הגדרת מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) עם VPC משותף

המסוף

1. נכנסים לדף VPC networks במסוף Google Cloud .

   מעבר לרשתות VPC

2. לוחצים על יצירת רשת VPC.
3. בשדה Name (שם), מזינים lb-network.

4. בקטע Subnets (רשתות משנה):

   1. מגדירים את מצב יצירת רשתות משנה לבהתאמה אישית.

   2. בקטע New subnet (רשת משנה חדשה), מזינים את הפרטים הבאים:

      • Name (שם): lb-backend-subnet

      • אזור: us-west1

      • טווח כתובות IP: 10.1.2.0/24

   3. לוחצים על סיום.

5. לוחצים על יצירה.

gcloud

1. יוצרים רשת VPC באמצעות הפקודה gcloud compute networks create:

   gcloud compute networks create lb-network --subnet-mode=custom
   

2. יוצרים רשת משנה ברשת lb-network באזור us-west1:

   gcloud compute networks subnets create lb-backend-subnet 
   
       --network=lb-network 
   
       --range=10.1.2.0/24 
   
       --region=us-west1
   

המסוף

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. לוחצים על יצירת כלל לחומת האש כדי ליצור את הכלל שיאפשר Google Cloud בדיקות תקינות:
• Name (שם): fw-allow-health-check
• רשת: lb-network
• כיוון התנועה: כניסה
• פעולה בהתאמה: אישור
• יעדים: תגי יעד שצוינו
• תגי טירגוט: load-balanced-backend
• מסנן מקור: טווחי IPv4
• טווחי IPv4 של המקור: 130.211.0.0/22 ו-35.191.0.0/16
• פרוטוקולים ויציאות:
  • בוחרים באפשרות פרוטוקולים ויציאות שצוינו.
  • מסמנים את התיבה TCP ומזינים 80 כמספר היציאה.

  מומלץ להגביל את הכלל הזה רק לפרוטוקולים ולפורטים שתואמים לאלה שמשמשים בבדיקת תקינות. אם משתמשים ב-tcp:80 בשביל הפרוטוקול והיציאה,אפשר להשתמש ב-HTTP ביציאה 80 כדי ליצור קשר עם מכונות ה-VM, אבל אי אפשר להשתמש ב-HTTPS ביציאה 443 כדי ליצור איתן קשר. Google Cloud

3. לוחצים על יצירה.

gcloud

1. יוצרים את כלל חומת האש fw-allow-health-check כדי לאפשרGoogle Cloud בדיקות תקינות. בדוגמה הזו, כל תנועת ה-TCP מבודקי בדיקת תקינות מורשית. עם זאת, אפשר להגדיר קבוצה מצומצמת יותר של יציאות בהתאם לצרכים שלכם.

   gcloud compute firewall-rules create fw-allow-health-check \
      --network=lb-network \
      --action=allow \
      --direction=ingress \
      --source-ranges=130.211.0.0/22,35.191.0.0/16 \
      --target-tags=load-balanced-backend \
      --rules=tcp
   

המסוף

יצירת תבנית של הגדרות מכונה

יוצרים תבנית של הגדרות מכונה כדי לשמור את ההגדרה של מכונת ה-VM שמשמשת להקצאת מכונות וירטואליות לקצה העורפי של מאזן העומסים החיצוני הגלובלי של האפליקציות.

1. נכנסים לדף Instance templates של Compute Engine במסוף Google Cloud .

   כניסה לדף Instance templates

2. לוחצים על Create instance template.

3. בשדה Name (שם), מזינים backend-template.

4. בקטע Boot disk מוודאים שדיסק האתחול מוגדר לתמונת Debian, כמו Debian GNU/Linux 12 (bookworm)‎. לוחצים על שינוי כדי לשנות את התמונה, אם צריך.

5. מרחיבים את הקטע אפשרויות מתקדמות.

6. מרחיבים את הקטע Networking (רשת) ובשדה Network tags (תגי רשת) מזינים את הערך load-balanced-backend.

7. בקטע Network interfaces (ממשקי רשת), בוחרים באפשרות Networks shared with me (from host project: HOST_PROJECT_ID) (רשתות ששותפו איתי (מפרויקט המארח: HOST_PROJECT_ID)).

8. ברשימה Shared subnetwork, בוחרים את רשת המשנה lb-backend-subnet מהרשת lb-network.

9. מרחיבים את הקטע ניהול, ובשדה אוטומציה מציינים את סקריפט לטעינה בזמן ההפעלה הבא:

    #! /bin/bash
    apt-get update
    apt-get install apache2 -y
    a2ensite default-ssl
    a2enmod ssl
    vm_hostname="$(curl -H "Metadata-Flavor:Google" \
    http://metadata.google.internal/computeMetadata/v1/instance/name)"
    echo "Page served from: $vm_hostname" | \
    tee /var/www/html/index.html
    systemctl restart apache2
   

10. לוחצים על יצירה.

יצירת קבוצות של מופעי מכונה מנוהלים

יוצרים קבוצת מופעי מכונה מנוהלים כדי לספק את שרתי הבק-אנד שמטפלים בבקשות שמפוזרות על ידי שירות הבק-אנד של מאזן העומסים הגלובלי החיצוני של האפליקציות.

