Configura un bilanciatore del carico di rete passthrough esterno con un pool di destinazione

Questa guida fornisce le istruzioni per creare una configurazione del bilanciatore del carico di rete passthrough esterno con backend del pool di destinazione. L'esempio presuppone che tu abbia più web server su istanze Compute Engine su cui vuoi bilanciare il traffico. Questo scenario configura un bilanciamento del carico di livello 4 per distribuire il traffico HTTP tra le istanze funzionanti. I controlli di integrità HTTP di base sono configurato per garantire che il traffico venga inviato solo a istanze integre.

Questo esempio bilancia il carico del traffico HTTP, ma puoi utilizzare bilanciatori del carico di rete passthrough esterni basati su pool di destinazione per bilanciare il carico del traffico TCP, UDP e SSL. Prima di iniziare, leggi Panoramica del bilanciatore del carico di rete passthrough esterno per informazioni concettuali sui bilanciatori del carico di rete passthrough esterni.

Prima di iniziare

Installa Google Cloud CLI. Per una panoramica completa dello strumento, consulta la guida dello strumento gcloud. Puoi trovare comandi relativi il bilanciamento del carico in gcloud compute di un gruppo di comandi.

Puoi anche ricevere una guida dettagliata per qualsiasi comando gcloud utilizzando il flag --help:

gcloud compute http-health-checks create --help

Se non hai già eseguito Google Cloud CLI, esegui prima gcloud init per l'autenticazione.

Inoltre, devi creare un indirizzo IP esterno statico per il bilanciatore del carico. Se utilizzi un'immagine fornita da Compute Engine, la tua macchina virtuale (VM) e vengono configurate automaticamente per gestire questo indirizzo IP. Se utilizzi un'altra immagine, dovrai configurare questo indirizzo come alias su eth0 o come loopback su ogni istanza.

Questa guida presuppone che tu abbia familiarità con bash.

Configurazione delle istanze VM di Compute Engine

Per questo scenario di bilanciamento del carico, creerai tre risorse Compute Engine le istanze VM e installare Apache. Aggiungerai una regola del firewall che consenta al traffico HTTP di raggiungere le istanze.

Le istanze che partecipano come VM di backend per i bilanciatori del carico di rete passthrough esterni devono eseguire l'ambiente guest Linux, l'ambiente guest Windows o altri processi che forniscono funzionalità equivalenti.

Configurazione delle istanze di backend

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic su Crea istanza.

  3. Imposta Nome su www1.

  4. Imposta la Regione su us-central1.

  5. Imposta Zone su us-central1-b.

  6. In Disco di avvio, l'immagine predefinita del sistema operativo di Debian GNU/Linux 10 (buster) è già selezionata.

  7. Fai clic su Opzioni avanzate.

  8. Fai clic su Networking e configura il seguente campo:

    1. In Tag di rete, inserisci network-lb-tag.

  9. Fai clic su Gestione. Inserisci lo script che segue nel campo Script di avvio.

     #! /bin/bash
 sudo apt-get update
 sudo apt-get install apache2 -y
 sudo service apache2 restart
 echo '<!doctype html><html><body><h1>www1</h1></body></html>' | tee /var/www/html/index.html

    1. Fai clic su Crea.

  10. Crea un'istanza denominata www2 con le stesse impostazioni, tranne che per il seguente script inserito nel campo Automazione, Script di avvio. 

      #! /bin/bash
  sudo apt-get update
  sudo apt-get install apache2 -y
  sudo service apache2 restart
  echo '<!doctype html><html><body><h1>www2</h1></body></html>' | tee /var/www/html/index.html

  11. Crea un'istanza denominata www3 con le stesse impostazioni, ad eccezione di il seguente script inserito in Automazione, script di avvio . 

        #! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>www3</h1></body></html>' | tee /var/www/html/index.html

gcloud

I comandi seguenti vengono tutti eseguiti sul tuo sistema locale e presuppongono un comando bash richiesta.

Per visualizzare i nomi, gli attributi e lo stato delle immagini del sistema operativo, utilizza gcloud compute images list .

  1. Crea tre nuove macchine virtuali in una determinata zona e assegna lo stesso tag a tutte e tre. In questo esempio la zona viene impostata su us-central1-b. L'impostazione del parametro Il campo tags consente di fare riferimento a tutte queste istanze contemporaneamente, come con una regola firewall. Questi comandi installano anche Apache su ogni istanza e assegnare a ogni istanza una home page univoca. 

    gcloud compute instances create www1 \
  --image-family debian-12 \
  --image-project debian-cloud \
  --zone us-central1-b \
  --tags network-lb-tag \
  --metadata startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>www1</h1></body></html>' | tee /var/www/html/index.html"
     
    gcloud compute instances create www2 \
  --image-family debian-12 \
  --image-project debian-cloud \
  --zone us-central1-b \
  --tags network-lb-tag \
  --metadata startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>www2</h1></body></html>' | tee /var/www/html/index.html"
     
    gcloud compute instances create www3 \
  --image-family debian-12 \
  --image-project debian-cloud \
  --zone us-central1-b \
  --tags network-lb-tag \
  --metadata startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>www3</h1></body></html>' | tee /var/www/html/index.html"

api

Crea l'istanza www1 nella zona us-central1-b con il instances.insert metodo

POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/us-central1-b/instances

{
  "canIpForward": false,
  "deletionProtection": false,
  "disks": [
    {
      "type": "PERSISTENT",
      "boot": true,
      "mode": "READ_WRITE",
      "autoDelete": true,
      "deviceName": "www1",
      "initializeParams": {
        "sourceImage": "projects/debian-cloud/global/images/debian-12-buster-v20220719",
        "diskType": "projects/[PROJECT_ID]/zones/us-central1-b/diskTypes/pd-standard",
        "diskSizeGb": "10"
      }
    }
  ],
  "machineType": "projects/[PROJECT_ID]/zones/us-central1-b/machineTypes/e2-standard-2",
  "metadata": {
    "items": [
      {
        "key": "startup-script",
        "value": "sudo apt-get update\nsudo apt-get install apache2 -y\nsudo a2ensite default-ssl\nsudo a2enmod ssl\nsudo service apache2 restart\necho '<!doctype html><html><body><h1>www1</h1></body></html>' | tee /var/www/html/index.html"
      }
    ]
  },
  "name": "www1",
  "networkInterfaces": [
    {
      "network": "projects/[PROJECT_ID]/global/networks/default",
      "subnetwork": "projects/[PROJECT_ID]/regions/us-central1/subnetworks/default"
    }
  ],
  "tags": {
    "items": [
      "network-lb-tag"
    ]
  }
}

Crea istanze denominate www2 e www3 con le stesse impostazioni, tranne che per il remplacement di www1 nei campi deviceName, value e name.

Creare una regola firewall per consentire il traffico esterno a queste istanze VM

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Fai clic su Crea regola firewall.

  3. Inserisci www-firewall-network-lb come nome.

  4. Seleziona la rete a cui si applica la regola firewall (Predefinita).

  5. In Target, seleziona Tag di destinazione specificati.

  6. Nel campo Tag di destinazione, inserisci network-lb-tag.

  7. Imposta Filtro di origine su Intervalli IPv4.

  8. Imposta Intervalli IPv4 di origine su 0.0.0.0/0, che consente il traffico da qualsiasi sorgente.

  9. In Protocolli e porte specificati, seleziona la casella di controllo TCP e inserisci 80.

  10. Fai clic su Crea. La visualizzazione nella console potrebbe richiedere alcuni istanti. nuova regola firewall oppure potresti dover fare clic su Aggiorna per visualizzare la regola.

gcloud 

gcloud compute firewall-rules create www-firewall-network-lb \
    --target-tags network-lb-tag --allow tcp:80

api

Crea una regola firewall che consenta tutto il traffico all'interno della subnet con il metodo** firewalls.insert**

POST https://compute.googleapis.com/compute/projects/[PROJECT_ID]/global/firewalls

{
  "name": "www-firewall-network-lb",
  "direction": "INGRESS",
  "priority": 1000,
  "targetTags": [
    "network-lb-tag"
  ],
  "allowed": [
    {
      "IPProtocol": "tcp",
      "ports": [
        "80"
      ]
    }
  ],
  "sourceRanges": [
    "0.0.0.0/0"
  ]
}

Ottenere gli indirizzi IP esterni delle istanze e verificare che siano in esecuzione

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Visualizza gli indirizzi delle tue istanze nella colonna IP esterno.

  3. Verifica che le istanze siano in esecuzione cercando un segno di spunta verde a sinistra del nome dell'istanza. Se non vedi un segno di spunta verde, consulta la pagina di risoluzione dei problemi generali per le istanze.

gcloud

  1. Elenca le tue istanze per ottenere i relativi indirizzi IP da EXTERNAL_IP colonna.

    gcloud compute instances list

  2. Verifica che ogni istanza sia in esecuzione.

    Nella riga di comando, esegui curl utilizzando l'indirizzo IP esterno di ogni istanza per verificare che tutte le istanze rispondano.

    curl http://[IP_ADDRESS]

api

Ottieni informazioni sull'istanza www1 con instances.get metodo

Assicurati che il campo status indichi RUNNING e cerca l'IP esterno nel campo natIP.

GET https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/us-central1-b/instances/www1

{
 "kind": "compute#instance",
 "id": "6734015273571474749",
 "creationTimestamp": "2018-11-09T11:45:23.487-08:00",
 "name": "www1",
 "description": "",
 "tags": {
  "items": [
   "network-lb-tag"
  ],
  "fingerprint": "9GVlO4gPawg="
 },
 "machineType": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/us-central1-b/machineTypes/e2-standard-2",
 "status": "RUNNING",
 "zone": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/us-central1-b",
 "canIpForward": false,
 "networkInterfaces": [
  {
   "kind": "compute#networkInterface",
   "network": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/networks/default",
   "subnetwork": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/subnetworks/default",
   "networkIP": "10.128.0.2",
   "name": "nic0",
   "accessConfigs": [
    {
     "kind": "compute#accessConfig",
     "type": "ONE_TO_ONE_NAT",
     "name": "External NAT",
     "natIP": "35.192.37.233",
     "networkTier": "PREMIUM"
    }
   ],
   "fingerprint": "lxD5f5ua_sw="
  }
 ],
 "disks": [
  {
   "kind": "compute#attachedDisk",
   "type": "PERSISTENT",
   "mode": "READ_WRITE",
   "source": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/us-central1-b/disks/www1",
   "deviceName": "www1",
   "index": 0,
   "boot": true,
   "autoDelete": true,
   "licenses": [
    "https://www.googleapis.com/compute/v1/projects/debian-cloud/global/licenses/debian-12-buster"
   ],
   "interface": "SCSI",
   "guestOsFeatures": [
    {
     "type": "VIRTIO_SCSI_MULTIQUEUE"
    }
   ]
  }
 ],
 "metadata": {
  "kind": "compute#metadata",
  "fingerprint": "IyHRmHoJx6E=",
  "items": [
   {
    "key": "startup-script",
    "value": "#! /bin/bash\n sudo apt-get update\n sudo apt-get install apache2 -y\n sudo service apache2 restart\n echo '\u003c!doctype html\u003e\u003chtml\u003e\u003cbody\u003e\u003ch1\u003ewww1\u003c/h1\u003e\u003c/body\u003e\u003c/html\u003e' | tee /var/www/html/index.html"
   }
  ]
 },
 "serviceAccounts": [
  {
   "email": "674259759219-compute@developer.gserviceaccount.com",
   "scopes": [
    "https://www.googleapis.com/auth/devstorage.read_only",
    "https://www.googleapis.com/auth/logging.write",
    "https://www.googleapis.com/auth/monitoring.write",
    "https://www.googleapis.com/auth/servicecontrol",
    "https://www.googleapis.com/auth/service.management.readonly",
    "https://www.googleapis.com/auth/trace.append"
   ]
  }
 ],
 "selfLink": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/zones/us-central1-b/instances/www1",
 "scheduling": {
  "onHostMaintenance": "MIGRATE",
  "automaticRestart": true,
  "preemptible": false
 },
 "cpuPlatform": "Intel Haswell",
 "labelFingerprint": "42WmSpB8rSM=",
 "startRestricted": false,
 "deletionProtection": false
}

