Configurar um balanceador de carga de aplicativo externo regional com buckets do Cloud Storage em um ambiente de VPC compartilhada

Neste documento, mostramos duas configurações de amostra para configurar um balanceador de carga de aplicativo externo regional em um ambiente de VPC compartilhada com buckets do Cloud Storage:

• O primeiro exemplo cria todos os componentes e back-ends do balanceador de carga no projeto de serviço.
• O segundo exemplo cria os componentes de front-end e o mapa de URL do balanceador de carga em um projeto de serviço, enquanto o bucket de back-end e os buckets do Cloud Storage do balanceador de carga são criados em um projeto de serviço diferente.

Os dois exemplos exigem a mesma configuração inicial para conceder as funções necessárias e configurar uma VPC compartilhada antes de começar a criar balanceadores de carga.

Além das configurações de exemplo mencionadas neste documento, também é possível configurar uma implantação de VPC compartilhada em que o front-end e o mapa de URL do balanceador de carga são criados no projeto host, e os buckets de back-end, junto com os buckets do Cloud Storage, são criados em um projeto de serviço. Para mais informações sobre outras arquiteturas de VPC compartilhada válidas, consulte Arquiteturas de VPC compartilhada.

Se você não quiser usar uma rede VPC compartilhada, consulte Configurar um balanceador de carga de aplicativo externo regional com buckets do Cloud Storage.

Antes de começar

Certifique-se de que sua configuração atenda aos seguintes pré-requisitos.

Criar projetos do Google Cloud

Crie Google Cloud projetos para um host e dois projetos de serviço.

Funções exigidas

Para ter as permissões necessárias para configurar um balanceador de carga de aplicativo regional externo em um ambiente de VPC compartilhada com buckets do Cloud Storage, peça ao administrador para conceder a você os seguintes papéis do IAM:

• Para configurar a VPC compartilhada: Administrador da VPC compartilhada do Compute (roles/compute.xpnAdmin) no projeto host
• Para dar acesso a um administrador do projeto de serviço para usar a rede VPC compartilhada: Usuário da rede do Compute (roles/compute.networkUser) no projeto host
• Para criar buckets do Cloud Storage: Administrador de objetos do Storage (roles/storage.objectAdmin) no projeto de serviço
• Para criar os recursos de balanceamento de carga: Administrador de rede do Compute (roles/compute.networkAdmin) no projeto de serviço
• Para criar instâncias do Compute Engine: Administrador de instâncias do Compute (roles/compute.instanceAdmin.v1) no projeto de serviço
• Para criar e modificar certificados SSL do Compute Engine: Administrador de segurança do Compute (roles/compute.securityAdmin) no projeto de serviço
• Para criar e modificar certificados SSL do Gerenciador de certificados: Proprietário do Gerenciador de certificados (roles/certificatemanager.owner) no projeto de serviço
• Para referenciar buckets de back-end em outros projetos de serviço: Usuário de serviços do balanceador de carga do Compute (roles/compute.loadBalancerServiceUser) no projeto de serviço

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Configurar um ambiente de VPC compartilhada

Conclua as etapas a seguir no projeto host para configurar um ambiente de VPC compartilhada:

1. Configure uma rede VPC de modo personalizado.
2. Configure uma sub-rede somente proxy.
3. Configure uma VPC compartilhada no projeto host.

As etapas nesta seção não precisam ser realizadas sempre que você quiser criar um novo balanceador de carga. No entanto, é preciso garantir que você tenha acesso aos recursos descritos aqui antes de continuar criando o balanceador de carga.

Este exemplo usa a seguinte rede VPC, região e sub-rede somente proxy:

• Rede. Uma rede VPC de modo personalizado denominada lb-network.

• Sub-rede para proxies Envoy. Uma sub-rede chamada proxy-only-subnet-us na região us-east1 usa 10.129.0.0/23 como o intervalo de IP principal.

Configurar uma rede VPC de modo personalizado

Configurar uma sub-rede somente proxy

Uma sub-rede somente proxy fornece um conjunto de endereços IP que o Google Cloud usa para executar proxies Envoy em seu nome. Os proxies encerram as conexões do cliente e criam novas conexões com os back-ends.