1. במסוף Google Cloud , נכנסים לדף Instance groups של Compute Engine.

   כניסה לדף Instance groups

2. לוחצים על Create Instance Group (יצירת קבוצת מופעים).

3. מהאפשרויות, בוחרים באפשרות קבוצת מופעי מכונה מנוהלים חדשה (בלי שמירת מצב).

4. בשדה 'שם קבוצת המופעים', מזינים lb-backend.

5. ברשימה Instance template בוחרים את תבנית של הגדרות מכונה backend-template שיצרתם בשלב הקודם.

6. בקטע מיקום, בוחרים באפשרות אזור יחיד ומזינים את הערכים הבאים:

   • בשדה אזור, בוחרים באפשרות us-west1.

   • בשדה Zone, בוחרים באפשרות us-west1-a.

7. בקטע Autoscaling (שינוי גודל אוטומטי), מזינים את הערכים הבאים:

   • בקטע מצב התאמה אוטומטית לעומס, בוחרים באפשרות מופעל: הוספה והסרה של מופעים לקבוצה.

   • בקטע מספר מינימלי של מופעים, בוחרים באפשרות 2.

   • בקטע מספר מופעים מקסימלי, בוחרים באפשרות 3.

8. בקטע Port mapping (מיפוי יציאות), לוחצים על Add port (הוספת יציאה) ומזינים את הערכים הבאים:

   • בשדה שם הניוד, מזינים http.

   • בשדה מספר היציאה, מזינים 80.

9. לוחצים על יצירה.

gcloud

1. יוצרים תבנית של הגדרות מכונה:

   gcloud compute instance-templates create backend-template \
       --region=us-west1 \
       --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
       --subnet=projects/HOST_PROJECT_ID/regions/us-west1/subnetworks/lb-backend-subnet \
       --tags=load-balanced-backend \
       --image-family=debian-12 \
       --image-project=debian-cloud \
       --metadata=startup-script='#! /bin/bash
       apt-get update
       apt-get install apache2 -y
       a2ensite default-ssl
       a2enmod ssl
       vm_hostname="$(curl -H "Metadata-Flavor:Google" \
       http://metadata.google.internal/computeMetadata/v1/instance/name)"
       echo "Page served from: $vm_hostname" | \
       tee /var/www/html/index.html
       systemctl restart apache2' \
       --project=SERVICE_PROJECT_ID
   

2. יוצרים קבוצה של מופעי מכונה מנוהלים ובוחרים את תבנית המופע שיצרתם בשלב הקודם:

   gcloud compute instance-groups managed create lb-backend \
       --zone=us-west1-a \
       --size=2 \
       --template=backend-template \
       --project=SERVICE_PROJECT_ID
   

3. מוסיפים יציאה עם שם לקבוצת המופעים:

   gcloud compute instance-groups set-named-ports lb-backend \
       --named-ports=http:80 \
       --zone=us-west1-a \
       --project=SERVICE_PROJECT_ID
   

המסוף

1. במסוף Google Cloud , נכנסים לדף Health checks של Compute Engine.

   מעבר אל Health checks

2. בשדה 'שם בדיקת התקינות', מזינים lb-health-check.

3. מגדירים את הפרוטוקול ל-HTTP.

4. לוחצים על יצירה.

gcloud

יצירת בדיקת תקינות HTTP.

gcloud compute health-checks create http lb-health-check \
  --use-serving-port \
  --project=SERVICE_PROJECT_ID

המסוף

1. נכנסים לדף IP addresses במסוף Google Cloud .

   מעבר אל כתובות IP

2. לוחצים על שמירת כתובת IP חיצונית סטטית.

3. בשדה Name (שם), מזינים lb-ipv4-1.

4. מגדירים את מסלול שירות הרשת בתור Premium.

5. מגדירים את IP version ל-IPv4.

6. מגדירים את Type (סוג) לערך Global (גלובלי).

7. לוחצים על Reserve.

gcloud

יוצרים כתובת IP חיצונית סטטית גלובלית.

gcloud compute addresses create lb-ipv4-1 \
  --ip-version=IPV4 \
  --network-tier=PREMIUM \
  --global
  --project=SERVICE_PROJECT_ID

המסוף

בחירת סוג מאזן העומסים

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף איזון עומסים

2. לוחצים על Create load balancer (יצירת מאזן עומסים).
3. בקטע Type of load balancer, בוחרים באפשרות Application Load Balancer (HTTP/HTTPS) ולוחצים על Next.
4. בקטע Public facing or internal (פנימי או חיצוני), בוחרים באפשרות Public facing (external) (חיצוני) ולוחצים על Next (הבא).
5. לפריסה גלובלית או פריסה באזור יחיד, בוחרים באפשרות הכי מתאים לעומסי עבודה גלובליים ולוחצים על הבא.
6. בקטע Load balancer generation (דור מאזן העומסים), בוחרים באפשרות Global external Application Load Balancer (מאזן עומסים גלובלי חיצוני של אפליקציות) ולוחצים על Next (הבא).
7. לוחצים על Configure (הגדרה).

