Questa guida fornisce istruzioni per la creazione di bilanciatori del carico di rete passthrough esterni basati su servizi di backend in grado di bilanciare il carico del traffico TCP, UDP, ESP, GRE, ICMP e ICMPv6. Puoi utilizzare questa configurazione se vuoi bilanciare il carico del traffico che utilizza protocolli IP diversi da TCP o UDP. I bilanciatori del carico di rete passthrough esterni basati su pool di destinazione non supportano questa funzionalità.
Per configurare un bilanciatore del carico di rete passthrough esterno per protocolli IP diversi da TCP o UDP, devi creare una regola di forwarding con il protocollo impostato su L3_DEFAULT
. Questa regola di forwarding rimanda a un servizio di backend con il protocollo impostato su UNSPECIFIED
.
In questo esempio vengono utilizzati due bilanciatori del carico di rete passthrough esterni per distribuire il traffico tra le VM di backend in due gruppi di istanze gestite a livello di zona nella regione us-central1
.
Entrambi i bilanciatori del carico ricevono il traffico allo stesso indirizzo IP esterno.
Un bilanciatore del carico ha una regola di forwarding con il protocollo TCP
e la porta 80, mentre
l'altro ha una regola di forwarding con il protocollo L3_DEFAULT
. Il traffico TCP
che arriva all'indirizzo IP sulla porta 80 è gestito dalla
regola di forwarding TCP
. Tutto il traffico che non corrisponde alla regola di forwarding specifica per TCP viene gestito dalla regola di forwarding L3_DEFAULT
.
Questo scenario distribuisce il traffico tra le istanze integre. A questo scopo, puoi creare controlli di integrità TCP per garantire che il traffico venga inviato solo a istanze in stato integro.
Il bilanciatore del carico di rete passthrough esterno è un bilanciatore del carico a livello di regione. Tutti i componenti del bilanciatore del carico devono trovarsi nella stessa regione.
Prima di iniziare
Installa Google Cloud CLI. Per una panoramica completa dello strumento, consulta la panoramica dell'interfaccia a riga di comando gcloud. I comandi relativi al bilanciamento del carico sono disponibili nella documentazione di riferimento per API e gcloud.
Se non hai già eseguito gcloud CLI, esegui prima il comando gcloud init
per l'autenticazione.
Questa guida presuppone che tu abbia familiarità con bash.
Configura la rete e le subnet
L'esempio in questa pagina utilizza una rete VPC in modalità personalizzata denominata lb-network
. Puoi usare una rete VPC in modalità
automatica se vuoi gestire solo il traffico IPv4.
Tuttavia, il traffico IPv6 richiede una subnet in modalità personalizzata.
Il traffico IPv6 richiede anche una subnet a doppio stack (stack-type
impostata su IPv4_IPv6
). Quando crei una subnet a doppio stack su una rete VPC in modalità personalizzata, scegli un tipo di accesso IPv6 per la subnet. Per questo esempio, impostiamo il parametro ipv6-access-type
della subnet su
EXTERNAL
. Ciò significa che alle nuove VM in questa subnet può essere assegnato sia indirizzi IPv4 esterni che indirizzi IPv6 esterni. Le regole di forwarding possono anche essere assegnate sia indirizzi IPv4 esterni sia indirizzi IPv6 esterni.
I backend e i componenti del bilanciatore del carico utilizzati per questo esempio si trovano nella regione e nella subnet seguenti:
- Regione:
us-central1
- Subnet:
lb-subnet
, con intervallo di indirizzi IPv4 principale10.1.2.0/24
. Anche se scegli quale intervallo di indirizzi IPv4 configurare nella subnet, l'intervallo di indirizzi IPv6 viene assegnato automaticamente. Google fornisce un blocco CIDR IPv6 a dimensione fissa (/64).
Per creare la rete e la subnet di esempio, segui questi passaggi.
Console
Per supportare il traffico IPv4 e IPv6, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic su Crea rete VPC.
Inserisci
lb-network
come nome.Nella sezione Subnet:
- Imposta Modalità di creazione subnet su Personalizzata.
- Nella sezione Nuova subnet, configura i seguenti campi e fai clic su Fine:
- Nome:
lb-subnet
- Regione:
us-central1
- Tipo di stack IP: IPv4 e IPv6 (stack doppio)
- Intervallo IPv4:
10.1.2.0/24
Anche se puoi configurare un intervallo di indirizzi IPv4 per la subnet, non puoi scegliere l'intervallo degli indirizzi IPv6 per la subnet. Google fornisce un blocco CIDR IPv6 di dimensione fissa (/64). - Tipo di accesso IPv6: esterno
- Nome:
Fai clic su Crea.
Per supportare solo il traffico IPv4, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic su Crea rete VPC.
Inserisci
lb-network
come nome.Nella sezione Subnet:
- Imposta Modalità di creazione subnet su Personalizzata.
- Nella sezione Nuova subnet, configura i seguenti campi e fai clic su Fine:
- Nome:
lb-subnet
- Regione:
us-central1
- Tipo di stack IP: IPv4 (stack singolo)
- Intervallo IPv4:
10.1.2.0/24
- Nome:
Fai clic su Crea.
gcloud
Crea la rete VPC in modalità personalizzata:
gcloud compute networks create lb-network \ --subnet-mode=custom
All'interno della rete
lb-network
, crea una subnet per i backend nella regioneus-central1
.Per il traffico IPv4 e IPv6, utilizza il comando seguente per creare una subnet a doppio stack:
gcloud compute networks subnets create lb-subnet \ --stack-type=IPV4_IPv6 \ --ipv6-access-type=EXTERNAL \ --network=lb-network \ --range=10.1.2.0/24 \ --region=us-central1
Per solo traffico IPv4, utilizza il seguente comando:
gcloud compute networks subnets create lb-subnet \ --network=lb-network \ --range=10.1.2.0/24 \ --region=us-central1
Crea i gruppi di istanze gestite a livello di zona
Per questo scenario di bilanciamento del carico, creerai due gruppi di istanze gestite a livello di zona di Compute Engine e installerai un server web Apache su ogni istanza.
