Configura un bilanciatore del carico di rete proxy classico (proxy SSL) con backend di gruppi di istanze VM

Questo documento fornisce istruzioni per configurare un bilanciatore del carico di rete proxy classico con un proxy SSL di destinazione e backend di gruppi di istanze VM. Prima di iniziare, consulta Panoramica del bilanciatore del carico di rete proxy esterno per informazioni sul funzionamento di questi bilanciatori del carico.

Panoramica della configurazione

Questo esempio mostra come configurare un bilanciatore del carico di rete proxy esterno per un servizio esistente in due regioni: us-central1 e us-east1. Configurerai quanto segue:

  1. Quattro istanze distribuite tra due regioni
  2. Gruppi di istanze per la conservazione delle istanze
  3. Componenti di backend, che includono quanto segue:
    • Controllo di integrità: utilizzato per monitorare l'integrità dell'istanza
    • Servizio di backend: monitora i gruppi di istanze ed evita che superino i limiti di utilizzo
    • Backend: archivia i gruppi di istanze
  4. Componenti di frontend, che includono i seguenti:
    • Una risorsa del certificato SSL. Puoi utilizzare un certificato autogestito, nel quale fornisci il tuo certificato SSL, oppure un certificato gestito da Google, nel quale Google emette un certificato valido per tutti i tuoi domini. Per ulteriori informazioni, consulta la pagina relativa ai tipi di certificati SSL.
    • Lo stesso proxy SSL con il relativo certificato SSL
    • Un indirizzo IPv4 statico esterno e una regola di forwarding che invia il traffico utente al proxy
    • Un indirizzo IPv6 statico esterno e una regola di forwarding che invia il traffico dell'utente al proxy
  5. Una regola firewall che consente il traffico dal bilanciatore del carico e dal controllo di integrità alle istanze.
  6. Facoltativamente, un criterio SSL per controllare le funzionalità di SSL negoziate con i client dal bilanciatore del carico del proxy SSL.

In seguito, eseguirai un test della configurazione.

Autorizzazioni

Per seguire questa guida, devi essere in grado di creare istanze e modificare una rete in un progetto. Devi essere un proprietario o un editor del progetto oppure devi disporre di tutti i seguenti ruoli IAM di Compute Engine:

Attività Ruolo richiesto
Crea reti, subnet e componenti del bilanciatore del carico Amministratore rete
Aggiungi e rimuovi regole firewall Amministratore sicurezza
Creare istanze Amministratore istanze Compute

Per ulteriori informazioni, consulta le seguenti guide:

Configura istanze e gruppi di istanze

Questa sezione mostra come creare istanze e gruppi di istanze e quindi aggiungere le istanze ai gruppi di istanze. Un sistema di produzione utilizzerebbe in genere gruppi di istanze gestite in base a modelli di istanza, ma questa configurazione è più veloce per i test iniziali.

Creare istanze

A scopo di test, installa Apache su quattro istanze, due in ognuno dei due gruppi di istanze. In genere, non si utilizza un bilanciatore del carico di rete proxy esterno per il traffico HTTP, ma Apache è di uso comune ed è facile da configurare per i test.

Crea queste istanze con il tag ssl-lb, che la regola firewall utilizzerà in seguito.

Console

Crea istanze

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Fai clic su Crea istanza.

  3. Imposta Nome su ig-us-central1-1.

  4. Imposta la Zona su us-central1-b.

  5. Fai clic su Opzioni avanzate.

  6. Fai clic su Networking e configura il seguente campo:

    1. In Tag di rete, inserisci ssl-lb.

  7. Fai clic su Gestione. Inserisci lo script seguente nel campo Script di avvio.

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>ig-us-central1-1</h1></body></html>' | sudo tee /var/www/html/index.html

