Menyiapkan Load Balancer Aplikasi eksternal regional dengan bucket Cloud Storage

Dokumen ini menunjukkan cara membuat Load Balancer Aplikasi eksternal regional untuk merutekan permintaan konten statis ke bucket Cloud Storage.

Sebelum memulai

Pastikan penyiapan Anda memenuhi prasyarat berikut.

Menginstal Google Cloud CLI

Beberapa petunjuk dalam panduan ini hanya dapat dilakukan menggunakan Google Cloud CLI. Untuk menginstalnya, lihat Menginstal gcloud CLI.

Anda dapat menemukan perintah terkait load balancing dalam dokumen referensi API dan gcloud CLI.

Peran yang diperlukan

Jika Anda adalah project creator, Anda diberi peran Pemilik (roles/owner). Secara default, peran Pemilik (roles/owner) atau peran Editor (roles/editor) mencakup izin yang diperlukan untuk mengikuti dokumen ini.

Jika Anda bukan project creator, izin yang diperlukan harus diberikan pada project kepada akun utama yang sesuai. Misalnya, akun utama dapat berupa Akun Google (untuk pengguna akhir) atau akun layanan.

Untuk mendapatkan izin yang Anda perlukan guna membuat bucket Cloud Storage dan resource jaringan, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Untuk mengetahui informasi selengkapnya tentang peran dan izin untuk Cloud Load Balancing, lihat Peran dan izin. Untuk mengetahui informasi selengkapnya tentang cara menentukan kebijakan IAM dengan pemberian akses bersyarat untuk aturan penerusan, lihat Kondisi IAM untuk aturan penerusan.

Menyiapkan resource sertifikat SSL

Untuk Load Balancer Aplikasi eksternal regional yang menggunakan HTTPS sebagai protokol permintaan dan respons, Anda dapat membuat resource sertifikat SSL menggunakan sertifikat SSL Compute Engine atau sertifikat Pengelola Sertifikat.

Untuk contoh ini, buat resource sertifikat SSL menggunakan Pengelola Sertifikat seperti yang dijelaskan dalam salah satu dokumen berikut:

Setelah membuat sertifikat, Anda dapat melampirkan sertifikat ke proxy target HTTPS.

Sebaiknya gunakan sertifikat yang dikelola Google.

Batasan

Batasan berikut berlaku untuk bucket Cloud Storage saat berfungsi sebagai backend untuk Load Balancer Aplikasi eksternal regional:

  • Akses bucket pribadi tidak didukung, sehingga bucket backend harus dapat diakses secara publik melalui internet.

  • URL bertanda tangan tidak didukung.

  • Integrasi Cloud CDN tidak tersedia saat membuat bucket backend untuk Load Balancer Aplikasi eksternal regional.

  • Saat menggunakan Load Balancer Aplikasi eksternal regional untuk mengakses bucket backend, hanya metode GET HTTP yang didukung. Anda dapat mendownload konten dari bucket, tetapi mengupload konten ke bucket melalui Load Balancer Aplikasi eksternal regional tidak tersedia.

  • Untuk Load Balancer Aplikasi eksternal regional, bucket Cloud Storage hanya didukung di region tempat load balancer dikonfigurasi. Bucket dual-region atau multi-region tidak didukung.

Ringkasan penyiapan

Diagram berikut menunjukkan Load Balancer Aplikasi eksternal regional dengan bucket backend yang berada di region yang sama dengan load balancer.

Aturan penerusan Load Balancer Aplikasi eksternal regional memiliki alamat IP eksternal.

Load Balancer Aplikasi eksternal regional mengirimkan traffic ke backend Cloud Storage.
Mendistribusikan traffic ke Cloud Storage (klik untuk memperbesar).

Di bagian berikutnya, Anda akan mengonfigurasi berbagai resource seperti yang ditunjukkan dalam diagram sebelumnya.

Mengonfigurasi jaringan dan subnet khusus proxy

Contoh ini menggunakan jaringan VPC, region, dan subnet khusus proxy berikut:

  • Jaringan. Jaringan ini adalah jaringan VPC mode kustom bernama lb-network.