Per gestire il traffico sia IPv4 che IPv6, configura le VM di backend in modo che siano a doppio stack. Imposta stack-type
della VM su IPv4_IPv6
. Le VM ereditano anche l'impostazione ipv6-access-type
(in questo esempio, EXTERNAL
) dalla subnet. Per
maggiori dettagli sui requisiti IPv6, consulta Panoramica del bilanciatore del carico di rete passthrough esterno: regole di forwarding.
Per utilizzare le VM esistenti come backend, aggiorna le VM in modo che siano a doppio stack utilizzando il comando gcloud compute instances network-interfaces update
.
Le istanze che partecipano come VM di backend per bilanciatori del carico di rete passthrough esterni devono eseguire l'ambiente guest Linux, l'ambiente guest di Windows o altri processi che forniscano funzionalità equivalenti.
Crea il gruppo di istanze per il traffico TCP sulla porta 80
Console
Creare un modello di istanza. Nella console Google Cloud, vai alla pagina Modelli di istanza.
- Fai clic su Crea modello istanza.
- In Nome, inserisci
ig-us-template-tcp-80
. - Assicurati che il disco di avvio sia impostato su un'immagine Debian, ad esempio Debian GNU/Linux 10 (buster). Queste istruzioni utilizzano comandi
disponibili solo su Debian, come
apt-get
. - Espandi la sezione Opzioni avanzate.
Espandi la sezione Gestione, quindi copia il seguente script nel campo Script di avvio.
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html systemctl restart apache2
Espandi la sezione Networking, quindi specifica quanto segue:
- Per Tag di rete, aggiungi
network-lb-tcp-80
. - In Interfacce di rete, fai clic sull'interfaccia predefinita e configura i seguenti campi:
- Rete:
lb-network
- Subnet:
lb-subnet
- Rete:
- Per Tag di rete, aggiungi
Fai clic su Crea.
Creare un gruppo di istanze gestite. Vai alla pagina Gruppi di istanze nella console Google Cloud.
- Fai clic su Crea gruppo di istanze.
- Seleziona Nuovo gruppo di istanze gestite (stateless). Per ulteriori informazioni, consulta la pagina sui MIG stateless o stateful.
- In Nome, inserisci
ig-us-tcp-80
. - In Località, seleziona Zona singola.
- In corrispondenza di Regione, seleziona
us-central1
. - In Zona, seleziona
us-central1-a
. - In Modello di istanza, seleziona
ig-us-template-tcp-80
. Specifica il numero di istanze che vuoi creare nel gruppo.
Per questo esempio, specifica le seguenti opzioni in Scalabilità automatica:
- In Modalità di scalabilità automatica, seleziona
Off:do not autoscale
. - In Numero massimo di istanze, inserisci
2
.
- In Modalità di scalabilità automatica, seleziona
Fai clic su Crea.
gcloud
Le istruzioni gcloud
in questa guida presuppongono che tu stia utilizzando Cloud
Shell o un altro ambiente in cui è installato bash.
Crea un modello di istanza VM con server HTTP con il comando
gcloud compute instance-templates create
.Per gestire il traffico IPv4 e IPv6, utilizza il comando seguente.
gcloud compute instance-templates create ig-us-template-tcp-80 \ --region=us-central1 \ --network=lb-network \ --subnet=lb-subnet \ --ipv6-network-tier=PREMIUM \ --stack-type=IPv4_IPv6 \ --tags=network-lb-tcp-80 \ --image-family=debian-10 \ --image-project=debian-cloud \ --metadata=startup-script='#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html systemctl restart apache2'
In alternativa, se vuoi gestire il traffico solo traffico IPv4, utilizza il comando seguente.
gcloud compute instance-templates create ig-us-template-tcp-80 \ --region=us-central1 \ --network=lb-network \ --subnet=lb-subnet \ --tags=network-lb-tcp-80 \ --image-family=debian-10 \ --image-project=debian-cloud \ --metadata=startup-script='#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html systemctl restart apache2'
Crea un gruppo di istanze gestite nella zona con il comando
gcloud compute instance-groups managed create
.gcloud compute instance-groups managed create ig-us-tcp-80 \ --zone us-central1-a \ --size 2 \ --template ig-us-template-tcp-80
Crea il gruppo di istanze per TCP sulla porta 8080 e per il traffico UDP, ESP e ICMP
Console
Creare un modello di istanza. Nella console Google Cloud, vai alla pagina Modelli di istanza.
- Fai clic su Crea modello istanza.
- In Nome, inserisci
ig-us-template-l3-default
. - Assicurati che il disco di avvio sia impostato su un'immagine Debian, ad esempio Debian GNU/Linux 10 (buster). Queste istruzioni utilizzano comandi
disponibili solo su Debian, come
apt-get
. - Espandi la sezione Opzioni avanzate.
Espandi la sezione Gestione, quindi copia il seguente script nel campo Script di avvio. Lo script di avvio configura anche il server Apache per l'ascolto sulla porta
8080
anziché sulla porta80
.#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html sed -ire 's/^Listen 80$/Listen 8080/g' /etc/apache2/ports.conf systemctl restart apache2
Espandi la sezione Networking, quindi specifica quanto segue:
- Per Tag di rete, aggiungi
network-lb-l3-default
. - In Interfacce di rete, fai clic sull'interfaccia predefinita e configura i seguenti campi:
- Rete:
lb-network
- Subnet:
lb-subnet
- Rete:
- Per Tag di rete, aggiungi
Fai clic su Crea.
Creare un gruppo di istanze gestite. Vai alla pagina Gruppi di istanze nella console Google Cloud.
- Fai clic su Crea gruppo di istanze.
- Scegli Nuovo gruppo di istanze gestite (stateless). Per ulteriori informazioni, consulta la pagina sui MIG stateless o stateful.
- In Nome, inserisci
ig-us-l3-default
. - In Località, seleziona Zona singola.