  8. Lascia invariati i valori predefiniti per gli altri campi.

  9. Fai clic su Crea.

  10. Crea ig-us-central1-2 con le stesse impostazioni, ad eccezione del fatto che lo Script di avvio è impostato come segue:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>ig-us-central1-2</h1></body></html>' | sudo tee /var/www/html/index.html

  11. Crea ig-us-east1-1 con le stesse impostazioni, ad eccezione del fatto che Zona è impostata su us-east1-b e Script di avvio impostato come segue:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>ig-us-east1-1</h1></body></html>' | sudo tee /var/www/html/index.html

  12. Crea ig-us-east1-2 con le stesse impostazioni, ad eccezione del fatto che Zona è impostata su us-east1-b e Script di avvio impostato come segue:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>ig-us-east1-2</h1></body></html>' | sudo tee /var/www/html/index.html

gcloud

  1. Crea ig-us-central1-1 nella zona us-central1-b.

    gcloud compute instances create ig-us-central1-1 \
   --image-family debian-10 \
   --image-project debian-cloud \
   --tags ssl-lb \
   --zone us-central1-b \
   --metadata startup-script="#! /bin/bash
     sudo apt-get update
     sudo apt-get install apache2 -y
     sudo a2ensite default-ssl
     sudo a2enmod ssl
     sudo service apache2 restart
     echo '<!doctype html><html><body><h1>ig-us-central1-1</h1></body></html>' | sudo tee /var/www/html/index.html
     EOF"

  2. Crea ig-us-central1-2 nella zona us-central1-b.

    gcloud compute instances create ig-us-central1-2 \
  --image-family=debian-10 \
  --image-project=debian-cloud \
  --tags=ssl-lb \
  --zone=us-central1-b \
  --metadata=startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>ig-us-central1-2</h1></body></html>' | sudo tee /var/www/html/index.html
     EOF"

  3. Crea ig-us-east1-1 nella zona us-east1-b.

    gcloud compute instances create ig-us-east1-1 \
  --image-family=debian-10 \
  --image-project=debian-cloud \
  --tags=ssl-lb \
  --zone=us-east1-b \
  --metadata=startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>ig-us-east1-1</h1></body></html>' | sudo tee /var/www/html/index.html
    EOF"

  4. Crea ig-us-east1-2 nella zona us-east1-b.

    gcloud compute instances create ig-us-east1-2 \
  --image-family=debian-10 \
  --image-project=debian-cloud \
  --tags=ssl-lb \
  --zone=us-east1-b \
  --metadata=startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>ig-us-east1-2</h1></body></html>' | sudo tee /var/www/html/index.html
    EOF"

Creare un gruppo di istanze per ogni zona e aggiungere istanze

Console

  1. Nella console Google Cloud, vai alla pagina Gruppi di istanze.

    Vai a Gruppi di istanze

  2. Fai clic su Crea gruppo di istanze.

  3. Imposta il campo Nome su us-ig1.

  4. Imposta Zona su us-central1-b.

  5. In Mappatura delle porte, fai clic su Aggiungi porta. Un bilanciatore del carico invia il traffico a un gruppo di istanze tramite una porta con nome. Crea una porta denominata per mappare il traffico in entrata a un numero di porta specifico.

    1. Inserisci il Nome porta di ssl-lb e i Numeri di porta pari a 443.

  6. In Definizione di istanza, fai clic su Seleziona istanze esistenti.

  7. In Istanze VM, seleziona ig-us-central1-1 e ig-us-central1-2.

  8. Lascia invariate le altre impostazioni.

  9. Fai clic su Crea.

  10. Ripeti i passaggi, ma imposta quanto segue:

    • Nome: us-ig2
    • Zona: us-east1-b
    • Nome porta di ssl-lb e Numeri di porta di 443
    • Istanze: ig-us-east1-1 e ig-us-east1-2.

