Dieses Dokument enthält eine Anleitung zum Einrichten eines externen Proxy-Network Load Balancers mit einem Ziel-SSL-Proxy und VM-Instanzgruppen-Back-Ends. Bevor Sie beginnen, lesen Sie die Übersicht über den externen Proxy-Network Load Balancer. Dort erhalten Sie Informationen zur Funktionsweise dieser Load Balancer.
Einrichtung: Übersicht
Dieses Beispiel zeigt, wie ein externer Proxy-Network Load Balancer für einen Dienst eingerichtet wird, der in zwei Regionen vorhanden ist: Region A und Region B. Sie konfigurieren dabei Folgendes:
- Vier Instanzen, verteilt auf zwei Regionen.
- Instanzgruppen für die Aufnahme der Instanzen.
- Folgende Back-End-Komponenten:
- Systemdiagnose zur Überwachung des Instanzstatus.
- Back-End-Dienst – Überwacht Instanzgruppen und verhindert, dass der konfigurierte Nutzungsumfang überschritten wird
- Back-Ends zur Aufnahme der Instanzgruppen.
- Frontend components, which include the following:
- Eine SSL-Zertifikatsressource. Sie können entweder ein selbstverwaltetes Zertifikat verwenden, bei dem Sie Ihr eigenes SSL-Zertifikat bereitstellen, oder ein von Google verwaltetes Zertifikat, bei dem Google ein Zertifikat ausstellt, das für alle Ihre Domains gültig ist. Weitere Informationen finden Sie unter Arten von SSL-Zertifikaten.
- Den SSL-Proxy mit seinem SSL-Zertifikat.
- Eine externe statische IPv4-Adresse und eine Weiterleitungsregel, mit der Nutzertraffic zum Proxy geleitet wird.
- Eine externe statische IPv6-Adresse und eine Weiterleitungsregel, mit der Nutzertraffic zum Proxy geleitet wird.
- Eine Firewallregel, die Traffic vom Load-Balancer und der Systemdiagnose zu den Instanzen erlaubt.
- Optional eine SSL-Richtlinie zur Steuerung der SSL-Features, die der SSL-Proxy-Load-Balancer mit Clients aushandelt.
Anschließend testen Sie die Konfiguration.
Berechtigungen
Damit Sie dieser Anleitung folgen können, müssen Sie in der Lage sein, Instanzen zu erstellen und ein Netzwerk in einem Projekt zu ändern. Sie müssen entweder ein Inhaber oder Bearbeiter des Projekts sein oder alle folgenden Compute Engine-IAM-Rollen haben:
Aufgabe | Erforderliche Rolle |
---|---|
Netzwerke, Subnetze und Load-Balancer-Komponenten erstellen | Netzwerkadministrator |
Firewallregeln hinzufügen und löschen | Sicherheitsadministrator |
Instanzen erstellen | Compute-Instanzadministrator |
Weitere Informationen finden Sie in folgenden Leitfäden:
Netzwerk und Subnetze konfigurieren
Gehen Sie so vor, um das Netzwerk und das Subnetz zu erstellen:
Console
Führen Sie die folgenden Schritte aus, um IPv4- und IPv6-Traffic zu unterstützen:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie auf VPC-Netzwerk erstellen.
Geben Sie einen Namen für das Netzwerk ein.
Optional: Führen Sie die folgenden Schritte aus, um interne IPv6-Adressbereiche in Subnetzen in diesem Netzwerk zu konfigurieren:
- Wählen Sie für Interner VPC-Netzwerk-IPv6-ULA-Bereich den Wert Aktiviert aus.
Wählen Sie unter Internen IPv6-Bereich zuweisen die Option Automatisch oder Manuell aus.
Geben Sie einen
/48
-Bereich aus dem Bereichfd20::/20
ein, wenn Sie Manuell auswählen. Wenn der Bereich verwendet wird, werden Sie aufgefordert, einen anderen Bereich anzugeben.
Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.
Konfigurieren Sie im Abschnitt Neues Subnetz die folgenden Felder:
- Geben Sie im Feld Name einen Namen für das Subnetz ein.
- Wählen Sie im Feld Region eine Region aus.
- Wählen Sie für IP-Stack-Typ IPv4 und IPv6 (Dual-Stack) aus.
Geben Sie im Feld IP-Adressbereich einen IP-Adressbereich ein. Dies ist der primäre IPv4-Bereich für das Subnetz.
Sie können zwar einen IPv4-Adressbereich für das Subnetz konfigurieren, Sie können aber nicht den Bereich der IPv6-Adressen für das Subnetz auswählen. Google bietet einen (
/64
) IPv6-CIDR-Block mit fester Größe.Wählen Sie unter Zugriffstyp IPv6 die Option Extern aus.