- In corrispondenza di Regione, seleziona
us-central1
. - In Zona, seleziona
us-central1-c
. - In Modello di istanza, seleziona
ig-us-template-l3-default
. Specifica il numero di istanze che vuoi creare nel gruppo.
Per questo esempio, specifica le seguenti opzioni in Scalabilità automatica:
- In Modalità di scalabilità automatica, seleziona
Off:do not autoscale
. - In Numero massimo di istanze, inserisci
2
.
- In Modalità di scalabilità automatica, seleziona
Fai clic su Crea.
gcloud
Le istruzioni gcloud
in questa guida presuppongono che tu stia utilizzando Cloud
Shell o un altro ambiente in cui è installato bash.
Crea un modello di istanza VM con server HTTP con il comando
gcloud compute instance-templates create
.Lo script di avvio configura anche il server Apache per l'ascolto sulla porta
8080
anziché sulla porta80
.Per gestire il traffico IPv4 e IPv6, utilizza il comando seguente.
gcloud compute instance-templates create ig-us-template-l3-default \ --region=us-central1 \ --network=lb-network \ --subnet=lb-subnet \ --ipv6-network-tier=PREMIUM \ --stack-type=IPv4_IPv6 \ --tags=network-lb-l3-default \ --image-family=debian-10 \ --image-project=debian-cloud \ --metadata=startup-script='#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html sed -ire "s/^Listen 80$/Listen 8080/g" /etc/apache2/ports.conf systemctl restart apache2'
In alternativa, se vuoi gestire solo il traffico IPv4, utilizza il seguente comando.
gcloud compute instance-templates create ig-us-template-l3-default \ --region=us-central1 \ --network=lb-network \ --subnet=lb-subnet \ --tags=network-lb-l3-default \ --image-family=debian-10 \ --image-project=debian-cloud \ --metadata=startup-script='#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl vm_hostname="$(curl -H "Metadata-Flavor:Google" \ http://metadata.google.internal/computeMetadata/v1/instance/name)" echo "Page served from: $vm_hostname" | \ tee /var/www/html/index.html sed -ire "s/^Listen 80$/Listen 8080/g" /etc/apache2/ports.conf systemctl restart apache2'
Crea un gruppo di istanze gestite nella zona con il comando
gcloud compute instance-groups managed create
.gcloud compute instance-groups managed create ig-us-l3-default \ --zone us-central1-c \ --size 2 \ --template ig-us-template-l3-default
Configura le regole firewall
Crea le seguenti regole firewall:
- Regole firewall che consentono al traffico TCP esterno di raggiungere le istanze di backend nel gruppo di istanze
ig-us-tcp-80
sulla porta 80 (utilizzando il tag di destinazionenetwork-lb-tcp-80
). Crea regole firewall separate per consentire il traffico IPv4 e IPv6. - Regole firewall che consentono ad altro traffico esterno (TCP sulla porta 8080, UDP, ESP e ICMP) di raggiungere le istanze di backend nel gruppo di istanze
ig-us-l3-default
(utilizzando il tag di destinazionenetwork-lb-l3-default
). Crea regole firewall separate per consentire il traffico IPv4 e IPv6.
In questo esempio vengono create regole firewall che consentono al traffico da tutti gli intervalli di origine di raggiungere le istanze di backend sulle porte configurate. Se vuoi creare regole firewall separate specifiche per i probe del controllo di integrità, utilizza gli intervalli di indirizzi IP di origine documentati in Panoramica dei controlli di integrità: intervalli IP dei probe e regole firewall.
Console
- Nella console Google Cloud, vai alla pagina Criteri firewall.
Vai a Criteri firewall - Per consentire al traffico TCP IPv4 di raggiungere i backend nel gruppo di istanze
ig-us-tcp-80
, crea la seguente regola firewall.- Fai clic su Crea regola firewall.
- Inserisci
allow-network-lb-tcp-80-ipv4
come nome. - Seleziona la Rete a cui si applica la regola firewall (predefinita).
- In Target, seleziona Tag di destinazione specificati.
- Nel campo Tag di destinazione, inserisci
network-lb-tcp-80
. - Imposta Filtro di origine su Intervalli IPv4.
- Imposta Intervalli IPv4 di origine su
0.0.0.0/0
, in modo da consentire il traffico da qualsiasi origine. Ciò consente ai probe del traffico esterno e del controllo di integrità di raggiungere le istanze di backend. - In Protocolli e porte, seleziona Protocolli e porte specificati. Quindi seleziona la casella di controllo TCP e inserisci
80
. - Fai clic su Crea. Potrebbe essere necessario attendere un po' di tempo prima che la nuova regola firewall venga visualizzata nella console oppure potresti dover fare clic su Aggiorna per visualizzare la regola.
- Per consentire al traffico UDP, ESP e ICMP di IPv4 di raggiungere i backend nel gruppo di istanze
ig-us-l3-default
, crea la seguente regola firewall.- Fai clic su Crea regola firewall.
- Inserisci
allow-network-lb-l3-default-ipv4
come nome. - Seleziona la Rete a cui si applica la regola firewall (predefinita).
- In Target, seleziona Tag di destinazione specificati.
- Nel campo Tag di destinazione, inserisci
network-lb-l3-default
. - Imposta Filtro di origine su Intervalli IPv4.
- Imposta Intervalli IPv4 di origine su
0.0.0.0/0
, in modo da consentire il traffico da qualsiasi origine. Ciò consente ai probe del traffico esterno e del controllo di integrità di raggiungere le istanze di backend. - In Protocolli e porte, seleziona Protocolli e porte specificati.
- Seleziona la casella di controllo TCP e inserisci
8080
. - Seleziona la casella di controllo UDP.
- Seleziona la casella di controllo Altro e inserisci
esp, icmp
.
- Seleziona la casella di controllo TCP e inserisci
- Fai clic su Crea. Potrebbe essere necessario attendere un po' di tempo prima che la nuova regola firewall venga visualizzata nella console oppure potresti dover fare clic su Aggiorna per visualizzare la regola.