Ripeti questa chiamata API per www2 e www3.

Configurazione del servizio di bilanciamento del carico

A questo punto, configura il servizio di bilanciamento del carico.

Quando configuri il servizio di bilanciamento del carico, le istanze di macchine virtuali riceverà i pacchetti destinati all'indirizzo IP esterno statico configurare. Se utilizzi un'immagine fornita da Compute Engine, le tue istanze vengono configurate automaticamente per gestire questo indirizzo IP. Se stai utilizzando qualsiasi altra immagine, dovrai configurare questo indirizzo come tramite un alias su eth0 o un loopback su ciascuna istanza.

Console

Non puoi utilizzare la console Google Cloud per creare modelli basati su pool di destinazione bilanciatori del carico di rete passthrough esterni. Utilizza gcloud o l'API REST.

gcloud

  1. Crea un indirizzo IP esterno statico per il bilanciatore del carico

    gcloud compute addresses create network-lb-ip-1 \
    --region us-central1

  2. Aggiungi una risorsa legacy di controllo di integrità HTTP

    Questo esempio utilizza le impostazioni predefinite per il meccanismo di controllo di integrità, ma puoi anche personalizzare il controllo di integrità in autonomia.

    gcloud compute http-health-checks create basic-check

  3. Aggiungi un pool di destinazione

    Aggiungi un pool di destinazione nella stessa regione della macchina virtuale di Compute Engine. Usa il controllo di integrità creato nel passaggio precedente per questo pool di destinazione. I pool di destinazione richiedono un servizio di controllo di integrità per funzionare.

    gcloud compute target-pools create www-pool \
    --region us-central1 --http-health-check basic-check

  4. Aggiungi le tue istanze al pool di destinazione

    gcloud compute target-pools add-instances www-pool \
    --instances www1,www2,www3 \
    --instances-zone us-central1-b

    Le istanze all'interno di un pool di destinazione devono appartenere alla stessa regione, ma possono essere distribuite in zone diverse della stessa regione. Ad esempio, puoi avere istanze nella zona us-central1-f e istanze nella zona us-central1-b in un pool di destinazione perché si trovano nella stessa regione, us-central1.

  5. Aggiungi una regola di inoltro

    Aggiungi una regola di forwarding che gestisce per conto di un indirizzo IP esterno e di una porta che punta al pool di destinazione. Per il campo --address, utilizza l'indirizzo IP numerico o il relativo nome completo.

    gcloud compute forwarding-rules create www-rule \
    --region us-central1 \
    --ports 80 \
    --address network-lb-ip-1 \
    --target-pool www-pool

api

  1. Crea un indirizzo IP esterno statico per il bilanciatore del carico

    POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID/regions/us-central1/addresses
{
  "name": "network-lb-ip-1"
}

  2. Aggiungi un controllo di integrità HTTP legacy

    In questo esempio vengono usate le impostazioni predefinite per il meccanismo del controllo di integrità, ma puoi anche personalizzarlo.

    POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/httpHealthChecks
{
  "name": "basic-check"
}

  3. Aggiungi un pool di destinazione

    Aggiungi un pool di destinazione nella stessa regione della macchina virtuale di Compute Engine. Usa il controllo di integrità creato nel passaggio precedente per questo pool di destinazione. I pool di destinazione richiedono un servizio di controllo di integrità per funzionare.

    POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/targetPools
{
  "name": "www-pool",
  "healthChecks": [
    "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/httpHealthChecks/basic-check"
  ]
}

  4. Aggiungi le tue istanze al pool di destinazione

    POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/targetPools/www-pool/addInstance
{
  "instances": [
    {
      "instance": "projects/[PROJECT_ID]/zones/us-central1-b/instances/www1"
    }
  ]
}

    Ripeti questa chiamata API per le istanze www2 e www3.

    Le istanze all'interno di un pool di destinazione devono appartenere alla stessa regione, ma possono essere distribuite in zone diverse della stessa regione. Ad esempio, puoi avere istanze nella zona us-central1-f e istanze nella zona us-central1-b in un pool di destinazione perché si trovano nella stessa regione, us-central1.

  5. Aggiungi una regola di inoltro

    POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/forwardingRules
{
  "name": "www-rule",
  "portRange": "80",
  "loadBalancingScheme": "EXTERNAL",
  "target": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/targetPools/www-network-lb"
}

Invio di traffico alle istanze

Una volta configurato il servizio di bilanciamento del carico, puoi iniziare a inviare traffico alla regola di inoltro e osservare la distribuzione del traffico su diverse istanze.

Ricerca dell'indirizzo IP esterno della regola di inoltro

Console

  1. Vai alla scheda Regole di inoltro nella pagina del bilanciamento del carico Avanzate nella console Google Cloud.
    Vai alla scheda Regole di inoltro
  2. Individua www-rule, la regola di forwarding utilizzata dal bilanciatore del carico.
  3. Nella colonna Indirizzo IP per www-rule, prendi nota dell'indirizzo IP esterno in elenco.

gcloud

Inserisci il seguente comando per visualizzare l'indirizzo IP esterno della regola di forwarding www-rule utilizzata dal bilanciatore del carico.

gcloud compute forwarding-rules describe www-rule --region us-central1

api

Visualizza l'indirizzo IP esterno della regola di inoltro www-rule con il forwardingRules.get metodo

Nell'output, cerca il campo IPAddress.

GET https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/forwardingRules/www-rule
{
  "kind": "compute#forwardingRule",
  "id": "5133886346582800002",
  "creationTimestamp": "2018-11-09T14:21:33.574-08:00",
  "name": "www-rule",
  "description": "",
  "region": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1",
  "IPAddress": "35.232.228.9",
  "IPProtocol": "TCP",
  "portRange": "80-80",
  "target": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/targetPools/www-network-lb",
  "selfLink": "https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/regions/us-central1/forwardingRules/www-rule",
  "loadBalancingScheme": "EXTERNAL",
  "networkTier": "PREMIUM"
}

ICMP non supportato per le istanze di backend

I bilanciatori del carico di rete passthrough esterni non inviano pacchetti ICMP alle istanze di backend. Se invii un pacchetto ICMP, ad esempio con ping o traceroute, la risposta non proviene dalle istanze di backend del bilanciatore del carico.

dell'infrastruttura Google Cloud potrebbe inviare una risposta ICMP, anche se hai Regole firewall che vietano il traffico ICMP sul backend del bilanciatore del carico di Compute Engine. Questo comportamento non può essere modificato.

Utilizzo del comando curl per accedere all'indirizzo IP esterno

La risposta del comando curl si alterna in modo casuale tra le tre istanze. Se inizialmente la risposta non è andata a buon fine, potresti dover attendere circa 30 secondi in modo che la configurazione sia caricata completamente e le istanze siano contrassegnate come integre prima di riprovare:

$ while true; do curl -m1 IP_ADDRESS; done

Passaggi successivi