Klicken Sie auf Fertig.
Wenn Sie ein Subnetz in einer anderen Region hinzufügen möchten, klicken Sie auf Subnetz hinzufügen und wiederholen Sie die vorherigen Schritte.
Klicken Sie auf Erstellen.
Führen Sie die folgenden Schritte aus, um nur IPv4-Traffic zu unterstützen:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie auf VPC-Netzwerk erstellen.
Geben Sie im Feld Name einen Namen für das VPC-Netzwerk ein.
Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.
Konfigurieren Sie im Abschnitt Neues Subnetz die folgenden Felder:
- Geben Sie im Feld Name einen Namen für das Subnetz ein.
- Wählen Sie im Feld Region eine Region aus.
- Wählen Sie für IP-Stack-Typ die Option IPv4 (Single-Stack) aus.
- Geben Sie im Feld IP-Adressbereich den primären IPv4-Bereich für das Subnetz ein.
Klicken Sie auf Fertig.
Wenn Sie ein Subnetz in einer anderen Region hinzufügen möchten, klicken Sie auf Subnetz hinzufügen und wiederholen Sie die vorherigen Schritte.
Klicken Sie auf Erstellen.
gcloud
Erstellen Sie das VPC-Netzwerk im benutzerdefinierten Modus:
gcloud compute networks update NETWORK \ [ --enable-ula-internal-ipv6 [ --internal-ipv6-range=ULA_IPV6_RANGE ]] \ --switch-to-custom-subnet-mode
Erstellen Sie im Netzwerk ein Subnetz für Back-Ends.
Verwenden Sie für IPv4- und IPv6-Traffic den folgenden Befehl, um ein Subnetz zu aktualisieren:
gcloud compute networks subnets update SUBNET \ --stack-type=IPV4_IPv6 \ --ipv6-access-type=EXTERNAL \ --network=NETWORK \ --region=REGION_A
gcloud compute networks subnets update SUBNET_B \ --stack-type=IPV4_IPv6 \ --ipv6-access-type=EXTERNAL \ --network=NETWORK \ --region=REGION_B
Verwenden Sie für nur IPv4-Traffic den folgenden Befehl:
gcloud compute networks subnets update SUBNET \ --network=NETWORK \ --stack-type=IPV4_ONLY \ --range=10.1.2.0/24 \ --region=REGION_A
gcloud compute networks subnets update SUBNET_B \ --stack-type=IPV4_ONLY \ --ipv6-access-type=EXTERNAL \ --network=NETWORK \ --region=REGION_B
Ersetzen Sie Folgendes:
NETWORK
: der Name des VPC-NetzwerksULA_IPV6_RANGE
: ein/48
-Präfix aus dem Bereichfd20::/20
, das von Google für interne IPv6-Subnetzbereiche verwendet wird Wenn Sie das Flag--internal-ipv6-range
nicht verwenden, wählt Google das Präfix/48
für das Netzwerk aus.SUBNET
: ein Name für das Subnetz
REGION_A
oderREGION_B
: der Name der Region
Instanzen und Instanzgruppen konfigurieren
In diesem Abschnitt erfahren Sie, wie Sie Instanzen und Instanzgruppen erstellen und die Instanzen zu den Gruppen hinzufügen. In einem Produktionssystem werden in der Regel verwaltete Instanzgruppen verwendet, die auf Instanzvorlagen basieren. Für anfängliche Tests ist die hier beschriebene Konfiguration jedoch schneller.
Instanzen erstellen
Erstellen Sie diese Instanzen mit dem Tag ssl-lb
. Dieses Tag wird später von der Firewallregel verwendet.
Console
Instanzen erstellen
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.
Klicken Sie auf Instanz erstellen.
Legen Sie als Name
vm-a1
fest.Setzen Sie Zone auf ZONE_A.
Klicken Sie auf Erweiterte Optionen.
Klicken Sie auf Netzwerk und konfigurieren Sie das folgende Feld:
- Geben in dem Feld Netzwerk-Tags
ssl-lb
undallow-health-check-ipv6
ein.
- Geben in dem Feld Netzwerk-Tags
Klicken Sie im Bereich Netzwerkschnittstellen auf Bearbeiten und nehmen Sie folgende Änderungen vor:
- Wählen Sie das Netzwerk aus.
Wählen Sie ein Subnetz aus.
Wählen Sie im Feld IP-Stacktyp die Option IPv4 und IPv6 (Dual-Stack) aus.
Klicken Sie auf Fertig.
Klicken Sie auf Verwaltung. Fügen Sie im Feld Startskript das nachfolgende Skript ein.
sudo apt-get update sudo apt-get install apache2 -y sudo a2ensite default-ssl sudo a2enmod ssl sudo service apache2 restart echo '<!doctype html><html><body><h1>vm-a1</h1></body></html>' | sudo tee /var/www/html/index.html
Behalten Sie in den restlichen Feldern die Standardwerte bei.