  11. Conferma di avere due gruppi di istanze, ciascuno con due istanze.

gcloud

  1. Crea il gruppo di istanze us-ig1.

    gcloud compute instance-groups unmanaged create us-ig1 --zone us-central1-b

  2. Imposta una porta denominata per il gruppo di istanze.

    gcloud compute instance-groups set-named-ports us-ig1 \
    --named-ports=ssl-lb:443 \
    --zone=us-central1-b

  3. Aggiungi ig-us-central1-1 e ig-us-central1-2 a us-ig1

    gcloud compute instance-groups unmanaged add-instances us-ig1 \
    --instances=ig-us-central1-1,ig-us-central1-2 \
    --zone=us-central1-b

  4. Crea il gruppo di istanze us-ig2.

    gcloud compute instance-groups unmanaged create us-ig2 --zone us-east1-b

  5. Imposta una porta denominata per il gruppo di istanze.

    gcloud compute instance-groups set-named-ports us-ig2 \
    --named-ports=ssl-lb:443 \
    --zone=us-east1-b

  6. Aggiungi ig-us-east1-1 e ig-us-east1-2 a us-ig2

    gcloud compute instance-groups unmanaged add-instances us-ig2 \
    --instances=ig-us-east1-1,ig-us-east1-2 \
    --zone=us-east1-b

Ora hai un gruppo di istanze in ciascuna delle due regioni, ciascuna con due istanze.

Crea una regola firewall per il bilanciatore del carico SSL

Configura il firewall per consentire il traffico dal bilanciatore del carico e il controllo di integrità alle istanze.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Fai clic su Crea regola firewall.

  3. Nel campo Nome, inserisci allow-ssl-lb-and-health.

  4. In Rete, seleziona predefinita.

  5. In Destinazioni, seleziona Tag di destinazione specificati.

  6. Imposta Tag di destinazione su ssl-lb.

  7. Imposta Filtro di origine su Intervalli IPv4.

  8. Imposta Intervalli IPv4 di origine su 130.211.0.0/22 e 35.191.0.0/16.

  9. In Protocolli e porte, imposta Protocolli e porte specificati su tcp:443.

  10. Fai clic su Crea.

gcloud 

gcloud compute firewall-rules create allow-ssl-lb-and-health \
  --source-ranges=130.211.0.0/22,35.191.0.0/16 \
  --target-tags=ssl-lb \
  --allow=tcp:443

Se utilizzi un certificato gestito da Google, verifica che lo stato della risorsa di certificato sia ATTIVO. Per ulteriori informazioni, consulta lo stato delle risorse del certificato SSL gestito da Google.

gcloud compute ssl-certificates list

configura il bilanciatore del carico

Console

Avvia la configurazione

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Fai clic su Crea bilanciatore del carico.
  3. In Tipo di bilanciatore del carico, seleziona Bilanciatore del carico di rete (TCP/UDP/SSL) e fai clic su Avanti.
  4. Per Proxy o passthrough, seleziona Bilanciatore del carico del proxy e fai clic su Avanti.
  5. In Pubblico o interno, seleziona Per il pubblico (esterno) e fai clic su Avanti.
  6. In Deployment a regione singola o globale, seleziona Ideale per carichi di lavoro globali e fai clic su Avanti.
  8. In Generazione del bilanciatore del carico, seleziona Bilanciatore del carico di rete proxy classico e fai clic su Avanti.
  9. Fai clic su Configura.

Configurazione di base

Imposta il campo Nome su my-ssl-lb.