הגדרה בסיסית

1. בשדה של שם מאזן העומסים, מזינים l7-xlb-shared-vpc.

הגדרת הקצה הקדמי של מאזן העומסים

לתנועת HTTP:

1. לוחצים על Frontend configuration.

2. בשם של חזית מאזן העומסים, מזינים http-fw-rule.

3. בשדה Protocol, בוחרים באפשרות HTTP.

4. מגדירים את IP version ל-IPv4.

5. בשדה IP address, בוחרים באפשרות lb-ipv4-1, שהיא כתובת ה-IP ששמרתם קודם.

6. מגדירים את היציאה ל-80 כדי לאפשר תעבורת HTTP.

7. כדי להשלים את הגדרת ה-frontend, לוחצים על Done.

8. לפני שממשיכים, מוודאים שלצד Frontend configuration מופיע סימן אישור כחול.

לתנועת נתונים בפרוטוקול HTTPS:

1. לוחצים על Frontend configuration.

2. בשם של חזית מאזן העומסים, מזינים https-fw-rule.

3. בשדה Protocol, בוחרים באפשרות HTTPS.

4. מגדירים את IP version ל-IPv4.

5. בשדה IP address, בוחרים באפשרות lb-ipv4-1, שהיא כתובת ה-IP ששמרתם קודם.

6. מגדירים את היציאה ל-443 כדי לאפשר תעבורת HTTPS.

7. ברשימה Certificate, בוחרים את אישור ה-SSL שיצרתם.

8. כדי להשלים את הגדרת ה-frontend, לוחצים על Done.

9. לפני שממשיכים, מוודאים שלצד Frontend configuration מופיע סימן וי כחול.

הגדרת הקצה העורפי

1. לוחצים על Backend configuration.

2. בתפריט Backend services and backend buckets (שירותי קצה עורפיים ומאגרי קצה עורפיים), לוחצים על Create a backend service (יצירת שירות קצה עורפי).

3. בשדה של שם שירות לקצה העורפי, מזינים lb-backend-service.

4. בשדה Backend type, בוחרים באפשרות Instance group.

5. מגדירים את Protocol ל-HTTP.

6. בשדה Named port, מזינים http. זהו אותו שם יציאה שהזנתם כשיצרתם את קבוצת מופעי המכונה המנוהלים.

7. כדי להוסיף שרתים עורפיים לשירות לקצה העורפי:

   1. בקטע Backends, מגדירים את Instance group לערך lb-backend, שהוא קבוצת מופעי מכונה מנוהלים שיצרתם בשלב קודם.

   2. בשדה מספרי יציאות, מזינים 80.

   3. כדי להוסיף את ה-Backend, לוחצים על סיום.

8. כדי להוסיף בדיקת תקינות, ברשימה Health check בוחרים באפשרות lb-health-check, שהיא בדיקת התקינות שיצרתם קודם.

9. כדי ליצור את שירות לקצה העורפי, לוחצים על Create.

10. לפני שממשיכים, מוודאים שלצד Backend configuration (הגדרת קצה עורפי) מופיע סימן אישור כחול.

הגדרת כללי הניתוב

• לוחצים על כללי ניתוב. מוודאים ש-lb-backend-service הוא שירות הקצה העורפי שמוגדר כברירת מחדל לכל מארח שלא תואם ולכל נתיב שלא תואם.

מידע על ניהול תנועה זמין במאמר הגדרת ניהול תנועה.

בדיקה וסיום של ההגדרה

1. לוחצים על Review and finalize.

2. בודקים את הגדרות הקצה העורפי והקצה הקדמי של מאזן העומסים כדי לוודא שהוא מוגדר כמו שרוצים.

3. לוחצים על Create וממתינים עד שמאזן העומסים ייווצר.

gcloud

1. יוצרים שירות לקצה העורפי כדי להפיץ את התנועה בין ה-backends:

   gcloud compute backend-services create lb-backend-service \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --protocol=HTTP \
       --port-name=http \
       --health-checks=lb-health-check \
       --global \
       --project=SERVICE_PROJECT_ID
   

2. מוסיפים את קבוצת המכונות בתור הקצה העורפי לשירות הקצה העורפי:

   gcloud compute backend-services add-backend lb-backend-service \
       --instance-group=lb-backend \
       --instance-group-zone=us-west1-a \
       --global \
       --project=SERVICE_PROJECT_ID
   

3. יוצרים מפת URL כדי לנתב בקשות נכנסות לשירות הקצה העורפי:

   gcloud compute url-maps create lb-map \
       --default-service=lb-backend-service \
       --global \
       --project=SERVICE_PROJECT_ID
   

4. יוצרים שרת proxy ליעד.

   לתנועת HTTP, יוצרים שרת proxy של HTTP ליעד כדי להפנות בקשות למפת URL:

   gcloud compute target-http-proxies create http-proxy \
       --url-map=lb-map \
       --global \
       --project=SERVICE_PROJECT_ID
   

   לתנועת HTTPS, יוצרים שרת proxy של HTTPS ליעד כדי להפנות בקשות למפת URL. הפרוקסי הוא החלק במאזן העומסים שמכיל את אישור ה-SSL של מאזן עומסים של HTTPS, לכן בשלב הזה צריך גם לטעון את אישור ה-SSL:

   gcloud compute target-https-proxies create https-proxy \
       --url-map=lb-map \
       --ssl-certificates=lb-ssl-cert
       --global \
       --project=SERVICE_PROJECT_ID
   

5. יוצרים כלל העברה.

