Microsoft IIS バックエンドによるクロスリージョンロードバランシング

このチュートリアルでは、Compute Engine の外部アプリケーションロードバランササービスを使用して、異なる Compute Engine のリージョンにある複数の Microsoft インターネットインフォメーションサービス（IIS）ウェブサーバーにトラフィックを分散する方法について説明します。

シナリオ

サイト www.example.com のトラフィックを負荷分散する必要があります。受信リクエストが最も近いリージョンにルーティングされるようにします。必要に応じて、次に近いリージョンの正常なインスタンスにリクエストがフェイルオーバーされるようにします。

このシナリオで構成する外部アプリケーションロードバランサでは、1 つのグローバル IP アドレスからリクエストを受け取ります。この IP アドレスで、接続タイプが HTTP と HTTPS のどちらであるかに応じて受信リクエストをルーティングできます。HTTPS リクエストの場合は、リクエストを送信したクライアントとロードバランサの間で SSL / TLS 暗号化が実施されます。

次の図に、このロードバランサのアーキテクチャを示します。

クロスリージョンロードバランシングの図。 — クロスリージョンロードバランシングの図（クリックして拡大）

このロードバランサは、構成の柔軟性を高めるために複数のコンポーネントで構成されます。各コンポーネントの詳細については、外部アプリケーションロードバランサの概要をご覧ください。

Compute Engine 仮想マシンインスタンス
Compute Engine 永続ディスク
Windows Server 2012 マシンイメージ

このチュートリアルの実行にかかる費用は、実行時間、インスタンス数、ディスクサイズ、マシンタイプによって変動します。料金計算ツールを使うと、予想使用量に基づいて費用の見積もりを出すことができます。Google Cloud を初めて使用する方は、無料トライアルをご利用いただける場合があります。

このチュートリアルの前提条件は次のとおりです。

Windows マシンを使用している。
Google Cloud コンソールでプロジェクトを作成済みである。
gcloud CLI がインストールされている。このツールを使用して Google Cloud の操作を行います。
gcloud auth login を実行して、Google Cloud に対する認証を済ませてある。
任意のリモートデスクトッププロトコル（RDP）クライアントがインストールされている。詳細については、Microsoft リモートデスクトップクライアントをご覧ください。RDP クライアントがすでにインストールされている場合は、このタスクをスキップできます。
外部アプリケーションロードバランサの概要を読んで内容を理解している。
対象プロジェクトを gcloud CLI で操作するデフォルトのプロジェクトに設定している。まだ設定していない場合は次のコマンドを実行してください。
```
PS C:\> gcloud config set --project <project_name>
```

バックエンドインスタンスを設定する

このセクションでは、異なるリージョンに 2 つのバックエンドサービスを作成します。各バックエンドサービスに 2 つのバックエンドインスタンスを含め、それぞれ Windows Server 2012 で Microsoft IIS ウェブサーバーを実行します。サーバーを 1 つずつ手動で構成する手間を省くため、1 つのサーバーインスタンスからディスクイメージを作成し、そのイメージを使用して残りのサーバーインスタンスを作成します。

ソースイメージインスタンスを作成する

ソースイメージとして使用するインスタンスを作成します。

ローカル Windows マシンで PowerShell を開きます。
us-central1 リージョンに新しい Windows Server 2012 インスタンスを作成し、そのインスタンスに rdp-tag タグと www-tag タグを追加します。後で、これらのタグを指定するファイアウォールルールを作成して、インスタンスへの外部アクセスを有効にします。
```
PS C:\> gcloud compute instances create src-img ^
     --zone us-central1-f --image windows-2012-r2 ^
     --tags rdp-tag,www-tag
```
注: Windows インスタンスのデプロイが完了するまでに 10 分ほどかかることがあります。

ソースイメージインスタンスを作成したら、インスタンスへの外部アクセスを許可するファイアウォールルールを設定します。

rdp-tag というタグが付いたすべてのインスタンスに対して、ポート 3389 への外部アクセスを許可するファイアウォールルールを作成します。このルールにより、ソースイメージインスタンスと rdp-tag タグを使用する以降のすべてのインスタンスに RDP を使用してアクセスできるようにします。
```
PS C:\> gcloud compute firewall-rules create rdp-rule ^
     --allow tcp:3389 --source-ranges 0.0.0.0/0 ^
     --target-tags rdp-tag
```
www-tag のタグが付いたすべてのインスタンスに対して、ポート 80 への外部アクセスを許可する別のファイアウォールルールを作成します。このルールにより、ソースイメージインスタンスと www-tag タグを使用する以降のすべてのインスタンスで HTTP トラフィックを送受信できるようにします。
```
 PS C:> gcloud compute firewall-rules create www-rule ^
     --allow tcp:80 --source-ranges 0.0.0.0/0 ^
     --target-tags www-tag
```