  • Subnet untuk proxy Envoy. Subnet bernama proxy-only-subnet-us di region us-east1 menggunakan 10.129.0.0/23 untuk rentang IP utamanya.

Mengonfigurasi jaringan VPC mode kustom

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik Create VPC network.

  3. Untuk Name, masukkan lb-network.

  4. Klik Buat.

gcloud

  1. Buat jaringan VPC kustom, bernama lb-network, dengan perintah gcloud compute networks create.

    gcloud compute networks create lb-network --subnet-mode=custom

Mengonfigurasi subnet khusus proxy

Subnet khusus proxy menyediakan serangkaian alamat IP yang digunakan Google Cloud untuk menjalankan proxy Envoy atas nama Anda. Proxy menghentikan koneksi dari klien dan membuat koneksi baru ke backend.

Subnet khusus proxy ini digunakan oleh semua load balancer regional berbasis Envoy di region yang sama dengan jaringan VPC. Hanya ada satu subnet khusus proxy yang aktif untuk tujuan tertentu, per region, per jaringan.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik nama jaringan VPC yang Anda buat.

  3. Di tab Subnet, klik Tambahkan subnet.

  4. Masukkan informasi sebagai berikut:

    • Nama: proxy-only-subnet-us
    • Region: us-east1
    • Tujuan: Proxy Terkelola Regional
    • Rentang alamat IP: 10.129.0.0/23

  5. Klik Tambahkan.

gcloud

  1. Buat subnet khusus proxy di region us-east1 dengan perintah gcloud compute networks subnets create.

    gcloud compute networks subnets create proxy-only-subnet-us \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=us-east1 \
    --network=lb-network \
    --range=10.129.0.0/23

Mengonfigurasi bucket Cloud Storage

Proses untuk mengonfigurasi bucket Cloud Storage Anda adalah sebagai berikut:

  • Buat bucket.
  • Salin konten ke bucket.

Membuat bucket Cloud Storage

Dalam contoh ini, Anda membuat dua bucket Cloud Storage di region us-east1.

Konsol

  1. Di konsol Google Cloud , buka halaman Buckets Cloud Storage.

    Buka Buckets

  2. Klik Create .

  3. Di bagian Mulai, masukkan nama yang unik secara global yang mengikuti pedoman penamaan.

  4. Klik Pilih lokasi untuk menyimpan data Anda.

  5. Tetapkan Location type ke Region.

  6. Dari daftar region, pilih us-east1.

  7. Klik Buat.

  8. Klik Buckets untuk kembali ke halaman Cloud Storage Buckets. Gunakan petunjuk ini untuk membuat bucket kedua di region us-east1.

gcloud

  1. Buat bucket pertama di region us-east1 dengan perintah gcloud storage buckets create.

    gcloud storage buckets create gs://BUCKET1_NAME \
    --default-storage-class=standard \
    --location=us-east1 \
    --uniform-bucket-level-access

  2. Buat bucket kedua juga di region us-east1 dengan perintah gcloud storage buckets create.

    gcloud storage buckets create gs://BUCKET2_NAME \
    --default-storage-class=standard \
    --location=us-east1 \
    --uniform-bucket-level-access

Ganti variabel BUCKET1_NAME dan BUCKET2_NAME dengan nama bucket Cloud Storage Anda.

Menyalin file grafik ke bucket Cloud Storage Anda

Agar Anda dapat menguji penyiapan, salin file grafis dari bucket Cloud Storage publik ke bucket Cloud Storage Anda sendiri.

Jalankan perintah berikut di Cloud Shell, dengan mengganti variabel nama bucket dengan nama bucket Cloud Storage unik Anda:

gcloud storage cp gs://gcp-external-http-lb-with-bucket/three-cats.jpg gs://BUCKET1_NAME/love-to-purr/

gcloud storage cp gs://gcp-external-http-lb-with-bucket/two-dogs.jpg gs://BUCKET2_NAME/love-to-fetch/

Menjadikan bucket Cloud Storage Anda dapat dibaca oleh publik

Agar semua objek dalam bucket dapat dibaca oleh semua orang di internet publik, berikan peran Storage Object Viewer (roles/storage.objectViewer) kepada akun utama allUsers.

