Globalen externen Proxy-Network Load Balancer (SSL-Proxy) mit VM-Instanzgruppen-Back-Ends einrichten

Dieses Dokument enthält eine Anleitung zum Einrichten eines externen Proxy-Network Load Balancers mit einem Ziel-SSL-Proxy und VM-Instanzgruppen-Back-Ends. Bevor Sie beginnen, lesen Sie die Übersicht über den externen Proxy-Network Load Balancer. Dort erhalten Sie Informationen zur Funktionsweise dieser Load Balancer.

Einrichtung: Übersicht

Dieses Beispiel zeigt, wie ein externer Proxy-Network Load Balancer für einen Dienst eingerichtet wird, der in zwei Regionen vorhanden ist: Region A und Region B. Sie konfigurieren dabei Folgendes:

  1. Vier Instanzen, verteilt auf zwei Regionen.
  2. Instanzgruppen für die Aufnahme der Instanzen.
  3. Folgende Back-End-Komponenten:
    • Systemdiagnose zur Überwachung des Instanzstatus.
    • Back-End-Dienst – Überwacht Instanzgruppen und verhindert, dass der konfigurierte Nutzungsumfang überschritten wird
    • Back-Ends zur Aufnahme der Instanzgruppen.
  4. Frontend components, which include the following:
    • Eine SSL-Zertifikatsressource. Sie können entweder ein selbstverwaltetes Zertifikat verwenden, bei dem Sie Ihr eigenes SSL-Zertifikat bereitstellen, oder ein von Google verwaltetes Zertifikat, bei dem Google ein Zertifikat ausstellt, das für alle Ihre Domains gültig ist. Weitere Informationen finden Sie unter Arten von SSL-Zertifikaten.
    • Den SSL-Proxy mit seinem SSL-Zertifikat.
    • Eine externe statische IPv4-Adresse und eine Weiterleitungsregel, mit der Nutzertraffic zum Proxy geleitet wird.
    • Eine externe statische IPv6-Adresse und eine Weiterleitungsregel, mit der Nutzertraffic zum Proxy geleitet wird.
  5. Eine Firewallregel, die Traffic vom Load-Balancer und der Systemdiagnose zu den Instanzen erlaubt.
  6. Optional eine SSL-Richtlinie zur Steuerung der SSL-Features, die der SSL-Proxy-Load-Balancer mit Clients aushandelt.

Anschließend testen Sie die Konfiguration.

Berechtigungen

Damit Sie dieser Anleitung folgen können, müssen Sie in der Lage sein, Instanzen zu erstellen und ein Netzwerk in einem Projekt zu ändern. Sie müssen entweder ein Inhaber oder Bearbeiter des Projekts sein oder alle folgenden Compute Engine-IAM-Rollen haben:

Aufgabe Erforderliche Rolle
Netzwerke, Subnetze und Load-Balancer-Komponenten erstellen Netzwerkadministrator
Firewallregeln hinzufügen und löschen Sicherheitsadministrator
Instanzen erstellen Compute-Instanzadministrator

Weitere Informationen finden Sie in folgenden Leitfäden:

Netzwerk und Subnetze konfigurieren

Gehen Sie so vor, um das Netzwerk und das Subnetz zu erstellen:

Console

Führen Sie die folgenden Schritte aus, um IPv4- und IPv6-Traffic zu unterstützen:

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf VPC-Netzwerk erstellen.

  3. Geben Sie einen Namen für das Netzwerk ein.

  4. Optional: Führen Sie die folgenden Schritte aus, um interne IPv6-Adressbereiche in Subnetzen in diesem Netzwerk zu konfigurieren:

    1. Wählen Sie für Interner VPC-Netzwerk-IPv6-ULA-Bereich den Wert Aktiviert aus.
    2. Wählen Sie unter Internen IPv6-Bereich zuweisen die Option Automatisch oder Manuell aus.

      Geben Sie einen /48-Bereich aus dem Bereich fd20::/20 ein, wenn Sie Manuell auswählen. Wenn der Bereich verwendet wird, werden Sie aufgefordert, einen anderen Bereich anzugeben.

  5. Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.

  6. Konfigurieren Sie im Abschnitt Neues Subnetz die folgenden Felder:

    1. Geben Sie im Feld Name einen Namen für das Subnetz ein.
    2. Wählen Sie im Feld Region eine Region aus.
    3. Wählen Sie für IP-Stack-Typ IPv4 und IPv6 (Dual-Stack) aus.
    4. Geben Sie im Feld IP-Adressbereich einen IP-Adressbereich ein. Dies ist der primäre IPv4-Bereich für das Subnetz.

      Sie können zwar einen IPv4-Adressbereich für das Subnetz konfigurieren, Sie können aber nicht den Bereich der IPv6-Adressen für das Subnetz auswählen. Google bietet einen (/64) IPv6-CIDR-Block mit fester Größe.