ソースイメージインスタンスを構成する

次に、ソースイメージインスタンスの新しい Windows ユーザーを作成し、RDP 接続を確立します。

ウェブブラウザで Google Cloud コンソールの [VM インスタンス] ページに移動し、ソースイメージインスタンスの名前（src-img）をクリックします。
[Windows パスワードを設定] ボタンをクリックします。
[新しい Windows パスワードの設定] ダイアログで、ユーザー名を追加します。
[設定] をクリックして、インスタンスにユーザーアカウントを作成します。
表示されたパスワードをコピーし、ダイアログを閉じます。
[RDP] プルダウンをクリックし、[RDP ファイルをダウンロード] オプションを選択して、インスタンスの RDP ファイルをダウンロードします。

このファイルを RDP クライアントで使用することで、インスタンスに接続できます。詳細については、Microsoft リモートデスクトップクライアントをご覧ください。

ソースイメージインスタンスとの RDP 接続を確立したら、IIS をインストールしてデフォルトのホームページを追加します。

ソースイメージインスタンスで、管理者として PowerShell を開きます。

PowerShell で、次のコードを貼り付けて IIS サービスと依存関係をインストールします。

PS C:\> Dism /Online /Enable-Feature /FeatureName:IIS-WebServerRole /FeatureName:IIS-WebServer /FeatureName:IIS-StaticContent /FeatureName:IIS-DefaultDocument /FeatureName:IIS-DirectoryBrowsing /FeatureName:IIS-HttpErrors /FeatureName:IIS-HealthAndDiagnostics /FeatureName:IIS-HttpLogging /FeatureName:IIS-LoggingLibraries /FeatureName:IIS-RequestMonitor /FeatureName:IIS-Security /FeatureName:IIS-RequestFiltering /FeatureName:IIS-HttpCompressionStatic /FeatureName:IIS-WebServerManagementTools /FeatureName:IIS-ManagementConsole /FeatureName:WAS-WindowsActivationService /FeatureName:WAS-ProcessModel /FeatureName:WAS-NetFxEnvironment /FeatureName:WAS-ConfigurationAPI /All

サービスをインストールしたら、IIS のデフォルトのウェブディレクトリ C:\inetpub\wwwroot に新しいホームページを作成します。
```
PS C:\> Echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' > C:\inetpub\wwwroot\index.html
```

ソースイメージインスタンスからコンテンツを配信できることを確認する

ウェブブラウザで [VM インスタンス] ページにアクセスします。インスタンスの外部 IP をクリックして、前のステップで作成したホームページが表示されることを確認します。

ソースイメージインスタンスから再利用可能な Windows Server 2012 イメージを作成する

ソースイメージインスタンスが適切に構成され、コンテンツを配信できることを確認したら、インスタンスのルート永続ディスクから再利用可能なディスクイメージを作成します。

ソースイメージインスタンスで、管理者として PowerShell を開きます。
システムのクローンを作成する準備として、次のコマンドを実行します。
```
 PS C:> GCESysprep
```
GCESysprep のオペレーションが完了すると、RDP セッションが自動的に切断されます。
ローカルマシンで次のコマンドを実行して、ソースインスタンスを削除します。ただし、インスタンスのルート永続ディスクは残します。
```
 PS C:> gcloud compute instances delete src-img --keep-disks boot
```
インスタンスを削除したら、削除せずに残したルート永続ディスクから新しいイメージを作成します。
```
 PS C:> gcloud compute images create win-be-img --source-disk src-img --source-disk-zone us-central1-f
```

ソースイメージを使用してインスタンステンプレートを作成する

構成した Windows サーバーからディスクイメージを作成したら、そのイメージをインスタンステンプレートのソースイメージとして使用できます。その後、このテンプレートを使用して新しいインスタンスを作成する 2 つのマネージドインスタンスグループを構成します。

ローカルマシンで次のコマンドを実行してインスタンステンプレートを作成します。ソースイメージには win-be-img、インスタンスタグには rdp-tag と www-tag を使用します。

PS C:\> gcloud compute instance-templates create win-be-tmpl ^
    --tags rdp-tag,www-tag ^
    --image win-be-img

各リージョンのマネージドインスタンスグループを作成する

次に、各リージョンのマネージドインスタンスグループを作成します。インスタンスグループを作成すると、前のステップで定義したインスタンステンプレートに基づいて、それぞれ 2 つの同一インスタンスが追加されます。これらのインスタンスグループは、後でロードバランサを構成するときにバックエンドターゲットとして使用します。

マネージドインスタンスグループを作成する手順は次のとおりです。

ローカルマシンで次のコマンドを実行して、ゾーン us-central1-f に新しいマネージドインスタンスグループを作成し、そのグループに 2 つの同一インスタンスを追加します。
```
 PS C:> gcloud compute instance-groups managed create us-be-group ^
      --base-instance-name us ^
      --size 2 ^
      --zone us-central1-f ^
      --template win-be-tmpl
```