   לתנועת HTTP, יוצרים כלל העברה גלובלי כדי לנתב בקשות נכנסות לשרת ה-proxy של היעד:

   gcloud compute forwarding-rules create http-fw-rule \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --address=lb-ipv4-1 \
       --global \
       --target-http-proxy=http-proxy \
       --ports=80 \
       --project=SERVICE_PROJECT_ID
   

   לתנועת HTTPS, יוצרים כלל העברה גלובלי כדי לנתב בקשות נכנסות אל ה-proxy של היעד:

   gcloud compute forwarding-rules create https-fw-rule \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --address=lb-ipv4-1 \
       --global \
       --target-https-proxy=https-proxy \
       --ports=443 \
       --project=SERVICE_PROJECT_ID
   

המסוף

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף איזון עומסים

2. לוחצים על מאזן העומסים שיצרתם.

3. שימו לב לכתובת ה-IP של מאזן העומסים. בשלבים הבאים נתייחס לכתובת ה-IP הזו כאל LB_IP_ADDRESS.

4. בקטע Backend, מוודאים שהמכונות הווירטואליות תקינות.

   העמודה Healthy (תקין) צריכה להתמלא, כדי לציין שהמכונות הווירטואליות תקינות. לדוגמה, אם נוצרו שתי מכונות, אמורה להופיע הודעה עם הסימן 2 of 2 וסימן וי ירוק לידו. אם אתם רואים משהו אחר, נסו קודם לטעון מחדש את הדף. יכול להיות שיחלפו כמה דקות עד שמסוף Google Cloud יציין שהמכונות הווירטואליות תקינות. אם ה-backends לא מופיעים כפעילים אחרי כמה דקות, כדאי לבדוק את הגדרת חומת האש ואת תג הרשת שהוקצה למכונות הווירטואליות של ה-backend.

5. אחרי שבמסוף מוצג שהמופעים בעורף בריאים, אפשר לבדוק את מאזן העומסים על ידי הפניית דפדפן האינטרנט אל https://LB_IP_ADDRESS (או אל http://LB_IP_ADDRESS). מחליפים את LB_IP_ADDRESS בכתובת ה-IP של מאזן העומסים. Google Cloud

6. אם השתמשתם באישור בחתימה עצמית כדי לבדוק HTTPS, בדפדפן תוצג אזהרה. צריך להנחות את הדפדפן באופן מפורש לקבל אישור בחתימה עצמית.

7. בדפדפן אמור להיות מוצג דף עם תוכן שכולל את שם המופע שסיפק את הדף (לדוגמה, Page served from: lb-backend-example-xxxx). אם הדף הזה לא מוצג בדפדפן, צריך לבדוק את הגדרות התצורה במדריך הזה.

gcloud

שימו לב לכתובת ה-IP שהוזמנה:

gcloud compute addresses describe IP_ADDRESS_NAME \
    --format="get(address)" \
    --global

כדי לבדוק את איזון העומסים, מפנים את דפדפן האינטרנט אל https://LB_IP_ADDRESS (או אל http://LB_IP_ADDRESS). מחליפים את LB_IP_ADDRESS בכתובת ה-IP של איזון העומסים.

אם השתמשתם באישור בחתימה עצמית כדי לבדוק HTTPS, בדפדפן תוצג אזהרה. צריך להנחות את הדפדפן באופן מפורש לקבל אישור בחתימה עצמית.

בדפדפן אמור להיטען דף עם מידע מינימלי על מופע ה-Backend. אם הדפדפן לא מעבד את הדף הזה, כדאי לעיין בהגדרות התצורה במדריך הזה.

המסוף

יצירת תבנית של הגדרות מכונה

1. נכנסים לדף Instance templates של Compute Engine במסוף Google Cloud .

   כניסה לדף Instance templates

2. לוחצים על Create instance template.

3. בשדה Name (שם), מזינים backend-template.

4. בקטע Boot disk מוודאים שדיסק האתחול מוגדר לתמונת Debian, כמו Debian GNU/Linux 12 (bookworm)‎. אם צריך לשנות את התמונה, לוחצים על שינוי.

5. מרחיבים את הקטע אפשרויות מתקדמות.

6. מרחיבים את הקטע Networking (רשת) ובשדה Network tags (תגי רשת) מזינים את הערך load-balanced-backend.

7. בקטע Network interfaces, בוחרים באפשרות Networks shared with me (from host project: HOST_PROJECT_ID).

8. ברשימה Shared subnetwork, בוחרים את רשת המשנה lb-backend-subnet מהרשת lb-network.