    5. Wählen Sie unter Zugriffstyp IPv6 die Option Extern aus.

  7. Klicken Sie auf Fertig.

  8. Wenn Sie ein Subnetz in einer anderen Region hinzufügen möchten, klicken Sie auf Subnetz hinzufügen und wiederholen Sie die vorherigen Schritte.

  9. Klicken Sie auf Erstellen.

Führen Sie die folgenden Schritte aus, um nur IPv4-Traffic zu unterstützen:

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf VPC-Netzwerk erstellen.

  3. Geben Sie im Feld Name einen Namen für das VPC-Netzwerk ein.

  4. Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.

  5. Konfigurieren Sie im Abschnitt Neues Subnetz die folgenden Felder:

    1. Geben Sie im Feld Name einen Namen für das Subnetz ein.
    2. Wählen Sie im Feld Region eine Region aus.
    3. Wählen Sie für IP-Stack-Typ die Option IPv4 (Single-Stack) aus.
    4. Geben Sie im Feld IP-Adressbereich den primären IPv4-Bereich für das Subnetz ein.
  6. Klicken Sie auf Fertig.

  7. Wenn Sie ein Subnetz in einer anderen Region hinzufügen möchten, klicken Sie auf Subnetz hinzufügen und wiederholen Sie die vorherigen Schritte.

  8. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie das VPC-Netzwerk im benutzerdefinierten Modus:

    gcloud compute networks update NETWORK \
        [ --enable-ula-internal-ipv6 [ --internal-ipv6-range=ULA_IPV6_RANGE ]] \
        --switch-to-custom-subnet-mode
    
  2. Erstellen Sie im Netzwerk ein Subnetz für Back-Ends.

    Verwenden Sie für IPv4- und IPv6-Traffic den folgenden Befehl, um ein Subnetz zu aktualisieren:

    gcloud compute networks subnets update SUBNET \
       --stack-type=IPV4_IPv6 \
       --ipv6-access-type=EXTERNAL \
       --network=NETWORK \
       --region=REGION_A
    
    gcloud compute networks subnets update SUBNET_B \
       --stack-type=IPV4_IPv6 \
       --ipv6-access-type=EXTERNAL \
       --network=NETWORK \
       --region=REGION_B
    

    Verwenden Sie für nur IPv4-Traffic den folgenden Befehl:

    gcloud compute networks subnets update SUBNET \
       --network=NETWORK \
       --stack-type=IPV4_ONLY \
       --range=10.1.2.0/24 \
       --region=REGION_A
    
    gcloud compute networks subnets update SUBNET_B \
       --stack-type=IPV4_ONLY \
       --ipv6-access-type=EXTERNAL \
       --network=NETWORK \
       --region=REGION_B
    

Ersetzen Sie Folgendes:

  • NETWORK: der Name des VPC-Netzwerks

  • ULA_IPV6_RANGE: ein /48-Präfix aus dem Bereich fd20::/20, das von Google für interne IPv6-Subnetzbereiche verwendet wird Wenn Sie das Flag --internal-ipv6-range nicht verwenden, wählt Google das Präfix /48 für das Netzwerk aus.

  • SUBNET: ein Name für das Subnetz

  • REGION_A oder REGION_B: der Name der Region

Instanzen und Instanzgruppen konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie Instanzen und Instanzgruppen erstellen und die Instanzen zu den Gruppen hinzufügen. In einem Produktionssystem werden in der Regel verwaltete Instanzgruppen verwendet, die auf Instanzvorlagen basieren. Für anfängliche Tests ist die hier beschriebene Konfiguration jedoch schneller.

Instanzen erstellen

Erstellen Sie diese Instanzen mit dem Tag ssl-lb. Dieses Tag wird später von der Firewallregel verwendet.

Console

Instanzen erstellen

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zu Seite „VM-Instanzen“

  2. Klicken Sie auf Instanz erstellen.

  3. Legen Sie als Name vm-a1 fest.

  4. Setzen Sie Zone auf ZONE_A.

  5. Klicken Sie auf Erweiterte Optionen.

  6. Klicken Sie auf Netzwerk und konfigurieren Sie das folgende Feld:

    • Geben in dem Feld Netzwerk-Tags ssl-lb und allow-health-check-ipv6 ein.
  7. Klicken Sie im Bereich Netzwerkschnittstellen auf Bearbeiten und nehmen Sie folgende Änderungen vor:

    • Wählen Sie das Netzwerk aus.
    • Wählen Sie ein Subnetz aus.

    • Wählen Sie im Feld IP-Stacktyp die Option IPv4 und IPv6 (Dual-Stack) aus.

    • Klicken Sie auf Fertig.

