Regionalen internen Proxy-Network Load Balancer mit Hybridkonnektivität einrichten

Der interne regionale TCP-Proxy-Load-Balancer ist ein proxy-basierter regionaler Layer-4-Load-Balancer, mit dem Sie Ihren TCP-Dienst-Traffic hinter einer internen IP-Adresse ausführen und skalieren können, auf die nur Clients im selben VPC-Netzwerk (Virtual Private Cloud) oder Clients, die mit Ihrem VPC-Netzwerk verbunden sind, Zugriff haben. Wenn Sie den Dienst für Clients in anderen VPC-Netzwerken verfügbar machen möchten, können Sie den Dienst mit Private Service Connect veröffentlichen.

Auf dieser Seite wird beschrieben, wie ein regionaler interner Proxy-Netzwerk-Load-Balancer konfiguriert wird, um den Traffic zu Back-Ends in lokalen Umgebungen oder in anderen Cloud-Umgebungen, die über Hybridkonnektivität verbunden sind, per Load-Balancing zu verteilen. Das Konfigurieren von Hybridkonnektivität zum Verbinden Ihrer Netzwerke mit Google Cloud wird auf dieser Seite nicht behandelt.

Übersicht

In diesem Beispiel verwenden wir den Load-Balancer, um TCP-Traffic auf Backend-VMs lokal oder in anderen Cloud-Umgebungen zu verteilen.

In diesem Beispiel konfigurieren Sie die folgende Bereitstellung:

Beispielkonfiguration für einen regionalen internen Proxy-Network Load Balancer mit Hybrid-NEG-Back-Ends.
Beispielkonfiguration für einen regionalen internen Proxy-Network Load Balancer mit Hybrid-NEG-Back-Ends (zum Vergrößern klicken).

Der regionale interne Proxy-Network-Load-Balancer ist ein regionaler Load-Balancer. Alle Load-Balancer-Komponenten (Backend-Instanzgruppen, Backend-Dienst, Ziel-Proxy und Weiterleitungsregel) müssen sich in derselben Region befinden.

Berechtigungen

Zum Einrichten des Hybrid-Load-Balancings benötigen Sie die folgenden Berechtigungen:

  • Mit Google Cloud

    • Berechtigungen zum Herstellen von Hybridkonnektivität zwischen Google Cloud und Ihrer lokalen Umgebung oder anderen Cloud-Umgebungen. Eine Liste der erforderlichen Berechtigungen finden Sie in der jeweiligen Dokumentation zum Netzwerkverbindungsprodukt.
    • Berechtigungen zum Erstellen einer Hybridkonnektivitäts-NEG und des Load-Balancers. Die Rolle „Compute-Load-Balancer-Administrator” (roles/compute.loadBalancerAdmin) enthält die zum Ausführen der in dieser Anleitung beschriebenen Aufgaben erforderlichen Berechtigungen.

  • In Ihrer lokalen Umgebung oder sonstigen Cloud-Umgebung außerhalb von Google Cloud

    • Berechtigungen zum Konfigurieren von Netzwerkendpunkten, damit Dienste in Ihrer lokalen Umgebung oder in anderen Cloud-Umgebungen über eine IP:Port-Kombination aus Google Cloud erreicht werden können. Für weitere Informationen wenden Sie sich an den Netzwerkadministrator Ihrer Umgebung.
    • Berechtigungen zum Erstellen von Firewallregeln in Ihrer lokalen Umgebung oder in anderen Cloud-Umgebungen, damit die Systemdiagnoseprüfungen von Google die Endpunkte erreichen können.

Um die Anleitung auf dieser Seite abzuschließen, müssen Sie außerdem eine Hybridkonnektivitäts-NEG, einen Load-Balancer sowie zonale NEGs (und ihre Endpunkte) erstellen, die als Google Cloud-basierte Back-Ends für den Load-Balancer dienen.