ゾーン europe-west1-d についても同様に処理します。

PS C:\> gcloud compute instance-groups managed create eu-be-group ^
      --base-instance-name eu ^
      --size 2 ^
      --zone europe-west1-d ^
      --template win-be-tmpl

バックエンドインスタンスが実行されていることを確認する

ウェブブラウザで [VM インスタンス] ページにアクセスします。各バックエンドの外部 IP をクリックして、前のステップで作成したホームページが表示されることを確認します。

負荷分散サービスを作成して構成する

Compute Engine 負荷分散サービスは複数のコンポーネントで構成されます。このセクションでは、それらのコンポーネントを作成して連携させます。

ローカルマシンで次のコマンドを実行して新しいヘルスチェックを作成します。ロードバランサは、このヘルスチェックを使用してバックエンドインスタンスの状態を確認します。
```
PS C:\> gcloud compute http-health-checks create basic-check
```

バックエンドサービスを作成します。

PS C:\> gcloud compute backend-services create be-srv ^
      --protocol HTTP --http-health-check basic-check --global-health-checks

インスタンスグループをバックエンドサービスのバックエンドターゲットとして追加します。

PS C:\> gcloud beta compute backend-services add-backend be-srv ^
      --instance-group us-be-group --zone us-central1-f
PS C:\> gcloud beta compute backend-services add-backend be-srv ^
      --instance-group eu-be-group --zone europe-west1-d

すべての受信リクエストをすべてのインスタンスに転送するデフォルトの URL マップを作成します。
```
PS C:\> gcloud compute url-maps create lb-map --default-service be-srv
```
SSL 証明書リソースを作成します。このリソースは、ロードバランサでトラフィックの暗号化と復号に使用します。

秘密鍵と認証局が発行した SSL 証明書を入手済みの場合は、次のコマンドを実行すると、それらを使用して新しい SSLCertificate リソースを作成できます。それ以外の場合は、テスト用の自己署名証明書を作成して使用できます。詳しくは、秘密鍵と証明書を作成するをご覧ください。

次のコマンドを実行して SSL 証明書リソースを作成します。<crt_file_path> は証明書のローカルパス、<key_file_path> は秘密鍵のパスで置き換えてください。
```
PS C:\> gcloud beta compute ssl-certificates create www-cert ^
--certificate  --private-key 
```
URL マップにリクエストをルーティングするターゲットの HTTP プロキシと HTTPS プロキシを作成します。プロキシはロードバランサにおいてロードバランサ用の SSL 証明書を保持するコンポーネントであるため、ここで証明書とプロキシの関連付けもあわせて行います。
```
 PS C:> gcloud compute target-http-proxies create http-lb-proxy ^
      --url-map lb-map
 PS C:> gcloud beta compute target-https-proxies create https-lb-proxy ^
      --url-map lb-map --ssl-certificate www-cert
```
ロードバランサで確実にトラフィックを受信するように、ロードバランサのグローバル転送ルールにグローバル静的 IP アドレスを割り当てる必要があります。グローバル静的 IP リソースを作成するには、次のコマンドを実行します。
```
 PS C:> gcloud compute addresses create lb-ip --global
```
IP アドレスはメモしておいてください。
HTTP と HTTPS の受信リクエスト用にグローバル転送ルールを 2 つ作成します。それぞれの転送ルールにより、IP アドレス、IP プロトコル、ポートの指定に応じて、作成したいずれかのターゲットプロキシにトラフィックが送信されます。

次のコマンドの <lb_ip_addr> は、前のステップで作成した静的 IP アドレスに置き換えてください。
```
PS C:\> gcloud compute forwarding-rules create http-fwd-rule ^
      --address <lb_ip_addr> --global ^
      --target-http-proxy http-lb-proxy --port-range 80
PS C:\> gcloud beta compute forwarding-rules create https-fwd-rule ^
      --address <lb_ip_addr> --global ^
      --target-https-proxy https-lb-proxy --port-range 443
```

グローバル転送ルールを作成した後、構成が反映されるまでに数分かかることがあります。進行状況を確認するには、Google Cloud コンソールで構成をモニタリングするか、ローカルマシンで次のコマンドを実行します。

PS C:\> gcloud compute backend-services get-health be-srv

バックエンドにトラフィックを送信する

負荷分散サービスの構成が完了したので、転送ルールへのトラフィックの送信を開始し、各インスタンスにトラフィックが分散されるようすを観測できます。

バックエンドにトラフィックを送信する手順は次のとおりです。

Google Cloud コンソールで [ロードバランシング] ページを開きます。
ロードバランサの名前をクリックします。
ページの [バックエンド] セクションで [正常] 列を見て、インスタンスが正常であることを確認します。インスタンスが正常であることが画面に表示されるまでに少し時間がかかる場合があります。
インスタンスが正常と表示されたら、[フロントエンド] セクションから [IP: ポート] の内容をコピーし、ブラウザに貼り付けます。
ブラウザにデフォルトのコンテンツページが表示されます。