  8. Klicken Sie auf Verwaltung. Fügen Sie im Feld Startskript das nachfolgende Skript ein.

    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>vm-a1</h1></body></html>' | sudo tee /var/www/html/index.html
  9. Behalten Sie in den restlichen Feldern die Standardwerte bei.

  10. Klicken Sie auf Erstellen.

  11. Erstellen Sie vm-a2 mit den gleichen Einstellungen, verwenden Sie jedoch das folgende Startskript:

    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>vm-a2</h1></body></html>' | sudo tee /var/www/html/index.html
  12. Erstellen Sie vm-b1 mit denselben Einstellungen, außer dass die Zone auf ZONE_B festgelegt und das Startskript so eingestellt ist:

    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>vm-b1</h1></body></html>' | sudo tee /var/www/html/index.html
  13. Erstellen Sie vm-b2 mit denselben Einstellungen, außer dass die Zone auf ZONE_B festgelegt und das Startskript so eingestellt ist:

    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>vm-b2</h1></body></html>' | sudo tee /var/www/html/index.html

gcloud

  1. Erstellen Sie vm-a1 in der Zone ZONE_A

    gcloud compute instances create vm-a1 \
       --image-family debian-12 \
       --image-project debian-cloud \
       --tags ssl-lb \
       --zone ZONE_A \
       --metadata startup-script="#! /bin/bash
         sudo apt-get update
         sudo apt-get install apache2 -y
         sudo a2ensite default-ssl
         sudo a2enmod ssl
         sudo service apache2 restart
         echo '<!doctype html><html><body><h1>vm-a1</h1></body></html>' | sudo tee /var/www/html/index.html
         EOF"
    
  2. Erstellen Sie vm-a2 in der Zone ZONE_A

    gcloud compute instances create vm-a2 \
      --image-family=debian-12 \
      --image-project=debian-cloud \
      --tags=ssl-lb \
      --zone=ZONE_A \
      --metadata=startup-script="#! /bin/bash
        sudo apt-get update
        sudo apt-get install apache2 -y
        sudo a2ensite default-ssl
        sudo a2enmod ssl
        sudo service apache2 restart
        echo '<!doctype html><html><body><h1>vm-a2</h1></body></html>' | sudo tee /var/www/html/index.html
         EOF"
    
  3. Erstellen Sie vm-b1 in der Zone ZONE_B

    gcloud compute instances create vm-b1 \
      --image-family=debian-12 \
      --image-project=debian-cloud \
      --tags=ssl-lb \
      --zone=ZONE_B \
      --metadata=startup-script="#! /bin/bash
        sudo apt-get update
        sudo apt-get install apache2 -y
        sudo a2ensite default-ssl
        sudo a2enmod ssl
        sudo service apache2 restart
        echo '<!doctype html><html><body><h1>vm-b1</h1></body></html>' | sudo tee /var/www/html/index.html
        EOF"
    
  4. Erstellen Sie vm-b2 in der Zone ZONE_B

    gcloud compute instances create vm-b2 \
      --image-family=debian-12 \
      --image-project=debian-cloud \
      --tags=ssl-lb \
      --zone=ZONE_B \
      --metadata=startup-script="#! /bin/bash
        sudo apt-get update
        sudo apt-get install apache2 -y
        sudo a2ensite default-ssl
        sudo a2enmod ssl
        sudo service apache2 restart
        echo '<!doctype html><html><body><h1>vm-b2</h1></body></html>' | sudo tee /var/www/html/index.html
        EOF"
    

Instanzgruppe für jede Zone erstellen und Instanzen hinzufügen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Instanzgruppen auf.

    Zu den Instanzgruppen

  2. Klicken Sie auf Instanzgruppe erstellen.

  3. Legen Sie als Name instance-group-a fest.

  4. Setzen Sie Zone auf ZONE_A.

  5. Klicken Sie unter Portzuordnung auf Port hinzufügen. Ein Load-Balancer sendet Traffic über einen benannten Port an eine Instanzgruppe. Erstellen Sie einen benannten Port, um den eingehenden Traffic einer bestimmten Portnummer zuzuordnen.

    1. Geben Sie als Portname ssl-lb und als Portnummern 443 ein.
  6. Klicken Sie unter Instanzdefinition auf Vorhandene Instanzen auswählen.

  7. Wählen Sie bei VM-Instanzen die Werte vm-a1 und vm-a2 aus.

  8. Übernehmen Sie die anderen Einstellungen.