Sie sollten entweder Inhaber oder Bearbeiter des Projekts sein oder die folgenden IAM-Rollen für Compute Engine haben:

Task Erforderliche Rolle
Netzwerke, Subnetze und Load-Balancer-Komponenten erstellen Compute-Netzwerkadministrator (roles/compute.networkAdmin)
Firewallregeln hinzufügen und löschen Compute-Sicherheitsadministrator (roles/compute.securityAdmin)
Instanzen erstellen Compute-Instanzadministrator (roles/compute.instanceAdmin)

Hybridkonnektivität einrichten

Ihre Google Cloud-Umgebung und Ihre lokale Umgebung oder sonstigen Cloud-Umgebungen müssen über Hybridkonnektivität verbunden sein. Dafür werden entweder Cloud Interconnect-VLAN-Anhänge oder Cloud VPN-Tunnel mit Cloud Router verwendet. Wir empfehlen die Verwendung einer Verbindung mit Hochverfügbarkeit.

Ein Cloud Router, der für das globale dynamische Routing aktiviert ist, erkennt den spezifischen Endpunkt über das Border Gateway Protocol (BGP) und programmiert ihn in Ihrem Google Cloud-VPC-Netzwerk. Regionales dynamisches Routing wird nicht unterstützt. Statische Routen werden ebenfalls nicht unterstützt.

Das VPC-Netzwerk, mit dem Sie entweder Cloud Interconnect oder Cloud VPN konfigurieren, ist dasselbe Netzwerk, das Sie auch zum Konfigurieren der Bereitstellung des Hybrid-Load-Balancing verwenden. Achten Sie darauf, dass die Subnetz-CIDR-Bereiche Ihres VPC-Netzwerks nicht mit Ihren Remote-CIDR-Bereichen in Konflikt stehen. Bei Überschneidung von IP-Adressen haben Subnetzrouten Vorrang vor Remote-Verbindungen.

Eine Anleitung finden Sie in der folgenden Dokumentation:

Umgebung außerhalb von Google Cloud einrichten

Führen Sie die folgenden Schritte aus, um Ihre lokale Umgebung oder sonstige Cloud-Umgebung für das Hybrid-Load-Balancing einzurichten:

  • Konfigurieren Sie Netzwerkendpunkte, um lokale Dienste in Google Cloud verfügbar zu machen (IP:Port).
  • Konfigurieren Sie Firewallregeln in Ihrer lokalen Umgebung oder sonstigen Cloud-Umgebung.
  • Konfigurieren Sie Cloud Router so, dass bestimmte erforderliche Routen in Ihrer privaten Umgebung beworben werden.

Netzwerkendpunkte einrichten

Nachdem Sie die Hybridkonnektivität eingerichtet haben, konfigurieren Sie einen oder mehrere Netzwerkendpunkte innerhalb Ihrer lokalen Umgebung oder anderer Cloud-Umgebungen, die über Cloud Interconnect oder Cloud VPN mit einer IP:port-Kombination erreichbar ist. Diese IP:port-Kombination wird als einzelner Endpunkt oder als mehrere Endpunkte für die Hybridkonnektivitäts-NEG konfiguriert, die später in diesem Vorgang in Google Cloud erstellt wird.

Wenn mehrere Pfade zum IP-Endpunkt vorhanden sind, folgt das Routing dem unter Cloud Router – Übersicht beschriebenen Verhalten.

Firewallregeln einrichten

Die folgenden Firewallregeln müssen in Ihrer lokalen Umgebung oder einer anderen Cloud-Umgebung erstellt werden:

  • Erstellen Sie eine Firewallregel „eingehenden Traffic zulassen“ in lokalen oder anderen Cloudumgebungen, damit Traffic aus dem Nur-Proxy-Subnetz der Region die Endpunkte erreichen kann.

  • Die Prüfbereiche der Systemdiagnose von Google müssen bei Hybrid-NEGs nicht auf die Zulassungsliste gesetzt werden. Wenn Sie jedoch eine Kombination aus hybriden und zonalen NEGs in einem einzelnen Backend-Dienst verwenden, müssen Sie die Prüfbereiche der Systemdiagnose von Google für die zonalen NEGs auf die Zulassungsliste setzen.