- Per consentire al traffico TCP IPv6 di raggiungere i backend nel gruppo di istanze
ig-us-tcp-80
, crea la seguente regola firewall.- Fai clic su Crea regola firewall.
- Inserisci
allow-network-lb-tcp-80-ipv6
come nome. - Seleziona la Rete a cui si applica la regola firewall (predefinita).
- In Target, seleziona Tag di destinazione specificati.
- Nel campo Tag di destinazione, inserisci
network-lb-tcp-80
. - Imposta Filtro di origine su Intervalli IPv6.
- Imposta Intervalli IPv6 di origine su
::/0
, in modo da consentire il traffico da qualsiasi origine. Ciò consente ai probe del traffico esterno e del controllo di integrità di raggiungere le istanze di backend. - In Protocolli e porte, seleziona Protocolli e porte specificati. Fai clic sulla casella di controllo accanto a TCP e inserisci
80
. - Fai clic su Crea. Potrebbe essere necessario attendere un po' di tempo prima che la nuova regola firewall venga visualizzata nella console oppure potresti dover fare clic su Aggiorna per visualizzare la regola.
- Per consentire al traffico UDP, ESP e ICMPv6 IPv6 di raggiungere i backend nel gruppo di istanze
ig-us-l3-default
, crea la seguente regola firewall. Inoltre, questa regola firewall consente ai probe del controllo di integrità TCP di raggiungere le istanze sulla porta 8080.- Fai clic su Crea regola firewall.
- Inserisci
allow-network-lb-l3-default-ipv6
come nome. - Seleziona la Rete a cui si applica la regola firewall (predefinita).
- In Target, seleziona Tag di destinazione specificati.
- Nel campo Tag di destinazione, inserisci
network-lb-l3-default
. - Imposta Filtro di origine su Intervalli IPv6.
- Imposta Intervalli IPv6 di origine su
::/0
, in modo da consentire il traffico da qualsiasi origine. Ciò consente ai probe del traffico esterno e del controllo di integrità di raggiungere le istanze di backend. - In Protocolli e porte, seleziona Protocolli e porte specificati.
- Fai clic sulla casella di controllo accanto a TCP e inserisci
8080
. - Fai clic sulla casella di controllo accanto a UDP.
- Fai clic sulla casella di controllo accanto ad Altro e inserisci
esp, 58
.
- Fai clic sulla casella di controllo accanto a TCP e inserisci
- Fai clic su Crea. Potrebbe essere necessario attendere un po' di tempo prima che la nuova regola firewall venga visualizzata nella console oppure potresti dover fare clic su Aggiorna per visualizzare la regola.
gcloud
Per consentire al traffico TCP IPv4 di raggiungere i backend nel gruppo di istanze
ig-us-tcp-80
, crea la seguente regola firewall.gcloud compute firewall-rules create allow-network-lb-tcp-80-ipv4 \ --network=lb-network \ --target-tags network-lb-tcp-80 \ --allow tcp:80 \ --source-ranges=0.0.0.0/0
Per consentire al traffico UDP, ESP e ICMP di IPv4 di raggiungere i backend nel gruppo di istanze
ig-us-l3-default
, crea la seguente regola firewall. Inoltre, questa regola firewall consente ai probe del controllo di integrità TCP di raggiungere le istanze sulla porta 8080.gcloud compute firewall-rules create allow-network-lb-l3-default-ipv4 \ --network=lb-network \ --target-tags network-lb-l3-default \ --allow tcp:8080,udp,esp,icmp \ --source-ranges=0.0.0.0/0
Per consentire al traffico TCP IPv6 di raggiungere i backend nel gruppo di istanze
ig-us-tcp-80
, crea la seguente regola firewall.gcloud compute firewall-rules create allow-network-lb-tcp-80-ipv6 \ --network=lb-network \ --target-tags network-lb-tcp-80 \ --allow tcp:80 \ --source-ranges=::/0
Per consentire al traffico UDP, ESP e ICMPv6 IPv6 di raggiungere i backend nel gruppo di istanze
ig-us-l3-default
, crea la seguente regola firewall. Inoltre, questa regola firewall consente ai probe del controllo di integrità TCP di raggiungere le istanze sulla porta 8080.gcloud compute firewall-rules create allow-network-lb-l3-default-ipv6 \ --network=lb-network \ --target-tags network-lb-l3-default \ --allow tcp:8080,udp,esp,58 \ --source-ranges=::/0
configura i bilanciatori del carico
Quindi, configura due bilanciatori del carico. Configura entrambi i bilanciatori del carico in modo che utilizzino lo stesso indirizzo IP esterno per le regole di forwarding, in cui un bilanciatore del carico gestisce il traffico TCP sulla porta 80 e l'altro bilanciatore del carico gestisce il traffico TCP, UDP, ESP e ICMP sulla porta 8080.
Quando configuri un bilanciatore del carico, le istanze VM di backend ricevono i pacchetti destinati all'indirizzo IP esterno statico configurato. Se utilizzi un'immagine fornita da
Compute Engine,
le tue istanze vengono configurate automaticamente per gestire questo indirizzo IP. Se
utilizzi qualsiasi altra immagine, devi configurare questo indirizzo come
alias su eth0
o come loopback su ogni istanza.
Per configurare due bilanciatori del carico, segui le istruzioni riportate di seguito.
Console
Avvia la configurazione
Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
- Fai clic su Crea bilanciatore del carico.
- Per Tipo di bilanciatore del carico, seleziona Bilanciatore del carico di rete (TCP/UDP/SSL) e fai clic su Avanti.
- Per Proxy o passthrough, seleziona Bilanciatore del carico passthrough e fai clic su Avanti.
- Per Pubblico o interno, seleziona Pubblico (esterno) e fai clic su Avanti.
- Fai clic su Configura.
Configurazione di base
- Nel campo Nome, inserisci il nome
backend-service-tcp-80
per il nuovo bilanciatore del carico. - Nell'elenco Regione, seleziona
us-central1
.
Configurazione backend
- Fai clic su Configurazione backend.