  9. Klicken Sie auf Erstellen.

  10. Wiederholen Sie die Schritte, stellen Sie jedoch Folgendes ein:

    • Name: instance-group-b
    • Zone: ZONE_B
    • Portname: ssl-lb und Portnummern: 443
    • Instanzen: vm-b1 und vm-b2.
  11. Vergewissern Sie sich, dass Sie nun zwei Instanzgruppen mit jeweils zwei Instanzen haben.

gcloud

  1. Erstellen Sie die Instanzgruppe „instance-group-a“.

    gcloud compute instance-groups unmanaged create instance-group-a --zone ZONE_A
    
  2. Legen Sie einen benannten Port für die Instanzgruppe fest.

    gcloud compute instance-groups set-named-ports instance-group-a \
        --named-ports=ssl-lb:443 \
        --zone=ZONE_A
    
  3. vm-a1 und vm-a2 zu „instance-group-a“ hinzufügen

    gcloud compute instance-groups unmanaged add-instances instance-group-a \
        --instances=vm-a1,vm-a2 \
        --zone=ZONE_A
    
  4. Erstellen Sie die Instanzgruppe instance-group-b.

    gcloud compute instance-groups unmanaged create instance-group-b --zone ZONE_B
    
  5. Legen Sie einen benannten Port für die Instanzgruppe fest.

    gcloud compute instance-groups set-named-ports instance-group-b \
        --named-ports=ssl-lb:443 \
        --zone=ZONE_B
    
  6. vm-b1 und vm-b2 zu „instance-group-b“ hinzufügen

    gcloud compute instance-groups unmanaged add-instances instance-group-b \
        --instances=vm-b1,vm-b2 \
        --zone=ZONE_B
    

Nun haben Sie für jede der beiden Regionen eine Instanzgruppe mit jeweils zwei Instanzen.

Firewallregel für den SSL-Load-Balancer erstellen

Konfigurieren Sie die Firewall so, dass sie Traffic vom Load-Balancer und der Systemdiagnose zu den Instanzen erlaubt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie auf Firewallregel erstellen.

  3. Geben Sie im Feld Name allow-ssl-lb-and-health ein.

  4. Wählen Sie das Netzwerk aus.

  5. Wählen Sie unter Ziele die Option Angegebene Zieltags aus.

  6. Legen Sie ssl-lb als Ziel-Tags fest.

  7. Legen Sie unter Quellfilter die Option IPv4-Bereiche fest.

  8. Legen Sie unter Quell-IPv4-Bereiche die Werte 130.211.0.0/22 und 35.191.0.0/16 fest.

  9. Legen Sie unter Protokolle und Ports die Option Angegebene Protokolle und Ports auf tcp:443 fest.

  10. Klicken Sie auf Erstellen.

gcloud

gcloud compute firewall-rules create allow-ssl-lb-and-health \
  --source-ranges=130.211.0.0/22,35.191.0.0/16 \
  --target-tags=ssl-lb \
  --allow=tcp:443

Wenn Sie ein von Google verwaltetes Zertifikat verwenden, prüfen Sie, ob die Zertifikatressource den Status AKTIV hat. Weitere Informationen finden Sie unter Status des von Google verwalteten SSL-Zertifikats prüfen.

gcloud compute ssl-certificates list

Firewallregel für die IPv6-Systemdiagnose erstellen

Sie benötigen eine Regel für eingehenden Traffic, die für die Instanzen mit Load-Balancing gilt und Traffic von den Systemdiagnosen von Google Cloud zulässt (2600:2d00:1:b029::/64). In diesem Beispiel wird das Ziel-Tag allow-health-check-ipv6 verwendet, um die VM-Instanzen zu identifizieren, auf die sie angewendet wird.

Ohne diese Firewallregeln blockiert die Standardregel zum Ablehnen von eingehendem Traffic den eingehenden Traffic zu den Back-End-Instanzen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie noch einmal auf Firewallregel erstellen und geben Sie die folgenden Informationen ein, um IPv6-Subnetz-Traffic zuzulassen:

    • Name: fw-allow-lb-access-ipv6
    • Netzwerk: NETWORK
    • Priorität: 1000
    • Trafficrichtung: Eingehend
    • Ziele: Specified target tags
    • Geben Sie im Feld Ziel-Tags allow-health-check-ipv6 ein.
    • Quellfilter: IPv6-Bereiche
    • Quell-IPv6-Bereiche: 2600:2d00:1:b029::/64,2600:2d00:1:1::/64
    • Protokolle und Ports: Alle zulassen
  3. Klicken Sie auf Erstellen.

gcloud

Erstellen Sie die Firewallregel fw-allow-lb-access-ipv6, um die Kommunikation mit dem Subnetz zuzulassen:

gcloud compute firewall-rules create fw-allow-lb-access-ipv6 \
  --network=NETWORK \
  --action=allow \
  --direction=ingress \
  --target-tags=allow-health-check-ipv6 \
  --source-ranges=2600:2d00:1:b029::/64,2600:2d00:1:1::/64 \
  --rules=all