Klicken Sie auf Erstellen.
Erstellen Sie
vm-a2
mit den gleichen Einstellungen, verwenden Sie jedoch das folgende Startskript:sudo apt-get update sudo apt-get install apache2 -y sudo a2ensite default-ssl sudo a2enmod ssl sudo service apache2 restart echo '<!doctype html><html><body><h1>vm-a2</h1></body></html>' | sudo tee /var/www/html/index.html
Erstellen Sie
vm-b1
mit denselben Einstellungen, außer dass die Zone aufZONE_B
festgelegt und das Startskript so eingestellt ist:sudo apt-get update sudo apt-get install apache2 -y sudo a2ensite default-ssl sudo a2enmod ssl sudo service apache2 restart echo '<!doctype html><html><body><h1>vm-b1</h1></body></html>' | sudo tee /var/www/html/index.html
Erstellen Sie
vm-b2
mit denselben Einstellungen, außer dass die Zone aufZONE_B
festgelegt und das Startskript so eingestellt ist:sudo apt-get update sudo apt-get install apache2 -y sudo a2ensite default-ssl sudo a2enmod ssl sudo service apache2 restart echo '<!doctype html><html><body><h1>vm-b2</h1></body></html>' | sudo tee /var/www/html/index.html
gcloud
Erstellen Sie
vm-a1
in der ZoneZONE_A
gcloud compute instances create vm-a1 \ --image-family debian-12 \ --image-project debian-cloud \ --tags ssl-lb \ --zone ZONE_A \ --metadata startup-script="#! /bin/bash sudo apt-get update sudo apt-get install apache2 -y sudo a2ensite default-ssl sudo a2enmod ssl sudo service apache2 restart echo '<!doctype html><html><body><h1>vm-a1</h1></body></html>' | sudo tee /var/www/html/index.html EOF"
Erstellen Sie
vm-a2
in der ZoneZONE_A
gcloud compute instances create vm-a2 \ --image-family=debian-12 \ --image-project=debian-cloud \ --tags=ssl-lb \ --zone=ZONE_A \ --metadata=startup-script="#! /bin/bash sudo apt-get update sudo apt-get install apache2 -y sudo a2ensite default-ssl sudo a2enmod ssl sudo service apache2 restart echo '<!doctype html><html><body><h1>vm-a2</h1></body></html>' | sudo tee /var/www/html/index.html EOF"
Erstellen Sie
vm-b1
in der ZoneZONE_B
gcloud compute instances create vm-b1 \ --image-family=debian-12 \ --image-project=debian-cloud \ --tags=ssl-lb \ --zone=ZONE_B \ --metadata=startup-script="#! /bin/bash sudo apt-get update sudo apt-get install apache2 -y sudo a2ensite default-ssl sudo a2enmod ssl sudo service apache2 restart echo '<!doctype html><html><body><h1>vm-b1</h1></body></html>' | sudo tee /var/www/html/index.html EOF"
Erstellen Sie
vm-b2
in der ZoneZONE_B
gcloud compute instances create vm-b2 \ --image-family=debian-12 \ --image-project=debian-cloud \ --tags=ssl-lb \ --zone=ZONE_B \ --metadata=startup-script="#! /bin/bash sudo apt-get update sudo apt-get install apache2 -y sudo a2ensite default-ssl sudo a2enmod ssl sudo service apache2 restart echo '<!doctype html><html><body><h1>vm-b2</h1></body></html>' | sudo tee /var/www/html/index.html EOF"
Instanzgruppe für jede Zone erstellen und Instanzen hinzufügen
Console
Rufen Sie in der Google Cloud Console die Seite Instanzgruppen auf.
Klicken Sie auf Instanzgruppe erstellen.
Legen Sie als Name
instance-group-a
fest.Setzen Sie Zone auf
ZONE_A
.Klicken Sie unter Portzuordnung auf Port hinzufügen. Ein Load-Balancer sendet Traffic über einen benannten Port an eine Instanzgruppe. Erstellen Sie einen benannten Port, um den eingehenden Traffic einer bestimmten Portnummer zuzuordnen.
- Geben Sie als Portname
ssl-lb
und als Portnummern443
ein.
- Geben Sie als Portname
Klicken Sie unter Instanzdefinition auf Vorhandene Instanzen auswählen.
Wählen Sie bei VM-Instanzen die Werte
vm-a1
undvm-a2
aus.Übernehmen Sie die anderen Einstellungen.
Klicken Sie auf Erstellen.