Konsol

Untuk memberikan akses kepada semua pengguna untuk melihat objek di bucket Anda, ulangi prosedur berikut untuk setiap bucket:

  1. Di konsol Google Cloud , buka halaman Buckets Cloud Storage.

    Buka Buckets

  2. Dalam daftar bucket, klik nama bucket yang ingin Anda tampilkan kepada publik.

  3. Pilih tab Izin.

  4. Di bagian Permissions, klik tombol Grant access. Dialog Grant access akan muncul.

  5. Di kolom New principals, masukkan allUsers.

  6. Di kolom Select a role, masukkan Storage Object Viewer di kotak filter, lalu pilih Storage Object Viewer dari hasil yang difilter.

  7. Klik Simpan.

  8. Klik Allow public access.

gcloud

Untuk memberikan akses kepada semua pengguna agar dapat melihat objek di bucket Anda, jalankan perintah buckets add-iam-policy-binding.

gcloud storage buckets add-iam-policy-binding gs://BUCKET1_NAME \
    --member=allUsers \
    --role=roles/storage.objectViewer

gcloud storage buckets add-iam-policy-binding gs://BUCKET2_NAME \
   --member=allUsers \
   --role=roles/storage.objectViewer

Mencadangkan alamat IP load balancer

Cadangkan alamat IP eksternal statis untuk aturan penerusan load balancer.

Konsol

  1. Di konsol Google Cloud , buka halaman Reserve a static address.

    Buka Reserve a static address

  2. Pilih Nama untuk alamat baru.

  3. Untuk IP version, pilih IPv4.

  4. Untuk Jenis, pilih Regional.

  5. Untuk Region, pilih us-east1.

  6. Biarkan opsi Dilampirkan ke ditetapkan ke Tidak ada. Setelah Anda membuat load balancer, alamat IP ini dilampirkan ke aturan penerusan load balancer.

  7. Klik Reserve untuk mereservasi alamat IP.

gcloud

  1. Untuk mencadangkan alamat IP eksternal statis, gunakan perintah gcloud compute addresses create.

    gcloud compute addresses create ADDRESS_NAME \
   --region=us-east1

    Ganti kode berikut:

    • ADDRESS_NAME: nama yang ingin Anda beri untuk alamat ini.

  2. Gunakan perintah gcloud compute addresses describe untuk melihat hasilnya:

    gcloud compute addresses describe ADDRESS_NAME

Alamat IP yang ditampilkan disebut sebagai RESERVED_IP_ADDRESS di bagian berikut.

Mengonfigurasi load balancer dengan bucket backend

Bagian ini menunjukkan cara membuat resource berikut untuk Load Balancer Aplikasi eksternal regional:

  • Dua bucket backend. Bucket backend berfungsi sebagai wrapper untuk bucket Cloud Storage yang Anda buat sebelumnya.
  • Peta URL
  • Proxy target
  • Aturan penerusan dengan alamat IP regional. Aturan penerusan memiliki alamat IP eksternal.

Dalam contoh ini, Anda dapat menggunakan HTTP atau HTTPS sebagai protokol permintaan dan respons antara klien dan load balancer. Untuk membuat load balancer HTTPS, Anda harus menambahkan resource sertifikat SSL ke frontend load balancer.

Untuk membuat komponen load balancing yang disebutkan di atas menggunakan gcloud CLI, ikuti langkah-langkah berikut:

  1. Buat dua bucket backend di region us-east1 dengan perintah gcloud beta compute backend-buckets create. Bucket backend memiliki skema load balancing EXTERNAL_MANAGED.

    gcloud beta compute backend-buckets create backend-bucket-cats \
    --gcs-bucket-name=BUCKET1_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --region=us-east1

    gcloud beta compute backend-buckets create backend-bucket-dogs \
    --gcs-bucket-name=BUCKET2_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --region=us-east1

    Ganti variabel BUCKET1_NAME dan BUCKET2_NAME dengan nama bucket Cloud Storage Anda.