9. מרחיבים את הקטע ניהול, ובשדה אוטומציה מציינים את סקריפט לטעינה בזמן ההפעלה הבא:

     #! /bin/bash
     apt-get update
     apt-get install apache2 -y
     a2ensite default-ssl
     a2enmod ssl
     vm_hostname="$(curl -H "Metadata-Flavor:Google" \
     http://metadata.google.internal/computeMetadata/v1/instance/name)"
     echo "Page served from: $vm_hostname" | \
     tee /var/www/html/index.html
     systemctl restart apache2
   

10. לוחצים על יצירה.

יצירה של קבוצת מופעי מכונה מנוהלים

1. במסוף Google Cloud , נכנסים לדף Instance groups של Compute Engine.

   כניסה לדף Instance groups

2. לוחצים על Create Instance Group (יצירת קבוצת מופעים).

3. מהאפשרויות, בוחרים באפשרות קבוצת מופעי מכונה מנוהלים חדשה (בלי שמירת מצב).

4. בשדה 'שם קבוצת המופעים', מזינים lb-backend.

5. ברשימה Instance template בוחרים את תבנית של הגדרות מכונה backend-template שיצרתם בשלב הקודם.

6. בקטע מיקום, בוחרים באפשרות אזור יחיד ומזינים את הערכים הבאים:

   • בשדה אזור, בוחרים באפשרות us-west1.

   • בשדה Zone, בוחרים באפשרות us-west1-a.

7. בקטע Autoscaling (שינוי גודל אוטומטי), מזינים את הערכים הבאים:

   • בקטע מצב התאמה אוטומטית לעומס, בוחרים באפשרות מופעל: הוספה והסרה של מופעים לקבוצה.

   • בקטע מספר מינימלי של מופעים, בוחרים באפשרות 2.

   • בקטע מספר מופעים מקסימלי, בוחרים באפשרות 3.

8. בקטע Port mapping (מיפוי יציאות), לוחצים על Add port (הוספת יציאה) ומזינים את הערכים הבאים:

   • בשדה שם הניוד, מזינים http.

   • בשדה מספר היציאה, מזינים 80.

9. לוחצים על יצירה.

gcloud

1. יוצרים תבנית של הגדרות מכונה:

   gcloud compute instance-templates create backend-template \
       --region=us-west1 \
       --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
       --subnet=projects/HOST_PROJECT_ID/regions/us-west1/subnetworks/lb-backend-subnet \
       --tags=load-balanced-backend \
       --image-family=debian-12 \
       --image-project=debian-cloud \
       --metadata=startup-script='#! /bin/bash
       apt-get update
       apt-get install apache2 -y
       a2ensite default-ssl
       a2enmod ssl
       vm_hostname="$(curl -H "Metadata-Flavor:Google" \
       http://metadata.google.internal/computeMetadata/v1/instance/name)"
       echo "Page served from: $vm_hostname" | \
       tee /var/www/html/index.html
       systemctl restart apache2' \
       --project=SERVICE_PROJECT_B_ID
   

2. יוצרים קבוצה של מופעי מכונה מנוהלים ובוחרים את תבנית של הגדרות מכונה שיצרתם בשלב הקודם:

   gcloud compute instance-groups managed create lb-backend \
       --zone=us-west1-a \
       --size=2 \
       --template=backend-template \
       --project=SERVICE_PROJECT_B_ID
   

3. מוסיפים יציאה עם שם לקבוצת המופעים:

   gcloud compute instance-groups set-named-ports lb-backend \
       --named-ports=http:80 \
       --zone=us-west1-a \
       --project=SERVICE_PROJECT_B_ID
   

המסוף

1. במסוף Google Cloud , נכנסים לדף Health checks של Compute Engine.

   מעבר אל Health checks

2. בשדה 'שם בדיקת התקינות', מזינים lb-health-check.

3. מגדירים את הפרוטוקול ל-HTTP.

4. לוחצים על יצירה.

gcloud

יצירת בדיקת תקינות HTTP.

gcloud compute health-checks create http lb-health-check \
  --use-serving-port \
  --project=SERVICE_PROJECT_B_ID

המסוף

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף איזון עומסים

2. עוברים לקטע Backends.

3. לוחצים על יצירת שירות לקצה העורפי.

4. בקטע שירות לקצה העורפי גלובלי, לוחצים על הלחצן Create שלידו.

5. בשדה של שם שירות לקצה העורפי, מזינים cross-ref-backend-service.

6. בשדה Backend type, בוחרים באפשרות Instance group.

7. מגדירים את Protocol ל-HTTP.

8. בשדה Named port, מזינים http. זהו אותו שם יציאה שהזנתם כשיצרתם את קבוצת מופעי המכונה המנוהלים.

9. כדי להוסיף שרתים עורפיים לשירות לקצה העורפי:

   1. בקטע Backends, מגדירים את Instance group לערך lb-backend, שהוא קבוצת מופעי מכונה מנוהלים שיצרתם בשלב קודם.

   2. בשדה מספרי יציאות, מזינים 80.

   3. כדי להוסיף את ה-Backend, לוחצים על סיום.

10. כדי להוסיף בדיקת תקינות, ברשימה Health check בוחרים באפשרות lb-health-check, שהיא בדיקת התקינות שיצרתם קודם.

