Configura un balanceador de cargas de aplicaciones interno entre regiones con buckets de Cloud Storage en un entorno de VPC compartida

En este documento, se muestran dos opciones de configuración de muestra para configurar un balanceador de cargas de aplicaciones interno entre regiones en un entorno de VPC compartida con buckets de Cloud Storage:

  • En el primer ejemplo, se crean todos los componentes y backends del balanceador de cargas en un proyecto de servicio.
  • En el segundo ejemplo, se crean los componentes de frontend y el mapa de URL del balanceador de cargas en un proyecto de servicio, mientras que el bucket de backend y los buckets de Cloud Storage del balanceador de cargas se crean en un proyecto de servicio diferente.

Ambos ejemplos requieren la misma configuración inicial para otorgar los roles necesarios y configurar una VPC compartida antes de que puedas comenzar a crear balanceadores de cargas.

Además de las configuraciones de ejemplo mencionadas en este documento, también puedes configurar una implementación de VPC compartida en la que el frontend y el mapa de URL del balanceador de cargas se creen en el proyecto host, y los buckets de backend, junto con los buckets de Cloud Storage, se creen en un proyecto de servicio. Para obtener más información sobre otras arquitecturas válidas de VPC compartida, consulta Arquitecturas de VPC compartida.

Si no deseas usar una red de VPC compartida, consulta Configura un balanceador de cargas de aplicaciones interno entre regiones con buckets de Cloud Storage.

Antes de comenzar

Asegúrate de que tu configuración cumpla con los requisitos.

Crear proyectos de Google Cloud

Crea Google Cloud proyectos para un host y dos proyectos de servicio.

Roles obligatorios

Para obtener los permisos que necesitas para configurar un balanceador de cargas de aplicaciones externo regional en un entorno de VPC compartida con buckets de Cloud Storage, pídele a tu administrador que te otorgue los siguientes roles de IAM :

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Configura un entorno de VPC compartida

Completa los siguientes pasos en el proyecto host para configurar un entorno de VPC compartida:

  1. Configura las subredes para las reglas de reenvío del balanceador de cargas.
  2. Configura las subredes de solo proxy.
  3. Configura una regla de firewall.
  4. Configura una VPC compartida en el proyecto host.

No es necesario realizar los pasos de esta sección cada vez que quieras crear un balanceador de cargas nuevo. Sin embargo, debes asegurarte de tener acceso a los recursos descritos aquí antes de continuar con la creación del balanceador de cargas.

El proyecto host usa la siguiente red de VPC, región y subredes:

  • Red. Es una red de VPC de modo personalizado con el nombre lb-network.

  • Subredes para el balanceador de cargas. Una subred llamada subnet-us en la región us-east1 usa 10.1.2.0/24 para su rango de IP principal. Una subred llamada subnet-asia en la región asia-east1 usa 10.1.3.0/24 para su rango de IP principal.

  • Subred para proxies de Envoy. Una subred llamada proxy-only-subnet-us-east1 en la región us-east1 usa 10.129.0.0/23 para su rango de IP principal. Una subred llamada proxy-only-subnet-asia-east1 en la región asia-east1 usa 10.130.0.0/23 para su rango de IP principal.

Configura las subredes para las reglas de reenvío del balanceador de cargas

Console

  1. En la consola de Google Cloud , ve a la página Redes de VPC.

    Ir a Redes de VPC

  2. Haz clic en Crear red de VPC.

  3. En Nombre, ingresa lb-network.

  4. En la sección Subredes, selecciona Personalizado en Modo de creación de subred.

  5. En la sección Subred nueva, ingresa la siguiente información:

    • Nombre: subnet-us
    • Selecciona una Región: us-east1
    • Rangos de direcciones IP: 10.1.2.0/24

  6. Haz clic en Listo.

  7. Haz clic en Agregar subred.

  8. Crea otra subred para la regla de reenvío del balanceador de cargas en una región diferente. En la sección Subred nueva, ingresa la siguiente información:

    • Nombre: subnet-asia
    • Región: asia-east1
    • Rangos de direcciones IP: 10.1.3.0/24

  9. Haz clic en Listo.

  10. Haz clic en Crear.

gcloud

  1. Crea una red de VPC personalizada, llamada lb-network, con el comando gcloud compute networks create.

    gcloud compute networks create lb-network \
    --subnet-mode=custom \
    --project=HOST_PROJECT_ID

  2. Crea una subred, llamada subnet-us, en la red de VPC lb-network en la región us-east1 con el comando gcloud compute networks subnets create.

    gcloud compute networks subnets create subnet-us \
    --network=lb-network \
    --range=10.1.2.0/24 \
    --region=us-east1 \
    --project=HOST_PROJECT_ID

  3. Crea una subred, llamada subnet-asia, en la red de VPC lb-network en la región asia-east1 con el comando gcloud compute networks subnets create.

    gcloud compute networks subnets create subnet-asia \
    --network=lb-network \
    --range=10.1.3.0/24 \
    --region=asia-east1 \
    --project=HOST_PROJECT_ID

    Reemplaza HOST_PROJECT_ID por elGoogle Cloud ID del proyecto asignado al proyecto que está habilitado como proyecto host en un entorno de VPC compartida.

Configura las subredes de solo proxy

Una subred de solo proxy proporciona un conjunto de direcciones IP que Google Cloud usa para ejecutar proxies de Envoy en tu nombre. Los proxies finalizan las conexiones del cliente y crean conexiones nuevas a los backends.

