Menyiapkan Load Balancer Jaringan proxy eksternal global (proxy SSL) dengan backend grup instance VM

Dokumen ini memberikan petunjuk untuk menyiapkan Load Balancer Jaringan proxy eksternal global dengan proxy SSL target dan backend grup instance VM. Sebelum memulai, baca Ringkasan Load Balancer Jaringan proxy eksternal untuk mengetahui informasi tentang cara kerja load balancer ini.

Ringkasan penyiapan

Contoh ini menunjukkan cara menyiapkan Load Balancer Jaringan proxy eksternal untuk layanan yang ada di dua region: Region A dan Region B. Anda akan mengonfigurasi hal berikut:

  1. Empat instance tersebar di dua region
  2. Grup instance untuk menyimpan instance
  3. Komponen backend, yang mencakup hal berikut:
    • Health check - digunakan untuk memantau kondisi instance
    • Layanan backend - memantau grup instance dan mencegahnya agar tidak melampaui penggunaan yang telah dikonfigurasi
    • Backend - menyimpan grup instance
  4. Komponen frontend, yang mencakup hal berikut:
    • Resource sertifikat SSL. Anda dapat menggunakan sertifikat yang dikelola sendiri, dengan menyediakan sertifikat SSL Anda sendiri, atau sertifikat yang dikelola Google, dengan Google menerbitkan sertifikat yang valid untuk semua domain Anda. Untuk informasi selengkapnya, lihat Jenis sertifikat SSL.
    • Proxy SSL itu sendiri dengan sertifikat SSL-nya
    • Alamat IPv4 statis eksternal dan aturan penerusan yang mengirim traffic pengguna ke proxy
    • Alamat IPv6 statis eksternal dan aturan penerusan yang mengirim traffic pengguna ke proxy
  5. Aturan firewall yang mengizinkan traffic dari load balancer dan health checker ke instance.
  6. Secara opsional, kebijakan SSL untuk mengontrol fitur SSL yang dinegosiasikan load balancer proxy SSL Anda dengan klien.

Setelah itu, Anda akan menguji konfigurasi.

Izin

Untuk mengikuti panduan ini, Anda harus dapat membuat instance dan mengubah jaringan dalam project. Anda harus menjadi pemilik atau editor project, atau Anda harus memiliki semua peran IAM Compute Engine berikut:

Tugas Peran yang Diperlukan
Membuat komponen jaringan, subnet, dan load balancer Admin Jaringan
Menambahkan dan menghapus aturan firewall Security Admin
Membuat instance Compute Instance Admin

Untuk informasi selengkapnya, lihat panduan berikut:

Mengonfigurasi jaringan dan subnet

Untuk membuat contoh jaringan dan subnet, ikuti langkah-langkah berikut.

Konsol

Untuk mendukung traffic IPv4 dan IPv6, gunakan langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Klik Create VPC network.

  3. Masukkan Name untuk jaringan.

  4. Opsional: Jika Anda ingin mengonfigurasi rentang alamat IPv6 internal pada subnet di jaringan ini, selesaikan langkah-langkah berikut:

    1. Untuk VPC network ULA internal IPv6 range, pilih Enabled.

    2. Untuk Allocate internal IPv6 range, Pilih Automatically atau Manually.

      Jika Anda memilih Manually, masukkan rentang /48 dari dalam rentang fd20::/20. Jika rentang tersebut sedang digunakan, Anda akan diminta untuk memberikan rentang yang berbeda.

  5. Untuk Subnet creation mode, pilih Custom.

  6. Di bagian New subnet, konfigurasikan kolom berikut:

    1. Di kolom Name, berikan nama untuk subnet.
    2. Di kolom Region, pilih region.
    3. Untuk IP stack type, pilih IPv4 and IPv6 (dual-stack).

    4. Di kolom IP address range, masukkan rentang alamat IP. Ini adalah rentang IPv4 utama untuk subnet.

      Meskipun Anda dapat mengonfigurasi rentang alamat IPv4 untuk subnet, Anda tidak dapat memilih rentang alamat IPv6 untuk subnet. Google menyediakan blok CIDR IPv6 dengan ukuran tetap (/64).

    5. Untuk IPv6 access type, pilih External.

  7. Klik Done.

  8. Untuk menambahkan subnet di region yang berbeda, klik Add subnet dan ulangi langkah-langkah sebelumnya.

  9. Klik Create.

Untuk hanya mendukung traffic IPv4, gunakan langkah-langkah berikut:

  1. Di konsol Google Cloud, buka halaman jaringan VPC.

    Buka VPC networks

  2. Klik Create VPC network.

  3. Di kolom Name, masukkan nama untuk jaringan.

  4. Untuk Subnet creation mode, pilih Custom.

  5. Di bagian New subnet, konfigurasikan hal berikut:

    1. Di kolom Name, berikan nama untuk subnet.
    2. Di kolom Region, pilih region.
    3. Untuk Jenis stack IP, pilih IPv4 (single-stack).
    4. Di kolom Rentang alamat IP, masukkan rentang IPv4 utama untuk subnet.

  6. Klik Done.

  7. Untuk menambahkan subnet di region yang berbeda, klik Add subnet dan ulangi langkah-langkah sebelumnya.

  8. Klik Create.

gcloud

  1. Buat jaringan VPC mode kustom:

    gcloud compute networks create NETWORK \
    [ --enable-ula-internal-ipv6 [ --internal-ipv6-range=ULA_IPV6_RANGE ]] \
    --switch-to-custom-subnet-mode

  2. Dalam jaringan, buat subnet untuk backend.

    Untuk traffic IPv4 dan IPv6, gunakan perintah berikut untuk memperbarui subnet:

    gcloud compute networks subnets create SUBNET \
   --stack-type=IPV4_IPv6 \
   --ipv6-access-type=EXTERNAL \
   --network=NETWORK \
   --region=REGION_A

    gcloud compute networks subnets create SUBNET_B \
   --stack-type=IPV4_IPv6 \
   --ipv6-access-type=EXTERNAL \
   --network=NETWORK \
   --region=REGION_B

    Untuk traffic IPv4 saja, gunakan perintah berikut:

    gcloud compute networks subnets create SUBNET \
   --network=NETWORK \
   --stack-type=IPV4_ONLY \
   --range=10.1.2.0/24 \
   --region=REGION_A

    gcloud compute networks subnets create SUBNET_B \
   --stack-type=IPV4_ONLY \
   --ipv6-access-type=EXTERNAL \
   --network=NETWORK \
   --region=REGION_B

Ganti kode berikut:

  • NETWORK: nama untuk jaringan VPC

  • ULA_IPV6_RANGE: awalan /48 dari dalam rentang fd20::/20 yang digunakan oleh Google untuk rentang subnet IPv6 internal. Jika Anda tidak menggunakan flag --internal-ipv6-range, Google akan memilih awalan /48 untuk jaringan tersebut

  • SUBNET: nama untuk subnet

  • REGION_A atau REGION_B: nama wilayah

Mengonfigurasi instance dan grup instance

Bagian ini menunjukkan cara membuat instance dan grup instance, lalu menambahkan instance ke grup instance. Sistem produksi biasanya menggunakan grup instance terkelola berdasarkan template instance, tetapi penyiapan ini lebih cepat untuk pengujian awal.

Membuat instance

Buat instance ini dengan tag ssl-lb, yang akan digunakan oleh aturan firewall nanti.

Konsol

Membuat instance

  1. Di konsol Google Cloud, buka halaman Instance VM.

    Buka instance VM

  2. Klik Create instance.

  3. Setel Nama ke vm-a1.

  4. Tetapkan Zona ke ZONE_A.

  5. Klik Advanced options.

  6. Klik Networking dan konfigurasikan kolom berikut:

    • Di kolom Network tags, masukkan ssl-lb dan allow-health-check-ipv6.

  7. Di bagian Network interfaces, klik Edit dan buat perubahan berikut:

    • Pilih jaringan.