11. אופציונלי: בקטע Add permissions, מזינים את עקרונות האבטחה של IAM מפרויקטים אחרים (בדרך כלל כתובת אימייל) שיש להם את התפקיד 'אדמין של מאזן עומסים של Compute' (roles/compute.loadBalancerAdmin), כדי שהם יוכלו להשתמש בשירות הקצה העורפי הזה למאזני עומסים בפרויקטים שלהם. בלי ההרשאה הזו, אי אפשר להשתמש בהפניה לשירותים בין פרויקטים.

    אם אין לכם הרשאה להגדיר מדיניות בקרת גישה לשירותי קצה עורפיים בפרויקט הזה, אתם עדיין יכולים ליצור את שירות הקצה העורפי עכשיו, ומשתמש מורשה יוכל לבצע את השלב הזה מאוחר יותר, כמו שמתואר בקטע הענקת הרשאות לאדמין של מאזן העומסים של Compute לשימוש בשירות הקצה העורפי. בקטע הזה מוסבר גם איך להעניק גישה לכל שירותי הקצה העורפי בפרויקט הזה, כדי שלא תצטרכו להעניק גישה בכל פעם שתיצרו שירות קצה עורפי חדש.

12. כדי ליצור את שירות לקצה העורפי, לוחצים על Create.

gcloud

1. יוצרים שירות לקצה עורפי גלובלי כדי להפיץ את התנועה בין הקצוות העורפיים:

   gcloud compute backend-services create cross-ref-backend-service \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --protocol=HTTP \
       --port-name=http \
       --health-checks=lb-health-check \
       --global \
       --project=SERVICE_PROJECT_B_ID
   

2. מוסיפים את קבוצת המכונות בתור הקצה העורפי לשירות הקצה העורפי:

   gcloud compute backend-services add-backend cross-ref-backend-service \
       --instance-group=lb-backend \
       --instance-group-zone=us-west1-a \
       --global \
       --project=SERVICE_PROJECT_B_ID
   

המסוף

1. נכנסים לדף IP addresses במסוף Google Cloud .

   מעבר אל כתובות IP

2. לוחצים על שמירת כתובת IP חיצונית סטטית.

3. בשדה Name (שם), מזינים cross-ref-ip-address.

4. מגדירים את מסלול שירות הרשת בתור Premium.

5. מגדירים את IP version ל-IPv4.

6. מגדירים את Type (סוג) לערך Global (גלובלי).

7. לוחצים על Reserve.

gcloud

יוצרים כתובת IP חיצונית סטטית גלובלית.

gcloud compute addresses create cross-ref-ip-address \
    --ip-version=IPV4 \
    --network-tier=PREMIUM \
    --global \
    --project=SERVICE_PROJECT_A_ID

המסוף

בחירת סוג מאזן העומסים

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף איזון עומסים

2. לוחצים על Create load balancer (יצירת מאזן עומסים).
3. בקטע Type of load balancer, בוחרים באפשרות Application Load Balancer (HTTP/HTTPS) ולוחצים על Next.
4. בקטע Public facing or internal (פנימי או חיצוני), בוחרים באפשרות Public facing (external) (חיצוני) ולוחצים על Next (הבא).
5. לפריסה גלובלית או פריסה באזור יחיד, בוחרים באפשרות הכי מתאים לעומסי עבודה גלובליים ולוחצים על הבא.
6. בקטע Load balancer generation (דור מאזן העומסים), בוחרים באפשרות Global external Application Load Balancer (מאזן עומסים גלובלי חיצוני של אפליקציות) ולוחצים על Next (הבא).
7. לוחצים על Configure (הגדרה).

הגדרה בסיסית

1. מזינים את השם של מאזן העומסים: cross-ref-lb-shared-vpc.
2. כדי להמשיך, צריך להשאיר את הדף פתוח.

הגדרת הקצה הקדמי

ל-HTTP:

1. לוחצים על Frontend configuration.
2. מזינים שם לכלל ההעברה: cross-ref-http-forwarding-rule.
3. מגדירים את Protocol ל-HTTP.
4. בוחרים את כתובת ה-IP שיצרתם בשלב שמירת כתובת ה-IP של מאזן העומסים, שנקראת cross-ref-ip-address.
5. מגדירים את Port ל-80.
6. לוחצים על סיום.

ל-HTTPS:

אם אתם משתמשים ב-HTTPS בין הלקוח לבין מאזן העומסים, אתם צריכים משאב אחד או יותר של אישור SSL כדי להגדיר את ה-proxy. מידע על יצירת משאבי אישורי SSL זמין במאמר בנושא אישורי SSL. אין תמיכה באישורים שמנוהלים על ידי Google במאזני עומסים אזוריים חיצוניים של אפליקציות.