Wiederholen Sie die Schritte, stellen Sie jedoch Folgendes ein:
- Name:
instance-group-b
- Zone:
ZONE_B
- Portname:
ssl-lb
und Portnummern:443
- Instanzen: vm-b1 und vm-b2.
- Name:
Vergewissern Sie sich, dass Sie nun zwei Instanzgruppen mit jeweils zwei Instanzen haben.
gcloud
Erstellen Sie die Instanzgruppe „instance-group-a“.
gcloud compute instance-groups unmanaged create instance-group-a --zone ZONE_A
Legen Sie einen benannten Port für die Instanzgruppe fest.
gcloud compute instance-groups set-named-ports instance-group-a \ --named-ports=ssl-lb:443 \ --zone=ZONE_A
vm-a1
undvm-a2
zu „instance-group-a“ hinzufügengcloud compute instance-groups unmanaged add-instances instance-group-a \ --instances=vm-a1,vm-a2 \ --zone=ZONE_A
Erstellen Sie die Instanzgruppe
instance-group-b
.gcloud compute instance-groups unmanaged create instance-group-b --zone ZONE_B
Legen Sie einen benannten Port für die Instanzgruppe fest.
gcloud compute instance-groups set-named-ports instance-group-b \ --named-ports=ssl-lb:443 \ --zone=ZONE_B
vm-b1
undvm-b2
zu „instance-group-b“ hinzufügengcloud compute instance-groups unmanaged add-instances instance-group-b \ --instances=vm-b1,vm-b2 \ --zone=ZONE_B
Nun haben Sie für jede der beiden Regionen eine Instanzgruppe mit jeweils zwei Instanzen.
Firewallregel für den SSL-Load-Balancer erstellen
Konfigurieren Sie die Firewall so, dass sie Traffic vom Load-Balancer und der Systemdiagnose zu den Instanzen erlaubt.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Klicken Sie auf Firewallregel erstellen.
Geben Sie im Feld Name
allow-ssl-lb-and-health
ein.Wählen Sie das Netzwerk aus.
Wählen Sie unter Ziele die Option Angegebene Zieltags aus.
Legen Sie
ssl-lb
als Ziel-Tags fest.Legen Sie unter Quellfilter die Option IPv4-Bereiche fest.
Legen Sie unter Quell-IPv4-Bereiche die Werte
130.211.0.0/22
und35.191.0.0/16
fest.Legen Sie unter Protokolle und Ports die Option Angegebene Protokolle und Ports auf
tcp:443
fest.Klicken Sie auf Erstellen.
gcloud
gcloud compute firewall-rules create allow-ssl-lb-and-health \ --source-ranges=130.211.0.0/22,35.191.0.0/16 \ --target-tags=ssl-lb \ --allow=tcp:443
Wenn Sie ein von Google verwaltetes Zertifikat verwenden, prüfen Sie, ob die Zertifikatressource den Status AKTIV hat. Weitere Informationen finden Sie unter Status des von Google verwalteten SSL-Zertifikats prüfen.
gcloud compute ssl-certificates list
Firewallregel für die IPv6-Systemdiagnose erstellen
Sie benötigen eine Regel für eingehenden Traffic, die für die Instanzen mit Load-Balancing gilt und Traffic von den Systemdiagnosen von Google Cloud zulässt (2600:2d00:1:b029::/64
). In diesem Beispiel wird das Ziel-Tag allow-health-check-ipv6
verwendet, um die VM-Instanzen zu identifizieren, auf die sie angewendet wird.
Ohne diese Firewallregeln blockiert die Standardregel zum Ablehnen von eingehendem Traffic den eingehenden Traffic zu den Back-End-Instanzen.
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Klicken Sie noch einmal auf Firewallregel erstellen und geben Sie die folgenden Informationen ein, um IPv6-Subnetz-Traffic zuzulassen:
- Name:
fw-allow-lb-access-ipv6
- Netzwerk:
NETWORK
- Priorität:
1000
- Trafficrichtung: Eingehend
- Ziele: Specified target tags
- Geben Sie im Feld Ziel-Tags
allow-health-check-ipv6
ein. - Quellfilter: IPv6-Bereiche
- Quell-IPv6-Bereiche:
2600:2d00:1:b029::/64
,2600:2d00:1:1::/64
- Protokolle und Ports: Alle zulassen
- Name:
Klicken Sie auf Erstellen.
gcloud
Erstellen Sie die Firewallregel fw-allow-lb-access-ipv6
, um die Kommunikation mit dem Subnetz zuzulassen:
gcloud compute firewall-rules create fw-allow-lb-access-ipv6 \ --network=NETWORK \ --action=allow \ --direction=ingress \ --target-tags=allow-health-check-ipv6 \ --source-ranges=2600:2d00:1:b029::/64,2600:2d00:1:1::/64 \ --rules=all
Load-Balancer konfigurieren
Console
Konfiguration starten
Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
- Klicken Sie auf Load-Balancer erstellen.
