configura i servizi perimetrali di rete per i deployment ibridi
Google offre vari servizi perimetrali di rete che possono aumentare le funzionalità e la sicurezza dei servizi basati al di fuori di Google Cloud (servizi on-premise e multi-cloud), ad esempio in un data center on-premise o in un altro cloud pubblico.
Questi servizi perimetrali di rete ti consentono di:
Accetta e instrada il traffico esterno dei clienti a livello globale con un singolo VIP Anycast.
Riduci il carico del server terminando il traffico TLS a livello perimetrale con un bilanciatore del carico delle applicazioni esterno e certificati SSL gestiti da Google.
Abilita le regole WAF (Web Application Firewall) preconfigurate e applica liste consentite e liste bloccate al traffico in entrata con Google Cloud Armor.
Controlla l'accesso degli utenti alle tue applicazioni e risorse con Identity-Aware Proxy (IAP).
Ottimizza la distribuzione dei contenuti e la latenza per gli utenti finali con Cloud CDN.
Per offrire questi vantaggi ai tuoi servizi privati, on-premise o multi-cloud, esegui il deployment di un bilanciatore del carico delle applicazioni esterno per ricevere il traffico dalla rete internet pubblica. L'Application Load Balancer esterno inoltra il traffico a un proxy intermedio configurato da Traffic Director. Questo proxy intermedio instrada il traffico al tuo ambiente on-premise o non Google Cloud utilizzando Cloud VPN o Cloud Interconnect.
Questo tutorial illustra un esempio end-to-end che utilizza Google Cloud Armor sul perimetro di Google per consentire in modo selettivo ai client di accedere privatamente a un servizio on-premise. Ai client è consentito l'accesso in base al loro indirizzo IP.
Completa le seguenti attività:
- Esegui il deployment di Envoy come proxy intermedio in un gruppo di istanze gestite. Questo proxy Envoy viene connesso automaticamente a Traffic Director.
- Crea un'istanza simulata di una macchina virtuale (VM) on-premise privata. In un esempio reale, probabilmente avrai già una VM on-premise.
- Configura Traffic Director per instradare tutte le richieste che raggiungono il proxy medio alla VM on-premise simulata.
- Crea un bilanciatore del carico delle applicazioni esterno per ricevere il traffico dalla rete internet pubblica e inoltrarlo al proxy intermedio.
- Collega un criterio di sicurezza di Google Cloud Armor al bilanciatore del carico delle applicazioni esterno.
Dopo aver completato queste attività, puoi scegliere di esplorare ulteriori servizi perimetrali e funzionalità avanzate di gestione del traffico.
Prerequisiti
Prima di configurare il proxy intermedio, completa le seguenti attività:
Consulta Prepararsi alla configurazione di Traffic Director con Envoy e completa tutte le attività preliminari, tra cui la concessione delle autorizzazioni e i ruoli richiesti e l'abilitazione dell'API Traffic Director.
Assicurati che i tuoi endpoint privati on-premise siano raggiungibili dall'interno della rete VPC (Virtual Private Cloud) di Google Cloud tramite Cloud VPN o Cloud Interconnect. L'esempio utilizzato in questo tutorial instrada il traffico solo a un endpoint all'interno di Google Cloud, quindi non è necessario configurare la connettività ibrida per continuare. In uno scenario di deployment reale, sarebbe richiesta la configurazione della connettività ibrida.
Assicurati che gli intervalli CIDR della subnet VPC non siano in conflitto con gli intervalli CIDR remoti. Quando gli indirizzi IP si sovrappongono, le route di subnet hanno la priorità sulla connettività remota.
Per questa dimostrazione, ottieni le autorizzazioni necessarie per creare e aggiornare i criteri di sicurezza di Google Cloud Armor. Le autorizzazioni possono variare se vuoi utilizzare un servizio diverso, ad esempio Cloud CDN.
Esegui il deployment del proxy intermedio sulle VM di Compute Engine
Questa sezione descrive come eseguire il deployment di Envoy come proxy intermedio su Compute Engine per ricevere il traffico dal bilanciatore del carico esterno e inoltrarlo alla destinazione remota.