注: テストに自己署名証明書を使用した場合はブラウザに警告が表示されます。その際、証明書を手動で受け入れることができます。

バックエンドへのアクセスを制限する

ここまでの作業に問題がないことを確認したら、インスタンスで負荷分散サービスからの HTTP(S) トラフィックのみを受け入れるようにファイアウォールルールを変更します。

ローカルマシンで次のコマンドを実行して、www-rule ファイアウォールルールを更新します。このコマンドを実行すると、ロードバランサのプロキシとヘルスチェックの IP 範囲 130.211.0.0/22 および 35.191.0.0/16 以外のすべての IP 範囲からのトラフィックが制限されます。
```
PS C:\> gcloud compute firewall-rules update www-rule ^
       --source-ranges 130.211.0.0/22,35.191.0.0/16 ^
       --target-tags www-tag
```
ウェブブラウザで [VM インスタンス] ページにアクセスします。
各インスタンスをクリックして、インスタンスにアクセスできなくなったことを確認します。

停止のシミュレーションを行う

1 つのリージョン内の 1 つ以上のインスタンスについて停止のシミュレーションを実施できます。このシミュレーションによって、停止したインスタンス以外の正常なインスタンス間で負荷がどのように分散されるかを確認できます。

インスタンスでのリクエストの受信を停止するには:

インスタンスへの RDP 接続を確立します。
インスタンスで、管理者として PowerShell を開きます。
次のコマンドを実行して、インスタンスに適用する新しいファイアウォールルールを作成します。このコマンドを実行すると、ヘルスチェッカーからのヘルスチェックトラフィックがブロックされ、ロードバランサからインスタンスへの新しい HTTP 接続もすべて阻止されます。
```
PS C:\> netsh advfirewall firewall add rule name="Outage Test" protocol=tcp dir=in localport=80 action=block remoteip=130.211.0.0/22,35.191.0.0/16
```
ローカルマシンで次のコマンドを実行して、インスタンスのステータスが UNHEALTHY になったことを確認します。
```
PS C:\> gcloud compute backend-services get-health be-srv
```
インスタンスのステータスが UNHEALTHY になったら、ロードバランサにリクエストを送信します。正常なインスタンスからのみレスポンスが返されます。
停止のシミュレーションが終了したら、ファイアウォールルールを削除してインスタンスの接続を復元します。停止したインスタンスで管理者として PowerShell を開き、次のコマンドを実行してルールを削除します。
```
PS C:\> netsh advfirewall firewall delete rule name="Outage Test"
```

クリーンアップ

チュートリアルが終了したら、作成したリソースをクリーンアップして、割り当ての使用を停止し、課金されないようにできます。以下のセクションで、リソースを削除または無効にする方法を説明します。

Google Cloud プロジェクトを削除する

課金をなくす最も簡単な方法は、チュートリアル用に作成したプロジェクトを削除することです。

プロジェクトを削除するには:

注意: プロジェクトを削除すると、次のような影響があります。

プロジェクト内のすべてのものが削除されます。このドキュメントのタスクで既存のプロジェクトを使用した場合、それを削除すると、そのプロジェクトで行った他の作業もすべて削除されます。
カスタムプロジェクト ID が失われます。このプロジェクトを作成したときに、将来使用するカスタムプロジェクト ID を作成した可能性があります。そのプロジェクト ID を使用した URL（たとえば、appspot.com）を保持するには、プロジェクト全体ではなくプロジェクト内の選択したリソースだけを削除します。

複数のアーキテクチャ、チュートリアル、クイックスタートを実施する予定がある場合は、プロジェクトを再利用すると、プロジェクトの割り当て上限を超えないようにすることができます。

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

インスタンスを削除する

Compute Engine インスタンスを削除するには:

In the Google Cloud console, go to the VM instances page.
Go to VM instances
Select the checkbox for the instance that you want to delete.
To delete the instance, click More actions, click Delete, and then follow the instructions.

永続ディスクを削除する

Compute Engine ディスクを削除するには:

In the Google Cloud console, go to the Disks page.
Go to Disks
Select the checkbox for the disk that you want to delete.
To delete the disk, click Delete.

次のステップ

Compute Engine での Windows の運用方法の詳細を確認する

Compute Engine での Windows インスタンスの作成と管理に関するドキュメントをご覧ください。

他のチュートリアルを試す

Google Cloud に関するリファレンスアーキテクチャ、図、ベストプラクティスを確認する。Cloud Architecture Center をご覧ください。