- Nella pagina Configurazione backend, apporta le seguenti modifiche:
- Nella sezione Nuovo backend, seleziona il tipo di stack IP. Se hai creato backend a doppio stack per gestire il traffico sia IPv4 che IPv6, seleziona IPv4 e IPv6 (stack doppio). Per gestire solo il traffico IPv4, seleziona IPv4 (stack singolo).
- Nell'elenco Gruppo di istanze, seleziona
ig-us-tcp-80
, quindi fai clic su Fine. - Nell'elenco Controllo di integrità, fai clic su Crea un controllo di integrità, quindi inserisci le informazioni seguenti:
- Nome:
tcp-health-check-80
- Protocollo:
TCP
- Porta:
80
- Nome:
- Fai clic su Salva.
- Prima di continuare, verifica che sia presente un segno di spunta blu accanto a Configurazione backend.
Configurazione frontend
- Fai clic su Configurazione frontend.
- Nel campo Nome, inserisci
forwarding-rule-tcp-80
. - Per gestire il traffico IPv4:
- Per Versione IP, seleziona IPv4.
- Nella sezione Scopo IP interno, nell'elenco Indirizzo IP, seleziona Crea indirizzo IP.
- Nel campo Nome, inserisci
network-lb-ipv4
. - Fai clic su Prenota.
- Nel campo Nome, inserisci
- In Porte, scegli Singola. Nel campo Numero porta, inserisci
80
. - Fai clic su Fine.
Per gestire il traffico IPv6, segui questi passaggi:
- Per Versione IP, seleziona IPv6.
- In corrispondenza di Subnet, seleziona lb-subnet.
- Nell'elenco Intervallo IPv6, seleziona Crea indirizzo IP.
- Nel campo Nome, inserisci
network-lb-ipv6
. - Fai clic su Prenota.
- Nel campo Nome, inserisci
- In Porte, scegli Singola. Nel campo Numero porta, inserisci
80
. - Fai clic su Fine.
Un cerchio blu con un segno di spunta a sinistra di Configurazione frontend indica che la configurazione è stata completata.
Rivedi la configurazione
- Fai clic su Esamina e finalizza.
- Rivedi le impostazioni di configurazione del bilanciatore del carico.
- (Facoltativo) Fai clic su Codice equivalente per visualizzare la richiesta API REST che verrà utilizzata per creare il bilanciatore del carico.
Fai clic su Crea.
Nella pagina del bilanciamento del carico, nella colonna Backend del nuovo bilanciatore del carico, dovresti vedere un segno di spunta verde che indica che il nuovo bilanciatore del carico è integro.
Crea il secondo bilanciatore del carico
Avvia la configurazione
Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
- Fai clic su Crea bilanciatore del carico.
- Per Tipo di bilanciatore del carico, seleziona Bilanciatore del carico di rete (TCP/UDP/SSL) e fai clic su Avanti.
- Per Proxy o passthrough, seleziona Bilanciatore del carico passthrough e fai clic su Avanti.
- Per Pubblico o interno, seleziona Pubblico (esterno) e fai clic su Avanti.
- Fai clic su Configura.
Configurazione di base
- Nel campo Nome, inserisci il nome
backend-service-l3-default
per il nuovo bilanciatore del carico. - Nell'elenco Regione, seleziona
us-central1
.
Configurazione backend
- Fai clic su Configurazione backend.
- Nella pagina Configurazione backend, apporta le seguenti modifiche:
- Nella sezione Nuovo backend, seleziona il tipo di stack IP. Se hai creato backend a doppio stack per gestire il traffico sia IPv4 che IPv6, seleziona IPv4 e IPv6 (stack doppio). Per gestire solo il traffico IPv4, seleziona IPv4 (stack singolo).
- Nell'elenco Gruppo di istanze, seleziona
ig-us-l3-default
, quindi fai clic su Fine. - Nell'elenco Protocolli, seleziona L3 (protocolli multipli).
- Nell'elenco Controllo di integrità, fai clic su Crea un controllo di integrità, quindi inserisci le informazioni seguenti:
- Nome:
tcp-health-check-8080
- Protocollo:
TCP
- Porta:
8080
- Nome:
- Fai clic su Salva.
- Prima di continuare, verifica che sia presente un segno di spunta blu accanto a Configurazione backend.
Configurazione frontend
- Fai clic su Configurazione frontend.
- Nel campo Nome, inserisci
forwarding-rule-l3-default
. - Per gestire il traffico IPv4:
- Per Versione IP, seleziona IPv4.
- Nella sezione Scopo IP interno, nell'elenco Indirizzo IP, seleziona Crea indirizzo IP.
- Nel campo Nome, inserisci
network-lb-ipv4
. - Fai clic su Prenota.
- Nel campo Nome, inserisci
- Nell'elenco Protocollo, seleziona L3 (protocolli multipli).
- In Porte, scegli Tutte.
- Fai clic su Fine.
Per gestire il traffico IPv6, segui questi passaggi:
- Per Versione IP, seleziona IPv6.
- In corrispondenza di Subnet, seleziona lb-subnet.
- Nell'elenco Intervallo IPv6, seleziona Crea indirizzo IP.
- Nel campo Nome, inserisci
network-lb-ipv6
. - Fai clic su Prenota.
- Nel campo Nome, inserisci
- Nel campo Protocollo, seleziona L3 (protocolli multipli).
- In Porte, seleziona Tutte.
- Fai clic su Fine.
Un cerchio blu con un segno di spunta a sinistra di Configurazione frontend indica che la configurazione è stata completata.
Rivedi la configurazione
- Fai clic su Esamina e finalizza.
- Rivedi le impostazioni di configurazione del bilanciatore del carico.
- (Facoltativo) Fai clic su Codice equivalente per visualizzare la richiesta API REST che verrà utilizzata per creare il bilanciatore del carico.
Fai clic su Crea.
Nella pagina del bilanciamento del carico, nella colonna Backend del nuovo bilanciatore del carico, dovresti vedere un segno di spunta verde che indica che il nuovo bilanciatore del carico è integro.
gcloud
Prenotare un indirizzo IP esterno statico.