Crea il modello di istanza per il proxy intermedio
Un modello di istanza specifica la configurazione per le VM all'interno di un gruppo di istanze gestite.
Utilizza il modello seguente per creare istanze VM con un proxy Envoy connesso a Traffic Director:
gcloud compute instance-templates create td-middle-proxy \ --service-proxy=enabled \ --tags=allow-hc
Per personalizzare il tuo deployment Envoy, ad esempio specificando il nome di rete, impostando un percorso di log e/o attivando il tracciamento, consulta la guida alle opzioni di deployment automatizzato di Envoy.
Crea il gruppo di istanze gestite per il proxy intermedio
Crea il gruppo di istanze gestite in base al modello. In questo esempio, puoi mantenere la dimensione del gruppo di istanze pari a 1 per eseguire il deployment di una singola istanza. Per l'utilizzo in produzione, abilita la scalabilità automatica, ad esempio in base all'utilizzo della CPU, per evitare di creare un collo di bottiglia se il proxy intermedio deve gestire molto traffico.
gcloud compute instance-groups managed create td-middle-proxy-us-central1-a \ --zone=us-central1-a \ --template=td-middle-proxy \ --size=1
Per le configurazioni e le verifiche future, identifica e archivia l'indirizzo IP interno dell'istanza in
MIDDLE_PROXY_IP
:MIDDLE_PROXY_IP=$(gcloud compute instances list \ --filter="name~'td-middle-proxy-us-central1-a-.*'" \ --zones=us-central1-a \ --format="value(networkInterfaces.networkIP)")
In questo esempio, creiamo il gruppo di istanze gestite contenente istanze VM che eseguono Envoy in us-central1-a
. Più avanti in questo tutorial, creerai un bilanciatore del carico esterno per gestire il traffico internet pubblico dai tuoi client.
Poiché il bilanciatore del carico esterno può instradare automaticamente il traffico alla regione più vicina ai tuoi client e al gruppo di istanze gestite all'interno di quella regione, potresti prendere in considerazione la creazione di più gruppi di istanze gestite. Per un elenco completo delle regioni e delle zone disponibili in Google Cloud, consulta Regioni e zone.
Esegui il deployment del servizio on-premise simulato
Questa sezione descrive il deployment di un gruppo di endpoint di rete con connettività ibrida (NEG). In un deployment di produzione, questo NEG contiene un endpoint (IP:port
) che si risolve nel server on-premise. In questo esempio, creerai una VM di Compute Engine raggiungibile su un IP:port
. Questa VM funge da server on-premise simulato.
Crea la VM on-premise simulata
Esegui il deployment di una singola istanza VM per simulare un server on-premise privato:
gcloud compute instances create on-prem-vm \ --zone=us-central1-a \ --metadata startup-script='#! /bin/bash ## Installs apache and a custom homepage sudo su - apt-get update apt-get install -y apache2 cat <<EOF > /var/www/html/index.html <html><body><h1>Hello world from on-premises!</h1></body></html> EOF'
Identifica e memorizza il suo indirizzo IP interno per le configurazioni e la verifica future. Il server su questa VM rimane in ascolto delle richieste in entrata sulla porta
80
:ON_PREM_IP=$(gcloud compute instances describe on-prem-vm \ --zone=us-central1-a \ --format="value(networkInterfaces.networkIP)" | sed "s/['\[\]]*//g")
Crea il NEG
Crea il NEG per questa configurazione di dimostrazione specificando il tipo di endpoint di rete non-gcp-private-ip-port
. Aggiungi l'indirizzo IP e la porta per la VM on-premise simulata come endpoint a questo NEG. Dopo il passaggio precedente, l'indirizzo IP viene archiviato nella variabile di ambiente ON_PREM_IP
.