Configurazione backend

  1. Fai clic su Configurazione backend.
  2. In Tipo di backend, seleziona Gruppi di istanze.
  3. Imposta Protocollo su SSL.
  4. In Porta denominata, inserisci ssl-lb.
  5. Accetta il valore predefinito per Timeout.
  6. Lascia l'opzione Tipo di backend impostata su Gruppi di istanze.
  7. Configura il primo backend:
    1. In Nuovo backend, seleziona il gruppo di istanze us-ig1.
    2. Imposta Numeri di porta su 443.
    3. Mantieni i valori predefiniti rimanenti.
  8. Configura il secondo backend:
    1. Fai clic su Aggiungi backend.
    2. Seleziona il gruppo di istanze us-ig2.
    3. Imposta Numeri di porta su 443.
    4. Fai clic su Fine.
  9. Configura il controllo di integrità:
    1. In Controllo di integrità, seleziona Crea controllo di integrità.
    2. Imposta il Nome del controllo di integrità su my-ssl-health-check.
    3. In Protocollo, seleziona SSL.
    4. Mantieni i valori predefiniti rimanenti.
    5. Fai clic su Salva e continua.
  10. Nella console Google Cloud, verifica che sia presente un segno di spunta accanto a Configurazione backend. In caso contrario, assicurati di aver completato tutti i passaggi.

Configurazione frontend

  1. Fai clic su Configurazione frontend.
  2. Aggiungi la prima regola di forwarding:
    1. Inserisci un Nome pari a my-ssl-lb-forwarding-rule.
    2. In Protocollo, seleziona SSL.
    3. In Indirizzo IP, seleziona Crea indirizzo IP:
      1. Inserisci un Nome pari a ssl-lb-static-ipv4.
      2. Fai clic su Prenota.
    4. In Certificato, seleziona Crea un nuovo certificato.
    5. Inserisci un Nome pari a my-ssl-cert.
    6. Se scegli Carica il mio certificato, completa i seguenti passaggi:
      1. Incolla il certificato o fai clic su Carica per passare al file del certificato.
      2. Incolla la chiave privata o fai clic su Carica per accedere al file della chiave privata.
    7. Se scegli Crea certificato gestito da Google, inserisci un Dominio.
      1. Per inserire altri domini, fai clic su Aggiungi dominio.
      2. Fai clic su Crea.
    8. Per aggiungere risorse di certificato oltre alla risorsa del certificato SSL principale, fai clic su Certificati aggiuntivi. A questo punto, seleziona un altro certificato dal menu Certificati o fai clic su Crea un nuovo certificato e segui le istruzioni riportate sopra.
      1. (Facoltativo) Per creare un criterio SSL:
      2. In Criterio SSL, seleziona Crea un criterio.
      3. Inserisci un Nome pari a my-ssl-policy.
      4. Per Versione TLS minima, seleziona TLS 1.0.
      5. In Profilo, seleziona Moderno. Vengono visualizzate le Funzionalità attivate e Funzionalità disattivate.
      6. Fai clic su Salva.
    9. (Facoltativo) Attiva Protocollo proxy, se lo desideri.
    10. Fai clic su Fine.
  3. Aggiungi la seconda regola di forwarding:
    1. Fai clic su Aggiungi IP e porta frontend.
    2. Inserisci un Nome pari a my-ssl-lb-ipv6-forwarding-rule.
    3. Imposta Versione IP su IPv6.
    4. In Indirizzo IP, fai clic su Crea indirizzo IP.
      1. Inserisci un nome di ssl-lb-static-ipv6.
      2. Fai clic su Prenota.
    5. In Certificato, seleziona my-ssl-cert.
    6. Per aggiungere risorse di certificato oltre alla risorsa del certificato SSL principale, seleziona un certificato dall'elenco Certificati o fai clic su Crea un nuovo certificato.
    7. (Facoltativo) Utilizza un criterio SSL o attiva Protocollo proxy, se lo desideri.
    8. Fai clic su Fine.
    9. Verifica che sia presente un segno di spunta verde accanto a Configurazione frontend nella console Google Cloud. In caso contrario, assicurati di aver completato tutti i passaggi precedenti.
    10. Fai clic su Fine.

