Menyiapkan layanan edge jaringan dengan grup endpoint jaringan konektivitas hybrid

Google menawarkan berbagai layanan edge jaringan yang dapat meningkatkan kemampuan dan keamanan layanan yang berbasis di luar Google Cloud (layanan lokal dan multi-cloud)—misalnya, di pusat data lokal atau di cloud publik lainnya.

Layanan edge jaringan ini memungkinkan Anda melakukan hal berikut:

Contoh layanan edge jaringan.
Contoh layanan edge jaringan (klik untuk memperbesar)

Untuk menghadirkan manfaat ini ke layanan pribadi, lokal, atau multi-cloud, Anda harus men-deploy Load Balancer Aplikasi eksternal untuk menerima traffic dari internet publik. Load Balancer Aplikasi eksternal meneruskan traffic ke proxy tengah yang dikonfigurasi oleh Cloud Service Mesh. Proxy tengah ini merutekan traffic ke lingkungan lokal atau lingkungan non-Google Cloud menggunakan Cloud VPN atau Cloud Interconnect.

Tutorial ini memandu Anda melalui contoh menyeluruh yang menggunakan Google Cloud Armor di edge Google untuk mengizinkan klien mengakses layanan lokal secara pribadi secara selektif. Klien diizinkan untuk mengakses berdasarkan alamat IP mereka.

Anda menyelesaikan tugas-tugas berikut:

  1. Men-deploy Envoy sebagai proxy tengah di grup instance terkelola (MIG). Proxy Envoy ini terhubung secara otomatis ke Cloud Service Mesh.
  2. Buat simulasi instance virtual machine (VM) pribadi di lokasi. Dalam contoh di dunia nyata, Anda mungkin sudah memiliki VM on-premise.
  3. Konfigurasikan Cloud Service Mesh untuk merutekan semua permintaan yang mencapai proxy tengah ke VM on-premise yang disimulasikan.
  4. Buat Load Balancer Aplikasi eksternal untuk menerima traffic dari internet publik dan meneruskannya ke proxy tengah.
  5. Lampirkan kebijakan keamanan Google Cloud Armor ke Load Balancer Aplikasi eksternal.

Setelah menyelesaikan tugas ini, Anda dapat menjelajahi layanan tepi tambahan dan fitur pengelolaan traffic lanjutan secara opsional.

Prasyarat

Sebelum menyiapkan proxy tengah, selesaikan tugas berikut:

  • Tinjau artikel Bersiap untuk menyiapkan Cloud Service Mesh dengan Envoy dan selesaikan semua tugas prasyarat, yang mencakup pemberian izin dan peran yang diperlukan serta mengaktifkan Cloud Service Mesh API.

  • Pastikan endpoint lokal pribadi Anda dapat dijangkau dari dalam jaringan Virtual Private Cloud (VPC) Google Cloud melalui Cloud VPN atau Cloud Interconnect. Contoh yang digunakan dalam tutorial ini hanya merutekan traffic ke endpoint dalam Google Cloud, sehingga Anda tidak perlu mengonfigurasi konektivitas hybrid untuk mengikutinya. Dalam skenario deployment dunia nyata, konfigurasi konektivitas hybrid akan diperlukan.

  • Pastikan rentang CIDR subnet VPC Anda tidak bertentangan dengan rentang CIDR jarak jauh. Jika alamat IP tumpang-tindih, rute subnet akan diprioritaskan daripada konektivitas jarak jauh.

  • Untuk demonstrasi ini, dapatkan izin yang diperlukan untuk membuat dan memperbarui kebijakan keamanan Google Cloud Armor. Izinnya mungkin bervariasi jika Anda ingin menggunakan layanan lain, seperti Cloud CDN.

Men-deploy proxy tengah di VM Compute Engine

Bagian ini menjelaskan cara men-deploy Envoy sebagai proxy tengah di Compute Engine untuk menerima traffic dari load balancer eksternal dan meneruskannya ke tujuan jarak jauh Anda.

Membuat template instance untuk proxy tengah

Template instance menentukan konfigurasi untuk VM dalam grup instance terkelola (MIG).