Crea il NEG:
gcloud compute network-endpoint-groups create td-on-prem-neg \ --network-endpoint-type=non-gcp-private-ip-port \ --zone=us-central1-a
Aggiungi
IP:port
al nuovo NEG:gcloud compute network-endpoint-groups update td-on-prem-neg \ --zone=us-central1-a \ --add-endpoint="ip=$ON_PREM_IP,port=80"
Configurazione di Traffic Director con i componenti di Cloud Load Balancing
Questa sezione mostra come configurare Traffic Director e abilitare il proxy medio per inoltrare il traffico al tuo servizio on-premise privato. Tu configuri i seguenti componenti:
Un controllo di integrità. Questo controllo di integrità si comporta in modo leggermente diverso rispetto ai controlli di integrità configurati per altri tipi di NEG.
Un servizio di backend. Per ulteriori informazioni, consulta la Panoramica dei servizi di backend.
Una mappa di regole di routing. Questo passaggio include la creazione di una regola di forwarding, un proxy di destinazione e una mappa URL. Per ulteriori informazioni, consulta Mappe di regole di routing.
Crea il controllo di integrità
I controlli di integrità verificano che gli endpoint siano integri e in grado di ricevere richieste. Il controllo di integrità per questo tipo di NEG si basa sul meccanismo di controllo di integrità distribuito di Envoy.
Altri tipi di NEG utilizzano il sistema di controllo di integrità centralizzato di Google Cloud:
gcloud compute health-checks create http td-on-prem-health-check
Crea il servizio di backend
Crea un servizio di backend con lo schema di bilanciamento del carico
INTERNAL_SELF_MANAGED
da utilizzare con Traffic Director. Quando crei questo servizio di backend, specifica il controllo di integrità che hai creato in precedenza:gcloud compute backend-services create td-on-prem-backend-service \ --global \ --load-balancing-scheme=INTERNAL_SELF_MANAGED \ --health-checks=td-on-prem-health-check
Aggiungi il NEG creato in precedenza come backend di questo servizio di backend:
gcloud compute backend-services add-backend td-on-prem-backend-service \ --global \ --network-endpoint-group=td-on-prem-neg \ --network-endpoint-group-zone=us-central1-a \ --balancing-mode=RATE \ --max-rate-per-endpoint=5
Crea la mappa di regole di routing
La mappa delle regole di routing definisce il modo in cui Traffic Director instrada il traffico al tuo servizio di backend.
Crea una mappa URL che utilizzi il servizio di backend definito in precedenza:
gcloud compute url-maps create td-hybrid-url-map \ --default-service=td-on-prem-backend-service
Crea un file denominato
target_proxy.yaml
con il seguente contenuto:name: td-hybrid-proxy proxyBind: true urlMap: global/urlMaps/td-hybrid-url-map
Utilizza il comando
import
per creare il proxy HTTP di destinazione (per saperne di più, consulta la pagina relativa ai proxy di destinazione per Traffic Director):gcloud compute target-http-proxies import td-hybrid-proxy \ --source=target_proxy.yaml
Crea una regola di forwarding che faccia riferimento a questo proxy HTTP di destinazione. Imposta l'indirizzo IP della regola di forwarding su
0.0.0.0
. Se imposti l'indirizzo IP della regola su0.0.0.0
, il traffico viene instradato in base alla porta in entrata, al nome host HTTP e alle informazioni sul percorso configurate nella mappa URL. L'indirizzo IP specificato nella richiesta HTTP viene ignorato.gcloud compute forwarding-rules create td-hybrid-forwarding-rule \ --global \ --load-balancing-scheme=INTERNAL_SELF_MANAGED \ --address=0.0.0.0 \ --target-http-proxy=td-hybrid-proxy \ --ports=8080 \ --network=default
Verifica che il proxy intermedio possa instradare le richieste al servizio on-premise simulato
Traffic Director è ora configurato in modo da instradare il traffico attraverso il proxy centrale al servizio on-premise privato simulato. Puoi verificare questa configurazione creando una VM client di prova, accedendo a quella VM e inviando una richiesta al proxy intermedio che esegue Envoy. Dopo aver verificato la configurazione, elimina la VM client di test.