- Wählen Sie unter Typ des Load Balancers die Option Network Load Balancer (TCP/UDP/SSL) aus und klicken Sie auf Weiter.
- Wählen Sie unter Proxy oder Passthrough die Option Proxy-Load Balancer aus und klicken Sie auf Weiter.
- Wählen Sie für Öffentlich oder intern die Option Öffentlich (extern) aus und klicken Sie auf Weiter.
- Wählen Sie unter Globale oder einzelne Region-Bereitstellung die Option Am besten für globale Arbeitslasten aus und klicken Sie auf Weiter.
- Wählen Sie unter Generation des Load Balancers die Option Globaler externer Proxy-Network Load Balancer aus und klicken Sie auf Weiter.
- Klicken Sie auf Konfigurieren.
Grundlegende Konfiguration
Legen Sie als Name my-ssl-lb
fest.
Backend-Konfiguration
- Klicken Sie auf Backend-Konfiguration.
- Wählen Sie unter Backend-Typ die Option Instanzgruppen aus.
- Legen Sie für Protokoll den Wert SSL fest.
- Wählen Sie in der Liste Richtlinie zur IP-Adressauswahl die Option IPv6 bevorzugen aus.
- Geben Sie als Benannter Port
ssl-lb
ein. - Übernehmen Sie für Zeitlimit den Standardwert.
- Belassen Sie für Backend-Typ die Einstellung Instanzgruppen.
- Configure the first backend:
- Wählen Sie unter Neues Backend die Instanzgruppe
instance-group-a
aus. - Legen Sie für Portnummern den Wert
443
fest. - Behalten Sie die verbleibenden Standardwerte bei.
- Wählen Sie unter Neues Backend die Instanzgruppe
- Configure the second backend:
- Klicken Sie auf Backend hinzufügen.
- Wählen Sie die Instanzgruppe
instance-group-b
aus. - Legen Sie für Portnummern den Wert
443
fest. - Klicken Sie auf Fertig.
- Konfigurieren Sie die Systemdiagnose:
- Wählen Sie unter Systemdiagnose die Option Systemdiagnose erstellen aus.
- Geben Sie als Name für die Systemdiagnose
my-ssl-health-check
an. - Wählen Sie unter Protokoll die Option SSL aus.
- Behalten Sie die verbleibenden Standardwerte bei.
- Klicken Sie auf Speichern und fortfahren.
- Prüfen Sie in der Google Cloud Console, ob neben Backend-Konfiguration ein Häkchen angezeigt wird. Ist dies nicht der Fall, prüfen Sie, ob Sie alle Schritte ausgeführt haben.
Frontend-Konfiguration
- Klicken Sie auf Front-End-Konfiguration.
- Geben Sie als Name
my-ssl-lb-forwarding-rule
ein. - Wählen Sie unter Protokoll die Option SSL aus.
- Wählen Sie unter IP-Adresse die Option IP-Adresse erstellen aus:
- Geben Sie als Namen
ssl-lb-static-ipv4
ein. - Klicken Sie auf Reservieren.
- Geben Sie als Namen
- Wählen Sie unter Zertifikat die Option Neues Zertifikat erstellen.
- Geben Sie als Namen
my-ssl-cert
ein. - Führen Sie die folgenden Schritte aus, wenn Sie Zertifikat hochladen auswählen:
- Fügen Sie Ihr Zertifikat ein oder klicken Sie auf Hochladen und suchen Sie nach Ihrer Zertifikatsdatei.
- Fügen Sie Ihren privaten Schlüssel ein oder klicken Sie auf Hochladen und suchen Sie nach Ihrer privaten Schlüsseldatei.
- Wenn Sie Von Google verwaltetes Zertifikat erstellen auswählen, geben Sie eine Domain ein.
- Klicken Sie auf Domain hinzufügen, um weitere Domains einzugeben.
- Klicken Sie auf Erstellen.
- Klicken Sie auf Zusätzliche Zertifikate, um zusätzlich zur primären SSL-Zertifikatsressource weitere Zertifikatsressourcen hinzuzufügen. Wählen Sie dann im Menü Zertifikate ein anderes Zertifikat aus oder klicken Sie auf Neues Zertifikat erstellen und folgen Sie der obigen Anleitung.
- (Optional) So erstellen Sie eine SSL-Richtlinie:
- Wählen Sie unter SSL-Richtlinie die Option eine Richtlinie erstellen aus.
- Geben Sie als Name
my-ssl-policy
ein. - Wählen Sie als Mindest-TLS-Version die Option TLS 1.0 aus.