Konfigurieren Sie Cloud Router für die Bewerbung der folgenden benutzerdefinierten IP-Bereiche in Ihrer lokalen Umgebung oder einer anderen Cloud-Umgebung:

  • Der Bereich des Nur-Proxy-Subnetzes der Region.

Google Cloud-Umgebung einrichten

Verwenden Sie für die folgenden Schritte dasselbe VPC-Netzwerk (in diesem Verfahren NETWORK genannt), mit dem die Hybridkonnektivität zwischen den Umgebungen konfiguriert wurde. Sie können ein beliebiges Subnetz aus diesem Netzwerk auswählen, um die IP-Adresse des Load-Balancers zu reservieren und den Load-Balancer zu erstellen. In diesem Verfahren wird das Subnetz als LB_SUBNET bezeichnet.

Achten Sie außerdem darauf, dass die verwendete Region (in diesem Verfahren REGION genannt) mit der Region übereinstimmt, die zum Erstellen des Cloud VPN-Tunnels oder des Cloud Interconnect-VLAN-Anhangs verwendet wurde.

Nur-Proxy-Subnetz konfigurieren

Ein Nur-Proxy-Subnetz stellt eine Reihe von IP-Adressen bereit, die Google zum Ausführen von Envoy-Proxys in Ihrem Namen verwendet. Die Proxys beenden Verbindungen vom Client und erstellen neue Verbindungen zu den Back-Ends.

Das Nur-Proxy-Subnetz wird von allen Envoy-basierten regionalen Load-Balancern in der Region REGION des VPC-Netzwerks NETWORK verwendet.

Pro Region und VPC-Netzwerk kann nur ein Nur-Proxy-Subnetz aktiv sein. Sie können diesen Schritt überspringen, wenn in dieser Region bereits ein Nur-Proxy-Subnetz vorhanden ist.

Console

Wenn Sie die Google Cloud Console verwenden, können Sie das Nur-Proxy-Subnetz später auf der Seite Load-Balancing erstellen.

Führen Sie die folgenden Schritte aus, wenn Sie jetzt das Nur-Proxy-Subnetz erstellen möchten:

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Wechseln Sie zu dem Netzwerk, in dem die Hybridkonnektivität zwischen den Umgebungen konfiguriert wurde.

  3. Klicken Sie auf Subnetz hinzufügen.

  4. Geben Sie einen Namen ein: PROXY_ONLY_SUBNET_NAME.

  5. Wählen Sie eine Region aus: REGION.

  6. Setzen Sie Zweck auf Regional verwalteter Proxy.

  7. Geben Sie einen IP-Adressbereich ein: PROXY_ONLY_SUBNET_RANGE

  8. Klicken Sie auf Hinzufügen.

gcloud

Erstellen Sie das Nur-Proxy-Subnetz mit dem Befehl gcloud compute networks subnets create.

gcloud compute networks subnets create PROXY_ONLY_SUBNET_NAME \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION \
    --network=NETWORK \
    --range=PROXY_ONLY_SUBNET_RANGE

IP-Adresse des Load-Balancers reservieren

Standardmäßig wird für jede Weiterleitungsregel eine IP-Adresse verwendet. Sie können eine gemeinsam genutzte IPv4-Adresse reservieren, sodass Sie dieselbe IPv4-Adresse mit mehreren Weiterleitungsregeln verwenden können. Wenn Sie jedoch den Load-Balancer mit Private Service Connect veröffentlichen möchten, können Sie keine freigegebene IPv4-Adresse für die Weiterleitungsregel verwenden.

Informationen zum Reservieren einer statischen internen IPv4-Adresse für Ihren Load-Balancer finden Sie unter Neue statische interne IPv4- oder IPv6-Adresse reservieren.

Hybridkonnektivitäts-NEG einrichten

Verwenden Sie beim Erstellen der NEG eine ZONE, die die geografische Entfernung zwischen Google Cloud und Ihrer lokalen oder sonstigen Cloud-Umgebung minimiert. Wenn Sie beispielsweise einen Dienst in einer lokalen Umgebung in Frankfurt hosten, können Sie beim Erstellen der NEG die Google Cloud-Zone europe-west3-a angeben.

