del carico delle applicazioni esterno funge solo da frontend e esegue il proxy del traffico
specificato per helloworld
endpoint dell'app. Tuttavia, ti consigliamo di pubblicare la tua app Cloud Run da più di una regione per migliorare la latenza per gli utenti finali.
Se a un servizio di backend sono collegati più NEG serverless, il carico bilancia il traffico inoltrando le richieste al NEG serverless nel regione più vicina disponibile. Tuttavia, i servizi di backend possono contenere solo NEG serverless per regione. Per rendere Cloud Run di servizio disponibile in più regioni, devi configurare i percorsi dei carichi di lavoro. Dovresti essere in grado di utilizzare un singolo schema URL che funzioni ovunque in al mondo, ma soddisfa le richieste degli utenti dalla regione più vicina a quest'ultimo.
Per configurare la pubblicazione in più regioni, devi utilizzare il livello di rete Premium per assicura che tutti i deployment Cloud Run a livello di regione siano compatibili e pronti a gestire il traffico da qualsiasi regione.
Per configurare un bilanciatore del carico su più regioni:
- Configurare due servizi Cloud Run in regioni diverse. Supponiamo che di aver eseguito il deployment di due servizi Cloud Run: uno in una regione degli Stati Uniti e un'altra in una regione europea.
- Crea un bilanciatore del carico delle applicazioni esterno con la seguente configurazione:
- Configura un servizio di backend globale con due NEG serverless:
- Crea il primo NEG nella stessa regione del Servizio Cloud Run di cui è stato eseguito il deployment negli Stati Uniti.
- Crea il secondo NEG nella stessa regione del Servizio Cloud Run di cui è stato eseguito il deployment in Europa.
- Imposta la configurazione frontend con Premium Network Service Tiers.
- Configura un servizio di backend globale con due NEG serverless:
La configurazione risultante è mostrata nel diagramma seguente.
Questa sezione si basa sulla configurazione del bilanciatore del carico descritta in precedenza in questa pagina,
in cui hai creato un NEG serverless nella regione us-central1
che punta
a un servizio Cloud Run nella stessa regione. Inoltre, assume che tu abbia creato un secondo servizio Cloud Run nella regione europe-west1
. Il secondo NEG serverless che crei punterà
a questo servizio Cloud Run nella regione europe-west1
.
In questo esempio, dovrai completare i seguenti passaggi:
- Crea un secondo NEG serverless nella regione
europe-west1
. - Collega il secondo NEG serverless al servizio di backend.
Per aggiungere un secondo NEG serverless a un servizio di backend esistente, segui questi passaggi.
Console
Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
Fai clic sul nome del bilanciatore del carico di cui vuoi eseguire il servizio di backend modifica.
Nella pagina Dettagli del bilanciatore del carico, fai clic su
Modifica.Nella pagina Modifica bilanciatore del carico delle applicazioni esterno globale, fai clic su Configurazione backend.
Nella pagina Configurazione di backend, fai clic su
Modifica per il servizio di backend che vuoi modificare.Nella sezione Backend, fai clic su Aggiungi un backend.
Nell'elenco Gruppi di endpoint di rete serverless, seleziona Crea Gruppo di endpoint di rete serverless.
Inserisci un nome per il gruppo di elenchi di negazioni serverless.
In Regione, seleziona
europe-west1
.Per Tipo di gruppo di endpoint di rete serverless, seleziona Cloud Run e quindi procedi nel seguente modo:
- Seleziona l'opzione Seleziona servizio.
- Nell'elenco Servizio, seleziona Cloud Run servizio per il quale vuoi creare un bilanciatore del carico.
Fai clic su Crea.
Nella pagina Nuovo backend, fai clic su Fine.
Fai clic su Salva.
Per aggiornare il servizio di backend, fai clic su Aggiorna.
Per aggiornare il bilanciatore del carico, nella pagina Modifica bilanciatore del carico delle applicazioni esterno globale, fai clic su Aggiorna.
gcloud
Crea un secondo NEG serverless nella stessa regione in cui è eseguito il deployment del servizio Cloud Run.
gcloud compute network-endpoint-groups create SERVERLESS_NEG_NAME_2 \ --region=europe-west1 \ --network-endpoint-type=SERVERLESS \ --cloud-run-service=CLOUD_RUN_SERVICE_2
Sostituisci quanto segue:
SERVERLESS_NEG_NAME_2
: il nome del secondo NEG serverlessCLOUD_RUN_SERVICE_2
: il nome del servizio Cloud Run
Aggiungi il secondo NEG serverless come backend del servizio di backend.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --global \ --network-endpoint-group=SERVERLESS_NEG_NAME_2 \ --network-endpoint-group-region=europe-west1
Sostituisci quanto segue:
BACKEND_SERVICE_NAME
: il nome del servizio di backendSERVERLESS_NEG_NAME_2
: il nome del secondo NEG serverless
Utilizzare un abbonamento push Pub/Sub autenticato con un deployment Cloud Run multiregione
Per le richieste push autenticate, Cloud Run si aspetta per impostazione predefinita un campo del segmento di pubblico specifico per regione. In caso di un deployment di Cloud Run in più regioni, se la richiesta push viene indirizzata a un servizio Cloud Run in un'altra regione, la verifica del token JWT non va a buon fine a causa di una mancata corrispondenza del pubblico.
Per aggirare questa limitazione specifica per regione:
- Configurare un segmento di pubblico personalizzato e lo stesso vale per i deployment dei servizi in regioni diverse.
- Configura i messaggi push di Pub/Sub per utilizzare il segmento di pubblico personalizzato come nel token JWT.
Configura il routing a livello di regione
Un motivo comune per pubblicare applicazioni da più regioni è soddisfare i requisiti di localizzazione dei dati. Ad esempio, potresti voler garantire che le richieste effettuate dagli utenti europei vengano sempre gestite da una regione in Europa. Per farlo, hai bisogno di uno schema di URL con URL separati per utenti dell'UE e di altri utenti dell'UE e indirizzare gli utenti dell'UE agli URL dell'UE.
In questo scenario, utilizzeresti la mappa URL per indirizzare le richieste da specifiche URL alle regioni corrispondenti. Con questa configurazione, le richieste destinate a una regione non vengono mai inviate a una regione diversa. In questo modo viene garantito l'isolamento tra regioni diverse. Al contrario, quando si verifica un errore in una regione, le richieste non vengono instradate. in un'altra regione. Pertanto, questa configurazione non aumenta la disponibilità del servizio.
Per configurare il routing a livello di regione, devi utilizzare il livello di rete Premium puoi combinare diverse regioni in un'unica regola di forwarding.
Per configurare un bilanciatore del carico con routing regionale:
- Configurare due servizi Cloud Run in regioni diverse. Supponiamo che tu abbia ha eseguito il deployment di due servizi Cloud Run: hello-world-eu in una regione dell'Europa, e hello-world-us in una regione degli Stati Uniti.
- Crea un bilanciatore del carico delle applicazioni esterno con la seguente configurazione:
- Configura un servizio di backend con un NEG serverless in Europa. L'architettura serverless Il NEG deve essere creato nella stessa regione del servizio Cloud Run in Europa.
- Configura un secondo servizio di backend con un'altra NEG serverless negli Stati Uniti. Questo NEG serverless deve essere creato nella stessa regione del servizio Cloud Run di cui è stato eseguito il deployment negli Stati Uniti.
- Configura la mappa URL con le regole di host e percorso appropriate in modo che un insieme di URL venga indirizzato al servizio di backend europeo, mentre tutte le richieste vengano indirizzate al servizio di backend degli Stati Uniti.
- Imposta la configurazione frontend con il livello di rete Premium.
Il resto della configurazione può essere uguale a quello descritto in precedenza. I tuoi risultati dovrebbe avere il seguente aspetto:
Utilizza una maschera URL
Quando crei un NEG serverless, anziché selezionare un servizio Cloud Run specifico, puoi utilizzare una maschera URL per indirizzare più servizi nello stesso dominio. Una maschera URL è un modello dello schema URL. Il NEG serverless userà questo modello per estrarre il nome del servizio dall'URL della richiesta in arrivo e mappare la richiesta al servizio appropriato.
Le maschere URL sono particolarmente utili se il servizio è mappato a un dominio personalizzato anziché all'indirizzo predefinito fornito da Google Cloud per il servizio di cui è stato eseguito il deployment. Una maschera URL ti consente di scegliere come target più servizi e versioni con una singola regola anche quando la tua applicazione utilizza un pattern URL personalizzato.
Se non lo hai già fatto, assicurati di leggere la pagina Panoramica dei NEG serverless: Maschere URL.
Creare una maschera URL
Per creare una maschera URL per il bilanciatore del carico, inizia con l'URL del tuo
completamente gestito di Google Cloud. Per questo esempio, utilizzeremo un'app serverless in esecuzione
https://example.com/login
. Questo è l'URL del servizio login
dell'app
.
- Rimuovi
http
ohttps
dall'URL. Ti restanoexample.com/login
. - Sostituisci il nome del servizio con un segnaposto per la maschera URL.
- Cloud Run: sostituisci il nome del servizio Cloud Run con il
segnaposto
<service>
. Se al servizio Cloud Run è associato un tag, sostituisci il nome del tag con il segnaposto<tag>
. In questo esempio, la maschera URL che viene lasciata èexample.com/<service>
. - Funzioni Cloud Run: sostituisci il nome della funzione con il segnaposto
<function>
. In questo esempio, la maschera URL che viene lasciata èexample.com/<function>
. - App Engine: sostituisci il nome del servizio con il segnaposto
<service>
. Se al servizio è associata una versione, sostituiscila con il segnaposto<version>
. In questo esempio, la maschera URL che viene lasciata èexample.com/<service>
. - API Gateway: sostituisci il nome del gateway con il segnaposto
<gateway>
. In questo esempio, la maschera URL che viene lasciata èexample.com/<gateway>
.
- Cloud Run: sostituisci il nome del servizio Cloud Run con il
segnaposto
(Facoltativo) Se il nome del servizio (o la funzione, la versione o il tag) può essere estratti dalla porzione del percorso dell'URL,il dominio può essere omesso. La parte del percorso della maschera URL è distinta dal primo carattere
/
. Se non è presente/
nella maschera dell'URL, in cui la maschera rappresenta solo l'host. Pertanto, per questo esempio, la maschera URL può essere ridotta a/<service>
,/<gateway>
o/<function>
.Analogamente, se il nome del servizio può essere estratto dalla parte host dell'URL, puoi omettere del tutto il percorso dalla maschera URL.
Puoi anche omettere qualsiasi componente di host o di sottodominio che precede il primo segnaposto come nonché tutti i componenti del percorso dopo l'ultimo segnaposto. In questi casi, il segnaposto acquisisce le informazioni richieste per il componente.
Ecco alcuni altri esempi che dimostrano queste regole:
Cloud Run
Questa tabella presuppone che tu abbia un dominio personalizzato denominato example.com
e che tutti i tuoi servizi Cloud Run vengano mappati a questo dominio utilizzando un bilanciatore del carico delle applicazioni esterno.
Servizio, nome tag | URL del dominio personalizzato | Maschera URL |
---|---|---|
service: login | https://login-home.example.com/web | <service>-home.example.com |
service: login | https://example.com/login/web | example.com/<service> o /<service> |
service: login, tag: test | https://test.login.example.com/web | <tag>.<service>.example.com |
service: login, tag: test | https://example.com/home/login/test | example.com/home/<service>/<tag> oppure /home/<service>/<tag> |
service: login, tag: test | https://test.example.com/home/login/web | <tag>.example.com/home/<service> |
Funzioni Cloud Run
Questa tabella presuppone che tu abbia un dominio personalizzato denominato example.com
e che tutti i tuoi servizi di funzioni Cloud Run vengano mappati a questo dominio.
Nome funzione | URL del dominio personalizzato | Maschera URL |
---|---|---|
accedi | https://example.com/login | /<function> |
accedi | https://example.com/home/login | /home/<funzione> |
accedi | https://login.example.com | <function>.example.com |
accedi | https://login.home.example.com | <function>.home.example.com |
App Engine
Questa tabella presuppone che tu abbia un dominio personalizzato denominato example.com
e
tutti i tuoi servizi App Engine sono in fase di
a questo dominio.
Nome servizio, versione | URL del dominio personalizzato | Maschera URL |
---|---|---|
service: login | https://login.example.com/web | <service>.example.com |
servizio: accesso | https://example.com/home/login/web | example.com/home/<service> o /home/<service> |
service: login, version: test | https://test.example.com/login/web | <version>.example.com/<service> |
service: login, version: test | https://example.com/login/test | example.com/<service>/<version> |
API Gateway
Questa tabella presuppone che tu abbia un dominio personalizzato denominato example.com
e che tutti i tuoi servizi API Gateway siano mappati a questo dominio.
Nome gateway | URL del dominio personalizzato di API Gateway (anteprima) | Maschera URL |
---|---|---|
accedi | https://example.com/login | /<gateway> |
accedi | https://example.com/home/login | /home/<gateway> |
accedi | https://login.example.com | <gateway>.example.com |
accedi | https://login.home.example.com | <gateway>.home.example.com |
Creare un NEG serverless con una maschera URL
Console
Per un nuovo bilanciatore del carico, puoi utilizzare lo stesso processo end-to-end di descritti in precedenza in questo argomento. Quando configuri il servizio di backend, invece di selezionare un servizio specifico, inserisci una maschera URL.
Se hai già un bilanciatore del carico, puoi modificare la configurazione del backend e fare in modo che il NEG serverless punti a una maschera URL anziché a un servizio specifico.
Per aggiungere un NEG serverless basato su maschera URL a un servizio di backend esistente:
- Vai alla pagina Bilanciamento del carico nella console Google Cloud.
Vai alla pagina Bilanciamento del carico - Fai clic sul nome del bilanciatore del carico di cui vuoi modificare il servizio di backend.
- Nella pagina Dettagli del bilanciatore del carico, fai clic su Modifica .
- Nella pagina Modifica bilanciatore del carico delle applicazioni esterno globale, fai clic su Configurazione backend.
- Nella pagina Configurazione backend, fai clic su Modifica. per del servizio di backend che desideri modificare.
- Fai clic su Aggiungi backend.
- Seleziona Crea gruppo di endpoint di rete serverless.
- In Nome, inserisci
helloworld-serverless-neg
. - In Regione, seleziona us-central1.
- In Tipo di gruppo di endpoint di rete serverless, seleziona la piattaforma in cui sono state create le tue app (o i tuoi servizi o le tue funzioni) serverless.
- Seleziona Utilizza maschera URL.
- Inserisci una maschera per l'URL. Per istruzioni su come creare una maschera URL, consulta la sezione Creare una maschera URL.
- Fai clic su Crea.
- In Nome, inserisci
- Nella sezione Nuovo backend, fai clic su Fine.
- Fai clic su Aggiorna.
gcloud: Cloud Run
Per creare un NEG serverless con una maschera URL di esempio example.com/<service>
:
gcloud compute network-endpoint-groups create helloworld-neg-mask \ --region=us-central1 \ --network-endpoint-type=serverless \ --cloud-run-url-mask="example.com/<service>"
gcloud: funzioni Cloud Run
Per creare un NEG serverless con una maschera URL di esempio example.com/<service>
:
gcloud compute network-endpoint-groups create helloworld-neg-mask \ --region=us-central1 \ --network-endpoint-type=serverless \ --cloud-function-url-mask="example.com/<service>"
gcloud: App Engine
Per creare un NEG serverless con una maschera URL di esempioexample.com/<service>
:
gcloud compute network-endpoint-groups create helloworld-neg-mask \ --region=us-central1 \ --network-endpoint-type=serverless \ --app-engine-url-mask="example.com/<service>"
gcloud: API Gateway
Per creare un NEG serverless con una maschera URL di esempioexample.com/<gateway>
:
gcloud beta compute network-endpoint-groups create helloworld-neg-mask \ --region=us-central1 \ --network-endpoint-type=serverless \ --serverless-deployment-platform=apigateway.googleapis.com \ --serverless-deployment-resource=my-gateway \ --serverless-deployment-url-mask="example.com/<gateway>"
Per scoprire come il bilanciatore del carico gestisce i problemi relativi alle mancate corrispondenze delle maschere degli URL, consulta Risoluzione dei problemi relativi al serverless NEG.
Sposta il tuo dominio personalizzato in modo che venga gestito dal bilanciatore del carico delle applicazioni esterno
Se le tue app di calcolo serverless vengono mappate a domini personalizzati, potresti dover aggiornare i record DNS in modo che il traffico inviato agli URL di dominio personalizzati esistenti di Cloud Run, Cloud Functions, API Gateway o App Engine venga indirizzato tramite il bilanciatore del carico.
Ad esempio, se hai un dominio personalizzato denominato example.com
e tutti i tuoi servizi Cloud Run sono mappati a questo dominio, devi aggiornare il record DNS per example.com
in modo che punti all'indirizzo IP del bilanciatore del carico.
Prima di aggiornare i record DNS, puoi testare la configurazione localmente forzando la risoluzione DNS locale del dominio personalizzato all'indirizzo IP del bilanciatore del carico. Per eseguire il test in locale, modifica il file /etc/hosts/
su
la tua macchina locale in modo che punti example.com
all'indirizzo IP del bilanciatore del carico oppure
usa il flag curl --resolve
per forzare curl
a usare l'IP del bilanciatore del carico
per la richiesta.
Quando il record DNS per example.com
risolve nell'indirizzo IP del bilanciatore del carico HTTP(S), le richieste inviate a example.com
iniziano a essere inoltrate tramite il bilanciatore del carico. Il bilanciatore del carico le invia al servizio di backend pertinente in base alla mappa URL. Inoltre, se il servizio di backend è configurato con
una maschera URL, il NEG serverless utilizza la maschera per instradare la richiesta
le funzioni Cloud Run, Cloud Run,
API Gateway o servizio App Engine.
Abilita Cloud CDN
L'attivazione di Cloud CDN per il servizio Cloud Run consente di ottimizzare la distribuzione dei contenuti memorizzandoli nella cache vicino agli utenti.
Puoi attivare Cloud CDN sui servizi di backend utilizzati dai bilanciatori del carico delle applicazioni esterni globali utilizzando il comando gcloud compute
backend-services update
.
gcloud compute backend-services update helloworld-backend-service
--enable-cdn
--global
Cloud CDN è supportato per i servizi di backend con Cloud Run, le funzioni di Cloud Run, API Gateway e App Engine.
Abilita IAP sul bilanciatore del carico delle applicazioni esterno
Nota: IAP non è compatibile con Cloud CDN.Puoi configurare gli acquisti in-app in modo che siano attivati o disattivati (impostazione predefinita). Se attivata, devi fornire valori per
oauth2-client-id
e oauth2-client-secret
.
Per abilitare l'IAP, aggiorna il servizio di backend in modo da includere il flag --iap=enabled
con oauth2-client-id
e oauth2-client-secret
.
gcloud compute backend-services update BACKEND_SERVICE_NAME \ --iap=enabled,oauth2-client-id=ID,oauth2-client-secret=SECRET \ --global
Se vuoi, puoi abilitare l'IAP per una risorsa Compute Engine utilizzando la console Google Cloud, gcloud CLI o l'API.
Attivare Google Cloud Armor
Google Cloud Armor è un prodotto di sicurezza che fornisce dagli attacchi DDoS (Distributed Denial-of-Service) a tutti Bilanciatori del carico proxy GCLB. Google Cloud Armor fornisce inoltre sicurezza configurabile ai servizi a cui si accede tramite un bilanciatore del carico delle applicazioni esterno. Per saperne di più I criteri di sicurezza di Google Cloud Armor per i bilanciatori del carico delle applicazioni esterni; consulta Panoramica dei criteri di sicurezza di Google Cloud Armor.
Se utilizzi le funzioni Cloud Run, puoi assicurarti che le richieste inviate agli URL predefiniti vengano bloccate utilizzando l'impostazione di ingresso internal-and-gclb
.
Se utilizzi Cloud Run, puoi assicurarti che le richieste inviate agli URL predefiniti o a qualsiasi altro dominio personalizzato configurato tramite Cloud Run vengano bloccate limitando l'accesso in entrata a "Bilanciamento del carico interno e sul cloud".
Se utilizzi App Engine, puoi utilizzare il traffico in entrata controlli in modo che la tua app riceva solo le richieste inviate dal bilanciatore del carico (e dal VPC se la utilizzi).
Senza le impostazioni di traffico in entrata corrette, gli utenti possono utilizzare URL predefinito per bypassare il bilanciatore del carico, sicurezza di Google Cloud Armor criteri, certificati SSL e chiavi private che vengono trasmessi attraverso il caricamento con il bilanciatore del carico di rete passthrough esterno regionale.
(Facoltativo) Configura un criterio di sicurezza di backend predefinito. Il livello di sicurezza predefinito il criterio limita il traffico al di sopra di una soglia configurata dall'utente. Per ulteriori informazioni sui criteri di sicurezza predefiniti, consulta la Panoramica del limite di velocità.
- Per disattivare il criterio di sicurezza predefinito di Google Cloud Armor, seleziona
None
nel menu elenco dei criteri di sicurezza del backend. - Nella sezione Sicurezza, seleziona Criteri di sicurezza predefiniti.
- Nel campo Nome norma, accetta i Termini e condizioni d'uso generato o inserisci un nome per il criterio di sicurezza.
- Nel campo Conteggio richieste, accetta la richiesta predefinita
conteggio o inserisci un numero intero compreso tra
1
e10,000
. - Nel campo Intervallo, seleziona un intervallo.
- Nel campo Applica a chiave, scegli uno dei seguenti valori: Tutti, Indirizzo IP o Indirizzo IP X-Forwarded-For. Per ulteriori informazioni per queste opzioni, consulta Identificazione dei clienti per la limitazione di frequenza.
Attivare il logging e il monitoraggio
Puoi attivare, disattivare e visualizzare i log per un servizio di backend del bilanciatore del carico delle applicazioni esterno. Quando utilizzi la console Google Cloud, il logging è abilitato per impostazione predefinita
per i servizi di backend con backend NEG serverless. Puoi utilizzare gcloud
per disattivare la registrazione per ogni servizio di backend, se necessario. Per istruzioni, vedi
Registrazione.
Il bilanciatore del carico esporta anche i dati di monitoraggio in Cloud Monitoring. Le metriche di monitoraggio consentono di valutare la configurazione di un bilanciatore del carico, utilizzo e prestazioni. Le metriche possono essere utilizzate anche per risolvere i problemi e migliorare l'utilizzo delle risorse e l'esperienza utente. Per istruzioni, vedi Monitoraggio.
Elimina un NEG serverless
Un gruppo di endpoint di rete non può essere eliminato se è collegato a un backend completamente gestito di Google Cloud. Prima di eliminare un gruppo di esclusioni, assicurati che sia scollegato dal servizio di backend.
Console
- Per assicurarti che il NEG serverless che vuoi eliminare non sia attualmente
in uso da un servizio di backend, vai alla scheda Servizi di backend nel
Menu avanzato del bilanciamento del carico.
Vai alla scheda Servizi di backend - Se il NEG serverless è attualmente in uso:
- Fai clic sul nome del servizio di backend che utilizza il NEG serverless.
- Fai clic su Modifica .
- Nell'elenco Backend, fai clic su per rimuovere il backend NEG serverless dal servizio di backend.
- Fai clic su Salva.
- Vai alla pagina Gruppo di endpoint di rete nella console Google Cloud.
Vai alla pagina Gruppo di endpoint di rete - Seleziona la casella di controllo per il gruppo di elenchi di negazioni serverless da eliminare.
- Fai clic su Elimina.
- Fai di nuovo clic su Elimina per confermare.
gcloud
Per rimuovere un NEG serverless da un servizio di backend, devi specificare la regione in cui è stato creato il NEG. Devi anche specificare il --global
flag perché helloworld-backend-service
è una risorsa globale.
gcloud compute backend-services remove-backend helloworld-backend-service \ --network-endpoint-group=helloworld-serverless-neg \ --network-endpoint-group-region=us-central1 \ --global
Per eliminare il NEG serverless:
gcloud compute network-endpoint-groups delete helloworld-serverless-neg \ --region=us-central1
Passaggi successivi
- Utilizzare il logging e il monitoraggio
- Risoluzione dei problemi relativi alle NEG serverless
- Pulisci la configurazione del bilanciatore del carico
- Utilizzo di un modulo Terraform per un bilanciatore del carico HTTPS esterno con un Cloud Run di backend