Load-Balancer konfigurieren

Console

Konfiguration starten

  1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

    Load-Balancing aufrufen

  2. Klicken Sie auf Load-Balancer erstellen.
  3. Wählen Sie unter Typ des Load Balancers die Option Network Load Balancer (TCP/UDP/SSL) aus und klicken Sie auf Weiter.
  4. Wählen Sie unter Proxy oder Passthrough die Option Proxy-Load Balancer aus und klicken Sie auf Weiter.
  5. Wählen Sie für Öffentlich oder intern die Option Öffentlich (extern) aus und klicken Sie auf Weiter.
  6. Wählen Sie unter Globale oder einzelne Region-Bereitstellung die Option Am besten für globale Arbeitslasten aus und klicken Sie auf Weiter.
  7. Wählen Sie unter Generation des Load Balancers die Option Globaler externer Proxy-Network Load Balancer aus und klicken Sie auf Weiter.
  8. Klicken Sie auf Konfigurieren.

Grundlegende Konfiguration

Legen Sie als Name my-ssl-lb fest.

Backend-Konfiguration

  1. Klicken Sie auf Backend-Konfiguration.
  2. Wählen Sie unter Backend-Typ die Option Instanzgruppen aus.
  3. Legen Sie für Protokoll den Wert SSL fest.
  4. Wählen Sie in der Liste Richtlinie zur IP-Adressauswahl die Option IPv6 bevorzugen aus.
  5. Geben Sie als Benannter Port ssl-lb ein.
  6. Übernehmen Sie für Zeitlimit den Standardwert.
  7. Belassen Sie für Backend-Typ die Einstellung Instanzgruppen.
  8. Configure the first backend:
    1. Wählen Sie unter Neues Backend die Instanzgruppe instance-group-a aus.
    2. Legen Sie für Portnummern den Wert 443 fest.
    3. Behalten Sie die verbleibenden Standardwerte bei.
  9. Configure the second backend:
    1. Klicken Sie auf Backend hinzufügen.
    2. Wählen Sie die Instanzgruppe instance-group-b aus.
    3. Legen Sie für Portnummern den Wert 443 fest.
    4. Klicken Sie auf Fertig.
  10. Konfigurieren Sie die Systemdiagnose:
    1. Wählen Sie unter Systemdiagnose die Option Systemdiagnose erstellen aus.
    2. Geben Sie als Name für die Systemdiagnose my-ssl-health-check an.
    3. Wählen Sie unter Protokoll die Option SSL aus.
    4. Behalten Sie die verbleibenden Standardwerte bei.
    5. Klicken Sie auf Speichern und fortfahren.
  11. Prüfen Sie in der Google Cloud Console, ob neben Backend-Konfiguration ein Häkchen angezeigt wird. Ist dies nicht der Fall, prüfen Sie, ob Sie alle Schritte ausgeführt haben.

Frontend-Konfiguration

  1. Klicken Sie auf Front-End-Konfiguration.
    1. Fügen Sie die erste Weiterleitungsregel hinzu:
    2. Geben Sie als Name my-ssl-lb-forwarding-rule ein.
    3. Wählen Sie unter Protokoll die Option SSL aus.
    4. Wählen Sie unter IP-Adresse die Option IP-Adresse erstellen aus:
      1. Geben Sie als Namen ssl-lb-static-ipv4 ein.
      2. Klicken Sie auf Reservieren.
    5. Wählen Sie unter Zertifikat die Option Neues Zertifikat erstellen.
    6. Geben Sie als Namen my-ssl-cert ein.
    7. Führen Sie die folgenden Schritte aus, wenn Sie Zertifikat hochladen auswählen:
      1. Fügen Sie Ihr Zertifikat ein oder klicken Sie auf Hochladen und suchen Sie nach Ihrer Zertifikatsdatei.
      2. Fügen Sie Ihren privaten Schlüssel ein oder klicken Sie auf Hochladen und suchen Sie nach Ihrer privaten Schlüsseldatei.
    8. Wenn Sie Von Google verwaltetes Zertifikat erstellen auswählen, geben Sie eine Domain ein.
      1. Klicken Sie auf Domain hinzufügen, um weitere Domains einzugeben.
      2. Klicken Sie auf Erstellen.
    9. Klicken Sie auf Zusätzliche Zertifikate, um zusätzlich zur primären SSL-Zertifikatsressource weitere Zertifikatsressourcen hinzuzufügen. Wählen Sie dann im Menü Zertifikate ein anderes Zertifikat aus oder klicken Sie auf Neues Zertifikat erstellen und folgen Sie der obigen Anleitung.
      1. (Optional) So erstellen Sie eine SSL-Richtlinie:
      2. Wählen Sie unter SSL-Richtlinie die Option eine Richtlinie erstellen aus.
      3. Geben Sie als Name my-ssl-policy ein.
      4. Wählen Sie als Mindest-TLS-Version die Option TLS 1.0 aus.
      5. Wählen Sie als Profil Modern aus. Anschließend werden Aktivierte Features und Deaktivierte Features angezeigt.
      6. Klicken Sie auf Speichern.
    10. Optional: Aktivieren Sie Proxy-Protokoll.
    11. Klicken Sie auf Fertig.
  2. Prüfen Sie, ob sich in der Google Cloud Console neben Frontend-Konfiguration ein grünes Häkchen befindet. Ist dies nicht der Fall, prüfen Sie, ob Sie alle vorherigen Schritte ausgeführt haben.
  3. Klicken Sie auf Fertig.