Darüber hinaus sollte sich die zum Erstellen der NEG verwendete ZONE in derselben Region befinden, in der der Cloud VPN-Tunnel oder der Cloud Interconnect-VLAN-Anhang für Hybridkonnektivität konfiguriert wurden.

Informationen zu den verfügbaren Regionen und Zonen finden Sie in der Compute Engine-Dokumentation: Verfügbare Regionen und Zonen.

Console

So erstellen Sie eine Hybridkonnektivitäts-NEG:

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerk-Endpunktgruppen auf.

    Zu den Netzwerk-Endpunktgruppen

  2. Klicken Sie auf NETZWERK-ENDPUNKTGRUPPE ERSTELLEN.

  3. Geben Sie einen Namen für die Hybrid-NEG ein. In diesem Verfahren als HYBRID_NEG_NAME bezeichnet.

  4. Wählen Sie den Typ der Netzwerk-Endpunktgruppe aus: Hybridkonnektivitätsnetzwerk-Endpunktgruppe (zonal).

  5. Wählen Sie das Netzwerk aus: NETWORK

  6. Wählen Sie das Subnetz aus: LB_SUBNET

  7. Wählen Sie die Zone aus: HYBRID_NEG_ZONE

  8. Geben Sie den Standardport ein.

  9. Klicken Sie auf Erstellen.

Fügen Sie der Hybridkonnektivitäts-NEG Endpunkte hinzu:

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerk-Endpunktgruppen auf.

    Zu den Netzwerk-Endpunktgruppen

  2. Klicken Sie auf den Namen der Netzwerk-Endpunktgruppe, die im vorherigen Schritt erstellt wurde (HYBRID_NEG_NAME). Die Seite Netzwerk-Endpunktgruppendetails wird angezeigt.

  3. Klicken Sie im Bereich Netzwerkendpunkte in dieser Gruppe auf Netzwerkendpunkt hinzufügen. Die Seite Netzwerk-Endpunkt hinzufügen wird angezeigt.

  4. Geben Sie die IP-Adresse des neuen Netzwerkendpunkts ein.

  5. Wählen Sie den Porttyp aus.

    1. Wenn Sie Standard auswählen, wird für den Endpunkt der Standardport für alle Endpunkte in der Netzwerk-Endpunktgruppe verwendet.
    2. Wenn Sie Benutzerdefiniert auswählen, können Sie eine andere Portnummer für den zu verwendenden Endpunkt eingeben.

  6. Klicken Sie zum Hinzufügen weiterer Endpunkte auf Netzwerkendpunkt hinzufügen und wiederholen Sie die vorherigen Schritte.

  7. Nachdem Sie alle Nicht-Google Cloud-Endpunkte hinzugefügt haben, klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie mit dem Befehl gcloud compute network-endpoint-groups create eine Hybridkonnektivitäts-NEG.

    gcloud compute network-endpoint-groups create HYBRID_NEG_NAME \
   --network-endpoint-type=NON_GCP_PRIVATE_IP_PORT \
   --zone=HYBRID_NEG_ZONE \
   --network=NETWORK

  2. Fügen Sie den lokalen IP:Port-Endpunkt zur Hybrid-NEG hinzu:

    gcloud compute network-endpoint-groups update HYBRID_NEG_NAME \
    --zone=HYBRID_NEG_ZONE \
    --add-endpoint="ip=ENDPOINT_IP_ADDRESS,port=ENDPOINT_PORT"

Mit diesem Befehl können Sie die Netzwerkendpunkte hinzufügen, die Sie zuvor lokal oder in Ihrer Cloud-Umgebung konfiguriert haben. Wiederholen Sie den Vorgang --add-endpoint so oft wie nötig.

Sie können diese Schritte wiederholen, um bei Bedarf mehrere Hybrid-NEGs zu erstellen.

Load-Balancer konfigurieren

Console

Konfiguration starten

  1. Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

    Load-Balancing aufrufen

  2. Klicken Sie auf Load-Balancer erstellen.
  3. Wählen Sie unter Typ des Load Balancers die Option Network Load Balancer (TCP/UDP/SSL) aus und klicken Sie auf Weiter.
  4. Wählen Sie unter Proxy oder Passthrough die Option Proxy-Load Balancer aus und klicken Sie auf Weiter.
  5. Wählen Sie für Öffentlich oder intern die Option Intern aus und klicken Sie auf Weiter.
  6. Wählen Sie für Regionenübergreifende oder Einzelregion-Bereitstellung die Option Am besten für regionale Arbeitslasten aus und klicken Sie auf Weiter.
  7. Klicken Sie auf Konfigurieren.

Grundlegende Konfiguration

  1. Geben Sie im Feld Name eine Bezeichnung für den Load-Balancer ein.
  2. Wählen Sie die Region aus: REGION.
  3. Wählen Sie das Netzwerk aus: NETWORK.

Nur-Proxy-Subnetz reservieren

So reservieren Sie ein Nur-Proxy-Subnetz:

  1. Klicken Sie auf Subnetz reservieren.
  2. Geben Sie den Namen ein: PROXY_ONLY_SUBNET_NAME.
  3. Geben Sie einen IP-Adressbereich ein: PROXY_ONLY_SUBNET_RANGE
  4. Klicken Sie auf Add (Hinzufügen).

Back-end-Konfiguration

  1. Klicken Sie auf Backend-Konfiguration.
  2. Wählen Sie für den Backend-Typ die Option Hybridkonnektivitätsnetzwerk-Endpunktgruppe (zonal) aus.
  3. Wählen Sie für Protocol die Option TCP aus.
  4. Wählen Sie unter Neues Backend die zuvor erstellte Hybrid-NEG aus: HYBRID_NEG_NAME. Sie können auch auf Netzwerk-Endpunktgruppe erstellen klicken, um jetzt die Hybrid-NEG zu erstellen. Eine Anleitung zum Konfigurieren der NEG finden Sie unter Hybrid-NEG einrichten.
  5. Behalten Sie die verbleibenden Standardwerte bei und klicken Sie auf Fertig.
  6. Systemdiagnose konfigurieren:
    1. Klicken Sie bei Systemdiagnose auf Systemdiagnose erstellen.
    2. Geben Sie im Feld Name eine Bezeichnung für die Systemdiagnose ein.
    3. Wählen Sie für Protocol die Option TCP aus.
    4. Geben Sie für Port den Wert 80 ein.
  7. Behalten Sie die verbleibenden Standardwerte bei und klicken Sie auf Speichern.
  8. Prüfen Sie in der Google Cloud Console, ob neben Backend-Konfiguration ein Häkchen angezeigt wird. Ist dies nicht der Fall, prüfen Sie, ob Sie alle Schritte ausgeführt haben.

Front-End-Konfiguration

  1. Klicken Sie auf Frontend-Konfiguration.
  2. Geben Sie einen Namen für die Weiterleitungsregel ein.
  3. Wählen Sie für Subnetzwerk die Option LB_SUBNET aus.
  4. Wählen Sie für IP-Adresse die Option LB_IP_ADDRESS aus.
  5. Geben Sie als Portnummer eine beliebige Portnummer von 1–65535 ein. Die Weiterleitungsregel leitet nur Pakete mit einem übereinstimmenden Zielport weiter.
  6. Aktivieren Sie das Proxyprotokoll nur, wenn es mit dem Dienst funktioniert, der auf Ihren lokalen oder anderen Cloudendpunkten ausgeführt wird. Das PROXY-Protokoll funktioniert beispielsweise nicht mit der Apache HTTP Server-Software. Weitere Informationen finden Sie unter Proxyprotokoll.
  7. Klicken Sie auf Fertig.
  8. Prüfen Sie in der Google Cloud Console, ob neben Frontend-Konfiguration ein Häkchen angezeigt wird. Ist dies nicht der Fall, prüfen Sie, ob Sie alle vorherigen Schritte ausgeführt haben.

Überprüfen und abschließen

  1. Klicken Sie auf Überprüfen und abschließen.
  2. Kontrollieren Sie die Einstellungen.
  3. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie eine regionale Systemdiagnose für die Back-Ends.

    gcloud compute health-checks create tcp TCP_HEALTH_CHECK_NAME \
    --region=REGION \
    --use-serving-port

    Systemdiagnoseprüfungen für Hybrid-NEG-Backends stammen von Envoy-Proxys im Nur-Proxy-Subnetz.

  2. Erstellen Sie einen Backend-Dienst.

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
   --load-balancing-scheme=INTERNAL_MANAGED \
   --protocol=TCP \
   --region=REGION \
   --health-checks=TCP_HEALTH_CHECK_NAME \
   --health-checks-region=REGION

  3. Fügen Sie dem Backend-Dienst das hybride NEG-Backend hinzu.

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
   --network-endpoint-group=HYBRID_NEG_NAME \
   --network-endpoint-group-zone=HYBRID_NEG_ZONE \
   --region=REGION \
   --balancing-mode=CONNECTION \
   --max-connections=MAX_CONNECTIONS

    Geben Sie unter MAX_CONNECTIONS die maximale Anzahl gleichzeitiger Verbindungen ein, die das Backend verarbeiten soll.

  4. Erstellen Sie den Ziel-TCP-Proxy.

    gcloud compute target-tcp-proxies create TARGET_TCP_PROXY_NAME \
   --backend-service=BACKEND_SERVICE_NAME \
   --region=REGION

  5. Erstellen Sie die Weiterleitungsregel.

    Erstellen Sie die Weiterleitungsregel mit dem gcloud compute forwarding-rules create-Befehl.

    Ersetzen Sie FWD_RULE_PORT durch eine einzelne Portnummer von 1–65535. Die Weiterleitungsregel leitet nur Pakete mit einem übereinstimmenden Zielport weiter.

    gcloud compute forwarding-rules create FORWARDING_RULE \
   --load-balancing-scheme=INTERNAL_MANAGED \
   --network=NETWORK \
   --subnet=LB_SUBNET \
   --address=LB_IP_ADDRESS \
   --ports=FWD_RULE_PORT \
   --region=REGION \
   --target-tcp-proxy=TARGET_TCP_PROXY_NAME \
   --target-tcp-proxy-region=REGION

Load-Balancer testen

Um den Load-Balancer zu testen, erstellen Sie eine Client-VM in der Region des Load-Balancers. Senden Sie dann Traffic vom Client an den Load-Balancer.

Client-VM erstellen

Erstellen Sie eine Client-VM (client-vm) in derselben Region wie der Load-Balancer.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zu Seite „VM-Instanzen“

  2. Klicken Sie auf Instanz erstellen.

  3. Legen Sie als Name client-vm fest.

  4. Legen Sie für Zone den Wert CLIENT_VM_ZONE fest.

  5. Klicken Sie auf Erweiterte Optionen.

  6. Klicken Sie auf Netzwerk und konfigurieren Sie die folgenden Felder:

    1. Geben Sie bei Netzwerk-Tags den Wert allow-ssh ein.
    2. Wählen Sie für Netzwerkschnittstellen Folgendes aus:
      • Netzwerk: NETWORK
      • Subnetz: LB_SUBNET

  7. Klicken Sie auf Erstellen.

gcloud

Die Client-VM muss sich im selben VPC-Netzwerk und in derselben Region wie der Load-Balancer befinden. Sie muss sich nicht im selben Subnetz oder in derselben Zone befinden. Der Client verwendet dasselbe Subnetz wie die Backend-VMs.

gcloud compute instances create client-vm \
    --zone=CLIENT_VM_ZONE \
    --image-family=debian-10 \
    --image-project=debian-cloud \
    --tags=allow-ssh \
    --subnet=LB_SUBNET