Essa sub-rede somente proxy é usada por todos os balanceadores de carga regionais baseados no Envoy que estão na mesma região que a rede VPC. Só pode haver uma sub-rede somente proxy ativa para uma determinada finalidade, por região e por rede.

Configurar uma VPC compartilhada no projeto host

É possível ativar um projeto host da VPC compartilhada e anexar projetos de serviço a ele para que os projetos de serviço possam usar a rede VPC compartilhada. Para configurar uma VPC compartilhada no projeto host, consulte as seguintes páginas:

• Ativar um projeto host.
• Anexar um projeto de serviço.

Depois de concluir as etapas anteriores, você poderá seguir uma das seguintes configurações:

• Configurar um balanceador de carga no projeto de serviço
• Configurar um balanceador de carga com uma configuração entre projetos

Configurar um balanceador de carga no projeto de serviço

Este exemplo cria um balanceador de carga de aplicativo externo regional em que todos os componentes de balanceamento de carga (regra de encaminhamento, proxy de destino, mapa de URL e bucket de back-end) e buckets do Cloud Storage são criados no projeto de serviço.

Os recursos de rede do balanceador de carga de aplicativo externo regional, como a sub-rede somente proxy, são criados no projeto host.

Nesta seção, mostramos como configurar o balanceador de carga e os back-ends.

Os exemplos de configuração nesta página configuram explicitamente um endereço IP reservado para a regra de encaminhamento do balanceador de carga de aplicativo externo regional, em vez de permitir que um endereço IP temporário seja alocado. Como prática recomendada, reserve endereços IP para regras de encaminhamento.

Configurar os buckets do Cloud Storage

O processo de configuração dos buckets do Cloud Storage é o seguinte:

1. Crie os buckets do Cloud Storage.
2. Copie o conteúdo para os buckets do Cloud Storage.
3. Torne os buckets do Cloud Storage publicamente acessíveis.

Criar os buckets do Cloud Storage

Neste exemplo, você cria dois buckets do Cloud Storage na região us-east1.

Copiar conteúdo para os buckets do Cloud Storage

Para preencher os buckets do Cloud Storage, copie um arquivo gráfico de um bucket público do Cloud Storage para seus próprios buckets do Cloud Storage.

  gcloud storage cp gs://gcp-external-http-lb-with-bucket/three-cats.jpg gs://BUCKET1_NAME/love-to-purr/
  

  gcloud storage cp gs://gcp-external-http-lb-with-bucket/two-dogs.jpg gs://BUCKET2_NAME/love-to-fetch/
  

Substitua BUCKET1_NAME e BUCKET2_NAME pelo nome dos seus buckets do Cloud Storage.

Tornar os buckets do Cloud Storage acessíveis publicamente

Para tornar todos os objetos de um bucket acessíveis a todos na Internet pública, conceda ao principal allUsers o papel Leitor de objetos do Storage (roles/storage.objectViewer).

gcloud storage buckets add-iam-policy-binding gs://BUCKET1_NAME --member=allUsers --role=roles/storage.objectViewer

gcloud storage buckets add-iam-policy-binding gs://BUCKET2_NAME --member=allUsers --role=roles/storage.objectViewer

Reserve o endereço IP do balanceador de carga

Reserve um endereço IP externo estático para a regra de encaminhamento do balanceador de carga.

Configurar um recurso de certificado SSL

Para um balanceador de carga de aplicativo externo regional que usa HTTPS como o protocolo de solicitação e resposta, é possível criar um recurso de certificado SSL usando um certificado SSL do Compute Engine ou do Gerenciador de certificados.

Para este exemplo, crie um recurso de certificado SSL usando o Gerenciador de certificados, conforme descrito em um dos seguintes documentos:

• Implantar um certificado regional gerenciado pelo Google com autorização de DNS
• Implantar um certificado regional gerenciado pelo Google com o serviço de AC
• Implantar um certificado autogerenciado regional

Depois de criar o certificado, anexe-o ao proxy de destino HTTPS.

Recomendamos o uso de um certificado gerenciado pelo Google.

