Eine Netzwerk-Endpunktgruppe (NEG) ist eine Gruppe von Back-End-Endpunkten für einen Load-Balancer. Eine serverlose NEG ist ein Back-End, das auf einen Cloud Run-, App Engine- oder Cloud Functions-Dienst verweist.
Eine serverlose NEG kann Folgendes darstellen:
- Einen Cloud Run-Dienst oder eine Gruppe von Diensten mit demselben URL-Muster
- Eine Cloud Functions-Funktion oder eine Gruppe von Funktionen mit demselben URL-Muster
- Eine App Engine-Anwendung (Standard oder Flex), einen bestimmten Dienst innerhalb einer Anwendung oder sogar eine bestimmte Version einer Anwendung
Auf dieser Seite wird erläutert, wie Sie einen externen HTTP(S)-Load-Balancer erstellen, um Anfragen zum serverlosen Back-Ends zu leiten. Der Begriff "serverlos" bezieht sich hier auf die folgenden serverlosen Computing-Produkte: App Engine, Cloud Functions und Cloud Run (vollständig verwaltet).
Serverlose NEGs bieten Ihnen die Möglichkeit, serverlose Google Cloud-Anwendungen mit externem HTTP(S)-Load-Balancing zu verwenden. Nachdem Sie einen Load-Balancer mit dem serverlosen NEG-Back-End konfiguriert haben, werden Anfragen an den Load-Balancer zum serverlosen Back-End der Anwendung geleitet.
Vorbereitung
Erledigen Sie zuerst Folgendes:
- Lesen Sie die Übersicht über serverlose NEGs.
- Stellen Sie einen App Engine-, Cloud Functions- oder Cloud Run-Dienst (vollständig verwaltet) bereit.
- Installieren Sie das Google Cloud SDK.
- Konfigurieren Sie Berechtigungen.
- Fügen Sie eine SSL-Zertifikatsressource hinzu.
App Engine-, Cloud Functions- oder Cloud Run-Dienst (vollständig verwaltet) bereitstellen
Bei den Anleitungen auf dieser Seite wird davon ausgegangen, dass Sie bereits einen (vollständig verwalteten) Cloud Run-, Cloud Functions- oder App Engine-Dienst ausführen.
Für das Beispiel auf dieser Seite wurde die Python-Kurzanleitung für Cloud Run (vollständig verwaltet) verwendet, um den helloworld
-Dienst in der Region us-central1
bereitzustellen. Auf dem Rest dieser Seite wird gezeigt, wie Sie einen externen HTTP(S)-Load-Balancer einrichten, der ein serverloses NEG-Back-End verwendet, um Anfragen zum helloworld
-Dienst zu leiten.
Wenn Sie noch keine serverlose Anwendung bereitgestellt haben oder eine serverlose NEG mit einer Beispielanwendung ausprobieren möchten, nutzen Sie eine der folgenden Kurzanleitungen. Sie können eine serverlose Anwendung in jeder Region erstellen, aber Sie müssen später zum Erstellen der serverlosen NEG und des Load-Balancers dieselbe Region verwenden.
Cloud Run (vollständig verwaltet)
Informationen zum Erstellen einer einfachen Hello World-Anwendung finden Sie unter Kurzanleitung: Erstellen und Bereitstellen. Dazu wird die Anwendung in einem Container-Image verpackt und anschließend das Container-Image in Cloud Run (vollständig verwaltet) bereitgestellt.
Wenn Sie bereits einen Beispielcontainer nach Container Registry hochgeladen haben, finden Sie weitere Informationen unter Kurzanleitung: Vorgefertigten Beispielcontainer bereitstellen.
Cloud Functions
Siehe Cloud Functions: Python-Kurzanleitung.
App Engine
Informationen finden Sie in den folgenden App Engine-Kurzanleitungen für Python 3:
Google Cloud SDK installieren
Installieren Sie das gcloud
-Befehlszeilentool. In der gcloud-Übersicht finden Sie Informationen zum Konzept und zur Installation des Tools.
Wenn Sie das gcloud
-Befehlszeilentool bisher noch nicht verwendet haben, führen Sie zuerst gcloud init
aus, um Ihr gcloud-Verzeichnis zu initialisieren.
Berechtigungen konfigurieren
Um dieser Anleitung zu folgen, müssen Sie in einem Projekt eine serverlose NEG und einen externen HTTP(S)-Load-Balancer erstellen. Sie sollten entweder Inhaber oder Bearbeiter des Projekts sein oder die folgenden IAM-Rollen für Compute Engine haben:
Aufgabe | Erforderliche Rolle |
---|---|
Load-Balancer und Netzwerkkomponenten erstellen | Netzwerkadministrator |
NEGs erstellen und ändern | Compute-Instanzadministrator |
SSL-Zertifikate erstellen und ändern | Sicherheitsadministrator |
Externe IP-Adresse reservieren
Nachdem die Dienste nun ausgeführt werden, müssen Sie eine globale statische externe IP-Adresse einrichten, über die Ihre Kunden den Load-Balancer erreichen können.
Console
- Rufen Sie in der Google Cloud Console die Seite "Externe IP-Adressen" auf.
Zur Seite "Externe IP-Adressen" - Klicken Sie auf Statische Adresse reservieren, um eine IPv4-Adresse zu reservieren.