1. לוחצים על Frontend configuration.
2. מזינים שם לכלל ההעברה: cross-ref-https-forwarding-rule.
3. בשדה Protocol, בוחרים באפשרות HTTPS (includes HTTP/2).
4. בוחרים את כתובת ה-IP שיצרתם בשלב שמירת כתובת ה-IP של מאזן העומסים, שנקראת cross-ref-ip-address.
5. מוודאים שהיציאה מוגדרת ל-443 כדי לאפשר תנועה של HTTPS.
6. לוחצים על הרשימה אישור.
   1. אם כבר יש לכם משאב של אישור SSL בניהול עצמי שבו אתם רוצים להשתמש כאישור ה-SSL הראשי, בוחרים אותו מהתפריט.
   2. אחרת, בוחרים באפשרות Create a new certificate.
      1. מזינים שם לאישור ה-SSL.
      2. בשדות המתאימים, מעלים את הקבצים בפורמט PEM:
         • אישור של מפתח ציבורי
         • שרשרת אישורים
         • מפתח פרטי
      3. לוחצים על יצירה.
7. כדי להוסיף משאבי אישורים בנוסף למשאב אישור ה-SSL הראשי:
   1. לוחצים על הוספת אישור.
   2. בוחרים אישור מהרשימה Certificates או לוחצים על Create a new certificate ופועלים לפי ההוראות הקודמות.
8. לוחצים על סיום.

הגדרת הקצה העורפי

1. לוחצים על Backend configuration.
2. לוחצים על Cross-project backend services (שירותי קצה עורפיים חוצי-פרויקטים).
3. בשדה Project ID, מזינים את מזהה הפרויקט של פרויקט שירות B.
4. ברשימה Select backend services (בחירת שירותי קצה עורפי), בוחרים את שירותי הקצה העורפי מפרויקט השירות B שרוצים להשתמש בהם. בדוגמה הזו, מזינים את הערך cross-ref-backend-service.
5. לוחצים על OK.

הגדרת כללי הניתוב

• לוחצים על כללי ניתוב. מוודאים ש-cross-ref-backend-service הוא שירות הקצה העורפי היחיד לכל מארח שלא נמצאה לו התאמה ולכל נתיב שלא נמצאה לו התאמה.

מידע על ניהול תנועה זמין במאמר הגדרת ניהול תנועה.

בדיקה וסיום של ההגדרה

• לוחצים על יצירה.

gcloud

1. אופציונלי: לפני שיוצרים מאזן עומסים עם שירותי בק-אנד שמתייחסים זה לזה, כדאי לבדוק אם אפשר להתייחס לשירותי הבק-אנד שרוצים להפנות אליהם באמצעות מיפוי URL:

   gcloud compute backend-services list-usable \
       --global \
       --project=SERVICE_PROJECT_B_ID
   

2. יוצרים מפת URL כדי לנתב בקשות נכנסות לשירות הקצה העורפי:

   gcloud compute url-maps create cross-ref-url-map \
       --default-service=projects/SERVICE_PROJECT_B_ID/global/backendServices/cross-ref-backend-service \
       --global \
       --project=SERVICE_PROJECT_A_ID
   

3. יוצרים שרת proxy ליעד.

   לתנועת HTTP, יוצרים שרת proxy של HTTP ליעד כדי להפנות בקשות למפת URL:

   gcloud compute target-http-proxies create cross-ref-http-proxy \
       --url-map=cross-ref-url-map \
       --global \
       --project=SERVICE_PROJECT_A_ID
   

   לתנועת HTTPS, יוצרים שרת proxy של HTTPS ליעד כדי להפנות בקשות למפת URL. הפרוקסי הוא החלק במאזן העומסים שמכיל את אישור ה-SSL של מאזן עומסים של HTTPS, לכן בשלב הזה צריך גם לטעון את אישור ה-SSL:

   gcloud compute target-https-proxies create cross-ref-https-proxy \
       --url-map=cross-ref-url-map \
       --ssl-certificates=lb-ssl-cert \
       --global \
       --project=SERVICE_PROJECT_A_ID
   

4. יוצרים כלל העברה.

   לתנועת HTTP, יוצרים כלל העברה גלובלי כדי לנתב בקשות נכנסות לשרת ה-proxy של היעד:

   gcloud compute forwarding-rules create cross-ref-http-forwarding-rule \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --address=cross-ref-ip-address \
       --global \
       --target-http-proxy=cross-ref-http-proxy \
       --ports=80 \
       --project=SERVICE_PROJECT_A_ID
   

   לתנועת HTTPS, יוצרים כלל העברה גלובלי כדי לנתב בקשות נכנסות אל ה-proxy של היעד:

   gcloud compute forwarding-rules create cross-ref-https-forwarding-rule \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --address=cross-ref-ip-address \
       --global \
       --target-https-proxy=cross-ref-https-proxy \
       --ports=443 \
       --project=SERVICE_PROJECT_A_ID
   

המסוף

הרשאות ברמת הפרויקט

כדי לתת הרשאות לכל שירותי הקצה העורפי בפרויקט, מבצעים את הפעולות הבאות.

כדי להשלים את השלב הזה, צריך את ההרשאות compute.backendServices.setIamPolicy ו-resourcemanager.projects.setIamPolicy.

1. נכנסים לדף IAM במסוף Google Cloud .

   כניסה לדף IAM

2. בוחרים את הפרויקט הרצוי.

3. לוחצים על person_addGrant access.

4. בשדה New principals, מזינים את כתובת האימייל או מזהה אחר של החשבון הראשי.

5. ברשימה Select a role בוחרים באפשרות Compute Load Balancer Services User.