  1. Gunakan template berikut untuk membuat instance VM dengan proxy Envoy yang terhubung ke Cloud Service Mesh:

    gcloud compute instance-templates create td-middle-proxy \
    --service-proxy=enabled \
    --tags=allow-hc

  2. Untuk menyesuaikan deployment Envoy, seperti dengan menentukan nama jaringan, menetapkan jalur log, atau mengaktifkan pelacakan, lihat Panduan opsi deployment Envoy otomatis.

Membuat MIG untuk proxy tengah

  1. Buat MIG berdasarkan template. Dalam contoh ini, Anda dapat mempertahankan ukuran grup instance sebesar 1 untuk men-deploy satu instance. Untuk penggunaan produksi, aktifkan penskalaan otomatis—misalnya, berdasarkan penggunaan CPU, untuk menghindari bottleneck jika proxy tengah Anda perlu menangani banyak traffic.

    gcloud compute instance-groups managed create td-middle-proxy-us-central1-a \
    --zone=us-central1-a \
    --template=td-middle-proxy \
    --size=1

  2. Untuk konfigurasi dan verifikasi mendatang, identifikasi dan simpan alamat IP internal instance di MIDDLE_PROXY_IP:

    MIDDLE_PROXY_IP=$(gcloud compute instances list \
    --filter="name~'td-middle-proxy-us-central1-a-.*'" \
    --zones=us-central1-a \
    --format="value(networkInterfaces.networkIP)")

Dalam contoh ini, kita membuat MIG yang berisi instance VM yang menjalankan Envoy di us-central1-a. Selanjutnya dalam tutorial ini, Anda akan membuat load balancer eksternal untuk menangani traffic internet publik dari klien.

Karena load balancer eksternal dapat secara otomatis merutekan traffic ke region yang paling dekat dengan klien Anda dan ke MIG dalam region tersebut, sebaiknya pertimbangkan untuk membuat beberapa MIG. Untuk mengetahui daftar lengkap region dan zona Google Cloud yang tersedia, lihat Region dan zona.

Men-deploy layanan lokal tersimulasi

Bagian ini menjelaskan cara men-deploy grup endpoint jaringan (NEG) konektivitas hybrid. Dalam deployment produksi, NEG ini akan berisi endpoint (IP:port) yang me-resolve ke server lokal Anda. Dalam contoh ini, Anda membuat VM Compute Engine yang dapat dijangkau di IP:port. VM ini berfungsi sebagai server lokal yang disimulasikan.

Membuat VM lokal tersimulasi

  1. Deploy satu instance VM untuk menyimulasikan server pribadi di lokasi:

    gcloud compute instances create on-prem-vm \
    --zone=us-central1-a \
    --metadata startup-script='#! /bin/bash
## Installs apache and a custom homepage
sudo su -
apt-get update
apt-get install -y apache2
cat <<EOF > /var/www/html/index.html
<html><body><h1>Hello world from on-premises!</h1></body></html>
EOF'

  2. Identifikasi dan simpan alamat IP internalnya untuk konfigurasi dan verifikasi pada masa mendatang. Server di VM ini memproses permintaan masuk di port 80:

    ON_PREM_IP=$(gcloud compute instances describe on-prem-vm \
    --zone=us-central1-a \
    --format="value(networkInterfaces.networkIP)" | sed "s/['\[\]]*//g")

Membuat NEG

Buat NEG untuk penyiapan demonstrasi ini dengan menentukan jenis endpoint jaringan non-gcp-private-ip-port. Tambahkan alamat IP dan port untuk VM on-premise simulasi Anda sebagai endpoint ke NEG ini. Setelah langkah sebelumnya, alamat IP disimpan dalam variabel lingkungan ON_PREM_IP.

  1. Buat NEG:

    gcloud compute network-endpoint-groups create td-on-prem-neg \
    --network-endpoint-type=non-gcp-private-ip-port \
    --zone=us-central1-a

  2. Tambahkan IP:port ke NEG baru Anda:

    gcloud compute network-endpoint-groups update td-on-prem-neg \
    --zone=us-central1-a \
    --add-endpoint="ip=$ON_PREM_IP,port=80"

Mengonfigurasi Cloud Service Mesh dengan komponen Cloud Load Balancing

Bagian ini menunjukkan cara mengonfigurasi Cloud Service Mesh dan mengaktifkan proxy tengah untuk meneruskan traffic ke layanan lokal pribadi Anda. Anda mengonfigurasi komponen berikut:

  • Health check. Perilaku health check ini sedikit berbeda dengan health check yang dikonfigurasi untuk jenis NEG lainnya.

  • Layanan backend. Untuk mengetahui informasi selengkapnya, lihat Ringkasan layanan backend.

  • Peta aturan perutean. Langkah ini mencakup pembuatan aturan penerusan, proxy target, dan peta URL. Untuk informasi selengkapnya, lihat Peta aturan pemilihan rute.

Membuat health check

Health check memverifikasi bahwa endpoint Anda responsif dan dapat menerima permintaan. Health check untuk jenis NEG ini bergantung pada mekanisme health check terdistribusi Envoy.

Jenis NEG lainnya menggunakan sistem pemeriksaan kesehatan terpusat Google Cloud:

gcloud compute health-checks create http td-on-prem-health-check

Membuat layanan backend

  1. Buat layanan backend dengan skema load balancing INTERNAL_SELF_MANAGED yang akan digunakan dengan Cloud Service Mesh. Saat membuat layanan backend ini, tentukan health check yang sebelumnya Anda buat:

    gcloud compute backend-services create td-on-prem-backend-service \
    --global \
    --load-balancing-scheme=INTERNAL_SELF_MANAGED \
    --health-checks=td-on-prem-health-check

  2. Tambahkan NEG yang Anda buat sebelumnya sebagai backend layanan backend ini:

    gcloud compute backend-services add-backend td-on-prem-backend-service \
    --global \
    --network-endpoint-group=td-on-prem-neg \
    --network-endpoint-group-zone=us-central1-a \
    --balancing-mode=RATE \
    --max-rate-per-endpoint=5

Membuat peta aturan perutean

Peta aturan perutean menentukan cara Cloud Service Mesh merutekan traffic ke layanan backend Anda.

  1. Buat peta URL yang menggunakan layanan backend yang ditentukan sebelumnya:

    gcloud compute url-maps create td-hybrid-url-map \
    --default-service=td-on-prem-backend-service

  2. Buat file bernama target_proxy.yaml dengan konten berikut:

    name: td-hybrid-proxy
proxyBind: true
urlMap: global/urlMaps/td-hybrid-url-map

  3. Gunakan perintah import untuk membuat proxy HTTP target (untuk informasi selengkapnya, lihat Target proxy untuk Cloud Service Mesh):

    gcloud compute target-http-proxies import td-hybrid-proxy \
    --source=target_proxy.yaml

  4. Buat aturan penerusan yang mereferensikan proxy HTTP target ini. Tetapkan alamat IP aturan penerusan ke 0.0.0.0. Menetapkan alamat IP aturan ke 0.0.0.0 akan merutekan traffic berdasarkan port masuk, nama host HTTP, dan informasi jalur yang dikonfigurasi di peta URL. Alamat IP yang ditentukan dalam permintaan HTTP akan diabaikan.

    gcloud compute forwarding-rules create td-hybrid-forwarding-rule \
    --global \
    --load-balancing-scheme=INTERNAL_SELF_MANAGED \
    --address=0.0.0.0 \
    --target-http-proxy=td-hybrid-proxy \
    --ports=8080 \
    --network=default

Memverifikasi bahwa proxy tengah dapat merutekan permintaan ke layanan on-premises yang disimulasikan

Cloud Service Mesh kini dikonfigurasi untuk merutekan traffic melalui proxy tengah ke layanan pribadi simulasi di lokasi Anda. Anda dapat memverifikasi konfigurasi ini dengan membuat VM klien pengujian, login ke VM tersebut, dan mengirim permintaan ke proxy tengah yang menjalankan Envoy. Setelah memverifikasi konfigurasi, hapus VM klien pengujian.

  1. Dapatkan alamat IP proxy tengah. Anda hanya memerlukan informasi ini untuk langkah verifikasi:

    gcloud compute instances list

  2. Tuliskan atau catat alamat IP instance di MIG td-middle-proxy-us-central1-a.

  3. Buat instance klien pengujian:

    gcloud compute instances create test-client \
    --zone=us-central1-a

  4. Gunakan ssh untuk login ke klien pengujian:

    gcloud compute ssh test-client
    --zone=us-central1-a

  5. Kirim permintaan ke VM proxy tengah, dengan mengganti alamat IP yang Anda dapatkan sebelumnya untuk MIDDLE_PROXY_IP:

    curl $MIDDLE_PROXY_IP:8080

    Anda akan melihat output berikut:

    Hello world from on-premises!

  6. Keluar dari VM klien pengujian. Setelah keluar, Anda dapat menghapus VM:

    gcloud compute instances delete test-client \
    --zone=us-central1-a

Men-deploy Load Balancer Aplikasi eksternal

Di bagian ini, Anda akan men-deploy Load Balancer Aplikasi eksternal yang mengirim traffic masuk ke proxy tengah. Deployment ini adalah penyiapan Load Balancer Aplikasi eksternal standar.

Mencadangkan alamat IP eksternal

Buat alamat IP eksternal statis global (external-lb-vip) yang akan menerima traffic dari klien eksternal. Anda akan mengambil alamat IP eksternal ini selama langkah verifikasi nanti dalam tutorial ini.

gcloud compute addresses create external-lb-vip \
    --ip-version=IPV4 \
    --global

Menyiapkan load balancer HTTP eksternal

Konfigurasikan load balancer eksternal untuk merutekan traffic pelanggan internet ke proxy tengah yang telah dikonfigurasi.

  1. Buat health check yang digunakan untuk menentukan apakah MIG yang menjalankan proxy tengah responsif dan dapat menerima traffic:

    gcloud compute health-checks create tcp tcp-basic-check \
    --port=8080

  2. Buat aturan firewall untuk mengizinkan health check. Anda menggunakan kembali tag allow-hc di sini untuk menerapkan aturan firewall ke VM proxy tengah:

    gcloud compute firewall-rules create fw-allow-health-checks \
    --network=default \
    --action=ALLOW \
    --direction=INGRESS \
    --source-ranges=35.191.0.0/16,130.211.0.0/22 \
    --target-tags=allow-hc \
    --rules=tcp

  3. Buat layanan backend:

    gcloud compute backend-services create td-middle-proxy-backend-service \
    --protocol=HTTP \
    --health-checks=tcp-basic-check \
    --global

  4. Tambahkan MIG proxy tengah sebagai backend ke layanan backend ini:

    gcloud compute backend-services add-backend td-middle-proxy-backend-service \
    --instance-group=td-middle-proxy-us-central1-a \
    --instance-group-zone=us-central1-a \
    --global

  5. Buat peta URL untuk mengarahkan permintaan masuk ke proxy tengah sebagai layanan backend default:

    gcloud compute url-maps create lb-map-http \
    --default-service=td-middle-proxy-backend-service

  6. Buat proxy HTTP target sehingga permintaan ke alamat IP virtual (VIP) aturan penerusan load balancer eksternal ditangani sesuai dengan peta URL:

    gcloud compute target-http-proxies create http-lb-proxy \
    --url-map=lb-map-http

  7. Buat aturan penerusan global untuk mengarahkan permintaan masuk ke proxy HTTP target:

    gcloud compute forwarding-rules create http-forwarding-rule \
    --address=external-lb-vip\
    --global \
    --load-balancing-scheme=EXTERNAL \
    --target-http-proxy=http-lb-proxy \
    --ports=80

Menetapkan port bernama MIG

Tetapkan port bernama untuk grup instance agar proxy tengah Anda dapat menerima traffic HTTP dari load balancer eksternal:

gcloud compute instance-groups managed set-named-ports td-middle-proxy-us-central1-a \
    --named-ports=http:8080 \
    --zone=us-central1-a

Memverifikasi konfigurasi Load Balancer Aplikasi eksternal

Pada langkah ini, Anda akan memverifikasi bahwa load balancer eksternal disiapkan dengan benar.