Überprüfen und abschließen

  1. Klicken Sie auf Prüfen und abschließen.
  2. Prüfen Sie die Konfigurationseinstellungen des Load-Balancers.
  3. Optional: Klicken Sie auf Entsprechender Code, um die REST API-Anfrage aufzurufen, die zum Erstellen des Load-Balancers verwendet wird.
  4. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie eine Systemdiagnose.
       gcloud compute health-checks create ssl my-ssl-health-check --port=443
       
  2. Erstellen Sie einen Backend-Dienst.
       gcloud beta compute backend-services create my-ssl-lb \
           --load-balancing-scheme EXTERNAL_MANAGED \
           --global-health-checks \
           --protocol=SSL \
           --port-name=ssl-lb \
           --ip-address-selection-policy=PREFER_IPV6 \
           --health-checks=my-ssl-health-check \
           --timeout=5m \
           --global
       

    Alternativ können Sie mit --protocol=TCP die unverschlüsselte Kommunikation vom Load Balancer zu den Instanzen konfigurieren.

  3. Fügen Sie Instanzgruppen zu Ihrem Backend-Dienst hinzu.

       gcloud compute backend-services add-backend my-ssl-lb \
           --instance-group=instance-group-a \
           --instance-group-zone=ZONE_A \
           --balancing-mode=UTILIZATION \
           --max-utilization=0.8 \
           --global
       
       gcloud compute backend-services add-backend my-ssl-lb \
           --instance-group=instance-group-b \
           --instance-group-zone=ZONE_B \
           --balancing-mode=UTILIZATION \
           --max-utilization=0.8 \
           --global
       
  4. SSL-Zertifikatsressource konfigurieren

    Wenn Sie selbstverwaltete Zertifikate verwenden, benötigen Sie mindestens ein SSL-Zertifikat, das Sie hochladen können. Wenn Sie kein SSL-Zertifikat haben, finden Sie entsprechende Informationen unter SSL-Zertifikate. Wenn Sie mehrere SSL-Zertifikate verwenden möchten, müssen Sie diese einzeln erstellen.

    Wenn Sie selbstverwaltete SSL-Zertifikate verwenden und weder einen privaten Schlüssel noch ein signiertes Zertifikat haben, können Sie zu Testzwecken ein selbst signiertes Zertifikat erstellen und nutzen.

    So erstellen Sie eine selbstverwaltete SSL-Zertifikatressource:

       gcloud compute ssl-certificates create my-ssl-cert \
           --certificate=CRT_FILE_PATH \
           --private-key=KEY_FILE_PATH
       

    So erstellen Sie eine von Google verwaltete SSL-Zertifikatsressource:

       gcloud compute ssl-certificates create www-ssl-cert \
           --domains=DOMAIN_1,DOMAIN_2
       
  5. Ziel-SSL-Proxy konfigurieren

    Externe Proxy-Netzwerk-Load-Balancer unterstützen die Erstellung eines Ziel-SSL-Proxys mit eins bis fünfzehn SSL-Zertifikaten. Bevor Sie diesen Befehl ausführen, müssen Sie eine SSL-Zertifikatressource für jedes Zertifikat erstellen.

    Wenn Sie den Proxyheader aktivieren möchten, legen Sie PROXY_V1 anstelle von none fest. Sie haben die Möglichkeit, eine SSL-Richtlinie an den Zielproxy anzuhängen. Erstellen Sie zuerst die Richtlinie.

       gcloud compute ssl-policies create my-ssl-policy \
           --profile=MODERN \
           --min-tls-version=1.0
       

    Hängen Sie dann die Richtlinie an den Zielproxy an:

       gcloud beta compute target-ssl-proxies create my-ssl-lb-target-proxy \
           --backend-service=my-ssl-lb \
           --ssl-certificates=[SSL_CERT_1][,[SSL_CERT_2],...] \
           --ssl-policy=my-ssl-policy \
           --proxy-header=NONE
       
  6. Globale statische IP-Adressen reservieren

    Ihre Kunden greifen über diese IP-Adressen auf den Dienst mit Load-Balancing zu.

       gcloud compute addresses create ssl-lb-static-ipv4 \
           --ip-version=IPV4 \
           --global
       
       gcloud compute addresses create ssl-lb-static-ipv6 \
           --ip-version=IPV6 \
           --global
       
  7. Globale Weiterleitungsregeln konfigurieren

    Erstellen Sie globale Weiterleitungsregeln, die dem Ziel-Proxy zugeordnet sind. Ersetzen Sie LB_STATIC_IP und LB_STATIC_IPV6 durch die IP-Adressen, die Sie unter Globale statische IP-Adresse reservieren generiert haben.

       gcloud beta compute forwarding-rules create my-ssl-lb-forwarding-rule \
           --load-balancing-scheme EXTERNAL_MANAGED \
           --global \
           --target-ssl-proxy=my-ssl-lb-target-proxy \
           --address=LB_STATIC_IP \
           --ports=443
       

Domain mit dem Load-Balancer verbinden

Notieren Sie sich nach der Erstellung des Load-Balancers die IP-Adresse, die diesem zugewiesen ist, z. B. 30.90.80.100. Wenn Sie Ihre Domain auf den Load-Balancer verweisen möchten, erstellen Sie mit Ihrem Domain-Registrierungsdienst einen A-Eintrag. Wenn Sie Ihrem SSL-Zertifikat mehrere Domains hinzugefügt haben, müssen Sie für jede Domain einen A-Eintrag hinzufügen, der auf die IP-Adresse des Load-Balancers verweist. So erstellen Sie beispielsweise A-Einträge für www.example.com und example.com:

NAME                  TYPE     DATA
www                   A        30.90.80.100
@                     A        30.90.80.100

Wenn Sie Cloud DNS als DNS-Anbieter verwenden, finden Sie weitere Informationen unter Einträge hinzufügen, ändern und löschen.

Load-Balancer testen

Stellen Sie in Ihrem Webbrowser über HTTPS eine Verbindung zu Ihrer statischen IP-Adresse her. In dieser Testkonfiguration verwenden die Instanzen selbst signierte Zertifikate. Daher wird eine Warnung angezeigt, wenn Sie zum ersten Mal eine Seite aufrufen. Bestätigen Sie die Warnung, um die eigentliche Seite zu sehen. Ersetzen Sie IP_ADDRESS durch die zuvor erstellte IPv4- oder IPv6-Adresse.

https://IP_ADDRESS

Sie sollten einen der Hosts aus der nächstgelegenen Region sehen. Laden Sie die Seite neu, um die andere Instanz in dieser Region aufzurufen. Damit Ihnen Instanzen aus der anderen Region angezeigt werden, beenden Sie die Instanzen in der nächstgelegenen Region.

Alternativ können Sie curl über die Befehlszeile Ihres lokalen Computers verwenden. Wenn Sie ein selbst signiertes Zertifikat für den SSL-Proxy verwenden, müssen Sie auch -k angeben. Mit der Option curl -k kann "curl" auch dann verwendet werden, wenn Sie ein selbst signiertes oder kein Zertifikat haben. Bei einem normalen Zertifikat können Sie diesen Parameter weglassen. Sie sollten den Parameter -k nur verwenden, um Ihre eigene Website zu testen. Unter normalen Umständen ist die Prüfung auf ein gültiges Zertifikat eine wichtige Sicherheitsmaßnahme und Zertifikatwarnungen sollten nicht ignoriert werden.

Ersetzen Sie IP_ADDRESS durch die zuvor erstellte IPv4- oder IPv6-Adresse.

curl -k https://IP_ADDRESS

Wenn Sie den Load-Balancer nicht erreichen können, führen Sie die unter Fehlerbehebung bei der Einrichtung beschriebenen Schritte aus.

Zusätzliche Konfigurationsoptionen

In diesem Abschnitt wird die Konfiguration des Beispiels um alternative und zusätzliche Optionen erweitert. Alle Aufgaben sind optional. Sie können sie in beliebiger Reihenfolge ausführen.

PROXY-Protokoll für den Erhalt der Verbindungsinformationen des Clients

Der Proxy-Network Load Balancer beendet TCP-Verbindungen vom Client und erstellt neue Verbindungen zu den Instanzen. Standardmäßig bleiben die ursprüngliche IP-Adresse des Clients und die Portinformationen nicht automatisch erhalten.

Aktivieren Sie deshalb das PROXY-Protokoll (Version 1). Damit bleiben die ursprünglichen Verbindungsinformationen erhalten und werden an Ihre Instanzen gesendet. Mit diesem Protokoll wird mit der Anfrage zusätzlich ein Header mit Quell-IP-Adresse, Ziel-IP-Adresse und Portnummern an die Instanz gesendet.