- Wählen Sie als Profil Modern aus. Anschließend werden Aktivierte Features und Deaktivierte Features angezeigt.
- Klicken Sie auf Speichern.
- Optional: Aktivieren Sie Proxy-Protokoll.
- Klicken Sie auf Fertig.
- Prüfen Sie, ob sich in der Google Cloud Console neben Frontend-Konfiguration ein grünes Häkchen befindet. Ist dies nicht der Fall, prüfen Sie, ob Sie alle vorherigen Schritte ausgeführt haben.
- Klicken Sie auf Fertig.
- Fügen Sie die erste Weiterleitungsregel hinzu:
Überprüfen und abschließen
- Klicken Sie auf Prüfen und abschließen.
- Prüfen Sie die Konfigurationseinstellungen des Load-Balancers.
- Optional: Klicken Sie auf Entsprechender Code, um die REST API-Anfrage aufzurufen, die zum Erstellen des Load-Balancers verwendet wird.
- Klicken Sie auf Erstellen.
gcloud
- Erstellen Sie eine Systemdiagnose.
gcloud compute health-checks create ssl my-ssl-health-check --port=443
- Erstellen Sie einen Backend-Dienst.
gcloud beta compute backend-services create my-ssl-lb \ --load-balancing-scheme EXTERNAL_MANAGED \ --global-health-checks \ --protocol=SSL \ --port-name=ssl-lb \ --ip-address-selection-policy=PREFER_IPV6 \ --health-checks=my-ssl-health-check \ --timeout=5m \ --global
Alternativ können Sie mit
--protocol=TCP
die unverschlüsselte Kommunikation vom Load Balancer zu den Instanzen konfigurieren. Fügen Sie Instanzgruppen zu Ihrem Backend-Dienst hinzu.
gcloud compute backend-services add-backend my-ssl-lb \ --instance-group=instance-group-a \ --instance-group-zone=ZONE_A \ --balancing-mode=UTILIZATION \ --max-utilization=0.8 \ --global
gcloud compute backend-services add-backend my-ssl-lb \ --instance-group=instance-group-b \ --instance-group-zone=ZONE_B \ --balancing-mode=UTILIZATION \ --max-utilization=0.8 \ --global
- SSL-Zertifikatsressource konfigurieren
Wenn Sie selbstverwaltete Zertifikate verwenden, benötigen Sie mindestens ein SSL-Zertifikat, das Sie hochladen können. Wenn Sie kein SSL-Zertifikat haben, finden Sie entsprechende Informationen unter SSL-Zertifikate. Wenn Sie mehrere SSL-Zertifikate verwenden möchten, müssen Sie diese einzeln erstellen.
Wenn Sie selbstverwaltete SSL-Zertifikate verwenden und weder einen privaten Schlüssel noch ein signiertes Zertifikat haben, können Sie zu Testzwecken ein selbst signiertes Zertifikat erstellen und nutzen.
So erstellen Sie eine selbstverwaltete SSL-Zertifikatressource:
gcloud compute ssl-certificates create my-ssl-cert \ --certificate=CRT_FILE_PATH \ --private-key=KEY_FILE_PATH
So erstellen Sie eine von Google verwaltete SSL-Zertifikatsressource:
gcloud compute ssl-certificates create www-ssl-cert \ --domains=DOMAIN_1,DOMAIN_2
- Ziel-SSL-Proxy konfigurieren
Externe Proxy-Netzwerk-Load-Balancer unterstützen die Erstellung eines Ziel-SSL-Proxys mit eins bis fünfzehn SSL-Zertifikaten. Bevor Sie diesen Befehl ausführen, müssen Sie eine SSL-Zertifikatressource für jedes Zertifikat erstellen.
Wenn Sie den Proxyheader aktivieren möchten, legen Sie
PROXY_V1
anstelle vonnone
fest. Sie haben die Möglichkeit, eine SSL-Richtlinie an den Zielproxy anzuhängen. Erstellen Sie zuerst die Richtlinie.gcloud compute ssl-policies create my-ssl-policy \ --profile=MODERN \ --min-tls-version=1.0
Hängen Sie dann die Richtlinie an den Zielproxy an:
gcloud beta compute target-ssl-proxies create my-ssl-lb-target-proxy \ --backend-service=my-ssl-lb \ --ssl-certificates=[SSL_CERT_1][,[SSL_CERT_2],...] \ --ssl-policy=my-ssl-policy \ --proxy-header=NONE
- Globale statische IP-Adressen reservieren
Ihre Kunden greifen über diese IP-Adressen auf den Dienst mit Load-Balancing zu.