  2. Buat peta URL untuk mengarahkan permintaan masuk ke bucket backend dengan perintah gcloud beta compute url-maps create.

    gcloud beta compute url-maps create URL_MAP_NAME \
    --default-backend-bucket=backend-bucket-cats \
    --region=us-east1

    Ganti variabel URL_MAP_NAME dengan nama peta URL.

  3. Konfigurasi aturan host dan jalur peta URL dengan perintah gcloud beta compute url-maps add-path-matcher.

    Dalam contoh ini, bucket backend default adalah backend-bucket-cats, yang menangani semua jalur yang ada di dalamnya. Namun, setiap permintaan yang menargetkan http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg menggunakan backend backend-bucket-dogs. Misalnya, jika folder /love-to-fetch/ juga ada dalam backend default Anda (backend-bucket-cats), load balancer akan memprioritaskan backend backend-bucket-dogs karena ada aturan jalur khusus untuk /love-to-fetch/*.

    gcloud beta compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=path-matcher-pets \
    --new-hosts=* \
    --backend-bucket-path-rules="/love-to-fetch/*=backend-bucket-dogs" \
    --default-backend-bucket=backend-bucket-cats

    Ganti variabel URL_MAP_NAME dengan nama peta URL.

  4. Buat proxy target dengan perintah gcloud compute target-http-proxies create.

    Untuk traffic HTTP, buat proxy HTTP target untuk mengarahkan permintaan ke peta URL:

    gcloud compute target-http-proxies create http-proxy \
    --url-map=URL_MAP_NAME \
    --region=us-east1

    Ganti variabel URL_MAP_NAME dengan nama peta URL.

    Untuk traffic HTTPS, buat proxy HTTPS target untuk merutekan permintaan ke peta URL. Proxy ini merupakan bagian dari load balancer yang menampung sertifikat SSL untuk load balancer HTTPS. Setelah membuat sertifikat, Anda dapat melampirkan sertifikat ke proxy target HTTPS.

    Untuk melampirkan sertifikat Certificate Manager, jalankan perintah berikut:

    gcloud compute target-https-proxies create https-proxy \
    --url-map=URL_MAP_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --region=us-east1

    Ganti kode berikut:

  5. Buat aturan penerusan dengan alamat IP di region us-east1 menggunakan perintah gcloud compute forwarding-rules create.

    Untuk traffic HTTP, buat aturan penerusan regional untuk merutekan permintaan masuk ke proxy target HTTP:

    gcloud compute forwarding-rules create http-fw-rule \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --network=lb-network \
    --address=RESERVED_IP_ADDRESS \
    --ports=80 \
    --region=us-east1 \
    --target-http-proxy=http-proxy \
    --target-http-proxy-region=us-east1

    Untuk traffic HTTPS, buat aturan penerusan regional untuk merutekan permintaan masuk ke proxy target HTTPS:

    gcloud compute forwarding-rules create https-fw-rule \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --network=lb-network \
    --address=RESERVED_IP_ADDRESS \
    --ports=443 \
    --region=us-east1 \
    --target-https-proxy=https-proxy \
    --target-https-proxy-region=us-east1

Mengirim permintaan HTTP ke load balancer

Setelah layanan load balancing berjalan, Anda dapat mengirim permintaan ke aturan penerusan load balancer.

  1. Dapatkan alamat IP aturan penerusan load balancer (http-fw-rule), yang berada di region us-east1.

      gcloud compute forwarding-rules describe http-fw-rule \
      --region=us-east1

    Salin alamat IP yang ditampilkan untuk digunakan sebagai FORWARDING_RULE_IP_ADDRESS di langkah berikutnya.

  2. Buat permintaan HTTP ke alamat IP virtual (VIP) aturan penerusan menggunakan curl.

      curl http://FORWARDING_RULE_IP_ADDRESS/love-to-purr/three-cats.jpg --output three-cats.jpg

      curl http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg --output two-dogs.jpg

Langkah berikutnya