Per il traffico IPv4: crea un indirizzo IP esterno statico per i bilanciatori del carico.
gcloud compute addresses create network-lb-ipv4 \ --region us-central1
Per il traffico IPv6: crea un intervallo di indirizzi IPv6 esterno statico per i bilanciatori del carico. La subnet utilizzata deve essere una subnet a doppio stack con un intervallo di subnet IPv6 esterno.
gcloud compute addresses create network-lb-ipv6 \ --region us-central1 \ --subnet lb-subnet \ --ip-version IPV6 \ --endpoint-type NETLB
Crea un controllo di integrità TCP per la porta
80
. Questo controllo di integrità viene utilizzato per verificare l'integrità dei backend nel gruppo di istanzeig-us-tcp-80
.gcloud compute health-checks create tcp tcp-health-check-80 \ --region us-central1 \ --port 80
Crea un controllo di integrità TCP per la porta
8080
. Questo controllo di integrità viene utilizzato per verificare l'integrità dei backend nel gruppo di istanzeig-us-l3-default
.gcloud compute health-checks create tcp tcp-health-check-8080 \ --region us-central1 \ --port 8080
Crea il primo bilanciatore del carico per il traffico TCP sulla porta
80
.Crea un servizio di backend con il protocollo impostato su
TCP
.gcloud compute backend-services create backend-service-tcp-80 \ --protocol TCP \ --health-checks tcp-health-check-80 \ --health-checks-region us-central1 \ --region us-central1
Aggiungi il gruppo di istanza di backend al servizio di backend.
gcloud compute backend-services add-backend backend-service-tcp-80 \ --instance-group ig-us-tcp-80 \ --instance-group-zone us-central1-a \ --region us-central1
Per il traffico IPv4: crea una regola di forwarding per instradare il traffico TCP in entrata sulla porta
80
al servizio di backend.TCP
è il protocollo della regola di forwarding predefinito e non deve essere impostato in modo esplicito.Utilizza l'indirizzo IP prenotato nel passaggio 1 come indirizzo IP esterno statico del bilanciatore del carico.
gcloud compute forwarding-rules create forwarding-rule-tcp-80 \ --load-balancing-scheme external \ --region us-central1 \ --ports 80 \ --address network-lb-ipv4 \ --backend-service backend-service-tcp-80
Per il traffico IPv6: crea una regola di forwarding per instradare il traffico TCP in entrata sulla porta
80
al servizio di backend.TCP
è il protocollo della regola di forwarding predefinito e non deve essere impostato in modo esplicito.Utilizza l'intervallo di indirizzi IPv6 prenotato nel passaggio 1 come indirizzo IP esterno statico del bilanciatore del carico. La subnet utilizzata deve essere una subnet a doppio stack con un intervallo di subnet IPv6 esterne.
gcloud compute forwarding-rules create forwarding-rule-tcp-80 \ --load-balancing-scheme external \ --region us-central1 \ --network-tier PREMIUM \ --ip-version IPV6 \ --subnet lb-subnet \ --address network-lb-ipv6 \ --ports 80 \ --backend-service backend-service-tcp-80
Crea il secondo bilanciatore del carico per TCP sulla porta
8080
, UDP, ESP e traffico ICMP.Crea un servizio di backend con il protocollo impostato su
UNSPECIFIED
.gcloud compute backend-services create backend-service-l3-default \ --protocol UNSPECIFIED \ --health-checks tcp-health-check-8080 \ --health-checks-region us-central1 \ --region us-central1
Aggiungi il gruppo di istanza di backend al servizio di backend.
gcloud compute backend-services add-backend backend-service-l3-default \ --instance-group ig-us-l3-default \ --instance-group-zone us-central1-c \ --region us-central1
Per il traffico IPv4: crea una regola di forwarding con il protocollo impostato su
L3_DEFAULT
per gestire tutto il traffico del protocollo IP supportato rimanente (TCP sulla porta8080
, UDP, ESP e ICMP). Tutte le porte devono essere configurate conL3_DEFAULT
regole di forwarding.Utilizza lo stesso indirizzo IPv4 esterno che hai utilizzato per il bilanciatore del carico precedente.
gcloud compute forwarding-rules create forwarding-rule-l3-default \ --load-balancing-scheme external \ --region us-central1 \ --ports all \ --ip-protocol L3_DEFAULT \ --address network-lb-ipv4 \ --backend-service backend-service-l3-default
Per il traffico IPv6: crea una regola di forwarding con il protocollo impostato su
L3_DEFAULT
per gestire tutto il traffico del protocollo IP supportato rimanente (TCP sulla porta8080
, UDP, ESP e ICMP). Tutte le porte devono essere configurate conL3_DEFAULT
regole di forwarding.Utilizza l'intervallo di indirizzi IPv6 prenotato nel passaggio 1 come indirizzo IP esterno statico del bilanciatore del carico. La subnet utilizzata deve essere una subnet a doppio stack con un intervallo di subnet IPv6 esterne.
gcloud compute forwarding-rules create forwarding-rule-l3-default \ --load-balancing-scheme external \ --region us-central1 \ --network-tier PREMIUM \ --ip-version IPV6 \ --subnet lb-subnet \ --address network-lb-ipv6 \ --ports all \ --ip-protocol L3_DEFAULT \ --backend-service backend-service-l3-default
Testa il bilanciatore del carico
Ora che il servizio di bilanciamento del carico è configurato, puoi iniziare a inviare il traffico all'indirizzo IP esterno del bilanciatore del carico e controllarlo che viene distribuito alle istanze di backend.
Cerca l'indirizzo IP esterno del bilanciatore del carico
Console
- Nella pagina Bilanciamento del carico avanzato, vai alla scheda Regole di forwarding.
Vai alla scheda Regole di forwarding - Individua le regole di forwarding utilizzate dal bilanciatore del carico.