- Weisen Sie als Name
example-ip
zu. - Legen Sie für die Netzwerkstufe Premium fest.
- Setzen Sie die IP-Version auf IPv4.
- Legen Sie für Typ Global fest.
- Klicken Sie auf Reservieren.
gcloud
gcloud compute addresses create example-ip \ --ip-version=IPV4 \ --global
Notieren Sie sich die reservierte IPv4-Adresse:
gcloud compute addresses describe example-ip \ --format="get(address)" \ --global
SSL-Zertifikatsressource erstellen
Wenn Sie einen HTTPS-Load-Balancer erstellen möchten, müssen Sie dem Front-End des Load-Balancers eine SSL-Zertifikatsressource hinzufügen. Erstellen Sie eine SSL-Zertifikatsressource mit einem von Google verwalteten SSL-Zertifikat oder einem selbst verwalteten SSL-Zertifikat.
Von Google verwaltete Zertifikate. Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert. Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain und die DNS-Einträge für diese Domain, damit das Zertifikat bereitgestellt werden kann. Wenn Sie noch keine Domain haben, können Sie eine Domain von Google Domains erhalten. Außerdem müssen Sie den DNS-A-Eintrag der Domain so aktualisieren, dass er auf die IP-Adresse des Load-Balancers verweist, die im vorherigen Schritt erstellt wurde (
example-ip
). Eine ausführliche Anleitung finden Sie unter Von Google verwaltete Zertifikate verwenden.Selbst signierte Zertifikate. Wenn Sie derzeit keine Domain einrichten möchten, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden.
In diesem Beispiel wird davon ausgegangen, dass Sie bereits eine SSL-Zertifikatsressource erstellt haben.
Wenn Sie diesen Prozess testen möchten, ohne eine SSL-Zertifikatsressource bzw. eine Domain (für von Google verwaltete Zertifikate erforderlich) zu erstellen, folgen Sie der Anleitung auf dieser Seite, um stattdessen einen HTTP-Load-Balancer einzurichten.
Externen HTTP(S)-Load-Balancer erstellen
Im folgenden Diagramm verwendet der Load-Balancer ein serverloses NEG-Back-End, um Anfragen zu einem serverlosen (vollständig verwalteten) Cloud Run-Dienst zu leiten. Für dieses Beispiel wurde die Python-Kurzanleitung für Cloud Run (vollständig verwaltet) verwendet, um den helloworld-python
-Dienst bereitzustellen.
Da Systemdiagnosen für Back-End-Dienste mit serverlosen NEG-Back-Ends nicht unterstützt werden, müssen Sie keine Firewallregel erstellen, die Systemdiagnosen zulässt, wenn der Load-Balancer nur serverlose NEG-Back-Ends hat.
Console
Load-Balancer benennen
- Öffnen Sie in der Google Cloud Console die Seite "Load-Balancing".
Zur Seite "Load-Balancing" - Klicken Sie unter HTTP(S)-Load-Balancing auf Konfiguration starten.
- Wählen Sie unter Internet oder nur intern die Option Vom Internet zu meinen VMs aus.
- Klicken Sie auf Weiter.
- Geben Sie
helloworld-lb
als Name für den Load-Balancer ein. - Lassen Sie das Fenster geöffnet, um fortzufahren.
Back-End-Dienste konfigurieren
- Klicken Sie auf Back-End-Konfiguration.
- Halten Sie im Drop-down-Menü Back-End-Dienst erstellen oder auswählen den Mauszeiger auf Back-End-Dienste und wählen Sie Back-End-Dienst erstellen aus.
- Legen Sie als Name für den Back-End-Dienst
helloworld-backend-service
fest. - Wählen Sie unter Back-End-Typ die Option Serverlose Netzwerk-Endpunktgruppe aus.
- Wählen Sie im Drop-down-Menü Protokoll die Option HTTPS aus.
- Wählen Sie unter Back-Ends im Fenster Neues Back-End die Option Serverlose Netzwerk-Endpunktgruppe erstellen aus.
- Geben Sie im Feld Name
helloworld-serverless-neg
ein. - Wählen Sie unter Region die Option us-central1 aus.
- Wählen Sie einen Gruppentyp für den serverlosen Netzwerkendpunkt aus. In diesem Beispiel wird ein (vollständig verwalteter) Cloud Run-Dienst verwendet. Wählen Sie daher Cloud Run aus.
- Wählen Sie Dienstname auswählen aus.
- Wählen Sie in der Drop-down-Liste Dienst den Dienst helloworld aus.
- Klicken Sie auf Erstellen.
- Geben Sie im Feld Name
- Klicken Sie im Fenster Neues Back-End auf Fertig.
- (Optional) Wählen Sie Cloud CDN aktivieren aus.
- Klicken Sie auf Erstellen.
Hostregeln und Pfad-Matcher konfigurieren
Hostregeln und Pfad-Matcher sind Konfigurationskomponenten der URL-Zuordnung eines externen HTTP(S)-Load-Balancers.
- Klicken Sie auf Host- und Pfadregeln.
- Behalten Sie die Standardhosts und -pfade bei. Das bedeutet, dass alle Anfragen an helloworld-backend-service gesendet werden.
Front-End konfigurieren
- Klicken Sie auf Front-End-Konfiguration.
- Geben Sie einen Namen ein.