Ottieni l'indirizzo IP del proxy centrale. Queste informazioni sono necessarie solo per il passaggio di verifica:
gcloud compute instances list
Annota o altrimenti prendi nota dell'indirizzo IP dell'istanza nel gruppo di istanze gestite
td-middle-proxy-us-central1-a
.Crea un'istanza client di test:
gcloud compute instances create test-client \ --zone=us-central1-a
Usa
ssh
per accedere al client di test:gcloud compute ssh test-client --zone=us-central1-a
Invia una richiesta alla VM proxy centrale, sostituendo l'indirizzo IP ottenuto in precedenza per
MIDDLE_PROXY_IP
:curl $MIDDLE_PROXY_IP:8080
Dovresti vedere l'output seguente:
Hello world from on-premises!
Esci dalla VM client di test. Dopo essere uscito, puoi eliminare la VM:
gcloud compute instances delete test-client \ --zone=us-central1-a
Esegui il deployment del bilanciatore del carico delle applicazioni esterno
In questa sezione eseguirai il deployment di un bilanciatore del carico delle applicazioni esterno che invia il traffico in entrata al proxy centrale. Questo deployment è una configurazione di Application Load Balancer esterno standard.
Prenotare un indirizzo IP esterno
Crea un indirizzo IP esterno statico globale (external-lb-vip
) a cui i client esterni invieranno il traffico. Puoi recuperare questo indirizzo IP esterno durante la fase di verifica più avanti in questo tutorial.
gcloud compute addresses create external-lb-vip \ --ip-version=IPV4 \ --global
Configurazione del bilanciatore del carico HTTP esterno
Configura il bilanciatore del carico esterno per instradare il traffico Internet dei clienti al proxy intermedio già configurato.
Crea un controllo di integrità che viene utilizzato per determinare se il gruppo di istanze gestite che esegue il proxy intermedio è integro e in grado di ricevere traffico:
gcloud compute health-checks create tcp tcp-basic-check \ --port=8080
Crea una regola firewall per consentire il controllo di integrità. Riutilizza il tag
allow-hc
qui per applicare la regola firewall alle VM proxy centrali:gcloud compute firewall-rules create fw-allow-health-checks \ --network=default \ --action=ALLOW \ --direction=INGRESS \ --source-ranges=35.191.0.0/16,130.211.0.0/22 \ --target-tags=allow-hc \ --rules=tcp
Crea un servizio di backend:
gcloud compute backend-services create td-middle-proxy-backend-service \ --protocol=HTTP \ --health-checks=tcp-basic-check \ --global
Aggiungi il gruppo di istanze gestite centrale come backend a questo servizio di backend:
gcloud compute backend-services add-backend td-middle-proxy-backend-service \ --instance-group=td-middle-proxy-us-central1-a \ --instance-group-zone=us-central1-a \ --global
Crea una mappa URL per instradare le richieste in entrata al proxy intermedio come servizio di backend predefinito:
gcloud compute url-maps create lb-map-http \ --default-service=td-middle-proxy-backend-service
Crea un proxy HTTP di destinazione in modo che le richieste all'indirizzo IP virtuale (VIP) della regola di forwarding del bilanciatore del carico esterno vengano gestite in base alla mappa URL:
gcloud compute target-http-proxies create http-lb-proxy \ --url-map=lb-map-http
Crea una regola di forwarding globale per instradare le richieste in entrata al proxy HTTP di destinazione:
gcloud compute forwarding-rules create http-forwarding-rule \ --address=external-lb-vip\ --global \ --load-balancing-scheme=EXTERNAL \ --target-http-proxy=http-lb-proxy \ --ports=80
Imposta la porta denominata del gruppo di istanze gestite
Imposta una porta denominata per il gruppo di istanze in modo da consentire al proxy intermedio di ricevere il traffico HTTP dal bilanciatore del carico esterno:
gcloud compute instance-groups managed set-named-ports td-middle-proxy-us-central1-a \ --named-ports=http:8080 \ --zone=us-central1-a
Verifica la configurazione del bilanciatore del carico delle applicazioni esterno
In questo passaggio verificherai che il bilanciatore del carico esterno sia configurato correttamente.