6. אם רוצים, מוסיפים תנאי לתפקיד.

7. לוחצים על Save.

הרשאות ברמת המשאב לשירותי קצה עורפיים ספציפיים

כדי לתת הרשאות לשירותי קצה עורפיים ספציפיים בפרויקט, מבצעים את השלבים הבאים.

כדי להשלים את השלב הזה, נדרשת ההרשאה compute.backendServices.setIamPolicy.

1. נכנסים לדף Backends במסוף Google Cloud .

   כניסה לדף Backends

2. ברשימת שירותי הקצה העורפי, בוחרים את שירות הקצה העורפי שרוצים להעניק לו גישה ולוחצים על person_addהרשאות.

3. לוחצים על person_addAdd principal.

4. בשדה New principals, מזינים את כתובת האימייל או מזהה אחר של החשבון הראשי.

5. ברשימה Select a role בוחרים באפשרות Compute Load Balancer Services User.

6. לוחצים על Save.

gcloud

הרשאות ברמת הפרויקט

כדי לתת הרשאות לכל שירותי הקצה העורפי בפרויקט, מבצעים את הפעולות הבאות.

כדי להשלים את השלב הזה, צריך את ההרשאות compute.backendServices.setIamPolicy ו-resourcemanager.projects.setIamPolicy.

gcloud projects add-iam-policy-binding SERVICE_PROJECT_B_ID \
    --member="user:LOAD_BALANCER_ADMIN" \
    --role="roles/compute.loadBalancerServiceUser"

הרשאות ברמת המשאב לשירותי קצה עורפיים ספציפיים

ברמת שירות הקצה העורפי, אדמינים של פרויקט שירות יכולים להשתמש באחת מהפקודות הבאות כדי להעניק את התפקיד 'משתמש בשירותי איזון עומסים ב-Compute' (roles/compute.loadBalancerServiceUser).

כדי להשלים את השלב הזה, נדרשת ההרשאה compute.backendServices.setIamPolicy.

gcloud projects add-iam-policy-binding SERVICE_PROJECT_B_ID \
    --member="user:LOAD_BALANCER_ADMIN" \
    --role="roles/compute.loadBalancerServiceUser" \
    --condition='expression=resource.name=="projects/SERVICE_PROJECT_B_ID/regions/us-west1/backend-services/BACKEND_SERVICE_NAME",title=Shared VPC condition'

או

gcloud compute backend-services add-iam-policy-binding BACKEND_SERVICE_NAME \
    --member="user:LOAD_BALANCER_ADMIN" \
    --role="roles/compute.loadBalancerServiceUser" \
    --project=SERVICE_PROJECT_B_ID \
    --region=us-west1

כדי להשתמש בפקודות האלה, צריך להחליף את LOAD_BALANCER_ADMIN בפרינציפל של המשתמש, למשל test-user@gmail.com.

אפשר גם להגדיר הרשאות IAM כך שהן יחולו רק על קבוצת משנה של שירותי קצה עורפיים אזוריים באמצעות תנאים וציון מאפייני תנאים.

המסוף

1. במסוף Google Cloud , נכנסים לדף איזון עומסים בפרויקט שירות א'.

   כניסה לדף איזון עומסים

2. לוחצים על מאזן העומסים שיצרתם.

3. שימו לב לכתובת ה-IP של מאזן העומסים. בשלבים הבאים נתייחס לכתובת ה-IP הזו כאל LB_IP_ADDRESS.

4. כדי לבדוק את איזון העומסים, מפנים את דפדפן האינטרנט אל https://LB_IP_ADDRESS (או אל http://LB_IP_ADDRESS). מחליפים את LB_IP_ADDRESS בכתובת ה-IP של איזון העומסים.

5. אם השתמשתם באישור בחתימה עצמית כדי לבדוק HTTPS, בדפדפן תוצג אזהרה. צריך להנחות את הדפדפן באופן מפורש לקבל אישור בחתימה עצמית.

6. בדפדפן אמור להיות מוצג דף עם תוכן שכולל את שם המופע שסיפק את הדף (לדוגמה, Page served from: lb-backend-example-xxxx). אם הדף הזה לא מוצג בדפדפן, צריך לבדוק את הגדרות התצורה במדריך הזה.

gcloud

שימו לב לכתובת ה-IP שהוזמנה:

gcloud compute addresses describe IP_ADDRESS_NAME \
    --format="get(address)" \
    --global
    --project=SERVICE_PROJECT_A_ID

כדי לבדוק את איזון העומסים, מפנים את דפדפן האינטרנט אל https://LB_IP_ADDRESS (או אל http://LB_IP_ADDRESS). מחליפים את LB_IP_ADDRESS בכתובת ה-IP של איזון העומסים.

אם השתמשתם באישור בחתימה עצמית כדי לבדוק HTTPS, בדפדפן תוצג אזהרה. צריך להנחות את הדפדפן באופן מפורש לקבל אישור בחתימה עצמית.

בדפדפן אמור להיטען דף עם מידע מינימלי על מופע ה-Backend. אם הדפדפן לא מעבד את הדף הזה, כדאי לעיין בהגדרות התצורה במדריך הזה.