Sie benötigen ein SSL-Zertifikat (
gcloud compute ssl-certificates list
), um einen HTTPS-Load-Balancer zu erstellen. Wir empfehlen die Verwendung eines von Google verwalteten Zertifikats, wie weiter oben beschrieben. Füllen Sie die folgenden Felder aus, um einen externen HTTP(S)-Load-Balancer zu konfigurieren.Prüfen Sie, ob die folgenden Optionen mit diesen Werten konfiguriert sind:
Attribut Wert (Wert eingeben bzw. Option auswählen) Protokoll HTTPS Netzwerkdienststufe Premium IP-Version IPv4 IP-Adresse Beispiel-IP Port 443 Zertifikat Wählen Sie ein vorhandenes SSL-Zertifikat aus oder erstellen Sie ein neues.
Zum Erstellen eines HTTPS-Load-Balancers benötigen Sie eine SSL-Zertifikatsressource, die im HTTPS-Proxy verwendet werden kann. Sie können eine SSL-Zertifikatsressource entweder mithilfe eines selbstverwalteten SSL-Zertifikats oder eines von Google verwalteten SSL-Zertifikats erstellen.
Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain. Der A-Eintrag der Domain muss in die IP-Adresse des Load-Balancers aufgelöst werden (in diesem Beispiel example-ip). Es wird empfohlen, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert. Wenn Sie keine Domain haben, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden.Wenn Sie diesen Prozess testen möchten, ohne eine SSL-Zertifikatsressource (oder eine Domain, wie sie für von Google verwalteten Zertifikaten erforderlich sind) einzurichten, können Sie einen HTTP-Load-Balancer einrichten.
Wenn Sie einen HTTP-Load-Balancer erstellen möchten, müssen die folgenden Optionen mit diesen Werten konfiguriert sein:Attribut Wert (Wert eingeben bzw. Option auswählen) Protokoll HTTP Netzwerkdienststufe Premium IP-Version IPv4 IP-Adresse Beispiel-IP Port 80 Klicken Sie auf Fertig.
Konfiguration prüfen
- Klicken Sie auf Prüfen und abschließen.
- Prüfen Sie Back-End, Host- und Pfadregeln und das Front-End.
- Klicken Sie auf Erstellen.
- Warten Sie, bis der Load-Balancer erstellt ist.
- Klicken Sie auf den Namen des Load-Balancers (helloworld-lb).
- Notieren Sie die IP-Adresse des Load-Balancers für die nächste Aufgabe. Sie wird als
IP_ADDRESS
bezeichnet.
gcloud
- Erstellen Sie eine serverlose NEG für Ihren (vollständig verwalteten) Cloud Run-Dienst.
In diesem Beispiel wird davon ausgegangen, dass Sie einen (vollständig verwalteten) Cloud Run-Dienst namens helloworld bereitgestellt haben.
gcloud compute network-endpoint-groups create helloworld-serverless-neg \ --region=us-central1 \ --network-endpoint-type=serverless \ --cloud-run-service=helloworld
Informationen zum Erstellen einer NEG für einen App Engine-Dienst oder eine Cloud Functions-Funktion finden Sie in dergcloud
-Übersicht fürgcloud compute network-endpoint-groups create
. - Erstellen Sie einen Back-End-Dienst und fügen Sie ihm die serverlose NEG als Back-End hinzu:
gcloud compute backend-services create helloworld-backend-service \ --global
gcloud compute backend-services add-backend helloworld-backend-service \ --global \ --network-endpoint-group=helloworld-serverless-neg \ --network-endpoint-group-region=us-central1
- Erstellen Sie eine URL-Zuordnung, um eingehende Anfragen zum Back-End-Dienst helloworld-backend-service zu leiten:
gcloud compute url-maps create helloworld-url-map \ --default-service helloworld-backend-service
Diese beispielhafte URL-Zuordnung ist nur auf einen Back-End-Dienst ausgerichtet, der einen einzelnen (vollständig verwalteten) Cloud Run-Dienst darstellt. Daher müssen keine Hostregeln oder Tools zum Abgleich von Pfaden eingerichtet werden. Wenn Sie mehr als einen Back-End-Dienst haben, können Sie Hostregeln verwenden, um Anfragen basierend auf dem Hostnamen zu verschiedenen Diensten zu leiten. Sie können auch Tools zum Abgleich von Pfaden einrichten, um Anfragen basierend auf dem Anfragepfad zu verschiedenen Diensten zu leiten. -
Um einen HTTPS-Load-Balancer zu erstellen, benötigen Sie eine SSL-Zertifikatsressource, die im HTTPS-Proxy verwendet werden soll. Sie können eine SSL-Zertifikatsressource mit einem von Google verwalteten SSL-Zertifikat oder einem selbstverwalteten SSL-Zertifikat erstellen. Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert.
Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain. Wenn Sie keine Domain haben, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden.