    • Pilih subnet.

    • Di kolom IP stack type, pilih IPv4 and IPv6 (dual-stack).

    • Klik Done.

  8. Klik Management. Masukkan skrip berikut ke dalam kolom Skrip startup.

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>vm-a1</h1></body></html>' | sudo tee /var/www/html/index.html

  9. Biarkan nilai default untuk kolom lainnya.

  10. Klik Create.

  11. Buat vm-a2 dengan setelan yang sama, kecuali dengan Startup script ditetapkan ke berikut ini:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>vm-a2</h1></body></html>' | sudo tee /var/www/html/index.html

  12. Buat vm-b1 dengan setelan yang sama, kecuali dengan Zona ditetapkan ke ZONE_B dan Skrip startup ditetapkan ke berikut ini:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>vm-b1</h1></body></html>' | sudo tee /var/www/html/index.html

  13. Buat vm-b2 dengan setelan yang sama, kecuali dengan Zona ditetapkan ke ZONE_B dan Skrip startup ditetapkan ke berikut ini:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>vm-b2</h1></body></html>' | sudo tee /var/www/html/index.html

gcloud

  1. Buat vm-a1 di zona ZONE_A.

    gcloud compute instances create vm-a1 \
   --image-family debian-12 \
   --image-project debian-cloud \
   --tags ssl-lb \
   --zone ZONE_A \
   --metadata startup-script="#! /bin/bash
     sudo apt-get update
     sudo apt-get install apache2 -y
     sudo a2ensite default-ssl
     sudo a2enmod ssl
     sudo service apache2 restart
     echo '<!doctype html><html><body><h1>vm-a1</h1></body></html>' | sudo tee /var/www/html/index.html
     EOF"

  2. Buat vm-a2 di zona ZONE_A.

    gcloud compute instances create vm-a2 \
  --image-family=debian-12 \
  --image-project=debian-cloud \
  --tags=ssl-lb \
  --zone=ZONE_A \
  --metadata=startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>vm-a2</h1></body></html>' | sudo tee /var/www/html/index.html
     EOF"

  3. Buat vm-b1 di zona ZONE_B.

    gcloud compute instances create vm-b1 \
  --image-family=debian-12 \
  --image-project=debian-cloud \
  --tags=ssl-lb \
  --zone=ZONE_B \
  --metadata=startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>vm-b1</h1></body></html>' | sudo tee /var/www/html/index.html
    EOF"

  4. Buat vm-b2 di zona ZONE_B.

    gcloud compute instances create vm-b2 \
  --image-family=debian-12 \
  --image-project=debian-cloud \
  --tags=ssl-lb \
  --zone=ZONE_B \
  --metadata=startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>vm-b2</h1></body></html>' | sudo tee /var/www/html/index.html
    EOF"

Membuat grup instance untuk setiap zona dan menambahkan instance

Konsol

  1. Di Konsol Google Cloud, buka halaman Instance groups.

    Buka Instance groups

  2. Klik Create grup instance.

  3. Tetapkan Name ke instance-group-a.

  4. Tetapkan Zona ke ZONE_A.

  5. Di bagian Pemetaan port, klik Tambahkan port. Load balancer mengirimkan traffic ke grup instance melalui port bernama. Buat port bernama untuk memetakan traffic masuk ke nomor port tertentu.

    1. Masukkan Nama port ssl-lb dan Nomor port 443.

  6. Di bagian Instance definition, klik Select existing instances.

  7. Dari VM instances, pilih vm-a1 dan vm-a2.

  8. Biarkan setelan lain sebagaimana adanya.

  9. Klik Create.

  10. Ulangi langkah-langkah, tetapi tetapkan hal berikut:

    • Nama: instance-group-b
    • Zona: ZONE_B
    • Nama port ssl-lb dan Nomor port 443
    • Instance: vm-b1 dan vm-b2.