  1. Anda seharusnya dapat mengirim permintaan ke VIP load balancer dan mendapatkan respons dari VM lokal yang disimulasikan:

    PUBLIC_VIP=gcloud compute addresses describe external-lb-vip \
    --format="get(address)" \
    --global

  2. Buat permintaan curl ke alamat IP eksternal (PUBLIC_VIP) dan pastikan Anda menerima pesan Hello world:

    curl $PUBLIC_VIP

    Anda akan melihat output berikut:

    Hello world from on-premises!

Mengaktifkan Google Cloud Armor

Konfigurasikan kebijakan keamanan Google Cloud Armor agar hanya mengizinkan akses ke layanan Anda dari CLIENT_IP_RANGE, yang harus menyertakan alamat IP eksternal perangkat klien yang ingin Anda uji—misalnya, "192.0.2.0/24".

Kebijakan ini diterapkan pada layanan backend load balancer eksternal (dalam contoh ini, td-hybrid-backend-service mengarah ke proxy tengah). Untuk informasi selengkapnya tentang izin yang diperlukan untuk menetapkan aturan ini, lihat Mengonfigurasi kebijakan keamanan Google Cloud Armor.

  1. Buat kebijakan keamanan Google Cloud Armor:

    gcloud compute security-policies create external-clients-policy \
    --description="policy for external clients"

  2. Perbarui aturan default kebijakan keamanan untuk menolak semua traffic:

    gcloud compute security-policies rules update 2147483647 \
    --security-policy=external-clients-policy \
    --action="deny-404"

  3. Tambahkan aturan prioritas yang lebih tinggi untuk mengizinkan traffic dari rentang IP tertentu:

    gcloud compute security-policies rules create 1000 \
    --security-policy=external-clients-policy \
    --description="allow traffic from CLIENT_IP_RANGE" \
    --src-ip-ranges="CLIENT_IP_RANGE" \
    --action="allow"

  4. Lampirkan kebijakan keamanan Google Cloud Armor ke layanan backend Anda:

    gcloud compute backend-services update td-middle-proxy-backend-service \
    --security-policy=external-clients-policy

Verifikasi akhir

  1. Buat permintaan curl ke alamat IP virtual publik Load Balancer Aplikasi eksternal. Jika alamat IP perangkat klien Anda berada dalam CLIENT_IP_RANGE yang diizinkan dan ditentukan sebelumnya, Anda akan menerima respons yang diharapkan.

    curl $PUBLIC_VIP

    Anda akan melihat output berikut:

    Hello world from on-premises!

  2. Buat permintaan curl yang sama dari perangkat klien lain yang alamat IP-nya berada di luar CLIENT_IP_RANGE, atau perbarui aturan kebijakan keamanan Anda agar tidak lagi menyertakan alamat IP klien. Sekarang Anda akan menerima error 404 Not Found.

Pemecahan masalah

Petunjuk berikut menjelaskan cara memperbaiki masalah pada konfigurasi Anda.

Layanan on-premise saya tidak dapat diakses melalui alamat IP Load Balancer Aplikasi eksternal global

Dengan asumsi bahwa layanan lokal Anda sudah dapat diakses di VM Google Cloud tempat Envoy berjalan, ikuti langkah-langkah berikut untuk memecahkan masalah penyiapan Anda:

  1. Pastikan MIG Google Cloud Envoy dilaporkan sebagai sehat. Di konsol Google Cloud, buka Network services > Load balancing dan klik url-map lb-map-http untuk melihat detailnya. Anda akan dapat melihat bahwa 1/1 instance di td-middle-proxy-us-central1-a responsif.

  2. Jika tidak responsif, periksa apakah aturan firewall telah dikonfigurasi untuk mengizinkan traffic health check masuk ke VM Google Cloud yang menjalankan Envoy:

    gcloud compute firewall-rules describe fw-allow-health-check

    Anda akan melihat output berikut:

    allowed:
‑ IPProtocol: tcp
...
direction: INGRESS
disabled: false
...
...
sourceRanges:
‑ 130.211.0.0/22
‑ 35.191.0.0/16
targetTags:
‑ allow-hc

Langkah selanjutnya