So erstellen Sie eine von Google verwaltete SSL-Zertifikatsressource namens www-ssl-cert:gcloud compute ssl-certificates create www-ssl-cert \ --domains [DOMAIN]
So erstellen Sie eine selbstverwaltete SSL-Zertifikatsressource namens www-ssl-cert:gcloud compute ssl-certificates create www-ssl-cert \ --certificate [CRT_FILE_PATH] \ --private-key [KEY_FILE_PATH]
- Erstellen Sie einen HTTP(S)-Zielproxy, um Anfragen an Ihre URL-Zuordnung weiterzuleiten:
Erstellen Sie für einen HTTP-Load-Balancer einen HTTP-Zielproxy:gcloud compute target-http-proxies create helloworld-http-proxy \ --url-map=helloworld-url-map
Erstellen Sie für einen HTTPS-Load-Balancer einen HTTPS-Zielproxy. Der Proxy ist der Teil des Load-Balancers, der das SSL-Zertifikat für den HTTPS-Load-Balancer besitzt. Daher laden Sie in diesem Schritt auch Ihr Zertifikat.gcloud compute target-https-proxies create helloworld-https-proxy \ --ssl-certificates=www-ssl-cert \ --url-map=helloworld-url-map
- Erstellen Sie eine globale Weiterleitungsregel, um eingehende Anfragen an den Proxy weiterzuleiten.
Für einen HTTP-Load-Balancer:gcloud compute forwarding-rules create http-forwarding-rule \ --address=example-ip \ --target-http-proxy=helloworld-http-proxy \ --global \ --ports=80
Für einen HTTPS-Load-Balancer:gcloud compute forwarding-rules create https-forwarding-rule \ --address=example-ip \ --target-https-proxy=helloworld-https-proxy \ --global \ --ports=443
DNS-Einträge Ihrer Domain aktualisieren, um die IP-Adresse des Load-Balancers zu verwenden
Wenn Sie dies noch nicht getan haben, aktualisieren Sie den DNS-A-Eintrag Ihrer Domain so, dass er auf die IP-Adresse des Load-Balancers verweist. Dann wird Traffic, der an die vorhandenen benutzerdefinierten Domain-URLs von Cloud Run (vollständig verwaltet) oder App Engine stattdessen über den Load-Balancer weitergeleitet.
Wenn Sie z. B. eine benutzerdefinierte Domain mit dem Namen example.com
haben und alle (vollständig verwalteten) Cloud Run-Dienste dieser Domain zugeordnet sind, sollten Sie den DNS-A-Eintrag entsprechend aktualisieren, damit example.com
auf die IP-Adresse des Load-Balancers verweist.
Bevor Sie die DNS-Einträge aktualisieren, können Sie Ihre Konfiguration lokal testen. Erzwingen Sie dazu die lokale DNS-Auflösung der benutzerdefinierten Domain in die IP-Adresse des Load-Balancers. Passen Sie für lokale Tests entweder die Datei /etc/hosts/
auf Ihrem lokalen Computer an, damit example.com
auf die IP-Adresse des Load-Balancers verweist, oder verwenden Sie das Flag curl --resolve
, damit curl
für die Anfrage die IP-Adresse des Load-Balancers verwendet.
Wird der DNS-Eintrag für example.com
in die IP-Adresse des HTTP(S)-Load-Balancers aufgelöst, dann werden an example.com
gesendete Anfragen über den Load-Balancer geleitet. Der Load-Balancer leitet sie je nach URL-Zuordnung an den entsprechenden Back-End-Dienst weiter. Wenn der Back-End-Dienst mit einer URL-Maske konfiguriert ist, verwendet die serverlose NEG außerdem die Maske, um die Anfrage zum entsprechenden (vollständig verwalteten) Cloud Run-, Cloud Functions- oder App Engine-Dienst zu leiten.
Wenn Sie von Google verwaltete Zertifikate verwenden, kann die Migration eines vorhandenen Dienstes zu einem externen HTTP(S)-Load-Balancer zu einer Ausfallzeit führen. In der Regel beträgt diese weniger als eine Stunde. Dies liegt daran, dass das SSL-Zertifikat für Ihren externen HTTP(S)-Load-Balancer erst bereitgestellt wird, wenn Sie Ihre DNS-Einträge so aktualisieren, dass sie auf die IP-Adresse des Load-Balancers verweisen.
Externen HTTP(S)-Load-Balancer testen
Nachdem Sie den Load-Balancer konfiguriert haben, können Sie Traffic an die IP-Adresse des Load-Balancers senden. Wenn Sie eine Domain konfiguriert haben, können Sie auch Traffic an den Domainnamen senden. Die DNS-Weitergabe kann jedoch einige Zeit in Anspruch nehmen. Sie können also erst einmal die IP-Adresse zu Testzwecken verwenden.
- Öffnen Sie in der Google Cloud Console die Seite "Load-Balancing".
Zur Seite "Load-Balancing" - Klicken Sie auf den Load-Balancer, den Sie gerade erstellt haben.
- Notieren Sie sich die IP-Adresse des Load-Balancers.
Wenn Sie einen HTTP-Load-Balancer erstellt haben, können Sie ihn mit einem Webbrowser testen. Rufen Sie dafür
http://IP_ADDRESS
auf. Ersetzen SieIP_ADDRESS
durch die IP-Adresse des Load-Balancers. Sie sollten zur Startseite deshelloworld
-Dienstes geleitet werden.Wenn Sie einen HTTPS-Load-Balancer erstellt haben, können Sie den Load-Balancer mit einem Webbrowser testen. Rufen Sie dafür
https://IP_ADDRESS
auf. Ersetzen SieIP_ADDRESS
durch die IP-Adresse des Load-Balancers. Sie sollten zur Startseite deshelloworld
-Dienstes geleitet werden.Wenn dies nicht funktioniert und Sie ein von Google verwaltetes Zertifikat verwenden, prüfen Sie, ob der Status der Zertifikatsressource AKTIV ist. Weitere Informationen finden Sie unter Status der von Google verwalteten SSL-Zertifikatsressourcen.