- Nella colonna Indirizzo IP, prendi nota dell'indirizzo IP esterno elencato per ogni regola di forwarding IPv4 e IPv6.
gcloud: IPv4
Inserisci il comando seguente per visualizzare l'indirizzo IP esterno della regola di forwarding utilizzata dal bilanciatore del carico.
gcloud compute forwarding-rules describe forwarding-rule-tcp-80 \ --region us-central1
Questo esempio utilizza lo stesso indirizzo IP per entrambe le regole di forwarding IPv4, quindi funzionerà anche l'utilizzo di forwarding-rule-l3-default
.
gcloud: IPv6
Inserisci il comando seguente per visualizzare l'indirizzo IPv6 esterno della regola di forwarding forwarding-rule-tcp-80
utilizzata dal bilanciatore del carico.
gcloud compute forwarding-rules describe forwarding-rule-tcp-80 \ --region us-central1
Questo esempio utilizza lo stesso indirizzo IP per entrambe le regole di forwarding IPv6, quindi funzionerà anche l'utilizzo di forwarding-rule-l3-default
.
Invia traffico al bilanciatore del carico
Questa procedura invia traffico esterno al bilanciatore del carico. Esegui questi test per assicurarti che il traffico TCP sulla porta 80 venga bilanciato dal gruppo di istanze ig-us-tcp-80
, mentre tutto il resto del traffico (TCP sulla porta 8080, UDP, ESP e ICMP) viene gestito dal gruppo di istanze ig-us-l3-default
.
Verifica del comportamento con le richieste TCP sulla porta 80
Effettua richieste web (su TCP sulla porta 80) al bilanciatore del carico utilizzando
curl
per contattare il suo indirizzo IP.Dai client con connettività IPv4, esegui questo comando:
$ while true; do curl -m1 IP_ADDRESS; done
Dai client con connettività IPv6, esegui questo comando:
$ while true; do curl -m1 http://IPV6_ADDRESS; done
Ad esempio, se l'indirizzo IPv6 assegnato è
[2001:db8:1:1:1:1:1:1/96]
, il comando dovrebbe avere il seguente aspetto:$ while true; do curl -m1 http://[2001:db8:1:1:1:1:1:1]; done
Osserva il testo restituito dal comando
curl
. Il nome della VM backend che genera la risposta viene visualizzato in questo testo, ad esempio:Page served from: VM_NAME
. Le risposte devono provenire solo dalle istanze nel gruppo di istanzeig-us-tcp-80
.Se inizialmente la risposta non va a buon fine, prima di riprovare potrebbe essere necessario attendere circa 30 secondi affinché la configurazione venga caricata completamente e le istanze siano contrassegnate come integre.
Verifica del comportamento con le richieste TCP sulla porta 8080
Effettua richieste web (su TCP sulla porta 8080
) al bilanciatore del carico utilizzando curl
per contattare il suo indirizzo IP.
Dai client con connettività IPv4, esegui questo comando:
$ while true; do curl -m1 IPV4_ADDRESS:8080; done
Dai client con connettività IPv6, esegui questo comando:
$ while true; do curl -m1 http://IPV6_ADDRESS; done
Ad esempio, se l'indirizzo IPv6 assegnato è
[2001:db8:1:1:1:1:1:1/96]
, il comando dovrebbe avere il seguente aspetto:$ while true; do curl -m1 http://[2001:db8:1:1:1:1:1:1]:8080; done
Osserva il testo restituito dal comando curl
. Le risposte devono provenire solo da
istanze nel gruppo di istanze ig-us-l3-default
.
Questo mostra che tutto il traffico inviato all'indirizzo IP del bilanciatore del carico sulla porta 8080
viene gestito solo dai backend nel gruppo di istanze ig-us-l3-default
.
Verifica del comportamento con le richieste ICMP
Per verificare il comportamento con il traffico ICMP, acquisisci l'output dal comando tcpdump
per confermare che solo le VM di backend nel gruppo di istanze ig-us-l3-default
gestiscono le richieste ICMP inviate al bilanciatore del carico.
Accedi tramite SSH alle VM di backend.
Nella console Google Cloud, vai alla pagina Istanze VM.
Vai alla pagina Istanze VMNell'elenco delle istanze di macchine virtuali, fai clic su SSH nella riga dell'istanza a cui vuoi connetterti.
Esegui questo comando per utilizzare
tcpdump
e iniziare ad ascoltare il traffico ICMP.sudo tcpdump icmp -w ~/icmpcapture.pcap -s0 -c 10000 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
Lascia aperta la finestra SSH.
Ripeti i passaggi 1 e 2 per tutte e quattro le VM di backend.
Inviare richieste ICMP al bilanciatore del carico.
Per testare le risposte IPv4, utilizza
ping
per contattare l'indirizzo IPv4 del bilanciatore del carico.ping IPV4_ADDRESS
Per testare le risposte IPv6, utilizza
ping6
per contattare l'indirizzo IPv6 del bilanciatore del carico.ping6 IPV6_ADDRESS
Ad esempio, se l'indirizzo IPv6 assegnato è
[2001:db8:1:1:1:1:1:1/96]
, il comando dovrebbe avere il seguente aspetto:ping6 2001:db8:1:1:1:1:1:1
Torna alla finestra SSH aperta di ogni VM e interrompi il comando di acquisizione
tcpdump
. A tal fine, puoi utilizzare Ctrl+C.Per ogni VM, verifica l'output del comando
tcpdump
nel fileicmpcapture.pcap
.sudo tcpdump -r ~/icmpcapture.pcap -n
Per le VM di backend nel gruppo di istanze
ig-us-l3-default
, dovresti vedere voci di file come:reading from file /home/[user-directory]/icmpcapture.pcap, link-type EN10MB (Ethernet) 22:13:07.814486 IP 35.230.115.24 > 35.193.84.93: ICMP echo request, id 1995, seq 1, length 64 22:13:07.814513 IP 35.193.84.93 > 35.230.115.24: ICMP echo reply, id 1995, seq 1, length 64 22:13:08.816150 IP 35.230.115.24 > 35.193.84.93: ICMP echo request, id 1995, seq 2, length 64 22:13:08.816175 IP 35.193.84.93 > 35.230.115.24: ICMP echo reply, id 1995, seq 2, length 64 22:13:09.817536 IP 35.230.115.24 > 35.193.84.93: ICMP echo request, id 1995, seq 3, length 64 22:13:09.817560 IP 35.193.84.93 > 35.230.115.24: ICMP echo reply, id 1995, seq 3, length 64 ...