gcloud compute addresses create ssl-lb-static-ipv4 \ --ip-version=IPV4 \ --global
gcloud compute addresses create ssl-lb-static-ipv6 \ --ip-version=IPV6 \ --global
- Globale Weiterleitungsregeln konfigurieren
Erstellen Sie globale Weiterleitungsregeln, die dem Ziel-Proxy zugeordnet sind. Ersetzen Sie LB_STATIC_IP und LB_STATIC_IPV6 durch die IP-Adressen, die Sie unter Globale statische IP-Adresse reservieren generiert haben.
gcloud beta compute forwarding-rules create my-ssl-lb-forwarding-rule \ --load-balancing-scheme EXTERNAL_MANAGED \ --global \ --target-ssl-proxy=my-ssl-lb-target-proxy \ --address=LB_STATIC_IP \ --ports=443
Domain mit dem Load-Balancer verbinden
Notieren Sie sich nach der Erstellung des Load-Balancers die IP-Adresse, die diesem zugewiesen ist, z. B. 30.90.80.100
. Wenn Sie Ihre Domain auf den Load-Balancer verweisen möchten, erstellen Sie mit Ihrem Domain-Registrierungsdienst einen A
-Eintrag. Wenn Sie Ihrem SSL-Zertifikat mehrere Domains hinzugefügt haben, müssen Sie für jede Domain einen A
-Eintrag hinzufügen, der auf die IP-Adresse des Load-Balancers verweist. So erstellen Sie beispielsweise A
-Einträge für www.example.com
und example.com
:
NAME TYPE DATA www A 30.90.80.100 @ A 30.90.80.100
Wenn Sie Cloud DNS als DNS-Anbieter verwenden, finden Sie weitere Informationen unter Einträge hinzufügen, ändern und löschen.
Load-Balancer testen
Stellen Sie in Ihrem Webbrowser über HTTPS eine Verbindung zu Ihrer statischen IP-Adresse her. In dieser Testkonfiguration verwenden die Instanzen selbst signierte Zertifikate. Daher wird eine Warnung angezeigt, wenn Sie zum ersten Mal eine Seite aufrufen. Bestätigen Sie die Warnung, um die eigentliche Seite zu sehen. Ersetzen Sie IP_ADDRESS durch die zuvor erstellte IPv4- oder IPv6-Adresse.
https://IP_ADDRESS
Sie sollten einen der Hosts aus der nächstgelegenen Region sehen. Laden Sie die Seite neu, um die andere Instanz in dieser Region aufzurufen. Damit Ihnen Instanzen aus der anderen Region angezeigt werden, beenden Sie die Instanzen in der nächstgelegenen Region.
Alternativ können Sie curl
über die Befehlszeile Ihres lokalen Computers verwenden.
Wenn Sie ein selbst signiertes Zertifikat für den SSL-Proxy verwenden, müssen Sie auch -k
angeben. Mit der Option curl -k
kann "curl" auch dann verwendet werden, wenn Sie ein selbst signiertes oder kein Zertifikat haben. Bei einem normalen Zertifikat können Sie diesen Parameter weglassen. Sie sollten den Parameter -k
nur verwenden, um Ihre eigene Website zu testen. Unter normalen Umständen ist die Prüfung auf ein gültiges Zertifikat eine wichtige Sicherheitsmaßnahme und Zertifikatwarnungen sollten nicht ignoriert werden.
Ersetzen Sie IP_ADDRESS durch die zuvor erstellte IPv4- oder IPv6-Adresse.
curl -k https://IP_ADDRESS
Wenn Sie den Load-Balancer nicht erreichen können, führen Sie die unter Fehlerbehebung bei der Einrichtung beschriebenen Schritte aus.
Zusätzliche Konfigurationsoptionen
In diesem Abschnitt wird die Konfiguration des Beispiels um alternative und zusätzliche Optionen erweitert. Alle Aufgaben sind optional. Sie können sie in beliebiger Reihenfolge ausführen.
PROXY-Protokoll für den Erhalt der Verbindungsinformationen des Clients
Der Proxy-Network Load Balancer beendet TCP-Verbindungen vom Client und erstellt neue Verbindungen zu den Instanzen. Standardmäßig bleiben die ursprüngliche IP-Adresse des Clients und die Portinformationen nicht automatisch erhalten.
Aktivieren Sie deshalb das PROXY-Protokoll (Version 1). Damit bleiben die ursprünglichen Verbindungsinformationen erhalten und werden an Ihre Instanzen gesendet. Mit diesem Protokoll wird mit der Anfrage zusätzlich ein Header mit Quell-IP-Adresse, Ziel-IP-Adresse und Portnummern an die Instanz gesendet.
Achten Sie darauf, dass die Backend-Instanzen des Proxy-Network Load Balancers Server ausführen, die PROXY-Protokoll-Header unterstützen. Wenn die Server nicht für die Unterstützung von PROXY-Protokoll-Headern konfiguriert sind, geben die Backend-Instanzen leere Antworten zurück.