Achten Sie darauf, dass die Backend-Instanzen des Proxy-Network Load Balancers Server ausführen, die PROXY-Protokoll-Header unterstützen. Wenn die Server nicht für die Unterstützung von PROXY-Protokoll-Headern konfiguriert sind, geben die Backend-Instanzen leere Antworten zurück.

Wenn Sie das PROXY-Protokoll für Nutzer-Traffic festlegen, können Sie es auch für die Systemdiagnosen festlegen. Wenn Sie Systemdiagnosen und Inhaltsbereitstellung über denselben Port durchführen, legen Sie den --proxy-header der Systemdiagnose so fest, dass er mit der Einstellung des Load-Balancers übereinstimmt.

Der PROXY-Protokoll-Header enthält in der Regel eine einzelne, für Nutzer lesbare Textzeile im folgenden Format:

PROXY TCP4 <client IP> <load balancing IP> <source port> <dest port>\r\n

Das folgende Beispiel zeigt ein PROXY-Protokoll:

PROXY TCP4 192.0.2.1 198.51.100.1 15221 110\r\n

Im vorherigen Beispiel lautet die Client-IP-Adresse 192.0.2.1, die Load Balancing-IP-Adresse 198.51.100.1, der Clientport 15221 und der Zielport 110.

Wenn die Client-IP-Adresse nicht bekannt ist, generiert der Load Balancer einen PROXY-Protokoll-Header im folgenden Format:

PROXY UNKNOWN\r\n

PROXY-Protokoll-Header für Ziel-Proxy aktualisieren

In der Beispielkonfiguration für Load Balancer auf dieser Seite erfahren Sie, wie Sie den PROXY-Protokoll-Header beim Erstellen des Proxy-Network Load Balancers aktivieren. Führen Sie die folgenden Schritte aus, um den PROXY-Protokoll-Header eines bestehenden Ziel-Proxys zu ändern.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

    Load-Balancing aufrufen

  2. Klicken Sie neben dem Load Balancer auf Bearbeiten.
  3. Klicken Sie auf Frontend-Konfiguration.
  4. Ändern Sie den Wert des Felds Proxyprotokoll zu Ein.
  5. Klicken Sie auf Update (Aktualisieren), um die Änderungen zu speichern.

gcloud

Bearbeiten Sie im folgenden Befehl das Feld --proxy-header und legen Sie es je nach Anforderung auf NONE oder PROXY_V1 fest.

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --proxy-header=[NONE | PROXY_V1]

Sitzungsaffinität konfigurieren

Mit diesen Verfahren wird gezeigt, wie Sie einen Backend-Dienst für den SSL-Proxy-Load-Balancer aus dem Beispiel aktualisieren, damit der Backend-Dienst die Client-IP-Affinität verwendet.

Wenn die Client-IP-Affinität aktiviert ist, leitet der Load-Balancer die Anfragen eines bestimmten Clients anhand eines Hashs, der aus der IP-Adresse des Clients und der IP-Adresse des Load-Balancers (der externen IP-Adresse einer externen Weiterleitungsregel) erstellt wurde, an dieselbe Backend-VM weiter.

Console

So aktivieren Sie die Client-IP-Sitzungsaffinität:

  1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

    Load-Balancing aufrufen

  2. Klicken Sie auf Back-Ends.

  3. Klicken Sie auf my-ssl-lb (Name des Back-End-Dienstes, den Sie für dieses Beispiel erstellt haben) und dann auf Bearbeiten.

  4. Klicken Sie auf der Seite Back-End-Dienstdetails auf Erweiterte Konfiguration.

  5. Wählen Sie im Menü unter Sitzungsaffinität die Option Client-IP aus.

  6. Klicken Sie auf Aktualisieren.

gcloud

Aktualisieren Sie den Backend-Dienst my-ssl-lb mit dem folgenden Befehl. Geben Sie dabei die Sitzungsaffinität der Client-IP-Adresse an:

gcloud compute backend-services update my-ssl-lb \
    --global \
    --session-affinity=CLIENT_IP

API

Zum Festlegen der Client-IP-Sitzungsaffinität senden Sie eine PATCH-Anfrage an die Methode backendServices/patch.

PATCH https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/us-west1/backendServices/my-ssl-lb
{
  "sessionAffinity": "CLIENT_IP"
}

Verbindungsausgleich aktivieren

Sie können für Backend-Dienste den Verbindungsausgleich aktivieren, um Dienstausfälle für Nutzer zu minimieren, wenn eine Instanz, die Traffic bereitstellt, beendet bzw. manuell oder durch Autoscaling entfernt wird. Weitere Informationen zum Verbindungsausgleich finden Sie unter Verbindungsausgleich aktivieren.

Nächste Schritte