Configurar o balanceador de carga com buckets de back-end

Nesta seção, mostramos como criar os seguintes recursos para um balanceador de carga de aplicativo externo regional:

• Dois buckets de back-end. Os buckets de back-end servem como um wrapper para os buckets do Cloud Storage que você criou anteriormente.
• Mapa de URL
• Proxy de destino
• Uma regra de encaminhamento com endereços IP regionais. A regra de encaminhamento tem um endereço IP externo.

Neste exemplo, é possível usar HTTP ou HTTPS como protocolo de solicitação e resposta entre o cliente e o balanceador de carga. Para criar um balanceador de carga HTTPS, é necessário adicionar um recurso de certificado SSL ao front-end do balanceador de carga.

Para criar os componentes de balanceamento de carga mencionados usando a CLI gcloud, siga estas etapas:

1. Crie dois buckets de back-end com o comando gcloud compute backend-buckets create. Os buckets de back-end têm um esquema de balanceamento de carga de EXTERNAL_MANAGED.

     gcloud beta compute backend-buckets create backend-bucket-cats \
         --gcs-bucket-name=BUCKET1_NAME \
         --load-balancing-scheme=EXTERNAL_MANAGED \
         --region=us-east1 \
         --project=SERVICE_PROJECT_ID
   

     gcloud beta compute backend-buckets create backend-bucket-dogs \
         --gcs-bucket-name=BUCKET2_NAME \
         --load-balancing-scheme=EXTERNAL_MANAGED \
         --region=us-east1 \
         --project=SERVICE_PROJECT_ID
   

   Substitua:

   • BUCKET1_NAME e BUCKET2_NAME: o nome dos buckets do Cloud Storage
   • SERVICE_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço

2. Crie um mapa de URL para encaminhar solicitações recebidas para o bucket de back-end com o comando gcloud compute url-maps create.

     gcloud beta compute url-maps create URL_MAP_NAME \
         --default-backend-bucket=backend-bucket-cats \
         --region=us-east1 \
         --project=SERVICE_PROJECT_ID
   

   Substitua:

   • URL_MAP_NAME: o nome do mapa de URL.
   • SERVICE_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço

3. Configure as regras de host e de caminho do mapa de URL com o comando gcloud compute url-maps add-path-matcher.

   Neste exemplo, o bucket de back-end padrão é backend-bucket-cats, que processa todos os caminhos que existem nele. No entanto, qualquer solicitação direcionada a http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg usa o back-end backend-bucket-dogs. Por exemplo, se a pasta /love-to-fetch/ também existir no seu back-end padrão (backend-bucket-cats), o balanceador de carga vai priorizar o back-end backend-bucket-dogs porque há uma regra de caminho específica para /love-to-fetch/*.

     gcloud beta compute url-maps add-path-matcher URL_MAP_NAME \
         --path-matcher-name=path-matcher-pets \
         --new-hosts=* \
         --backend-bucket-path-rules="/love-to-fetch/*=backend-bucket-dogs" \
         --default-backend-bucket=backend-bucket-cats \
         --region=us-east1 \
         --project=SERVICE_PROJECT_ID
   

   Substitua:

   • URL_MAP_NAME: o nome do mapa de URL.
   • SERVICE_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço

4. Crie um proxy de destino com o comando gcloud compute target-http-proxies create.

   Para tráfego HTTP, crie um proxy HTTP de destino para encaminhar solicitações ao mapa de URL:

     gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \
         --url-map=URL_MAP_NAME \
         --region=us-east1 \
         --project=SERVICE_PROJECT_ID
   

   Substitua:

   • TARGET_HTTP_PROXY_NAME: o nome do proxy HTTP de destino
   • URL_MAP_NAME: o nome do mapa de URL.
   • SERVICE_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço

   Para tráfego HTTPS, crie um proxy HTTPS de destino para encaminhar solicitações ao mapa de URL. O proxy é a parte do balanceador de carga que armazena o certificado SSL de um balanceador de carga HTTPS. Depois de criar o certificado, anexe-o ao proxy de destino HTTPS.

   Para anexar um certificado do Gerenciador de certificados, execute o seguinte comando:

     gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
         --url-map=URL_MAP_NAME \
         --certificate-manager-certificates=CERTIFICATE_NAME \
         --region=us-east1 \
         --project=SERVICE_PROJECT_ID
   

   Substitua:

   • TARGET_HTTPS_PROXY_NAME: o nome do proxy HTTPS de destino.
   • URL_MAP_NAME: o nome do mapa de URL.
   • CERTIFICATE_NAME: o nome do certificado SSL do Gerenciador de certificados
   • SERVICE_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço

5. Crie uma regra de encaminhamento com um endereço IP na região us-east1 com o comando gcloud compute forwarding-rules create.

   Para tráfego HTTP, crie uma regra de encaminhamento regional para encaminhar solicitações recebidas ao proxy HTTP de destino:

     gcloud compute forwarding-rules create FORWARDING_RULE_NAME \
         --load-balancing-scheme=EXTERNAL_MANAGED \
         --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
         --address=RESERVED_IP_ADDRESS \
         --ports=80 \
         --region=us-east1 \
         --target-http-proxy=TARGET_HTTP_PROXY_NAME \
         --target-http-proxy-region=us-east1 \
         --project=SERVICE_PROJECT_ID
   

   Substitua:

   • FORWARDING_RULE_NAME: o nome da regra de encaminhamento
   • HOST_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto host
   • RESERVED_IP_ADDRESS: o endereço IP reservado
   • TARGET_HTTP_PROXY_NAME: o nome do proxy HTTP de destino
   • SERVICE_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço

   Para o tráfego HTTPS, crie uma regra de encaminhamento regional para encaminhar as solicitações recebidas para o proxy HTTPS de destino:

     gcloud compute forwarding-rules create FORWARDING_RULE_NAME \
         --load-balancing-scheme=EXTERNAL_MANAGED \
         --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
         --address=RESERVED_IP_ADDRESS \
         --ports=443 \
         --region=us-east1 \
         --target-https-proxy=TARGET_HTTPS_PROXY_NAME \
         --target-https-proxy-region=us-east1 \
         --project=SERVICE_PROJECT_ID
   

   Substitua:

   • FORWARDING_RULE_NAME: o nome da regra de encaminhamento
   • HOST_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto host
   • RESERVED_IP_ADDRESS: o endereço IP reservado
   • TARGET_HTTPS_PROXY_NAME: o nome do proxy HTTPS de destino.
   • SERVICE_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço

Enviar uma solicitação HTTP ao balanceador de carga

Agora que o serviço de balanceamento de carga está em execução, é possível enviar tráfego para a regra de encaminhamento do balanceador de carga.

1. Anote o endereço IP da regra de encaminhamento do balanceador de carga, que está na região us-east1.

    gcloud compute forwarding-rules describe FORWARDING_RULE_NAME \
        --region=us-east1 \
        --project=SERVICE_PROJECT_ID
   

   Substitua:

   • FORWARDING_RULE_NAME: o nome da regra de encaminhamento
   • SERVICE_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço

   Copie o endereço IP retornado para usar como FORWARDING_RULE_IP_ADDRESS na próxima etapa.

2. Faça uma solicitação HTTP para o endereço IP virtual (VIP) da regra de encaminhamento usando curl.

    curl http://FORWARDING_RULE_IP_ADDRESS/love-to-purr/three-cats.jpg --output three-cats.jpg
   

    curl http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg --output two-dogs.jpg
   

   Substitua FORWARDING_RULE_IP_ADDRESS pelo endereço IP da regra de encaminhamento do balanceador de carga.

Configurar um balanceador de carga com uma configuração entre projetos

O exemplo anterior nesta página mostra como configurar uma implantação de VPC compartilhada em que todos os componentes do balanceador de carga e os back-ends dele são criados no projeto de serviço.

O balanceamento de carga de aplicativo externo regional também permite configurar implantações de VPC compartilhada em que um mapa de URL em um projeto host ou de serviço pode referenciar buckets de back-end localizados em vários projetos de serviço em ambientes de VPC compartilhada.

Use as etapas desta seção como referência para configurar qualquer uma das combinações compatíveis listadas aqui:

• Regra de encaminhamento, proxy de destino e mapa de URL no projeto host, com bucket de back-end em um projeto de serviço.
• Regra de encaminhamento, proxy de destino e mapa de URL em um projeto de serviço, com bucket de back-end em outro projeto de serviço.

Nesta seção, a última configuração é apresentada como um exemplo.

Visão geral da configuração

Este exemplo configura um balanceador de carga com o front-end e o back-end em dois projetos de serviço diferentes.

Se você ainda não tiver feito isso, configure as funções necessárias e crie um ambiente de VPC compartilhada. Para instruções, consulte as seguintes seções no início desta página:

• Configurar os papéis necessários
• Configurar um ambiente de VPC compartilhada

Configurar os buckets do Cloud Storage e de back-end no projeto de serviço B

Todas as etapas nesta seção precisam ser realizadas no projeto de serviço B.

O processo de configuração de buckets do Cloud Storage e de back-end é o seguinte:

1. Crie os buckets do Cloud Storage.
2. Copie o conteúdo para os buckets do Cloud Storage.
3. Torne os buckets do Cloud Storage publicamente acessíveis.
4. Crie buckets de back-end e direcione-os para os buckets do Cloud Storage.

Criar os buckets do Cloud Storage

Copiar conteúdo para os buckets do Cloud Storage

Para preencher os buckets do Cloud Storage, copie um arquivo gráfico de um bucket público do Cloud Storage para seus próprios buckets do Cloud Storage.

    gcloud storage cp gs://gcp-external-http-lb-with-bucket/three-cats.jpg gs://BUCKET1_NAME/love-to-purr/
  

    gcloud storage cp gs://gcp-external-http-lb-with-bucket/two-dogs.jpg gs://BUCKET2_NAME/love-to-fetch/
  

Substitua BUCKET1_NAME e BUCKET2_NAME pelo nome dos seus buckets do Cloud Storage.

Tornar os buckets do Cloud Storage acessíveis publicamente

Para tornar todos os objetos de um bucket acessíveis a todos na Internet pública, conceda ao principal allUsers o papel Leitor de objetos do Storage (roles/storage.objectViewer).

gcloud storage buckets add-iam-policy-binding gs://BUCKET1_NAME --member=allUsers --role=roles/storage.objectViewer

gcloud storage buckets add-iam-policy-binding gs://BUCKET2_NAME --member=allUsers --role=roles/storage.objectViewer

Criar buckets de back-end e apontar para os buckets do Cloud Storage

Para criar os buckets de back-end, siga estas etapas:

1. Crie dois buckets de back-end com o comando gcloud compute backend-buckets create. Os buckets de back-end têm um esquema de balanceamento de carga de EXTERNAL_MANAGED.

     gcloud beta compute backend-buckets create backend-bucket-cats \
         --gcs-bucket-name=BUCKET1_NAME \
         --load-balancing-scheme=EXTERNAL_MANAGED \
         --region=us-east1 \
         --project=SERVICE_PROJECT_B_ID
   

     gcloud beta compute backend-buckets create backend-bucket-dogs \
         --gcs-bucket-name=BUCKET2_NAME \
         --load-balancing-scheme=EXTERNAL_MANAGED \
         --region=us-east1 \
         --project=SERVICE_PROJECT_B_ID
   

   Substitua:

   • BUCKET1_NAME e BUCKET2_NAME: o nome dos buckets do Cloud Storage
   • SERVICE_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço

Configurar os componentes de front-end do balanceador de carga no projeto de serviço A

Todas as etapas nesta seção precisam ser realizadas no projeto de serviço A.

No projeto de serviço A, crie os seguintes componentes de balanceamento de carga de front-end:

1. Um recurso de certificado SSL anexado ao proxy de destino. Siga as etapas descritas na seção anterior para criar o certificado SSL.
2. Um endereço IP para a regra de encaminhamento do balanceador de carga. Siga as etapas descritas na seção anterior para criar um endereço IP.
3. Um mapa de URL que faz referência aos buckets de back-end no projeto de serviço B
4. Um proxy de destino
5. Uma regra de encaminhamento com endereços IP regionais. A regra de encaminhamento tem um endereço IP externo.

Para criar o mapa de URL, o proxy de destino e a regra de encaminhamento, faça o seguinte:

1. Crie um mapa de URL para encaminhar solicitações recebidas para o bucket de back-end com o comando gcloud beta compute url-maps create.

     gcloud beta compute url-maps create URL_MAP_NAME \
         --default-backend-bucket=backend-bucket-cats \
         --region=us-east1 \
         --project=SERVICE_PROJECT_A_ID
   

   Substitua:

   • URL_MAP_NAME: o nome do mapa de URL.
   • SERVICE_PROJECT_A_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço A

2. Configure as regras de host e de caminho do mapa de URL com o comando gcloud beta compute url-maps add-path-matcher.

   Neste exemplo, o bucket de back-end padrão é backend-bucket-cats, que processa todos os caminhos que existem nele. No entanto, qualquer solicitação direcionada a http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg usa o back-end backend-bucket-dogs. Por exemplo, se a pasta /love-to-fetch/ também existir no seu back-end padrão (backend-bucket-cats), o balanceador de carga vai priorizar o back-end backend-bucket-dogs porque há uma regra de caminho específica para /love-to-fetch/*.

     gcloud beta compute url-maps add-path-matcher URL_MAP_NAME \
         --path-matcher-name=path-matcher-pets \
         --new-hosts=* \
         --backend-bucket-path-rules="/love-to-fetch/*=projects/SERVICE_PROJECT_B_ID/regional/backendBuckets/backend-bucket-dogs" \
         --default-backend-bucket=projects/SERVICE_PROJECT_B_ID/regional/backendBuckets/backend-bucket-cats \
         --region=us-east1 \
         --project=SERVICE_PROJECT_A_ID
   

   Substitua:

   • URL_MAP_NAME: o nome do mapa de URL.
   • SERVICE_PROJECT_A_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço A

3. Crie um proxy de destino com o comando gcloud compute target-http-proxies create.

   Para tráfego HTTP, crie um proxy HTTP de destino para encaminhar solicitações ao mapa de URL:

     gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \
         --url-map=URL_MAP_NAME \
         --region=us-east1 \
         --project=SERVICE_PROJECT_A_ID
   

   Substitua:

   • TARGET_HTTP_PROXY_NAME: o nome do proxy HTTP de destino
   • URL_MAP_NAME: o nome do mapa de URL.
   • SERVICE_PROJECT_A_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço A

   Para tráfego HTTPS, crie um proxy HTTPS de destino para encaminhar solicitações ao mapa de URL. O proxy é a parte do balanceador de carga que armazena o certificado SSL de um balanceador de carga HTTPS. Depois de criar o certificado, anexe-o ao proxy de destino HTTPS.

   Para anexar um certificado do Gerenciador de certificados, execute o seguinte comando:

     gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
         --url-map=lb-map \
         --certificate-manager-certificates=CERTIFICATE_NAME \
         --region=us-east1 \
         --project=SERVICE_PROJECT_A_ID
   

   Substitua:

   • TARGET_HTTPS_PROXY_NAME: o nome do proxy HTTPS de destino.
   • URL_MAP_NAME: o nome do mapa de URL.
   • CERTIFICATE_NAME: o nome do certificado SSL do Gerenciador de certificados
   • SERVICE_PROJECT_A_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço A

4. Crie uma regra de encaminhamento com um endereço IP na região asia-east1 com o comando gcloud compute forwarding-rules create.

   Para tráfego HTTP, crie uma regra de encaminhamento regional para encaminhar solicitações recebidas ao proxy HTTP de destino:

     gcloud compute forwarding-rules create FORWARDING_RULE_NAME \
         --load-balancing-scheme=EXTERNAL_MANAGED \
         --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
         --address=RESERVED_IP_ADDRESS \
         --ports=80 \
         --region=us-east1 \
         --target-http-proxy=TARGET_HTTP_PROXY_NAME \
         --target-http-proxy-region=us-east1 \
         --project=SERVICE_PROJECT_A_ID
   

   Substitua:

   • FORWARDING_RULE_NAME: o nome da regra de encaminhamento
   • HOST_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto host
   • RESERVED_IP_ADDRESS: o endereço IP reservado
   • TARGET_HTTP_PROXY_NAME: o nome do proxy HTTP de destino
   • SERVICE_PROJECT_A_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço A

   Para o tráfego HTTPS, crie uma regra de encaminhamento regional para encaminhar as solicitações recebidas para o proxy HTTPS de destino:

     gcloud compute forwarding-rules create FORWARDING_RULE_NAME \
         --load-balancing-scheme=EXTERNAL_MANAGED \
         --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
         --address=RESERVED_IP_ADDRESS \
         --ports=443 \
         --region=us-east1 \
         --target-https-proxy=TARGET_HTTPS_PROXY_NAME \
         --target-https-proxy-region=us-east1 \
         --project=SERVICE_PROJECT_A_ID
   

   Substitua:

   • FORWARDING_RULE_NAME: o nome da regra de encaminhamento
   • HOST_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto host
   • RESERVED_IP_ADDRESS: o endereço IP reservado
   • TARGET_HTTPS_PROXY_NAME: o nome do proxy HTTPS de destino.
   • SERVICE_PROJECT_A_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço A

Conceder permissão ao administrador do balanceador de carga do Compute para usar o bucket de back-end no projeto de serviço

Se você quiser que os balanceadores de carga façam referência a buckets de back-end em outros projetos de serviço, o administrador do balanceador de carga precisará ter a permissão compute.backendBuckets.use. Para conceder essa permissão, use o papel predefinido do IAM chamado Usuário de serviços do balanceador de carga do Compute (roles/compute.loadBalancerServiceUser). Esse papel precisa ser concedido pelo Administrador do projeto de serviço e pode ser aplicado no nível do projeto de serviço ou no nível do bucket de back-end individual.

Neste exemplo, um administrador de projeto de serviço do projeto B precisa executar um dos comandos a seguir para conceder a permissão compute.backendBuckets.use a um administrador do balanceador de carga do projeto de serviço A. Isso pode ser feito no nível do projeto (para todos os buckets de back-end no projeto) ou por bucket de back-end.

  gcloud projects add-iam-policy-binding SERVICE_PROJECT_B_ID \
      --member="user:LOAD_BALANCER_ADMIN" \
      --role="roles/compute.loadBalancerServiceUser"

  gcloud projects add-iam-policy-binding SERVICE_PROJECT_B_ID \
      --member="user:LOAD_BALANCER_ADMIN" \
      --role="roles/compute.loadBalancerServiceUser" \
      --condition='expression=resource.name=="projects/SERVICE_PROJECT_B_ID/regions/REGION/backendBuckets/BACKEND_BUCKET_NAME",title=Shared VPC condition'

  gcloud compute backend-buckets add-iam-policy-binding BACKEND_BUCKET_NAME \
      --member="user:LOAD_BALANCER_ADMIN" \
      --role="roles/compute.loadBalancerServiceUser" \
      --project=SERVICE_PROJECT_B_ID \
      --region=REGION

Enviar uma solicitação HTTP ao balanceador de carga

Agora que o serviço de balanceamento de carga está em execução, é possível enviar tráfego para a regra de encaminhamento do balanceador de carga.

1. Anote o endereço IP da regra de encaminhamento do balanceador de carga, que está na região us-east1.

    gcloud compute forwarding-rules describe FORWARDING_RULE_NAME \
        --region=us-east1 \
        --project=SERVICE_PROJECT_A_ID
   

   Substitua:

   • FORWARDING_RULE_NAME: o nome da regra de encaminhamento
   • SERVICE_PROJECT_ID: o ID do projeto Google Cloud atribuído ao projeto de serviço

   Copie o endereço IP retornado para usar como FORWARDING_RULE_IP_ADDRESS na próxima etapa.

2. Faça uma solicitação HTTP para o VIP da regra de encaminhamento usando curl.

   curl http://FORWARDING_RULE_IP_ADDRESS/love-to-purr/three-cats.jpg --output three-cats.jpg
   

   curl http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg --output two-dogs.jpg
   

   Substitua FORWARDING_RULE_IP_ADDRESS pelo endereço IP da regra de encaminhamento do balanceador de carga.

A seguir

• Visão geral do balanceador de carga de aplicativo externo
• Sub-redes somente proxy para balanceadores de carga baseados em Envoy
• Gerenciar certificados
• Limpar uma configuração de balanceamento de carga