Wenn Sie das PROXY-Protokoll für Nutzer-Traffic festlegen, können Sie es auch für die Systemdiagnosen festlegen. Wenn Sie Systemdiagnosen und Inhaltsbereitstellung über denselben Port durchführen, legen Sie den --proxy-header
der Systemdiagnose so fest, dass er mit der Einstellung des Load-Balancers übereinstimmt.
Der PROXY-Protokoll-Header enthält in der Regel eine einzelne, für Nutzer lesbare Textzeile im folgenden Format:
PROXY TCP4 <client IP> <load balancing IP> <source port> <dest port>\r\n
Das folgende Beispiel zeigt ein PROXY-Protokoll:
PROXY TCP4 192.0.2.1 198.51.100.1 15221 110\r\n
Im vorherigen Beispiel lautet die Client-IP-Adresse 192.0.2.1
, die Load Balancing-IP-Adresse 198.51.100.1
, der Clientport 15221
und der Zielport 110
.
Wenn die Client-IP-Adresse nicht bekannt ist, generiert der Load Balancer einen PROXY-Protokoll-Header im folgenden Format:
PROXY UNKNOWN\r\n
PROXY-Protokoll-Header für Ziel-Proxy aktualisieren
In der Beispielkonfiguration für Load Balancer auf dieser Seite erfahren Sie, wie Sie den PROXY-Protokoll-Header beim Erstellen des Proxy-Network Load Balancers aktivieren. Führen Sie die folgenden Schritte aus, um den PROXY-Protokoll-Header eines bestehenden Ziel-Proxys zu ändern.
Console
Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
- Klicken Sie neben dem Load Balancer auf Bearbeiten.
- Klicken Sie auf Frontend-Konfiguration.
- Ändern Sie den Wert des Felds Proxyprotokoll zu Ein.
- Klicken Sie auf Update (Aktualisieren), um die Änderungen zu speichern.
gcloud
Bearbeiten Sie im folgenden Befehl das Feld --proxy-header
und legen Sie es je nach Anforderung auf NONE
oder PROXY_V1
fest.
gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \ --proxy-header=[NONE | PROXY_V1]
Sitzungsaffinität konfigurieren
Mit diesen Verfahren wird gezeigt, wie Sie einen Backend-Dienst für den SSL-Proxy-Load-Balancer aus dem Beispiel aktualisieren, damit der Backend-Dienst die Client-IP-Affinität verwendet.
Wenn die Client-IP-Affinität aktiviert ist, leitet der Load-Balancer die Anfragen eines bestimmten Clients anhand eines Hashs, der aus der IP-Adresse des Clients und der IP-Adresse des Load-Balancers (der externen IP-Adresse einer externen Weiterleitungsregel) erstellt wurde, an dieselbe Backend-VM weiter.
Console
So aktivieren Sie die Client-IP-Sitzungsaffinität:
Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
Klicken Sie auf Back-Ends.
Klicken Sie auf my-ssl-lb (Name des Back-End-Dienstes, den Sie für dieses Beispiel erstellt haben) und dann auf Bearbeiten.
Klicken Sie auf der Seite Back-End-Dienstdetails auf Erweiterte Konfiguration.
Wählen Sie im Menü unter Sitzungsaffinität die Option Client-IP aus.
Klicken Sie auf Aktualisieren.
gcloud
Aktualisieren Sie den Backend-Dienst my-ssl-lb
mit dem folgenden Befehl. Geben Sie dabei die Sitzungsaffinität der Client-IP-Adresse an:
gcloud compute backend-services update my-ssl-lb \ --global \ --session-affinity=CLIENT_IP
API
Zum Festlegen der Client-IP-Sitzungsaffinität senden Sie eine PATCH
-Anfrage an die Methode backendServices/patch
.
PATCH https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/us-west1/backendServices/my-ssl-lb
{
"sessionAffinity": "CLIENT_IP"
}
Verbindungsausgleich aktivieren
Sie können für Backend-Dienste den Verbindungsausgleich aktivieren, um Dienstausfälle für Nutzer zu minimieren, wenn eine Instanz, die Traffic bereitstellt, beendet bzw. manuell oder durch Autoscaling entfernt wird. Weitere Informationen zum Verbindungsausgleich finden Sie unter Verbindungsausgleich aktivieren.
Nächste Schritte
- Proxy-Network Load Balancer in IPv6 konvertieren
- Logging und Monitoring für Proxy-Network Load Balancer
- SSL-Richtlinien für SSL- und TLS-Protokolle
- SSL-Richtlinien für SSL- und TLS-Protokolle
- Zu Dual-Stack-Back-Ends migrieren
- Load-Balancing-Einrichtung bereinigen