SSH-Traffic zur Test-VM zulassen

In diesem Beispiel erstellen Sie die folgende Firewallregel:

  • fw-allow-ssh: Eine Regel für eingehenden Traffic, die eingehende SSH-Verbindungen an TCP-Port 22 von jeder Adresse aus ermöglicht. Sie können einen restriktiveren IP-Quellbereich für diese Regel auswählen. Geben Sie dazu beispielsweise nur die IP-Bereiche des Systems an, von dem aus Sie SSH-Sitzungen initiieren. In diesem Beispiel wird das Ziel-Tag allow-ssh verwendet, um die Testclient-VM zu identifizieren, auf die sie angewendet werden soll.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf. Zu den Firewall-Richtlinien
  2. Klicken Sie auf Firewallregel erstellen, um die Regel zu erstellen, die eingehende SSH-Verbindungen zulässt:
    1. Name: fw-allow-ssh
    2. Netzwerk: NETWORK
    3. Priorität: 1000
    4. Trafficrichtung: Eingehend
    5. Aktion bei Übereinstimmung: Zulassen
    6. Ziele: Angegebene Ziel-Tags
    7. Zieltags: allow-ssh
    8. Quellfilter: IPv4-Bereiche.
    9. IPv4-Quellbereiche: 0.0.0.0/0
    10. Protokolle und Ports: Wählen Sie Angegebene Protokolle und Ports aus und geben Sie tcp:22 ein.
    11. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie die Firewallregel fw-allow-ssh, um SSH-Verbindungen zu VMs mit dem Netzwerk-Tag allow-ssh zu ermöglichen.

    gcloud compute firewall-rules create fw-allow-ssh \
    --network=NETWORK \
    --action=allow \
    --direction=ingress \
    --target-tags=allow-ssh \
    --rules=tcp:22

Traffic an den Load-Balancer senden

Nachdem Sie den Load-Balancer konfiguriert haben, können Sie Traffic zum Testen an die IP-Adresse des Load-Balancers senden.

  1. Stellen Sie über SSH eine Verbindung zur Clientinstanz her.

    gcloud compute ssh client-vm \
  --zone=CLIENT_VM_ZONE

  2. Prüfen Sie, ob der Load-Balancer die Backend-Hostnamen wie erwartet bereitstellt.

    1. Verwenden Sie den Befehl compute addresses describe, um die IP-Adresse des Load-Balancers aufzurufen:

      gcloud compute addresses describe LB_IP_ADDRESS \
  --region=REGION

      Notieren Sie sich die IP-Adresse.

    2. Senden Sie Traffic an den Load-Balancer über die IP-Adresse und den Port, die beim Erstellen der Weiterleitungsregel für den Load-Balancer angegeben wurden. Ob die Hybrid-NEG-Back-Ends auf Anfragen reagieren, hängt davon ab, ob der Dienst auf den Nicht-Google Cloud-Endpunkten ausgeführt wird.

Optional: Dienst mit Private Service Connect veröffentlichen

Mit einem regionalen internen Proxy-Netzwerk-Load-Balancer mit Hybridkonnektivität können Sie einen Dienst, der in lokalen oder anderen Cloud-Umgebungen gehostet wird, für Clients in Ihrem VPC-Netzwerk verfügbar machen.

Wenn Sie den Hybriddienst in anderen VPC-Netzwerken verfügbar machen möchten, können Sie den Dienst mit Private Service Connect veröffentlichen. Wenn Sie einen Dienstanhang vor Ihrem regionalen internen Proxy-Netzwerk-Load-Balancer platzieren, können Sie Clients in anderen VPC-Netzwerken den Zugriff auf die Hybriddienste ermöglichen, die lokal oder in anderen Cloud-Umgebungen ausgeführt werden.

Private Service Connect zum Veröffentlichen eines Hybriddienstes verwenden.
Private Service Connect zum Veröffentlichen eines Hybriddienstes verwenden (zum Vergrößern klicken)

Nächste Schritte