Dovresti essere in grado di inviare una richiesta al VIP del bilanciatore del carico e ottenere una risposta dalla VM on-premise simulata:
PUBLIC_VIP=gcloud compute addresses describe external-lb-vip \ --format="get(address)" \ --global
Invia una richiesta
curl
all'indirizzo IP pubblico e verifica di ricevere il messaggioHello world
:curl $PUBLIC_VIP
Vedrai l'output seguente:
Hello world from on-premises!
Abilita Google Cloud Armor
Configura i criteri di sicurezza di Google Cloud Armor in modo da consentire l'accesso al servizio solo da CLIENT_IP_RANGE
, che deve includere l'indirizzo IP pubblico del dispositivo client su cui intendi eseguire il test, ad esempio "192.0.2.0/24"
.
Questi criteri vengono applicati al servizio di backend del bilanciatore del carico esterno (in questo esempio td-hybrid-backend-service
che punta al proxy centrale). Per ulteriori informazioni sulle autorizzazioni necessarie per impostare queste regole, consulta Configurare i criteri di sicurezza di Google Cloud Armor.
Crea il criterio di sicurezza di Google Cloud Armor:
gcloud compute security-policies create external-clients-policy \ --description="policy for external clients"
Aggiorna la regola predefinita del criterio di sicurezza per negare tutto il traffico:
gcloud compute security-policies rules update 2147483647 \ --security-policy=external-clients-policy \ --action="deny-404"
Aggiungi una regola di priorità più alta per consentire il traffico da un intervallo IP specifico:
gcloud compute security-policies rules create 1000 \ --security-policy=external-clients-policy \ --description="allow traffic from CLIENT_IP_RANGE" \ --src-ip-ranges="CLIENT_IP_RANGE" \ --action="allow"
Collega i criteri di sicurezza di Google Cloud Armor al tuo servizio di backend:
gcloud compute backend-services update td-middle-proxy-backend-service \ --security-policy=external-clients-policy
Verifica finale
Invia una richiesta
curl
all'indirizzo IP virtuale pubblico dell'Application Load Balancer esterno. Se l'indirizzo IP del dispositivo client rientra nell'intervallo consentitoCLIENT_IP_RANGE
specificato in precedenza, dovresti ricevere la risposta prevista.curl $PUBLIC_VIP
Vedrai l'output seguente:
Hello world from on-premises!
Invia la stessa richiesta
curl
da un altro dispositivo client il cui indirizzo IP è esterno aCLIENT_IP_RANGE
oppure aggiorna la regola del criterio di sicurezza in modo che non includa più l'indirizzo IP client. A questo punto dovresti ricevere un errore404 Not Found
.
Risoluzione dei problemi
Il mio servizio on-premise non è accessibile tramite l'indirizzo IP del bilanciatore del carico delle applicazioni esterno globale
Supponendo che il tuo servizio on-premise sia già accessibile sulle VM Google Cloud che eseguono Envoy, segui questi passaggi per risolvere i problemi della tua configurazione:
Assicurati che il gruppo di istanze gestite di Google Cloud Envoy sia segnalato come integro. Nella console Google Cloud, vai a Servizi di rete > Bilanciamento del carico e fai clic su
url-map lb-map-http
per visualizzare i dettagli. Dovresti riuscire a vedere che 1/1 dell'istanza intd-middle-proxy-us-central1-a
è integro.Se non è integro, controlla se è stata configurata una regola firewall per consentire il traffico di controllo di integrità in entrata verso le VM Google Cloud che eseguono Envoy:
gcloud compute firewall-rules describe fw-allow-health-check
Dovresti vedere l'output seguente:
allowed: ‑ IPProtocol: tcp ... direction: INGRESS disabled: false ... ... sourceRanges: ‑ 130.211.0.0/22 ‑ 35.191.0.0/16 targetTags: ‑ allow-hc
Passaggi successivi
Per trovare criteri di routing più complessi per i servizi on-premise o multi-cloud, consulta le funzionalità avanzate di gestione del traffico di Traffic Director.
Per eseguire il deployment di Traffic Director, consulta la panoramica della guida alla configurazione.
Per abilitare altri servizi perimetrali della rete, consulta le seguenti guide: