הגדרת מאזני עומסים חיצוניים אזוריים של אפליקציות (ALB) עם VPC משותף

המסוף

1. נכנסים לדף VPC networks במסוף Google Cloud .

   מעבר לרשתות VPC

2. לוחצים על יצירת רשת VPC.
3. בשדה Name (שם), מזינים lb-network.

4. בקטע Subnets (רשתות משנה):

   1. מגדירים את מצב יצירת רשתות משנה לבהתאמה אישית.

   2. בקטע New subnet (רשת משנה חדשה), מזינים את הפרטים הבאים:

      • Name (שם): lb-frontend-and-backend-subnet

      • אזור: us-west1

      • טווח כתובות IP: 10.1.2.0/24

   3. לוחצים על סיום.

5. לוחצים על יצירה.

gcloud

1. יוצרים רשת VPC באמצעות הפקודה gcloud compute networks create:

   gcloud compute networks create lb-network --subnet-mode=custom
   

2. יוצרים רשת משנה ברשת lb-network באזור us-west1:

   gcloud compute networks subnets create lb-frontend-and-backend-subnet 
   
       --network=lb-network 
   
       --range=10.1.2.0/24 
   
       --region=us-west1
   

Terraform

1. יוצרים רשת VPC:

   # Shared VPC network
   resource "google_compute_network" "lb_network" {
     name                    = "lb-network"
     provider                = google-beta
     project                 = "my-host-project-id"
     auto_create_subnetworks = false
   }

2. יוצרים תת-רשת באזור us-west1:

   # Shared VPC network - backend subnet
   resource "google_compute_subnetwork" "lb_frontend_and_backend_subnet" {
     name          = "lb-frontend-and-backend-subnet"
     provider      = google-beta
     project       = "my-host-project-id"
     region        = "us-west1"
     ip_cidr_range = "10.1.2.0/24"
     role          = "ACTIVE"
     network       = google_compute_network.lb_network.id
   }

המסוף

1. נכנסים לדף VPC networks במסוף Google Cloud .

   מעבר לרשתות VPC

2. לוחצים על השם של רשת ה-VPC המשותפת: lb-network.
3. לוחצים על הוספת רשת משנה.
4. בשדה Name (שם), מזינים proxy-only-subnet.
5. בשדה אזור, בוחרים באפשרות us-west1.
6. מגדירים את Purpose (מטרה) לערך Regional Managed Proxy (שרת proxy מנוהל אזורי).
7. בשדה IP address range (טווח כתובות IP), מזינים 10.129.0.0/23.
8. לוחצים על הוספה.

gcloud

יוצרים את תת-הרשת של ה-proxy באמצעות הפקודה gcloud compute networks subnets create:

gcloud compute networks subnets create proxy-only-subnet \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=us-west1 \
    --network=lb-network \
    --range=10.129.0.0/23

Terraform

יוצרים את תת-הרשת של ה-proxy בלבד:

# Shared VPC network - proxy-only subnet
resource "google_compute_subnetwork" "proxy_only_subnet" {
  name          = "proxy-only-subnet"
  provider      = google-beta
  project       = "my-host-project-id"
  region        = "us-west1"
  ip_cidr_range = "10.129.0.0/23"
  role          = "ACTIVE"
  purpose       = "REGIONAL_MANAGED_PROXY"
  network       = google_compute_network.lb_network.id
}

המסוף

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. לוחצים על יצירת כלל לחומת האש כדי ליצור את הכלל שיאפשר Google Cloud בדיקות תקינות:
• Name (שם): fw-allow-health-check
• רשת: lb-network
• כיוון התנועה: כניסה
• פעולה בהתאמה: אישור
• יעדים: תגי יעד שצוינו
• תגי טירגוט: load-balanced-backend
• מסנן מקור: טווחי IPv4
• טווחי IPv4 של המקור: 130.211.0.0/22 ו-35.191.0.0/16
• פרוטוקולים ויציאות:
  • בוחרים באפשרות פרוטוקולים ויציאות שצוינו.
  • מסמנים את התיבה TCP ומזינים 80 כמספר היציאה.

  מומלץ להגביל את הכלל הזה רק לפרוטוקולים ולפורטים שתואמים לאלה שמשמשים בבדיקת תקינות. אם משתמשים ב-tcp:80 בשביל הפרוטוקול והיציאה,אפשר להשתמש ב-HTTP ביציאה 80 כדי ליצור קשר עם מכונות ה-VM, אבל אי אפשר להשתמש ב-HTTPS ביציאה 443 כדי ליצור איתן קשר. Google Cloud

3. לוחצים על יצירה.
4. לוחצים על יצירת כלל לחומת האש כדי ליצור את הכלל שיאפשר Google Cloud בדיקות תקינות:
• Name (שם): fw-allow-proxies
• רשת: lb-network
• כיוון התנועה: כניסה
• פעולה בהתאמה: אישור
• יעדים: תגי יעד שצוינו
• תגי טירגוט: load-balanced-backend
• מסנן מקור: טווחי IPv4
• טווחים של כתובות IPv4 של המקור: 10.129.0.0/23
• פרוטוקולים ויציאות:
  • בוחרים באפשרות פרוטוקולים ויציאות שצוינו.
  • מסמנים את האפשרות TCP ומזינים את הערך 80, 443, 8080 בשדה של מספרי היציאות.
5. לוחצים על יצירה.

gcloud

1. יוצרים את כלל חומת האש fw-allow-health-check כדי לאפשרGoogle Cloud בדיקות תקינות. בדוגמה הזו, כל תנועת ה-TCP מבודקי בדיקת תקינות מורשית. עם זאת, אפשר להגדיר קבוצה מצומצמת יותר של יציאות בהתאם לצרכים שלכם.

   gcloud compute firewall-rules create fw-allow-health-check \
      --network=lb-network \
      --action=allow \
      --direction=ingress \
      --source-ranges=130.211.0.0/22,35.191.0.0/16 \
      --target-tags=load-balanced-backend \
      --rules=tcp
   

2. יוצרים את fw-allow-proxies כלל חומת האש כדי לאפשר לתעבורת נתונים מתת-רשת של שרת proxy בלבד של Envoy להגיע לשרתים העורפיים.

   gcloud compute firewall-rules create fw-allow-proxies \
      --network=lb-network \
      --action=allow \
      --direction=ingress \
      --source-ranges=10.129.0.0/23 \
      --target-tags=load-balanced-backend \
      --rules=tcp:80,tcp:443,tcp:8080
   

Terraform

1. יוצרים כלל חומת אש שמאפשר בדיקות תקינות Google Cloud .

   resource "google_compute_firewall" "fw_allow_health_check" {
     name          = "fw-allow-health-check"
     provider      = google-beta
     project       = "my-host-project-id"
     direction     = "INGRESS"
     network       = google_compute_network.lb_network.id
     source_ranges = ["130.211.0.0/22", "35.191.0.0/16"]
     allow {
       protocol = "tcp"
     }
     target_tags = ["load-balanced-backend"]
   }

2. יוצרים כלל חומת אש שמאפשר תעבורת נתונים מתת-רשת של שרת proxy בלבד של Envoy לשרתים העורפיים.

   resource "google_compute_firewall" "fw_allow_proxies" {
     name          = "fw-allow-proxies"
     provider      = google-beta
     project       = "my-host-project-id"
     direction     = "INGRESS"
     network       = google_compute_network.lb_network.id
     source_ranges = ["10.129.0.0/23"]
     allow {
       protocol = "tcp"
       ports    = ["80", "443", "8080"]
     }
     target_tags = ["load-balanced-backend"]
   }

המסוף

1. יוצרים תבנית של הגדרות מכונה. נכנסים לדף Instance templates במסוף Google Cloud .

   כניסה לדף Instance templates

   1. לוחצים על Create instance template.
   2. בשדה Name (שם), מזינים l7-xlb-backend-template.
   3. מוודאים שדיסק האתחול מוגדר לקובץ אימג' של Debian, כמו Debian GNU/Linux 12 (bookworm)‎. בהוראות האלה נעשה שימוש בפקודות שזמינות רק ב-Debian, כמו apt-get. אם צריך לשנות את דיסק האתחול, לוחצים על שינוי.
      1. בקטע Operating System (מערכת הפעלה), בוחרים באפשרות Debian.
      2. בקטע Version, בוחרים אחד מקובצי האימג' הזמינים של Debian, כמו Debian GNU/Linux 12 (bookworm).
      3. לוחצים על בחירה.
   4. לוחצים על אפשרויות מתקדמות ואז על רשת.
   5. מזינים את תגי הרשת הבאים: load-balanced-backend.
   6. בקטע Network interfaces (ממשקי רשת), בוחרים באפשרות Networks shared with me (from host project: HOST_PROJECT_ID) (רשתות ששותפו איתי (מפרויקט המארח: HOST_PROJECT_ID)).
   7. בוחרים את רשת המשנה lb-frontend-and-backend-subnet מהרשת lb-network.

   8. לוחצים על ניהול. בקטע ניהול, מזינים את הסקריפט הבא בשדה סקריפט לטעינה בזמן ההפעלה.

      #! /bin/bash
      apt-get update
      apt-get install apache2 -y
      a2ensite default-ssl
      a2enmod ssl
      vm_hostname="$(curl -H "Metadata-Flavor:Google" \
      http://metadata.google.internal/computeMetadata/v1/instance/name)"
      echo "Page served from: $vm_hostname" | \
      tee /var/www/html/index.html
      systemctl restart apache2
      

   9. לוחצים על יצירה.

2. יוצרים קבוצה של מופעי מכונה מנוהלים. נכנסים לדף Instance groups במסוף Google Cloud .
   

   כניסה לדף Instance groups

   1. לוחצים על יצירת קבוצת מופעים.
   2. בוחרים באפשרות New managed instance group (stateless) (קבוצת מופעי מכונה מנוהלים חדשה (בלי שמירת מצב)). מידע נוסף מופיע במאמר קבוצות של מכונות וירטואליות בלי שמירת מצב או עם שמירת מצב.
   3. בשדה Name (שם), מזינים l7-xlb-backend-example.
   4. בקטע מיקום, בוחרים באפשרות אזור יחיד.
   5. בשדה Region, בוחרים us-west1.
   6. בשדה Zone, בוחרים באפשרות us-west1-a.
   7. בשדה תבנית של הגדרות מכונה, בוחרים באפשרות l7-xlb-backend-template.

   8. מציינים את מספר המופעים שרוצים ליצור בקבוצה.

      בדוגמה הזו, מציינים את האפשרויות הבאות להתאמה אוטומטית לעומס:

      • בקטע מצב שינוי גודל אוטומטי, בוחרים באפשרות Off:do not autoscale.
      • בשדה מספר מופעים מקסימלי, מזינים 2.

      אופציונלי: בקטע Autoscaling (שינוי גודל אוטומטי), אפשר להגדיר את קבוצת המופעים כך שיוספו או יוסרו מופעים באופן אוטומטי בהתבסס על השימוש במעבד של המופעים.

   9. לוחצים על יצירה.

gcloud

ההוראות ל-gcloud במדריך הזה מבוססות על ההנחה שאתם משתמשים ב-Cloud Shell או בסביבה אחרת שבה מותקן bash.

1. יוצרים תבנית של הגדרות מכונה עם שרת HTTP באמצעות הפקודה gcloud compute instance-templates create.

   gcloud compute instance-templates create l7-xlb-backend-template \
   --region=us-west1 \
   --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
   --subnet=projects/HOST_PROJECT_ID/regions/us-west1/subnetworks/lb-frontend-and-backend-subnet \
   --tags=load-balanced-backend \
   --image-family=debian-12 \
   --image-project=debian-cloud \
   --metadata=startup-script='#! /bin/bash
   apt-get update
   apt-get install apache2 -y
   a2ensite default-ssl
   a2enmod ssl
   vm_hostname="$(curl -H "Metadata-Flavor:Google" \
   http://metadata.google.internal/computeMetadata/v1/instance/name)"
   echo "Page served from: $vm_hostname" | \
   tee /var/www/html/index.html
   systemctl restart apache2' \
   --project=SERVICE_PROJECT_ID
   

2. יוצרים קבוצת מופעי מכונה מנוהלים באזור באמצעות הפקודה gcloud compute instance-groups managed create.

   gcloud compute instance-groups managed create l7-xlb-backend-example \
       --zone=us-west1-a \
       --size=2 \
       --template=l7-xlb-backend-template \
       --project=SERVICE_PROJECT_ID
   

המסוף

1. נכנסים לדף Reserve a static address במסוף Google Cloud .

   מעבר אל 'שמירת כתובת סטטית'

2. מזינים שם לכתובת החדשה.

3. בקטע Network Service Tier, בוחרים באפשרות Standard.

4. בשביל IP version, בוחרים IPv4. כתובות IPv6 יכולות להיות גלובליות בלבד, ואפשר להשתמש בהן רק עם מאזני עומסים גלובליים.

5. בשדה Type, בוחרים באפשרות Regional.

6. בשדה אזור, בוחרים באפשרות us-west1.

7. משאירים את האפשרות מצורף אל במצב ללא. אחרי שיוצרים את מאזן העומסים, כתובת ה-IP הזו מצורפת לכלל ההעברה של מאזן העומסים.

8. כדי לשמור את כתובת ה-IP, לוחצים על שמירה.

gcloud

כדי לשמור כתובת IP חיצונית סטטית, משתמשים בפקודה compute addresses create.

gcloud compute addresses create IP_ADDRESS_NAME  \
    --region=us-west1 \
    --network-tier=STANDARD \
    --project=SERVICE_PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

• ‫IP_ADDRESS_NAME: השם שרוצים לתת לכתובת הזו.
• ‫SERVICE_PROJECT_ID: מזהה פרויקט השירות שבו נוצר מאזן העומסים.

המסוף

החלפת ההקשר לפרויקט השירות

1. נכנסים לדף Dashboard במסוף Google Cloud .

   כניסה ללוח הבקרה

2. לוחצים על הרשימה Select from (בחירה מתוך) בחלק העליון של הדף. בחלון Select from שמופיע, בוחרים את פרויקט השירות שבו רוצים ליצור את מאזן העומסים.

בחירת סוג מאזן העומסים

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף איזון עומסים

2. לוחצים על Create load balancer (יצירת מאזן עומסים).
3. בקטע Type of load balancer, בוחרים באפשרות Application Load Balancer (HTTP/HTTPS) ולוחצים על Next.
4. בקטע Public facing or internal (פנימי או חיצוני), בוחרים באפשרות Public facing (external) (חיצוני) ולוחצים על Next (הבא).
5. אם בוחרים באפשרות פריסה גלובלית או פריסה באזור יחיד, בוחרים באפשרות הכי מתאים לעומסי עבודה אזוריים ולוחצים על הבא.
6. לוחצים על Configure (הגדרה).

הגדרה בסיסית

1. בשדה Name של מאזן העומסים, מזינים l7-xlb-shared-vpc.
2. בשדה Region, בוחרים us-west1.

3. בקטע Network (רשת), בוחרים באפשרות lb-network (מתוך Project: HOST_PROJECT_ID).

   אם מופיעה האזהרה נדרשת תת-רשת של Proxy בלבד ברשת VPC משותפת, צריך לוודא שהאדמין של הפרויקט המארח יצר את proxy-only-subnet באזור us-west1 ברשת ה-VPC המשותפת lb-network. יצירת איזון עומסים תצליח גם אם אין לכם הרשאה להציג את רשת המשנה של ה-proxy בלבד בדף הזה.

4. כדי להמשיך, צריך להשאיר את הדף פתוח.

הגדרת הקצה הקדמי

ל-HTTP:

1. לוחצים על Frontend configuration.
2. לוחצים על Add frontend IP and port.
3. מגדירים את Name לערך l7-xlb-forwarding-rule.
4. מגדירים את Protocol ל-HTTP.
5. מגדירים את Port ל-80.

6. בשדה IP address, מזינים את כתובת ה-IP שיצרתם בשלב שמירת כתובת ה-IP של מאזן העומסים.

7. לוחצים על סיום.

ל-HTTPS:

אם אתם משתמשים ב-HTTPS בין הלקוח לבין מאזן העומסים, אתם צריכים משאב אחד או יותר של אישור SSL כדי להגדיר את ה-proxy. מידע על יצירת משאבי אישורי SSL זמין במאמר בנושא אישורי SSL. בשלב הזה אין תמיכה באישורים שמנוהלים על ידי Google במאזני עומסים אזוריים חיצוניים של אפליקציות.

1. לוחצים על Frontend configuration.
2. לוחצים על Add frontend IP and port.
3. בשדה שם מזינים l7-xlb-forwarding-rule.
4. בשדה Protocol, בוחרים באפשרות HTTPS (includes HTTP/2).
5. מוודאים שהיציאה מוגדרת ל-443, כדי לאפשר תנועה ב-HTTPS.
6. בוחרים את כתובת ה-IP שיצרתם בקטע שמירת כתובת ה-IP של מאזן העומסים.
7. לוחצים על הרשימה אישור.
   1. אם כבר יש לכם משאב של אישור SSL בניהול עצמי שבו אתם רוצים להשתמש כאישור ה-SSL הראשי, בוחרים אותו מהתפריט.
   2. אחרת, בוחרים באפשרות Create a new certificate.
      1. ממלאים את השם של l7-xlb-cert.
      2. בשדות המתאימים, מעלים את הקבצים בפורמט PEM:
         • אישור של מפתח ציבורי
         • שרשרת אישורים
         • מפתח פרטי
      3. לוחצים על יצירה.
8. כדי להוסיף משאבי אישורים בנוסף למשאב אישור ה-SSL הראשי:
   1. לוחצים על הוספת אישור.
   2. בוחרים אישור מהרשימה Certificates (אישורים) או לוחצים על Create a new certificate (יצירת אישור חדש) ופועלים לפי ההוראות שלמעלה.
9. לוחצים על סיום.

הגדרת הקצה העורפי

1. לוחצים על Backend configuration.
2. בתפריט Create or select backend services בוחרים באפשרות Create a backend service.
3. מגדירים את Name של שירות לקצה העורפי לערך l7-xlb-backend-service.
4. מגדירים את סוג הבק-אנד בתור קבוצות של מכונות.
5. בקטע New backend (מערכת עורפית חדשה):
   1. מגדירים את Instance group ל-l7-xlb-backend-example.
   2. מגדירים את Port numbers ל-80.
   3. מגדירים את Balancing mode (מצב איזון) בתור Utilization (ניצול).
   4. לוחצים על סיום.
6. בקטע בדיקת תקינות, בוחרים באפשרות יצירת בדיקת תקינות עם הפרמטרים הבאים:
   1. Name (שם): l7-xlb-basic-check
   2. פרוטוקול: HTTP
   3. יציאה: 80
7. לוחצים על שמירה והמשך.
8. לוחצים על יצירה.

הגדרת כללי הניתוב

• לוחצים על כללי ניתוב. מוודאים ש-l7-xlb-backend-service הוא שירות הקצה העורפי היחיד לכל מארח שלא תואם ולכל נתיב שלא תואם.

מידע על ניהול תנועה מופיע במאמר הגדרת ניהול תנועה.

בדיקה וסיום של ההגדרה

• לוחצים על יצירה.

gcloud

1. מגדירים את בדיקת תקינות ה-HTTP באמצעות הפקודה gcloud compute health-checks create http.

   gcloud compute health-checks create http l7-xlb-basic-check \
      --region=us-west1 \
      --use-serving-port \
      --project=SERVICE_PROJECT_ID
   

2. מגדירים את שירות ה-Backend באמצעות הפקודה gcloud compute backend-services create.

   gcloud compute backend-services create l7-xlb-backend-service \
     --load-balancing-scheme=EXTERNAL_MANAGED \
     --protocol=HTTP \
     --health-checks=l7-xlb-basic-check \
     --health-checks-region=us-west1 \
     --region=us-west1 \
     --project=SERVICE_PROJECT_ID
   

3. מוסיפים קצה עורפי לשירות הקצה העורפי באמצעות הפקודה gcloud compute backend-services add-backend.

   gcloud compute backend-services add-backend l7-xlb-backend-service \
     --balancing-mode=UTILIZATION \
     --instance-group=l7-xlb-backend-example \
     --instance-group-zone=us-west1-a \
     --region=us-west1 \
     --project=SERVICE_PROJECT_ID
   

4. יוצרים את מפת ה-URL באמצעות הפקודה gcloud compute url-maps create.

   gcloud compute url-maps create l7-xlb-map \
     --default-service=l7-xlb-backend-service \
     --region=us-west1 \
     --project=SERVICE_PROJECT_ID
   

5. יוצרים את שרת ה-proxy של היעד.

   ל-HTTP:

   כדי ליצור שרת proxy ליעד למאזן עומסים של HTTP, מריצים את הפקודה gcloud compute target-http-proxies create.

   gcloud compute target-http-proxies create l7-xlb-proxy \
     --url-map=l7-xlb-map \
     --url-map-region=us-west1 \
     --region=us-west1 \
     --project=SERVICE_PROJECT_ID
   

   ל-HTTPS:

   מידע על יצירת משאבי אישורי SSL זמין במאמר בנושא אישורי SSL. בשלב הזה אין תמיכה באישורים שמנוהלים על ידי Google במאזני עומסים אזוריים חיצוניים של אפליקציות.

   מקצים את נתיבי הקבצים לשמות של משתנים.

   export LB_CERT=path to PEM-formatted file
   

   export LB_PRIVATE_KEY=path to PEM-formatted file
   

   יוצרים אישור SSL אזורי באמצעות הפקודה gcloud compute ssl-certificates create.

   gcloud compute ssl-certificates create l7-xlb-cert \
     --certificate=$LB_CERT \
     --private-key=$LB_PRIVATE_KEY \
     --region=us-west1
   

   משתמשים באישור ה-SSL האזורי כדי ליצור שרת proxy ליעד באמצעות הפקודה gcloud compute target-https-proxies create.

   gcloud compute target-https-proxies create l7-xlb-proxy \
     --url-map=l7-xlb-map \
     --region=us-west1 \
     --ssl-certificates=l7-xlb-cert \
     --project=SERVICE_PROJECT_ID
   

6. יוצרים את כלל ההעברה.

   ברשתות מותאמות אישית, צריך להפנות לרשת המשנה בכלל ההעברה.

   לכתובת ה-IP של כלל ההעברה, משתמשים ב-lb-frontend-and-backend-subnet. אם מנסים להשתמש ברשת משנה ל-Proxy בלבד, יצירת כלל ההעברה נכשלת.

   ל-HTTP:

   משתמשים בפקודה gcloud compute forwarding-rules create עם הדגלים המתאימים.

   gcloud compute forwarding-rules create l7-xlb-forwarding-rule \
     --load-balancing-scheme=EXTERNAL_MANAGED \
     --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
     --address=IP_ADDRESS_NAME \
     --ports=80 \
     --region=us-west1 \
     --target-http-proxy=l7-xlb-proxy \
     --target-http-proxy-region=us-west1 \
     --network-tier=STANDARD \
     --project=SERVICE_PROJECT_ID
   

   ל-HTTPS:

   יוצרים את כלל ההעברה באמצעות הפקודה gcloud compute forwarding-rules create עם הדגלים הנכונים.

   gcloud compute forwarding-rules create l7-xlb-forwarding-rule \
     --load-balancing-scheme=EXTERNAL_MANAGED \
     --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
     --address=IP_ADDRESS_NAME \
     --ports=443 \
     --region=us-west1 \
     --target-https-proxy=l7-xlb-proxy \
     --target-https-proxy-region=us-west1 \
     --network-tier=STANDARD \
     --project=SERVICE_PROJECT_ID
   

המסוף

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף איזון עומסים

2. לוחצים על מאזן העומסים שיצרתם.
3. שימו לב לכתובת ה-IP של מאזן העומסים. כתובת ה-IP הזו נקראת LB_IP_ADDRESS בשלבים הבאים.
4. בקטע Backend, מוודאים שהמכונות הווירטואליות תקינות. העמודה Healthy אמורה להתמלא, ולציין ששתי המכונות הווירטואליות תקינות (2/2). אם לא, נסו קודם לטעון מחדש את הדף. יכול להיות שיחלפו כמה רגעים עד שמסוף Google Cloud יציין שהמכונות הווירטואליות תקינות. אם השרתים העורפיים לא מופיעים כשרתים תקינים אחרי כמה דקות, צריך לבדוק את הגדרות חומת האש ואת תג הרשת שהוקצה למכונות הווירטואליות של השרת העורפי.
5. אחרי שבמסוף מוצג שהמופעים בעורף בריאים, אפשר לבדוק את מאזן העומסים באמצעות דפדפן אינטרנט. לשם כך, עוברים אל https://LB_IP_ADDRESS (או אל http://LB_IP_ADDRESS). מחליפים את LB_IP_ADDRESS בכתובת ה-IP של מאזן העומסים. Google Cloud
6. אם השתמשתם באישור בחתימה עצמית כדי לבדוק HTTPS, בדפדפן תוצג אזהרה. צריך להגדיר במפורש בדפדפן שיקבל אישור בחתימה עצמית.
7. בדפדפן אמור להיות מוצג דף עם תוכן שכולל את השם של המופע שסיפק את הדף, יחד עם האזור שלו (לדוגמה, Page served from: lb-backend-example-xxxx). אם הדף הזה לא מוצג בדפדפן, כדאי לעיין בהגדרות התצורה במדריך הזה.

gcloud

שימו לב לכתובת ה-IP שהוזמנה:

gcloud compute addresses describe IP_ADDRESS_NAME \
    --format="get(address)" \
    --region=us-west1

כדי לבדוק את מאזן העומסים באמצעות דפדפן אינטרנט, עוברים אל https://IP_ADDRESS_NAME (או אל http://IP_ADDRESS_NAME). מחליפים את IP_ADDRESS_NAME בכתובת ה-IP של מאזן העומסים.

אם השתמשתם באישור בחתימה עצמית כדי לבדוק HTTPS, בדפדפן תוצג אזהרה. צריך להנחות את הדפדפן באופן מפורש לקבל אישור בחתימה עצמית.

בדפדפן אמור להיטען דף עם מידע מינימלי על מופע ה-Backend. אם הדפדפן לא מעבד את הדף הזה, כדאי לעיין בהגדרות התצורה במדריך הזה.

המסוף

1. נכנסים לדף Reserve a static address במסוף Google Cloud .

   מעבר אל 'שמירת כתובת סטטית'

2. בשם של הכתובת החדשה, מזינים cross-ref-ip-address.

3. בקטע Network Service Tier, בוחרים באפשרות Standard.

4. בשביל IP version, בוחרים IPv4. כתובות IPv6 יכולות להיות גלובליות בלבד, ואפשר להשתמש בהן רק עם מאזני עומסים גלובליים.

5. בשדה Type, בוחרים באפשרות Regional.

6. בשדה אזור, בוחרים באפשרות us-west1.

7. משאירים את האפשרות מצורף אל במצב ללא. אחרי שיוצרים את מאזן העומסים, כתובת ה-IP הזו מצורפת לכלל ההעברה של מאזן העומסים.

8. כדי לשמור את כתובת ה-IP, לוחצים על שמירה.

gcloud

כדי לשמור כתובת IP חיצונית סטטית, משתמשים בפקודה compute addresses create.

gcloud compute addresses create IP_ADDRESS_CROSS_REF  \
    --region=us-west1 \
    --network-tier=STANDARD \
    --project=SERVICE_PROJECT_A_ID

מחליפים את מה שכתוב בשדות הבאים:

• ‫IP_ADDRESS_CROSS_REF: השם שרוצים לתת לכתובת ה-IP הזו.
• SERVICE_PROJECT_A_ID: מזהה הפרויקט של פרויקט השירות א', שבו נוצר קצה קדמי של מאזן העומסים.

המסוף

1. יוצרים תבנית של הגדרות מכונה. נכנסים לדף Instance templates במסוף Google Cloud .

   כניסה לדף Instance templates

   1. לוחצים על Create instance template.
   2. מזינים שם לתבנית של הגדרות מכונה: cross-ref-backend-template.
   3. מוודאים שדיסק האתחול מוגדר לקובץ אימג' של Debian, כמו Debian GNU/Linux 12 (bookworm)‎. בהוראות האלה נעשה שימוש בפקודות שזמינות רק ב-Debian, כמו apt-get. אם צריך לשנות את דיסק האתחול, לוחצים על שינוי.
      1. בקטע Operating System (מערכת הפעלה), בוחרים באפשרות Debian.
      2. בקטע Version, בוחרים אחד מקובצי האימג' הזמינים של Debian, כמו Debian GNU/Linux 12 (bookworm).
      3. לוחצים על בחירה.
   4. לוחצים על אפשרויות מתקדמות ואז על רשת.
   5. מזינים את תגי הרשת הבאים: load-balanced-backend.
   6. בקטע Network interfaces (ממשקי רשת), בוחרים באפשרות Networks shared with me (from host project: HOST_PROJECT_ID) (רשתות ששותפו איתי (מפרויקט המארח: HOST_PROJECT_ID)).
   7. בוחרים את רשת המשנה lb-frontend-and-backend-subnet מהרשת lb-network.

   8. לוחצים על ניהול. בשביל ניהול, מזינים את הסקריפט הבא בשדה סקריפט לטעינה בזמן ההפעלה:

      #! /bin/bash
      apt-get update
      apt-get install apache2 -y
      a2ensite default-ssl
      a2enmod ssl
      vm_hostname="$(curl -H "Metadata-Flavor:Google" \
      http://metadata.google.internal/computeMetadata/v1/instance/name)"
      echo "Page served from: $vm_hostname" | \
      tee /var/www/html/index.html
      systemctl restart apache2
      

   9. לוחצים על יצירה.

2. יוצרים קבוצה של מופעי מכונה מנוהלים. נכנסים לדף Instance groups במסוף Google Cloud .

   כניסה לדף Instance groups

   1. לוחצים על יצירת קבוצת מופעים.
   2. בוחרים באפשרות New managed instance group (stateless) (קבוצת מופעי מכונה מנוהלים חדשה (בלי שמירת מצב)). מידע נוסף מופיע במאמר קבוצות של מכונות וירטואליות בלי שמירת מצב או עם שמירת מצב.
   3. מזינים שם לקבוצת המופעים: cross-ref-ig-backend.
   4. בקטע מיקום, בוחרים באפשרות אזור יחיד.
   5. בשדה Region, בוחרים us-west1.
   6. בשדה Zone, בוחרים באפשרות us-west1-a.
   7. בשדה תבנית של הגדרות מכונה, בוחרים באפשרות cross-ref-backend-template.

   8. מציינים את מספר המופעים שרוצים ליצור בקבוצה.

      בדוגמה הזו, מציינים את האפשרויות הבאות להתאמה אוטומטית לעומס:

      • בקטע מצב שינוי גודל אוטומטי, בוחרים באפשרות Off:do not autoscale.
      • בשדה מספר מופעים מקסימלי, מזינים 2.

      אופציונלי: בקטע Autoscaling (שינוי גודל אוטומטי), אפשר להגדיר את קבוצת המופעים כך שיוספו או יוסרו מופעים באופן אוטומטי בהתבסס על השימוש במעבד של המופעים.

   9. לוחצים על יצירה.

3. יוצרים שירות לקצה עורפי אזורי. במסגרת השלב הזה, אנחנו גם יוצרים את בדיקת התקינות ומוסיפים את ה-backends לשירות לקצה העורפי. נכנסים לדף Backends במסוף Google Cloud .

   כניסה לדף Backends

   1. לוחצים על יצירת שירות קצה עורפי אזורי.
   2. מזינים שם לשירות הקצה העורפי: cross-ref-backend-service.
   3. בשדה Region, בוחרים us-west1.
   4. בשדה Load balancer type, בוחרים באפשרות Regional external Application Load Balancer (EXTERNAL_MANAGED).
   5. מגדירים את Backend type בתור Instance groups.
   6. בקטע Backends, מגדירים את Network לערך lb-network.
   7. לוחצים על הוספת קצה עורפי ומגדירים את השדות הבאים:
      1. מגדירים את Instance group (קבוצת מופעים) ל-cross-ref-ig-backend.
      2. מגדירים את ניוד מספרים ל-80.
      3. מגדירים את Balancing mode (מצב איזון) לערך Utilization (ניצול).
      4. לוחצים על סיום.
   8. בקטע בדיקת תקינות, בוחרים באפשרות יצירת בדיקת תקינות עם הפרמטרים הבאים:
      1. Name (שם): cross-ref-http-health-check
      2. פרוטוקול: HTTP
      3. יציאה: 80
      4. לוחצים על Save.

   9. אופציונלי: בקטע Add permissions (הוספת הרשאות), מזינים את חשבונות המשתמשים ב-IAM (בדרך כלל כתובת אימייל) של אדמינים של איזון עומסים מפרויקטים אחרים, כדי שהם יוכלו להשתמש בשירות הקצה העורפי הזה למאזני עומסים בפרויקטים שלהם. בלי ההרשאה הזו, אי אפשר להשתמש בהפניה לשירותים בין פרויקטים.

      אם אין לכם הרשאה להגדיר מדיניות של בקרת גישה לשירותים לקצה העורפי בפרויקט הזה, אתם עדיין יכולים ליצור את השירות לקצה העורפי עכשיו, ומשתמש מורשה יוכל לבצע את השלב הזה מאוחר יותר, כמו שמתואר בקטע הענקת הרשאות לאדמין של איזון העומסים לשימוש בשירות לקצה העורפי. בקטע הזה מוסבר גם איך להעניק גישה לכל שירותי הקצה העורפי בפרויקט הזה, כדי שלא תצטרכו להעניק גישה בכל פעם שתיצרו שירות קצה עורפי חדש.

   10. לוחצים על יצירה.

gcloud

1. יוצרים תבנית של הגדרות מכונה עם שרת HTTP באמצעות הפקודה gcloud compute instance-templates create.

   gcloud compute instance-templates create BACKEND_IG_TEMPLATE \
       --region=us-west1 \
       --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
       --subnet=projects/HOST_PROJECT_ID/regions/us-west1/subnetworks/lb-frontend-and-backend-subnet \
       --tags=load-balanced-backend \
       --image-family=debian-12 \
       --image-project=debian-cloud \
       --metadata=startup-script='#! /bin/bash
       apt-get update
       apt-get install apache2 -y
       a2ensite default-ssl
       a2enmod ssl
       vm_hostname="$(curl -H "Metadata-Flavor:Google" \
       http://metadata.google.internal/computeMetadata/v1/instance/name)"
       echo "Page served from: $vm_hostname" | \
       tee /var/www/html/index.html
       systemctl restart apache2' \
       --project=SERVICE_PROJECT_B_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫BACKEND_IG_TEMPLATE: השם של תבנית קבוצת המכונות.
   • ‫SERVICE_PROJECT_B_ID: מזהה הפרויקט של פרויקט שירות ב', שבו נוצרים קצה העורפי של מאזן העומסים ושירות הקצה העורפי.
   • ‫HOST_PROJECT_ID: מזהה הפרויקט של פרויקט המארח של ה-VPC המשותף.

2. יוצרים קבוצת מופעי מכונה מנוהלים באזור באמצעות הפקודה gcloud compute instance-groups managed create.

   gcloud compute instance-groups managed create BACKEND_MIG \
       --zone=us-west1-a \
       --size=2 \
       --template=BACKEND_IG_TEMPLATE \
       --project=SERVICE_PROJECT_B_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫BACKEND_MIG: השם של קבוצת השרתים העורפיים.

3. מגדירים את בדיקת תקינות ה-HTTP באמצעות הפקודה gcloud compute health-checks create http.

   gcloud compute health-checks create http HTTP_HEALTH_CHECK_NAME \
     --region=us-west1 \
     --use-serving-port \
     --project=SERVICE_PROJECT_B_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫HTTP_HEALTH_CHECK_NAME: השם של בדיקת תקינות ה-HTTP.

4. מגדירים את שירות ה-Backend באמצעות הפקודה gcloud compute backend-services create.

   gcloud compute backend-services create BACKEND_SERVICE_NAME \
     --load-balancing-scheme=EXTERNAL_MANAGED \
     --protocol=HTTP \
     --health-checks=HTTP_HEALTH_CHECK_NAME \
     --health-checks-region=us-west1 \
     --region=us-west1 \
     --project=SERVICE_PROJECT_B_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • BACKEND_SERVICE_NAME: השם של שירות ה-Backend שנוצר בפרויקט השירות B.

5. מוסיפים קצה עורפי לשירות הקצה העורפי באמצעות הפקודה gcloud compute backend-services add-backend.

   gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
     --balancing-mode=UTILIZATION \
     --instance-group=BACKEND_MIG \
     --instance-group-zone=us-west1-a \
     --region=us-west1 \
     --project=SERVICE_PROJECT_B_ID
   

המסוף

בחירת סוג מאזן העומסים

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף איזון עומסים

2. לוחצים על Create load balancer (יצירת מאזן עומסים).
3. בקטע Type of load balancer, בוחרים באפשרות Application Load Balancer (HTTP/HTTPS) ולוחצים על Next.
4. בקטע Public facing or internal (פנימי או חיצוני), בוחרים באפשרות Public facing (external) (חיצוני) ולוחצים על Next (הבא).
5. אם בוחרים באפשרות פריסה גלובלית או פריסה באזור יחיד, בוחרים באפשרות הכי מתאים לעומסי עבודה אזוריים ולוחצים על הבא.
6. לוחצים על Configure (הגדרה).

הכנת מאזן העומסים

1. מזינים את השם של מאזן העומסים: cross-ref-l7-xlb-shared-vpc.
2. בשדה Region, בוחרים us-west1.

3. בקטע Network (רשת), בוחרים באפשרות lb-network (מתוך Project: HOST_PROJECT_ID).

   אם מוצגת האזהרה נדרשת תת-רשת של Proxy בלבד ברשת VPC משותפת, צריך לוודא שהאדמין של הפרויקט המארח יצר את proxy-only-subnet באזור us-west1 ברשת ה-VPC המשותפת lb-network. יצירת איזון עומסים תצליח גם אם אין לכם הרשאה לצפות ברשת המשנה של ה-proxy בלבד בדף הזה.

4. כדי להמשיך, צריך להשאיר את הדף פתוח.

הגדרת הקצה הקדמי

כדי שהפניה לשירות בין פרויקטים תפעל, חובה להשתמש בקצה הקדמי באותה רשת (lb-network) מפרויקט המארח של ה-VPC המשותף ששימשה ליצירת שירות לקצה העורפי.

ל-HTTP:

1. לוחצים על Frontend configuration.
2. מזינים שם לכלל ההעברה: cross-ref-http-forwarding-rule.
3. מגדירים את Protocol ל-HTTP.

4. מגדירים את Subnetwork ל-lb-frontend-and-backend-subnet.

   אל תבחרו ברשת המשנה של ה-frontend שמוגדרת רק לשימוש בשרת proxy, גם אם היא מופיעה ברשימה.

5. בוחרים את כתובת ה-IP שיצרתם בקטע שמירת כתובת ה-IP של מאזן העומסים, שנקראת cross-ref-ip-address.

6. מגדירים את Port ל-80.

7. לוחצים על סיום.

ל-HTTPS:

אם אתם משתמשים ב-HTTPS בין הלקוח לבין מאזן העומסים, אתם צריכים משאב אחד או יותר של אישור SSL כדי להגדיר את ה-proxy. מידע על יצירת משאבי אישורי SSL זמין במאמר בנושא אישורי SSL. בשלב הזה אין תמיכה באישורים שמנוהלים על ידי Google במאזני עומסים אזוריים חיצוניים של אפליקציות.

1. לוחצים על Frontend configuration.
2. מזינים שם לכלל ההעברה: cross-ref-https-forwarding-rule.
3. בשדה Protocol, בוחרים באפשרות HTTPS (includes HTTP/2).

4. מגדירים את Subnetwork ל-lb-frontend-and-backend-subnet.

   אל תבחרו ברשת המשנה של ה-frontend שמוגדרת רק לשימוש בשרת proxy, גם אם היא מופיעה ברשימה.

5. בוחרים את כתובת ה-IP שיצרתם בקטע שמירת כתובת ה-IP של מאזן העומסים, שנקראת cross-ref-ip-address.

6. מוודאים שהיציאה מוגדרת ל-443 כדי לאפשר תנועה של HTTPS.

7. לוחצים על הרשימה אישור.

   1. אם כבר יש לכם משאב של אישור SSL בניהול עצמי שבו אתם רוצים להשתמש כאישור ה-SSL הראשי, בוחרים אותו מהתפריט.
   2. אחרת, בוחרים באפשרות Create a new certificate.
      1. מזינים שם לאישור ה-SSL.
      2. בשדות המתאימים, מעלים את הקבצים בפורמט PEM:
         • אישור של מפתח ציבורי
         • שרשרת אישורים
         • מפתח פרטי
      3. לוחצים על יצירה.

8. כדי להוסיף משאבי אישורים בנוסף למשאב אישור ה-SSL הראשי:

   1. לוחצים על הוספת אישור.
   2. בוחרים אישור מהרשימה Certificates או לוחצים על Create a new certificate ופועלים לפי ההוראות הקודמות.

9. לוחצים על סיום.

הגדרת הקצה העורפי

1. לוחצים על Backend configuration.
2. לוחצים על Cross-project backend services (שירותי קצה עורפיים חוצי-פרויקטים).
3. בשדה Project ID, מזינים את מזהה הפרויקט של פרויקט שירות B.
4. ברשימה Select backend services (בחירת שירותי קצה עורפי), בוחרים את שירותי הקצה העורפי מפרויקט השירות B שרוצים להשתמש בהם. בדוגמה הזו, מזינים את הערך cross-ref-backend-service.
5. לוחצים על OK.

הגדרת כללי הניתוב

• לוחצים על כללי ניתוב. מוודאים ש-cross-ref-backend-service הוא שירות הקצה העורפי היחיד לכל מארח שלא נמצאה לו התאמה ולכל נתיב שלא נמצאה לו התאמה.

מידע על ניהול תנועה מופיע במאמר הגדרת ניהול תנועה.

בדיקה וסיום של ההגדרה

• לוחצים על יצירה.

בדיקת מאזן העומסים

אחרי שיוצרים את מאזן העומסים, בודקים אותו באמצעות השלבים שמתוארים במאמר בדיקת מאזן העומסים.

gcloud

1. אופציונלי: לפני שיוצרים מאזן עומסים עם שירותי קצה עורפיים שמתייחסים זה לזה, כדאי לבדוק אם אפשר להתייחס לשירותי הקצה העורפיים שרוצים להפנות אליהם באמצעות מיפוי URL:

   gcloud compute backend-services list-usable \
       --region=us-west1 \
       --project=SERVICE_PROJECT_B_ID
   

2. יוצרים את מפת URL ומגדירים את שירות ברירת המחדל לשירות לקצה העורפי שנוצר בפרויקט השירות B.

   gcloud compute url-maps create URL_MAP_NAME \
       --default-service=projects/SERVICE_PROJECT_B_ID/regions/us-west1/backendServices/BACKEND_SERVICE_NAME \
       --region=us-west1 \
       --project=SERVICE_PROJECT_A_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫URL_MAP_NAME: השם של מפת ה-URL.
   • ‫BACKEND_SERVICE_NAME: השם של שירות הקצה העורפי שנוצר בפרויקט השירות B.
   • ‫SERVICE_PROJECT_B_ID: מזהה הפרויקט של פרויקט שירות B, שבו נוצרו קצה העורפי של מאזן העומסים ושירות הקצה העורפי.
   • SERVICE_PROJECT_A_ID: מזהה הפרויקט של פרויקט השירות א', שבו נוצר קצה קדמי של מאזן העומסים.

   יצירת מפת URL תיכשל אם אין לכם את ההרשאה compute.backendServices.use לשירות לקצה העורפי בפרויקט השירות ב.

3. יוצרים את שרת ה-proxy של היעד.

   ל-HTTP:

   gcloud compute target-http-proxies create HTTP_TARGET_PROXY_NAME \
     --url-map=URL_MAP_NAME \
     --url-map-region=us-west1 \
     --region=us-west1 \
     --project=SERVICE_PROJECT_A_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫HTTP_TARGET_PROXY_NAME: השם של ה-proxy ל-HTTP של היעד.

   ל-HTTPS:

   יוצרים אישור SSL אזורי באמצעות הפקודה gcloud compute ssl-certificates create.

   gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \
     --certificate=PATH_TO_CERTIFICATE \
     --private-key=PATH_TO_PRIVATE_KEY \
     --region=us-west1 \
     --project=SERVICE_PROJECT_A_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫SSL_CERTIFICATE_NAME: השם של משאב אישור ה-SSL.
   • ‫PATH_TO_CERTIFICATE: הנתיב לקובץ אישור ה-SSL המקומי בפורמט PEM.
   • ‫PATH_TO_PRIVATE_KEY: הנתיב למפתח הפרטי של אישור ה-SSL המקומי בפורמט PEM.

   משתמשים באישור ה-SSL האזורי כדי ליצור שרת proxy ליעד באמצעות הפקודה gcloud compute target-https-proxies create.

   gcloud compute target-https-proxies create HTTPS_TARGET_PROXY_NAME \
     --url-map=URL_MAP_NAME \
     --region=us-west1 \
     --ssl-certificates=SSL_CERTIFICATE_NAME \
     --project=SERVICE_PROJECT_A_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫HTTPS_TARGET_PROXY_NAME: השם של שרת ה-proxy ל-HTTPS של היעד.

4. יוצרים את כלל ההעברה. כדי שהפניה לשירות בין פרויקטים תפעל, כלל ההעברה צריך להשתמש באותה רשת (lb-network) מפרויקט המארח של ה-VPC המשותף ששימש ליצירת שירות ה-Backend.

   ל-HTTP:

   gcloud compute forwarding-rules create HTTP_FORWARDING_RULE_NAME \
     --load-balancing-scheme=EXTERNAL_MANAGED \
     --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
     --address=IP_ADDRESS_CROSS_REF \
     --ports=80 \
     --region=us-west1 \
     --target-http-proxy=HTTP_TARGET_PROXY_NAME \
     --target-http-proxy-region=us-west1 \
     --network-tier=STANDARD \
     --project=SERVICE_PROJECT_A_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫HTTP_FORWARDING_RULE_NAME: השם של כלל ההעברה שמשמש לטיפול בתעבורת HTTP.

   ל-HTTPS:

   gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \
     --load-balancing-scheme=EXTERNAL_MANAGED \
     --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
     --address=IP_ADDRESS_CROSS_REF \
     --ports=443 \
     --region=us-west1 \
     --target-https-proxy=HTTPS_TARGET_PROXY_NAME \
     --target-https-proxy-region=us-west1 \
     --network-tier=STANDARD \
     --project=SERVICE_PROJECT_A_ID
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫HTTPS_FORWARDING_RULE_NAME: השם של כלל ההעברה שמשמש לטיפול בתנועת HTTPS.

5. כדי לבדוק את מאזן העומסים, פועלים לפי השלבים שמתוארים במאמר בדיקת מאזן העומסים.

המסוף

הרשאות ברמת הפרויקט

כדי לתת הרשאות לכל שירותי הקצה העורפי בפרויקט, מבצעים את הפעולות הבאות.

כדי להשלים את השלב הזה, צריך את ההרשאות compute.regionBackendServices.setIamPolicy ו-resourcemanager.projects.setIamPolicy.

1. נכנסים לדף IAM במסוף Google Cloud .

   כניסה לדף IAM

2. בוחרים את הפרויקט הרצוי.

3. לוחצים על person_addGrant access.

4. בשדה New principals, מזינים את כתובת האימייל או מזהה אחר של החשבון הראשי.

5. ברשימה Select a role בוחרים באפשרות Compute Load Balancer Services User.

6. אם רוצים, מוסיפים תנאי לתפקיד.

7. לוחצים על Save.

הרשאות ברמת המשאב לשירותי קצה עורפיים ספציפיים

כדי לתת הרשאות לשירותי קצה עורפיים ספציפיים בפרויקט, מבצעים את השלבים הבאים.

כדי להשלים את השלב הזה, נדרשת ההרשאה compute.regionBackendServices.setIamPolicy.

1. נכנסים לדף Backends במסוף Google Cloud .

   כניסה לדף Backends

2. ברשימת שירותי הקצה העורפי, בוחרים את שירות הקצה העורפי שרוצים להעניק לו גישה ולוחצים על person_addהרשאות.

3. לוחצים על person_addAdd principal.

4. בשדה New principals, מזינים את כתובת האימייל או מזהה אחר של החשבון הראשי.

5. ברשימה Select a role בוחרים באפשרות Compute Load Balancer Services User.

6. לוחצים על Save.

gcloud

הרשאות ברמת הפרויקט

כדי לתת הרשאות לכל שירותי הקצה העורפי בפרויקט, מבצעים את הפעולות הבאות.

כדי להשלים את השלב הזה, צריך את ההרשאות compute.regionBackendServices.setIamPolicy ו-resourcemanager.projects.setIamPolicy.

gcloud projects add-iam-policy-binding SERVICE_PROJECT_B_ID \
    --member="user:LOAD_BALANCER_ADMIN" \
    --role="roles/compute.loadBalancerServiceUser"

הרשאות ברמת המשאב לשירותי קצה עורפיים ספציפיים

ברמת שירות הקצה העורפי, אדמינים של פרויקט שירות יכולים להשתמש באחת מהפקודות הבאות כדי להעניק את התפקיד 'משתמש בשירותי איזון עומסים ב-Compute' (roles/compute.loadBalancerServiceUser).

כדי להשלים את השלב הזה, נדרשת ההרשאה compute.regionBackendServices.setIamPolicy.

gcloud projects add-iam-policy-binding SERVICE_PROJECT_B_ID \
    --member="user:LOAD_BALANCER_ADMIN" \
    --role="roles/compute.loadBalancerServiceUser" \
    --condition='expression=resource.name=="projects/SERVICE_PROJECT_B_ID/regions/us-west1/backend-services/BACKEND_SERVICE_NAME",title=Shared VPC condition'

או

gcloud compute backend-services add-iam-policy-binding BACKEND_SERVICE_NAME \
    --member="user:LOAD_BALANCER_ADMIN" \
    --role="roles/compute.loadBalancerServiceUser" \
    --project=SERVICE_PROJECT_B_ID \
    --region=us-west1

כדי להשתמש בפקודות האלה, צריך להחליף את LOAD_BALANCER_ADMIN בפרינציפל של המשתמש, למשל test-user@gmail.com.

אפשר גם להגדיר הרשאות IAM כך שהן יחולו רק על קבוצת משנה של שירותי קצה עורפיים אזוריים באמצעות תנאים וציון מאפייני תנאים.

gcloud

כדי לראות משאבים שמפנים לשירות קצה עורפי אזורי של VPC משותף, מריצים את הפקודה הבאה:

gcloud compute backend-services describe BACKEND_SERVICE_NAME \
    --region REGION

מחליפים את מה שכתוב בשדות הבאים:

• ‫BACKEND_SERVICE_NAME: השם של שירות הקצה העורפי של מאזן העומסים
• ‫REGION: האזור של מאזן העומסים

בפלט הפקודה, בודקים את השדה usedBy שבו מוצגים המשאבים שמפנים לשירות לקצה העורפי, כמו בדוגמה הבאה:

id: '123456789'
kind: compute#backendService
loadBalancingScheme: INTERNAL_MANAGED
...
usedBy:
-   reference: https://www.googleapis.com/compute/v1/projects/my-project/region/us-central1/urlMaps/my-url-map