Wenn Sie ein selbst signiertes Zertifikat zu Testzwecken genutzt haben, zeigt Ihr Browser eine Warnung an. Sie müssen Ihrem Browser ausdrücklich anweisen, ein selbst signiertes Zertifikat zu akzeptieren. Bestätigen Sie die Warnung, um die eigentliche Seite zu sehen.
Alternativ können Sie curl über die Befehlszeile Ihres lokalen Computers verwenden. Ersetzen Sie IP_ADDRESS durch die IPv4-Adresse des Load-Balancers: Sie sollten zur Startseite des
helloworld
-Dienstes geleitet werden.Wenn Sie ein von Google verwaltetes Zertifikat verwenden, testen Sie die Domain, die auf die IP-Adresse des Load-Balancers verweist. Beispiel:
curl -k -s 'https://test.example.com:443' --connect-to test.example.com:443:IP_ADDRESS:443
Wenn Sie ein selbst signiertes Zertifikat verwenden, müssen Sie auch das Flag
-k
angeben. Mit der curl-Option-k
funktioniert curl, wenn Sie ein selbst signiertes Zertifikat haben. Sie sollten den Parameter-k
nur verwenden, um Ihre eigene Website zu testen. Unter normalen Umständen ist die Prüfung auf ein gültiges Zertifikat eine wichtige Sicherheitsmaßnahme und Zertifikatwarnungen sollten nicht ignoriert werden.(Optional) Wenn Sie eine benutzerdefinierte Domain verwenden, müssen Sie möglicherweise warten, bis die aktualisierten DNS-Einstellungen wirksam werden. Testen Sie dann Ihre Domain (z. B.
https://test.example.com
) im Webbrowser. Sie sollten zur Startseite deshelloworld
-Dienstes weitergeleitet werden.
Zusätzliche Konfigurationsoptionen
In diesem Abschnitt wird die Konfiguration des Beispiels um alternative und zusätzliche Optionen erweitert. Alle Aufgaben sind optional. Sie können sie in beliebiger Reihenfolge ausführen.
Multiregionales Load-Balancing einrichten
Im oben beschriebenen Beispiel wird als Back-End nur ein einzelner (vollständig verwalteter) Cloud Run-Dienst verwendet. Da die serverlose NEG nur jeweils auf einen Endpunkt verweisen kann, erfolgt kein Load-Balancing. Der externe HTTP(S)-Load-Balancer dient nur als Front-End und leitet den Traffic an den angegebenen Endpunkt der helloworld
-Anwendung weiter. Unter Umständen ist es jedoch vorteilhafter, wenn Sie Ihre (vollständig verwaltete) Cloud Run-Anwendung in mehreren Regionen bereitstellen, um die Verfügbarkeit Ihres Dienstes sowie die Latenz für die Nutzer zu verbessern.
Wenn ein Back-End-Dienst mehrere NEGs enthält, sorgt der Load-Balancer für ausgewogenen Traffic, indem Anfragen zur serverlosen NEG in der nächsten verfügbaren Region weitergeleitet werden. Back-End-Dienste können jedoch pro Region nur eine serverlose NEG enthalten. Damit Ihr (vollständig verwalteter) Cloud Run-Dienst in mehreren Regionen verfügbar ist, müssen Sie regionenübergreifendes Routing einrichten. Sie sollten ein einziges URL-Schema verwenden können, das überall auf der Welt funktioniert, aber Nutzeranfragen über die Region verarbeitet, die dem Nutzer am nächsten ist. Wenn die nächstgelegene Region nicht verfügbar ist oder nicht genügend Kapazitäten hat, wird die Anfrage zu einer anderen Region geleitet.
Zum Einrichten der multiregionalen Bereitstellung müssen Sie die Premium-Netzwerkstufe verwenden. So können Sie sicherstellen, dass alle regionalen (vollständig verwalteten) Cloud Run-Bereitstellungen kompatibel sind und Traffic aus jeder Region bereitstellen können.
So richten Sie einen Load-Balancer für mehrere Regionen ein:
- Richten Sie zwei (vollständig verwaltete) Cloud Run-Dienste in verschiedenen Regionen ein. Angenommen, Sie haben zwei (vollständig verwaltete) Cloud Run-Dienste bereitgestellt: einen in einer Region in Europa und einen anderen in einer Region in den USA.
- Erstellen Sie einen externen HTTP(S)-Load-Balancer mit der folgenden Konfiguration:
- Richten Sie einen globalen Back-End-Dienst mit zwei serverlosen NEGs ein.
- Erstellen Sie die erste NEG in derselben Region, in der sich der in Europa bereitgestellte Cloud Run-Dienst befindet.
- Erstellen Sie die zweite NEG in derselben Region, in der sich der in den USA bereitgestellte Cloud Run-Dienst befindet.
- Richten Sie Ihre Front-End-Konfiguration mit der Premium-Netzwerkstufe ein.
- Richten Sie einen globalen Back-End-Dienst mit zwei serverlosen NEGs ein.
Der Rest der Konfiguration kann wie zuvor beschrieben sein. Die resultierende Konfiguration sollte etwa so aussehen:
Regionales Routing einrichten
Ein häufiger Grund für die Bereitstellung von Anwendungen in mehreren Regionen besteht darin, die Anforderungen an die Datenlokalität zu erfüllen. So können Sie beispielsweise sicherstellen, dass Anfragen von europäischen Nutzern immer in einer Region in Europa bearbeitet werden. Zum Einrichten benötigen Sie ein URL-Schema mit separaten URLs für Nutzer aus der EU und aus Nicht-EU-Ländern und müssen EU-Nutzer zu den URLs in der EU leiten.
In einem solchen Szenario würden Sie die URL-Zuordnung verwenden, um Anfragen von bestimmten URLs zu den entsprechenden Regionen zu leiten. Bei einer solchen Konfiguration werden Anfragen für eine Region niemals an eine andere Region gesendet. Dies sorgt für eine Isolierung der Regionen. Wenn dagegen eine Region ausfällt, werden Anfragen nicht zu einer anderen Region geleitet. Diese Konfiguration erhöht also nicht die Verfügbarkeit Ihres Dienstes.
Zum Einrichten des regionalen Routings müssen Sie die Premium-Netzwerkstufe verwenden, damit Sie verschiedene Regionen in einer Weiterleitungsregel kombinieren können.
So richten Sie einen Load-Balancer mit regionalem Routing ein:
- Richten Sie zwei (vollständig verwaltete) Cloud Run-Dienste in verschiedenen Regionen ein. Angenommen, Sie haben zwei (vollständig verwaltete) Cloud Run-Dienste bereitgestellt: "hello-world-eu" in einer Region in Europa und "hello-world-us" in einer Region in den USA.
- Erstellen Sie einen externen HTTP(S)-Load-Balancer mit der folgenden Konfiguration:
- Richten Sie einen Back-End-Dienst mit einer serverlosen NEG in Europa ein. Die serverlose NEG muss in derselben Region in Europa erstellt werden, in der sich der (vollständig verwaltete) Cloud Run-Dienst befindet.
- Richten Sie einen zweiten Back-End-Dienst mit einer anderen serverlosen NEG in den USA ein. Diese serverlose NEG muss in derselben Region in den USA erstellt werden, in der sich der (vollständig verwaltete) Cloud Run-Dienst befindet.
- Richten Sie Ihre URL-Zuordnung mit den entsprechenden Host- und Pfadregeln ein, sodass eine Gruppe von URLs zum europäischen Back-End-Dienst leitet. Alle Anfragen werden dagegen zum Back-End-Dienst in den USA geleitet.
- Richten Sie Ihre Front-End-Konfiguration mit der Premium-Netzwerkstufe ein.
Der Rest der Konfiguration kann wie zuvor beschrieben sein. Die resultierende Konfiguration sollte etwa so aussehen:
URL-Maske verwenden
Beim Erstellen einer serverlosen NEG können Sie, statt einen bestimmten (vollständig verwalteten) Cloud Run-Dienst auszuwählen, eine URL-Maske verwenden, um auf mehrere Dienste zu verweisen, die in derselben Domain bereitgestellt werden. Eine URL-Maske ist eine Vorlage für Ihr URL-Schema. Die serverlose NEG verwendet diese Vorlage, um den Dienstnamen aus der URL der eingehenden Anfrage zu extrahieren und die Anfrage dem entsprechenden Dienst zuzuordnen.
URL-Masken sind besonders nützlich, wenn Ihr Dienst einer benutzerdefinierten Domain zugeordnet ist und nicht der Standardadresse, die Google Cloud für den bereitgestellten Dienst angibt. Eine URL-Maske bietet die Möglichkeit, mehrere Dienste und Versionen mit einer einzigen Regel anzusprechen, selbst wenn Ihre Anwendung ein benutzerdefiniertes URL-Muster verwendet.
Falls Sie es noch nicht getan haben, lesen Sie den Abschnitt zu URL-Masken in der Übersicht zu serverlosen NEGs.
URL-Maske erstellen
Wenn Sie eine URL-Maske für Ihren Load-Balancer erstellen möchten, beginnen Sie mit der URL Ihres Dienstes. In diesem Beispiel wird eine serverlose Beispielanwendung verwendet, die unter https://example.com/login
ausgeführt wird. Dies ist die URL, unter der der login
-Dienst der Anwendung bereitgestellt wird.
- Entfernen Sie
http
oderhttps
aus der URL. Es verbleibtexample.com/login
. - Ersetzen Sie den Dienstnamen durch einen Platzhalter für die URL-Maske.
- Cloud Run (vollständig verwaltet): Ersetzen Sie den Namen des (vollständig verwalteten) Cloud Run-Dienstes durch den Platzhalter
<service>
. Wenn dem (vollständig verwalteten) Cloud Run-Dienst ein Tag zugeordnet ist, ersetzen Sie den Namen des Tags durch den Platzhalter<tag>
. In diesem Beispiel lautet die URL-Maskeexample.com/<service>
. - Cloud Functions: Ersetzen Sie den Namen der Funktion durch den Platzhalter
<function>
. In diesem Beispiel lautet die URL-Maske<function>.example.com
. - App Engine: Ersetzen Sie den Namen des Dienstes durch den Platzhalter
<service>
. Wenn dem Dienst eine Version zugeordnet ist, ersetzen Sie die Version durch den Platzhalter<version>
. In diesem Beispiel lautet die URL-Maskeexample.com/<service>
.
- Cloud Run (vollständig verwaltet): Ersetzen Sie den Namen des (vollständig verwalteten) Cloud Run-Dienstes durch den Platzhalter
Optional: Wenn sich der Dienstname (oder die Funktion, die Version oder das Tag) aus dem Pfadabschnitt der URL extrahieren lässt, kann die Domain weggelassen werden. Der Pfadteil der URL-Maske wird durch den ersten Schrägstrich (
/
) abgetrennt. Wenn in der URL-Maske kein/
vorhanden ist, wird die Maske nur für den Host verwendet. Daher kann die URL-Maske in diesem Beispiel auf/<service>
oder/<function>
reduziert werden.Wenn sich der Dienstname aus dem Hostteil der URL extrahieren lässt, können Sie den Pfad in der URL-Maske vollständig weglassen.
Sie können auch alle Host- oder Subdomain-Komponenten weglassen, die vor dem ersten Platzhalter stehen, sowie alle Pfadkomponenten, die nach dem letzten Platzhalter stehen. In solchen Fällen erfasst der Platzhalter die erforderlichen Informationen für die Komponente.
Hier einige weitere Beispiele zur Veranschaulichung dieser Regeln:
Cloud Run
In dieser Tabelle wird davon ausgegangen, dass Sie eine benutzerdefinierte Domain namens example.com
haben und alle (vollständig verwalteten) Cloud Run-Dienste dieser Domain zugeordnet sind.
Dienst, Tag-Name | URL der benutzerdefinierten Domain in Cloud Run (vollständig verwaltet) | URL-Maske |
---|---|---|
Dienst: login | https://login-home.example.com/web | <Dienst>-home.example.com |
Dienst: login | https://example.com/login/web | example.com/<Dienst> oder /<Dienst> |
Dienst: login; Tag: test | https://test.login.example.com/web | <Tag>.<Dienst>.example.com |
Dienst: login; Tag: test | https://example.com/home/login/test | example.com/home/<Dienst>/<Tag> oder /home/<Dienst>/<Tag> |
Dienst: login; Tag: test | https://test.example.com/home/login/web | <Tag>.example.com/home/<Dienst> |
Cloud Functions
In dieser Tabelle wird davon ausgegangen, dass Sie eine benutzerdefinierte Domain namens example.com
haben und alle Ihre Cloud Functions-Dienste dieser Domain zugeordnet sind.
Funktionsname | Benutzerdefinierte Domain-URL in Cloud Functions | URL-Maske |
---|---|---|
login | https://example.com/login | /<Funktion> |
login | https://example.com/home/login | /home/<Funktion> |
login | https://login.example.com | <Funktion>.example.com |
login | https://login.home.example.com | <Funktion>.home.example.com |
App Engine
In dieser Tabelle wird davon ausgegangen, dass Sie eine benutzerdefinierte Domain namens example.com
haben und alle Ihre App Engine-Dienste dieser Domain zugeordnet sind.
Dienstname, Version | Benutzerdefinierte Domain-URL in App Engine | URL-Maske |
---|---|---|
Dienst: login | https://login.example.com/web | <Dienst>.example.com |
Dienst: login | https://example.com/home/login/web | example.com/home/<Dienst> oder /home/<Dienst> |
Dienst: login; Version: test | https://test.example.com/login/web | <Version>.example.com/<Dienst> |
Dienst: login; Version: test | https://example.com/login/test | example.com/<Dienst>/<Version> |
Serverlose NEG mit URL-Maske erstellen
Console
Für einen neuen Load-Balancer können Sie den gleichen End-to-End-Prozess verwenden, wie weiter oben in diesem Thema beschrieben. Geben Sie bei der Konfiguration des Back-End-Dienstes eine URL-Maske ein, statt einen bestimmten Dienst auszuwählen.
Wenn Sie bereits einen Load-Balancer haben, können Sie die Back-End-Konfiguration bearbeiten und die serverlose NEG auf eine URL-Maske statt auf einen bestimmten Dienst verweisen lassen.
So fügen Sie einem vorhandenen Back-End-Dienst eine serverlose NEG hinzu, die auf eine URL-Maske verweist:
- Öffnen Sie in der Google Cloud Console die Seite "Load-Balancing".
Zur Seite "Load-Balancing" - Klicken Sie auf den Namen des Load-Balancers, dessen Back-End-Dienst Sie bearbeiten möchten.
- Klicken Sie auf der Seite Details zum Load-Balancer auf Bearbeiten .
- Klicken Sie auf der Seite HTTP(S)-Load-Balancer bearbeiten auf Back-End-Konfiguration.
- Klicken Sie auf der Seite Back-End-Konfiguration für den Back-End-Dienst, den Sie ändern möchten, auf Bearbeiten .
- Klicken Sie auf Back-End hinzufügen.
- Wählen Sie Serverlose Netzwerk-Endpunktgruppe erstellen aus.
- Geben Sie im Feld Name
helloworld-serverless-neg
ein. - Wählen Sie unter Region die Option us-central1 aus.
- Wählen Sie unter Typ des serverlosen Netzwerkendpunktgruppe die Plattform aus, auf der Ihre serverlosen Anwendungen (oder Dienste oder Funktionen) erstellt wurden.
- Wählen Sie URL-Maske verwenden aus.
- Geben Sie eine URL-Maske ein. Eine Anleitung zum Erstellen einer URL-Maske finden Sie unter URL-Maske erstellen.
- Klicken Sie auf Erstellen.
- Geben Sie im Feld Name
- Klicken Sie im Fenster Neues Back-End auf Fertig.
- Klicken Sie auf Aktualisieren.
gcloud: Cloud Run
So erstellen Sie eine serverlose NEG mit der URL-Beispielmaske example.com/<service>
:
gcloud compute network-endpoint-groups create helloworld-neg-mask \ --region=us-central1 \ --network-endpoint-type=serverless \ --cloud-run-url-mask="example.com/<service>"
gcloud: Cloud Functions
So erstellen Sie eine serverlose NEG mit der URL-Beispielmaske example.com/<function>
:
gcloud compute network-endpoint-groups create helloworld-neg-mask \ --region=us-central1 \ --network-endpoint-type=serverless \ --cloud-function-url-mask="example.com/<function>"
gcloud: App Engine
So erstellen Sie eine serverlose NEG mit der URL-Beispielmaske example.com/<service>
:
gcloud compute network-endpoint-groups create helloworld-neg-mask \ --region=us-central1 \ --network-endpoint-type=serverless \ --app-engine-url-mask="example.com/<service>"
Informationen dazu, wie der Load-Balancer mit Problemen bei nicht übereinstimmenden URL-Masken umgeht, finden Sie unter Probleme mit serverlosen NEGs beheben.
Cloud CDN aktivieren
Wenn Sie Cloud CDN für Ihren (vollständig verwalteten) Cloud Run-Dienst aktivieren, können Sie die Inhaltsübermittlung optimieren, indem Sie Inhalte im Cache in der Nähe Ihrer Nutzer speichern.
Sie können Cloud CDN mit dem Befehl gcloud compute
backend-services update
im Back-End-Dienst des externen HTTP(S)-Load-Balancers aktivieren.
gcloud compute backend-services update helloworld-backend-service \ --enable-cdn \ --global
Cloud CDN wird für Back-End-Dienste mit (vollständig verwalteten) Cloud Run-, Cloud Functions- und App Engine-Back-Ends unterstützt.
Google Cloud Armor aktivieren
Google Cloud Armor ist ein Sicherheitsprodukt, das Schutz vor DDoS-Angriffen (Distributed Denial of Service) für alle GCLB-Proxy-Load-Balancer bietet. Google Cloud Armor stellt außerdem konfigurierbare Sicherheitsrichtlinien für Dienste bereit, auf die über einen externen HTTP(S)-Load-Balancer zugegriffen wird. Informationen zu Google Cloud Armor-Sicherheitsrichtlinien für HTTP(S)-Load-Balancing finden Sie unter Übersicht über die Google Cloud Armor-Sicherheitsrichtlinie.
Obwohl Google Cloud Armor für Back-End-Dienste mit (vollständig verwalteten) Cloud Run-, Cloud Functions- und App Engine-Back-Ends konfiguriert werden kann, gibt es bestimmte Einschränkungen, die mit dieser Funktion verbunden sind, insbesondere bei (vollständig verwalteten) Cloud Run und App Engine. Nutzer mit Zugriff auf die Standard-URLs, die diesen Diensten von Google Cloud zugewiesen werden, können den Load-Balancer umgehen und direkt die Dienst-URLs aufrufen. Dabei werden alle konfigurierten Google Cloud Armor-Sicherheitsrichtlinien umgangen.
Wenn Sie Cloud Functions verwenden, können Sie dies mithilfe der internal-and-gclb
-Einstellung für eingehenden Traffic umgehen. So wird gewährleistet, dass Anfragen blockiert werden, die an standardmäßige cloudfunctions.net-URLs oder andere benutzerdefinierte Domains gesendet werden, die über Cloud Functions eingerichtet werden.
Serverlose NEG löschen
Eine Netzwerk-Endpunktgruppe kann nicht gelöscht werden, wenn sie mit einem Back-End-Dienst verknüpft ist. Bevor Sie eine NEG löschen, muss sie vom Back-End-Dienst getrennt sein.
Um eine serverlose NEG aus einem Back-End-Dienst zu entfernen, müssen Sie die Region angeben, in der die NEG erstellt wurde. Sie müssen auch das Flag --global
angeben, da helloworld-backend-service
eine globale Ressource ist.
gcloud compute backend-services remove-backend helloworld-backend-service \ --network-endpoint-group=helloworld-serverless-neg \ --network-endpoint-group-region=us-central1 \ --global
So löschen Sie die serverlose NEG:
gcloud compute network-endpoint-groups delete helloworld-serverless-neg \ --region=us-central1
Wenn Sie einen Load-Balancer mit einem serverlosen NEG-Back-End löschen, wird nur der dem Load-Balancer zugeordnete Back-End-Dienst gelöscht. Die serverlose NEG wird nicht automatisch gelöscht. Sie müssen die serverlose NEG manuell löschen, wie in diesem Abschnitt beschrieben.