Per le VM di backend nel gruppo di istanze
ig-us-tcp-80
, dovresti vedere che non sono stati ricevuti pacchetti e il file deve essere vuoto:reading from file /home/[user-directory]/icmpcapture.pcap, link-type EN10MB (Ethernet)
Opzioni di configurazione aggiuntive
Crea una regola di forwarding IPv6 con BYOIP
Il bilanciatore del carico creato nei passaggi precedenti è stato configurato con regole di forwarding con IP version
come IPv4
o IPv6
. Questa sezione fornisce le istruzioni per creare una regola di forwarding IPv6 con indirizzi IP BYOIP (Bring Your Own IP).
Gli indirizzi IP personalizzati consentono di eseguire il provisioning e utilizzare i propri indirizzi IPv6 pubblici per le risorse Google Cloud. Per maggiori informazioni, consulta Integrazione degli indirizzi IP.
Prima di iniziare a configurare una regola di forwarding IPv6 con indirizzi BYOIP, devi completare questi passaggi:
- Crea un prefisso IPv6 annunciato pubblicamente
- Creare prefissi delegati pubblici
- Crea sottoprefissi IPv6
- Annuncia il prefisso
Per creare una nuova regola di forwarding:
Console
Nella console Google Cloud, vai alla pagina Bilanciamento del carico.
- Fai clic sul nome del bilanciatore del carico che vuoi modificare.
- Fai clic su Modifica.
- Fai clic su Configurazione frontend.
- Fai clic su Aggiungi IP e porta frontend.
- Nella sezione Nuovo IP e porta frontend, specifica quanto segue:
- Il Protocollo è TCP.
- Nel campo Versione IP, seleziona IPv6.
- Nel campo Intervallo di origine IPv6, seleziona BYOIP.
- Nell'elenco Raccolta IP, seleziona un sottoprefisso creato nei passaggi precedenti con l'opzione della regola di forwarding abilitata.
- Nel campo Intervallo IPv6, inserisci l'intervallo di indirizzi IPv6. L'intervallo di indirizzi IPv6 deve rispettare le specifiche dei sottoprefissi IPv6.
- Nel campo Ports (Porte), inserisci un numero di porta.
- Fai clic su Fine.
- Fai clic su Aggiungi IP e porta frontend.
- Nella sezione Nuovo IP e porta frontend, specifica quanto segue:
- Il Protocollo è L3 (protocolli multipli).
- Nel campo Versione IP, seleziona IPv6.
- Nel campo Intervallo di origine IPv6, seleziona BYOIP.
- Nell'elenco Raccolta IP, seleziona un sottoprefisso creato nei passaggi precedenti con l'opzione della regola di forwarding abilitata.
- Nel campo Intervallo IPv6, inserisci l'intervallo di indirizzi IPv6. L'intervallo di indirizzi IPv6 deve rispettare le specifiche dei sottoprefissi IPv6.
- Nel campo Ports (Porte), seleziona All (Tutte).
- Fai clic su Fine.
- Fai clic su Update (Aggiorna).
Google Cloud CLI
Crea la regola di forwarding utilizzando il
comando gcloud compute forwarding-rules create
:
gcloud compute forwarding-rules create FWD_RULE_NAME \ --load-balancing-scheme EXTERNAL \ --ip-protocol L3_DEFAULT \ --ports ALL \ --ip-version IPV6 \ --region REGION_A \ --address IPV6_CIDR_RANGE \ --backend-service BACKEND_SERVICE \ --ip-collection PDP_NAME
Crea la regola di forwarding utilizzando il
comando gcloud compute forwarding-rules create
:
gcloud compute forwarding-rules create FWD_RULE_NAME \ --load-balancing-scheme EXTERNAL \ --ip-protocol PROTOCOL \ --ports ALL \ --ip-version IPV6 \ --region REGION_A \ --address IPV6_CIDR_RANGE \ --backend-service BACKEND_SERVICE \ --ip-collection PDP_NAME
Sostituisci quanto segue:
FWD_RULE_NAME
: il nome della regola di forwardingREGION_A
: regione per la regola di forwardingIPV6_CIDR_RANGE
: l'intervallo di indirizzi IPv6 pubblicato dalla regola di forwarding. L'intervallo di indirizzi IPv6 deve rispettare le specifiche dei sottoprefissi IPv6.BACKEND_SERVICE
: il nome del servizio di backendPDP_NAME
: il nome del prefisso delegato pubblico. Il PDP deve essere un sottoprefisso in modalità EXTERNAL_IPV6_FORWARDING_RULE_CREATION
Passaggi successivi
- Per configurare un bilanciatore del carico di rete passthrough esterno con backend NEG a livello di zona che consentono di inoltrare pacchetti alle interfacce di rete non
nic0
di istanze VM, consulta Configurare un bilanciatore del carico di rete passthrough esterno con NEG a livello di zona. - Per informazioni su come funzionano i bilanciatori del carico di rete passthrough esterni con i servizi di backend, consulta Panoramica del bilanciatore del carico di rete passthrough esterno basato sul servizio di backend.
- Per informazioni su come eseguire la transizione di un bilanciatore del carico di rete passthrough esterno dal backend di un pool di destinazione a un servizio di backend regionale, consulta Eseguire la migrazione di bilanciatori del carico di rete passthrough esterni dai pool di destinazione ai servizi di backend
- Per configurare la protezione DDoS avanzata sulla rete per un bilanciatore del carico di rete passthrough esterno utilizzando Google Cloud Armor, consulta Configurare la protezione DDoS di rete avanzata.
- Per eliminare le risorse, consulta Pulizia della configurazione del bilanciatore del carico.