    4. Esamina e finalizza

    1. Fai clic su Esamina e finalizza.
    2. Rivedi le impostazioni di configurazione del bilanciatore del carico.
    3. (Facoltativo) Fai clic su Codice equivalente per visualizzare la richiesta API REST che verrà utilizzata per creare il bilanciatore del carico.
    4. Fai clic su Crea.

gcloud

  1. Creare un controllo di integrità. 
       gcloud compute health-checks create ssl my-ssl-health-check --port=443
  2. Crea un servizio di backend. 
       gcloud compute backend-services create my-ssl-lb \
       --load-balancing-scheme EXTERNAL \
       --global-health-checks \
       --protocol=SSL \
       --port-name=ssl-lb \
       --health-checks=my-ssl-health-check \
       --timeout=5m \
       --global

    In alternativa, puoi configurare la comunicazione non criptata dal bilanciatore del carico alle istanze utilizzando --protocol=TCP.

  3. Aggiungi gruppi di istanze al tuo servizio di backend. 
       gcloud compute backend-services add-backend my-ssl-lb \
       --instance-group=us-ig1 \
       --instance-group-zone=us-central1-b \
       --balancing-mode=UTILIZATION \
       --max-utilization=0.8 \
       --global
   
       gcloud compute backend-services add-backend my-ssl-lb \
       --instance-group=us-ig2 \
       --instance-group-zone=us-east1-b \
       --balancing-mode=UTILIZATION \
       --max-utilization=0.8 \
       --global
  4. Configura la risorsa del certificato SSL.

    Se utilizzi certificati autogestiti, devi già avere almeno un certificato SSL da caricare. In caso contrario, consulta la panoramica dei certificati SSL. Quando utilizzi più certificati SSL, devi crearli uno alla volta.

    Se utilizzi certificati SSL autogestiti e non hai una chiave privata e un certificato firmato, puoi creare e utilizzare un certificato autofirmato a scopo di test.

    Per creare una risorsa del certificato SSL autogestito:

       gcloud compute ssl-certificates create my-ssl-cert \
       --certificate=CRT_FILE_PATH \
       --private-key=KEY_FILE_PATH

    Per creare una risorsa del certificato SSL gestita da Google:

       gcloud compute ssl-certificates create www-ssl-cert \
       --domains=DOMAIN_1,DOMAIN_2
  5. Configura un proxy SSL di destinazione.

    I bilanciatori del carico di rete del proxy esterno supportano la creazione di un proxy SSL di destinazione con da uno a quindici certificati SSL. Prima di eseguire questo comando, devi creare una risorsa del certificato SSL per ciascun certificato.

    Se vuoi attivare l'intestazione proxy, impostala su PROXY_V1 anziché su none. Facoltativamente, puoi collegare un criterio SSL al proxy di destinazione. Per prima cosa, crea il criterio.

       gcloud compute ssl-policies create my-ssl-policy \
       --profile=MODERN \
       --min-tls-version=1.0

    Quindi è stato collegato il criterio al proxy di destinazione.

       gcloud compute target-ssl-proxies create my-ssl-lb-target-proxy \
       --backend-service=my-ssl-lb \
       --ssl-certificates=[SSL_CERT_1][,[SSL_CERT_2],...] \
       --ssl-policy=my-ssl-policy \
       --proxy-header=NONE
  6. Prenota indirizzi IP statici globali.

    I tuoi clienti utilizzano questi indirizzi IP per accedere al servizio con bilanciamento del carico.

       gcloud compute addresses create ssl-lb-static-ipv4 \
       --ip-version=IPV4 \
       --global
   
       gcloud compute addresses create ssl-lb-static-ipv6 \
       --ip-version=IPV6 \
       --global
  7. Configurare le regole di forwarding globali.

    Creare regole di forwarding globali associate al proxy di destinazione. Sostituisci LB_STATIC_IP e LB_STATIC_IPV6 con gli indirizzi IP generati in Prenota indirizzi IP statici globali.

       gcloud compute forwarding-rules create my-ssl-lb-forwarding-rule \
       --load-balancing-scheme EXTERNAL \
       --global \
       --target-ssl-proxy=my-ssl-lb-target-proxy \
       --address=LB_STATIC_IP \
       --ports=443
   
       gcloud compute forwarding-rules create my-ssl-lb-ipv6-forwarding-rule \
       --load-balancing-scheme EXTERNAL \
       --global \
       --target-ssl-proxy=my-ssl-lb-target-proxy \
       --address=LB_STATIC_IPV6 \
       --ports=443

Connetti il tuo dominio al bilanciatore del carico

Dopo aver creato il bilanciatore del carico, prendi nota dell'indirizzo IP associato al bilanciatore del carico, ad esempio 30.90.80.100. Per puntare il tuo dominio al bilanciatore del carico, crea un record A utilizzando il servizio di registrazione del dominio. Se hai aggiunto più domini al certificato SSL, devi aggiungere un record A per ciascuno, tutti puntati all'indirizzo IP del bilanciatore del carico. Ad esempio, per creare i record A per www.example.com e example.com, utilizza quanto segue:

NAME                  TYPE     DATA
www                   A        30.90.80.100
@                     A        30.90.80.100

Se utilizzi Cloud DNS come provider DNS, consulta Aggiungere, modificare ed eliminare record.

Testa il bilanciatore del carico

Nel browser web, connettiti all'indirizzo IP statico tramite HTTPS. In questa configurazione di test, le istanze utilizzano certificati autofirmati. Di conseguenza, la prima volta che accedi a una pagina viene visualizzato un avviso nel browser. Fai clic sull'avviso per visualizzare la pagina effettiva. Sostituisci IP_ADDRESS con l'indirizzo IPv4 o IPv6 che hai creato in precedenza.

https://IP_ADDRESS

Dovresti vedere uno degli host nella regione più vicina a te. Ricarica la pagina finché non vedi l'altra istanza in quella regione. Per visualizzare le istanze dell'altra regione, arresta le istanze nella regione più vicina.

In alternativa, puoi utilizzare curl dalla riga di comando della macchina locale. Se utilizzi un certificato autofirmato sul proxy SSL, devi specificare anche -k. L'opzione curl -k consente il funzionamento di curl anche se non disponi di un certificato autofirmato o non hai alcun certificato. Se disponi di un certificato normale, puoi rimuovere quel parametro. Dovresti usare il parametro -k solo per testare il tuo sito. In circostanze normali, un certificato valido è una misura di sicurezza importante e gli avvisi relativi ai certificati non devono essere ignorati.

Sostituisci IP_ADDRESS con l'indirizzo IPv4 o IPv6 che hai creato in precedenza.

curl -k https://IP_ADDRESS

Se non riesci a raggiungere il bilanciatore del carico, prova a seguire i passaggi descritti in Risolvere i problemi di configurazione.

Opzioni di configurazione aggiuntive

Questa sezione espande l'esempio di configurazione per fornire opzioni di configurazione alternative e aggiuntive. Tutte le attività sono facoltative. Puoi eseguirli in qualsiasi ordine.

Protocollo PROXY per la conservazione delle informazioni di connessione del client

Il bilanciatore del carico di rete proxy termina le connessioni TCP dal client e crea nuove connessioni alle istanze. Per impostazione predefinita, le informazioni sull'IP e sulla porta del client originale non vengono conservate.

Per conservare e inviare le informazioni di connessione originali alle istanze, abilita la versione 1 del protocollo PROXY. Questo protocollo invia all'istanza un'intestazione aggiuntiva contenente l'indirizzo IP di origine, l'indirizzo IP di destinazione e i numeri di porta all'istanza come parte della richiesta.

Assicurati che le istanze di backend del bilanciatore del carico di rete proxy eseguano server che supportano le intestazioni di protocollo PROXY. Se i server non sono configurati per supportare le intestazioni del protocollo PROXY, le istanze di backend restituiscono risposte vuote.

Se imposti il protocollo PROXY per il traffico degli utenti, puoi impostarlo anche per i controlli di integrità. Se controlli l'integrità e pubblichi contenuti sulla stessa porta, imposta il valore --proxy-header del controllo di integrità in modo che corrisponda all'impostazione del bilanciatore del carico.

L'intestazione del protocollo PROXY è in genere una singola riga di testo leggibile dall'utente nel seguente formato:

PROXY TCP4 <client IP> <load balancing IP> <source port> <dest port>\r\n

L'esempio seguente mostra un protocollo PROXY:

PROXY TCP4 192.0.2.1 198.51.100.1 15221 110\r\n

Nell'esempio precedente, l'IP client è 192.0.2.1, l'IP di bilanciamento del carico è 198.51.100.1, la porta client è 15221 e la porta di destinazione è 110.

Quando l'IP del client non è noto, il bilanciatore del carico genera un'intestazione di protocollo PROXY nel seguente formato:

PROXY UNKNOWN\r\n

Aggiorna l'intestazione del protocollo PROXY per il proxy di destinazione

L'esempio di configurazione del bilanciatore del carico in questa pagina mostra come abilitare l'intestazione del protocollo PROXY durante la creazione del bilanciatore del carico di rete proxy. Utilizza questi passaggi per modificare l'intestazione del protocollo PROXY per un proxy di destinazione esistente.

Console

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Fai clic su Modifica per il bilanciatore del carico.
  3. Fai clic su Configurazione frontend.
  4. Modifica il valore del campo Protocollo proxy impostandolo su On.
  5. Fai clic su Update (Aggiorna) per salvare le modifiche.

gcloud

Nel comando seguente, modifica il campo --proxy-header e impostalo su NONE o PROXY_V1, in base alle tue esigenze.

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --proxy-header=[NONE | PROXY_V1]

Configura affinità sessione

Queste procedure mostrano come aggiornare un servizio di backend per il bilanciatore del carico del proxy SSL di esempio in modo che il servizio di backend utilizzi l'affinità IP client.

Quando l'affinità IP client è abilitata, il bilanciatore del carico indirizza le richieste di un particolare client alla stessa VM di backend in base a un hash creato dall'indirizzo IP del client e dall'indirizzo IP del bilanciatore del carico (l'indirizzo IP esterno di una regola di forwarding esterna).

Console

Per abilitare l'affinità sessione IP client:

  1. Nella console Google Cloud, vai alla pagina Bilanciamento del carico.

    Vai a Bilanciamento del carico

  2. Fai clic su Backend.

  3. Fai clic su my-ssl-lb (il nome del servizio di backend creato per questo esempio) e fai clic su Modifica.

  4. Nella pagina Dettagli del servizio di backend, fai clic su Configurazione avanzata.

  5. In Affinità sessione, seleziona IP client dal menu.

  6. Fai clic su Update (Aggiorna).

gcloud

Usa il seguente comando gcloud per aggiornare il servizio di backend my-ssl-lb, specificando l'affinità sessione IP del client:

gcloud compute backend-services update my-ssl-lb \
    --global \
    --session-affinity=CLIENT_IP

API

Per impostare l'affinità sessione IP client, effettua una richiesta PATCH al metodo backendServices/patch.

PATCH https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/us-west1/backendServices/my-ssl-lb
{
  "sessionAffinity": "CLIENT_IP"
}

Abilita lo svuotamento della connessione

Puoi abilitare lo svuotamento della connessione sui servizi di backend per garantire interruzioni minime per i tuoi utenti quando un'istanza che gestisce il traffico viene terminata, rimossa manualmente o rimossa da un gestore della scalabilità automatica. Per scoprire di più sullo svuotamento della connessione, consulta la documentazione sull'abilitazione dello svuotamento delle connessioni.

Passaggi successivi