  11. Pastikan Anda sekarang memiliki dua grup instance, masing-masing dengan dua instance.

gcloud

  1. Buat grup instance instance-group-a.

    gcloud compute instance-groups unmanaged create instance-group-a --zone ZONE_A

  2. Tetapkan port bernama untuk grup instance.

    gcloud compute instance-groups set-named-ports instance-group-a \
    --named-ports=ssl-lb:443 \
    --zone=ZONE_A

  3. Tambahkan vm-a1 dan vm-a2 ke instance-group-a

    gcloud compute instance-groups unmanaged add-instances instance-group-a \
    --instances=vm-a1,vm-a2 \
    --zone=ZONE_A

  4. Buat grup instance instance-group-b.

    gcloud compute instance-groups unmanaged create instance-group-b --zone ZONE_B

  5. Tetapkan port bernama untuk grup instance.

    gcloud compute instance-groups set-named-ports instance-group-b \
    --named-ports=ssl-lb:443 \
    --zone=ZONE_B

  6. Tambahkan vm-b1 dan vm-b2 ke instance-group-b

    gcloud compute instance-groups unmanaged add-instances instance-group-b \
    --instances=vm-b1,vm-b2 \
    --zone=ZONE_B

Sekarang Anda memiliki grup instance di masing-masing dari dua region, masing-masing dengan dua instance.

Membuat aturan firewall untuk load balancer SSL

Konfigurasikan firewall untuk mengizinkan traffic dari load balancer dan health checker ke instance.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Firewall policies

  2. Klik Create firewall rule.

  3. Di kolom Name, masukkan allow-ssl-lb-and-health.

  4. Pilih jaringan.

  5. Di bagian Target, pilih Tag target yang ditentukan.

  6. Setel Target tags ke ssl-lb.

  7. Tetapkan Source filter ke IPv4 ranges.

  8. Tetapkan Source IPv4 ranges ke 130.211.0.0/22 dan 35.191.0.0/16.

  9. Di bagian Protocols and ports, tetapkan Specified protocols and ports ke tcp:443.

  10. Klik Create.

gcloud 

gcloud compute firewall-rules create allow-ssl-lb-and-health \
  --source-ranges=130.211.0.0/22,35.191.0.0/16 \
  --target-tags=ssl-lb \
  --allow=tcp:443

Jika Anda menggunakan sertifikat yang dikelola Google, pastikan status resource sertifikat Anda AKTIF. Untuk informasi selengkapnya, lihat Status resource sertifikat SSL yang dikelola Google.

gcloud compute ssl-certificates list

Membuat aturan firewall health check IPv6

Pastikan Anda memiliki aturan ingress yang berlaku untuk instance yang di-load balance dan mengizinkan traffic dari sistem health check Google Cloud (2600:2d00:1:b029::/64). Contoh ini menggunakan tag target allow-health-check-ipv6 untuk mengidentifikasi instance VM tempat aturan tersebut berlaku.

Tanpa aturan firewall ini, aturan tolak ingress default akan memblokir traffic IPv6 masuk ke instance backend.

Konsol

  1. Di Konsol Google Cloud, buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Untuk mengizinkan traffic subnet IPv6, klik Create firewall rule lagi dan masukkan informasi berikut:

    • Nama: fw-allow-lb-access-ipv6
    • Jaringan: NETWORK
    • Prioritas: 1000
    • Direction of traffic: ingress
    • Targets: Tag target yang ditentukan
    • Kolom Target tags, masukkan allow-health-check-ipv6
    • Filter sumber: Rentang IPv6
    • Rentang IPv6 sumber: 2600:2d00:1:b029::/64,2600:2d00:1:1::/64
    • Protocols and ports: Allow all

  3. Klik Create.

gcloud

Buat aturan firewall fw-allow-lb-access-ipv6 untuk mengizinkan komunikasi dengan subnet:

gcloud compute firewall-rules create fw-allow-lb-access-ipv6 \
  --network=NETWORK \
  --action=allow \
  --direction=ingress \
  --target-tags=allow-health-check-ipv6 \
  --source-ranges=2600:2d00:1:b029::/64,2600:2d00:1:1::/64 \
  --rules=all

Mengonfigurasi load balancer

Konsol

Memulai konfigurasi

  1. Di konsol Google Cloud, buka halaman Load balancing.

    Buka Load balancing

  2. Klik Create load balancer.
  3. Untuk Type of load balancer, pilih Network Load Balancer (TCP/UDP/SSL), lalu klik Next.
  4. Untuk Proxy or passthrough, pilih Proxy load balancer, lalu klik Next.
  5. Untuk Public facing or internal, pilih Public facing (external), lalu klik Next.
  6. Untuk Global or single region deployment, pilih Best for global workloads, lalu klik Next.
  7. Untuk Load balancer generation, pilih Global external proxy Network Load Balancer, lalu klik Next.
  8. Klik Konfigurasikan.

Konfigurasi dasar

Tetapkan Name ke my-ssl-lb.

Konfigurasi backend

  1. Klik Backend configuration.
  2. Di bagian Backend type, pilih Instance groups.
  3. Tetapkan Protocol ke SSL.
  4. Dalam daftar Kebijakan pemilihan alamat IP, pilih Pilih IPv6.
  5. Untuk Named port, masukkan ssl-lb.
  6. Setujui nilai default untuk Waktu tunggu.
  7. Biarkan Backend type ditetapkan ke Instance groups.
  8. Konfigurasikan backend pertama:
    1. Di bagian New backend, pilih grup instance instance-group-a.
    2. Setel Transfer nomor ke 443.
    3. Pertahankan nilai default yang tersisa.
  9. Konfigurasikan backend kedua:
    1. Klik Add backend.
    2. Pilih grup instance instance-group-b.
    3. Setel Transfer nomor ke 443.
    4. Klik Done.
  10. Konfigurasikan health check:
    1. Di bagian Health check, pilih Create health check.
    2. Tetapkan Name health check ke my-ssl-health-check.
    3. Di bagian Protocol, pilih SSL.
    4. Pertahankan nilai default yang tersisa.
    5. Klik Simpan dan lanjutkan.
  11. Di konsol Google Cloud, pastikan ada tanda centang di samping Backend configuration. Jika belum, periksa kembali apakah Anda telah menyelesaikan semua langkah.

Konfigurasi frontend

  1. Klik Frontend configuration.
      2. Tambahkan aturan penerusan pertama:
    1. Masukkan Nama my-ssl-lb-forwarding-rule.
    2. Di bagian Protocol, pilih SSL.
    3. Di bagian IP address, pilih Create IP address:
      1. Masukkan Nama ssl-lb-static-ipv4.
      2. Klik Reserve.
    4. Di bagian Certificate, pilih Create a new certificate.
    5. Masukkan Nama my-ssl-cert.
    6. Jika Anda memilih Upload my certificate, selesaikan langkah-langkah berikut:
      1. Tempelkan sertifikat atau klik Upload untuk membuka file sertifikat.
      2. Tempelkan kunci pribadi Anda atau klik Upload untuk membuka file kunci pribadi Anda.
    7. Jika Anda memilih Create Google managed certificate, masukkan Domain.
      1. Untuk memasukkan domain tambahan, klik Tambahkan Domain.
      2. Klik Create.
    8. Untuk menambahkan resource sertifikat selain resource sertifikat SSL utama, klik Sertifikat tambahan. Kemudian, pilih sertifikat lain dari menu Certificates atau klik Create a new certificate, lalu ikuti petunjuk di atas.
      1. (Opsional) Untuk membuat kebijakan SSL:
      2. Di bagian SSL policy, pilih Create a policy.
      3. Masukkan Nama my-ssl-policy.
      4. Untuk Minimum TLS Version, pilih TLS 1.0.
      5. Untuk Profil, pilih Modern. Fitur yang diaktifkan dan Fitur yang dinonaktifkan akan ditampilkan.
      6. Klik Simpan.
    9. Opsional: Aktifkan Proxy protocol.
    10. Klik Done.
  2. Pastikan ada tanda centang hijau di samping Frontend configuration di konsol Google Cloud. Jika tidak, periksa kembali apakah Anda telah menyelesaikan semua langkah sebelumnya.
  3. Klik Done.

Tinjau dan selesaikan

  1. Klik Review and finalize.
  2. Tinjau setelan konfigurasi load balancer Anda.
  3. Opsional: Klik Equivalent code untuk melihat permintaan REST API yang akan digunakan untuk membuat load balancer.
  4. Klik Create.

gcloud

  1. Membuat health check. 
       gcloud compute health-checks create ssl my-ssl-health-check --port=443
  2. Buat layanan backend. 
       gcloud beta compute backend-services create my-ssl-lb \
       --load-balancing-scheme EXTERNAL_MANAGED \
       --global-health-checks \
       --protocol=SSL \
       --port-name=ssl-lb \
       --ip-address-selection-policy=PREFER_IPV6 \
       --health-checks=my-ssl-health-check \
       --timeout=5m \
       --global

    Atau, Anda dapat mengonfigurasi komunikasi yang tidak dienkripsi dari load balancer ke instance menggunakan --protocol=TCP.

  3. Tambahkan grup instance ke layanan backend Anda.

       gcloud compute backend-services add-backend my-ssl-lb \
       --instance-group=instance-group-a \
       --instance-group-zone=ZONE_A \
       --balancing-mode=UTILIZATION \
       --max-utilization=0.8 \
       --global
   
       gcloud compute backend-services add-backend my-ssl-lb \
       --instance-group=instance-group-b \
       --instance-group-zone=ZONE_B \
       --balancing-mode=UTILIZATION \
       --max-utilization=0.8 \
       --global
  4. Konfigurasikan resource sertifikat SSL Anda.

    Jika menggunakan sertifikat yang dikelola sendiri, Anda harus sudah memiliki setidaknya satu sertifikat SSL untuk diupload. Jika tidak, lihat Ringkasan sertifikat SSL. Jika menggunakan beberapa sertifikat SSL, Anda harus membuatnya satu per satu.

    Jika menggunakan sertifikat SSL yang dikelola sendiri dan tidak memiliki kunci pribadi dan sertifikat yang ditandatangani, Anda dapat membuat dan menggunakan sertifikat yang ditandatangani sendiri untuk tujuan pengujian.

    Untuk membuat resource sertifikat SSL yang dikelola sendiri:

       gcloud compute ssl-certificates create my-ssl-cert \
       --certificate=CRT_FILE_PATH \
       --private-key=KEY_FILE_PATH

    Untuk membuat resource sertifikat SSL yang dikelola Google:

       gcloud compute ssl-certificates create www-ssl-cert \
       --domains=DOMAIN_1,DOMAIN_2
  5. Konfigurasikan proxy SSL target.

    Load Balancer Jaringan proxy eksternal mendukung pembuatan proxy SSL target yang memiliki satu hingga lima belas sertifikat SSL. Sebelum menjalankan perintah ini, Anda harus membuat resource sertifikat SSL untuk setiap sertifikat.

    Jika Anda ingin mengaktifkan header proxy, tetapkan ke PROXY_V1, bukan none. Secara opsional, Anda dapat melampirkan kebijakan SSL ke proxy target. Pertama, buat kebijakan.

       gcloud compute ssl-policies create my-ssl-policy \
       --profile=MODERN \
       --min-tls-version=1.0

    Kemudian, lampirkan kebijakan ke proxy target.

       gcloud beta compute target-ssl-proxies create my-ssl-lb-target-proxy \
       --backend-service=my-ssl-lb \
       --ssl-certificates=[SSL_CERT_1][,[SSL_CERT_2],...] \
       --ssl-policy=my-ssl-policy \
       --proxy-header=NONE
  6. Mencadangkan alamat IP statis global.

    Pelanggan Anda menggunakan alamat IP ini untuk mengakses layanan yang di-load balance.

       gcloud compute addresses create ssl-lb-static-ipv4 \
       --ip-version=IPV4 \
       --global
   
       gcloud compute addresses create ssl-lb-static-ipv6 \
       --ip-version=IPV6 \
       --global
  7. Konfigurasikan aturan penerusan global.

    Buat aturan penerusan global yang terkait dengan proxy target. Ganti LB_STATIC_IP dan LB_STATIC_IPV6 dengan alamat IP yang Anda buat di Mencadangkan alamat IP statis global.

       gcloud beta compute forwarding-rules create my-ssl-lb-forwarding-rule \
       --load-balancing-scheme EXTERNAL_MANAGED \
       --global \
       --target-ssl-proxy=my-ssl-lb-target-proxy \
       --address=LB_STATIC_IP \
       --ports=443

Menghubungkan domain ke load balancer

Setelah load balancer dibuat, catat alamat IP yang terkait dengan load balancer, misalnya, 30.90.80.100. Untuk mengarahkan domain ke load balancer, buat data A menggunakan layanan pendaftaran domain. Jika Anda menambahkan beberapa domain ke sertifikat SSL, Anda harus menambahkan data A untuk setiap domain, yang semuanya mengarah ke alamat IP load balancer. Misalnya, untuk membuat data A bagi www.example.com dan example.com, gunakan string berikut:

NAME                  TYPE     DATA
www                   A        30.90.80.100
@                     A        30.90.80.100

Jika Anda menggunakan Cloud DNS sebagai penyedia DNS, lihat Menambahkan, mengubah, dan menghapus data.

Menguji load balancer

Di browser web, hubungkan ke alamat IP statis menggunakan HTTPS. Dalam penyiapan pengujian ini, instance menggunakan sertifikat yang ditandatangani sendiri. Oleh karena itu, Anda akan melihat peringatan di browser saat pertama kali mengakses halaman. Klik peringatan untuk melihat halaman sebenarnya. Ganti IP_ADDRESS dengan alamat IPv4 atau IPv6 yang Anda buat sebelumnya.

https://IP_ADDRESS

Anda akan melihat salah satu host dari wilayah yang paling dekat dengan Anda. Muat ulang halaman hingga Anda melihat instance lain di region tersebut. Untuk melihat instance dari wilayah lain, hentikan instance di wilayah terdekat.

Atau, Anda dapat menggunakan curl dari command line komputer lokal. Jika menggunakan sertifikat yang ditandatangani sendiri di proxy SSL, Anda juga harus menentukan -k. Opsi curl -k memungkinkan curl berfungsi meskipun Anda memiliki sertifikat yang ditandatangani sendiri atau tidak memiliki sertifikat sama sekali. Jika memiliki sertifikat normal, Anda dapat menghapus parameter tersebut. Anda hanya boleh menggunakan parameter -k untuk menguji situs Anda sendiri. Dalam keadaan normal, sertifikat yang valid adalah langkah keamanan yang penting dan peringatan sertifikat tidak boleh diabaikan.

Ganti IP_ADDRESS dengan alamat IPv4 atau IPv6 yang Anda buat sebelumnya.

curl -k https://IP_ADDRESS

Jika Anda tidak dapat menjangkau load balancer, coba langkah-langkah yang dijelaskan di bagian Memecahkan masalah penyiapan.

Opsi konfigurasi tambahan

Bagian ini memperluas contoh konfigurasi untuk memberikan opsi konfigurasi alternatif dan tambahan. Semua tugas bersifat opsional. Anda dapat melakukannya dalam urutan apa pun.

Protokol PROXY untuk mempertahankan informasi koneksi klien

Network Load Balancer proxy mengakhiri koneksi TCP dari klien dan membuat koneksi baru ke instance. Secara default, informasi port dan IP klien asli tidak dipertahankan.

Untuk mempertahankan dan mengirim informasi koneksi asli ke instance Anda, aktifkan protokol PROXY versi 1. Protokol ini mengirim header tambahan yang berisi alamat IP sumber, alamat IP tujuan, dan nomor port ke instance sebagai bagian dari permintaan.

Pastikan instance backend Load Balancer Jaringan proxy menjalankan server yang mendukung header protokol PROXY. Jika server tidak dikonfigurasi untuk mendukung header protokol PROXY, instance backend akan menampilkan respons kosong.

Jika menetapkan protokol PROXY untuk traffic pengguna, Anda juga dapat menetapkannya untuk pemeriksaan kesehatan. Jika Anda memeriksa status dan menayangkan konten di port yang sama, tetapkan --proxy-header health check agar cocok dengan setelan load balancer Anda.

Header protokol PROXY biasanya berupa satu baris teks yang dapat dibaca pengguna dalam format berikut:

PROXY TCP4 <client IP> <load balancing IP> <source port> <dest port>\r\n

Contoh berikut menunjukkan protokol PROXY:

PROXY TCP4 192.0.2.1 198.51.100.1 15221 110\r\n

Dalam contoh sebelumnya, IP klien adalah 192.0.2.1, IP load balancing adalah 198.51.100.1, port klien adalah 15221, dan port tujuan adalah 110.

Jika IP klien tidak diketahui, load balancer akan membuat header protokol PROXY dalam format berikut:

PROXY UNKNOWN\r\n

Memperbarui header protokol PROXY untuk proxy target

Contoh penyiapan load balancer di halaman ini menunjukkan cara mengaktifkan header protokol PROXY saat membuat Load Balancer Jaringan proxy. Gunakan langkah-langkah ini untuk mengubah header protokol PROXY untuk proxy target yang ada.

Konsol

  1. Di konsol Google Cloud, buka halaman Load balancing.

    Buka Load balancing

  2. Klik Edit untuk load balancer Anda.
  3. Klik Frontend configuration.
  4. Ubah nilai kolom Proxy protocol menjadi On.
  5. Klik Update untuk menyimpan perubahan.

gcloud

Dalam perintah berikut, edit kolom --proxy-header dan tetapkan ke NONE atau PROXY_V1, bergantung pada persyaratan Anda.

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --proxy-header=[NONE | PROXY_V1]

Mengonfigurasi afinitas sesi

Prosedur ini menunjukkan cara mengupdate layanan backend untuk contoh load balancer proxy SSL sehingga layanan backend menggunakan afinitas IP klien.

Jika afinitas IP klien diaktifkan, load balancer akan mengarahkan permintaan klien tertentu ke VM backend yang sama berdasarkan hash yang dibuat dari alamat IP klien dan alamat IP load balancer (alamat IP eksternal dari aturan penerusan eksternal).

Konsol

Untuk mengaktifkan afinitas sesi IP klien:

  1. Di konsol Google Cloud, buka halaman Load balancing.

    Buka Load balancing

  2. Klik Backend.

  3. Klik my-ssl-lb (nama layanan backend yang Anda buat untuk contoh ini), lalu klik Edit.

  4. Di halaman Detail layanan backend, klik Konfigurasi lanjutan.

  5. Di bagian Afinitas sesi, pilih IP Klien dari menu.

  6. Klik Perbarui.

gcloud

Gunakan perintah berikut untuk mengupdate layanan backend my-ssl-lb, yang menentukan afinitas sesi IP klien:

gcloud compute backend-services update my-ssl-lb \
    --global \
    --session-affinity=CLIENT_IP

API

Untuk menetapkan afinitas sesi IP klien, buat permintaan PATCH ke metode backendServices/patch.

PATCH https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/us-west1/backendServices/my-ssl-lb
{
  "sessionAffinity": "CLIENT_IP"
}

Mengaktifkan pengosongan koneksi

Anda dapat mengaktifkan pengosongan koneksi di layanan backend untuk memastikan gangguan minimum kepada pengguna saat instance yang menayangkan traffic dihentikan, dihapus secara manual, atau dihapus oleh pengoptimal ukuran. Untuk mempelajari lebih lanjut pengosongan koneksi, lihat dokumentasi Mengaktifkan Pengosongan Koneksi.

Langkah selanjutnya