Todos los balanceadores de cargas regionales basados en Envoy usan esta subred de solo proxy en la misma región de la red de VPC. Solo puede haber una subred de solo proxy activa para un propósito determinado, por región y por red. En este ejemplo, creamos dos subredes de solo proxy: una en la región us-east1 y la otra en la región asia-east1.

Console

  1. En la consola de Google Cloud , ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en el nombre de la red de VPC que creaste.

  3. En la pestaña Subred, haz clic en Agregar subred.

  4. Ingresa la siguiente información:

    • En Nombre, ingresa proxy-only-subnet-us.
    • En Región, ingresa us-east1.
    • En Propósito, selecciona Proxy administrado entre regiones.
    • En Rango de direcciones IP, ingresa 10.129.0.0/23.

  5. Haz clic en Agregar.

  6. Crea otra subred de solo proxy en la región asia-east1. En la pestaña Subred, haz clic en Agregar subred.

  7. Ingresa la siguiente información:

    • En Nombre, ingresa proxy-only-subnet-asia.
    • En Región, ingresa asia-east1.
    • En Propósito, selecciona Proxy administrado entre regiones.
    • En Rango de direcciones IP, ingresa 10.130.0.0/23.

  8. Haz clic en Agregar.

gcloud

  1. Crea una subred de solo proxy en la región us-east1 con el comando gcloud compute networks subnets create.

    En este ejemplo, la subred de solo proxy se llama proxy-only-subnet-us.

    gcloud compute networks subnets create proxy-only-subnet-us \
    --purpose=GLOBAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=us-east1 \
    --network=lb-network \
    --range=10.129.0.0/23 \
    --project=HOST_PROJECT_ID

  2. Crea una subred de solo proxy en la región asia-east1 con el comando gcloud compute networks subnets create.

    En este ejemplo, la subred de solo proxy se llama proxy-only-subnet-asia.

    gcloud compute networks subnets create proxy-only-subnet-asia \
    --purpose=GLOBAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=asia-east1 \
    --network=lb-network \
    --range=10.130.0.0/23 \
    --project=HOST_PROJECT_ID

    Reemplaza HOST_PROJECT_ID por elGoogle Cloud ID del proyecto asignado al proyecto host.

Configura una regla de firewall

En este ejemplo, se usa una regla de firewall de entrada que permite el acceso SSH en el puerto 22 a la VM del cliente. En este ejemplo, la regla de firewall se llama fw-allow-ssh.

Console

  1. En la consola de Google Cloud , ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. Haz clic en Crear regla de firewall para crear la regla que permite conexiones SSH entrantes en la VM del cliente:

    • Nombre: fw-allow-ssh
    • Red: lb-network
    • Dirección del tráfico: Entrada
    • Acción en caso de coincidencia: Permitir
    • Destinos: Etiquetas de destino especificadas
    • Etiquetas de destino: allow-ssh
    • Filtro de fuente: Rangos de IPv4
    • Rangos de IPv4 de origen: 0.0.0.0/0
    • Protocolos y puertos:
      • Elige Protocolos y puertos especificados.
      • Selecciona la casilla de verificación TCP y, luego, ingresa 22 para el número de puerto.

  3. Haz clic en Crear.

gcloud

  1. Crea una regla de firewall para permitir la conectividad SSH a las VMs con la etiqueta de red allow-ssh. Cuando omites --source-ranges,Google Cloud interpreta que la regla significa cualquier fuente.

    En este ejemplo, la regla de firewall se llama fw-allow-ssh.

    gcloud compute firewall-rules create fw-allow-ssh \
    --network=lb-network \
    --action=allow \
    --direction=ingress \
    --target-tags=allow-ssh \
    --rules=tcp:22 \
    --project=HOST_PROJECT_ID

    Reemplaza HOST_PROJECT_ID por elGoogle Cloud ID del proyecto asignado al proyecto host.

Configura una VPC compartida en el proyecto host

Puedes habilitar un proyecto host de VPC compartida, compartir subredes del proyecto host y conectar proyectos de servicio al proyecto host para que los proyectos de servicio puedan usar la red de VPC compartida. Para configurar una VPC compartida en el proyecto host, consulta las siguientes páginas:

Después de completar los pasos anteriores, puedes realizar una de las siguientes configuraciones:

Configura un balanceador de cargas en el proyecto de servicio

En este ejemplo, se crea un balanceador de cargas de aplicaciones interno entre regiones en el que todos los componentes de balanceo de cargas (regla de reenvío, proxy de destino, mapa de URL y bucket de backend) y los buckets de Cloud Storage se crean en el proyecto de servicio.

Los recursos de redes del balanceador de cargas, como la subred de VPC, la subred de solo proxy y la regla de firewall, se crean en el proyecto host.

Figura 1. Balanceador de cargas de aplicaciones interno entre regiones en un entorno de VPC compartida con buckets de Cloud Storage
Figura 1. Balanceador de cargas de aplicaciones interno entre regiones en un entorno de VPC compartida con buckets de Cloud Storage

En esta sección, se muestra cómo configurar el balanceador de cargas y los backends.

En los ejemplos de configuración de esta página, se configura de manera explícita una dirección IP reservada para la regla de reenvío del balanceador de cargas, en lugar de permitir que se asigne una dirección IP efímera. Recomendamos reservar direcciones IP para las reglas de reenvío.

Configura tus buckets de Cloud Storage

El proceso para configurar tus buckets de Cloud Storage es el siguiente:

  1. Crea los buckets de Cloud Storage.
  2. Copia contenido en los buckets de Cloud Storage.
  3. Haz que los buckets de Cloud Storage sean de acceso público.

Crea los buckets de Cloud Storage

En este ejemplo, crearás dos buckets de Cloud Storage, uno en la región us-east1 y otro en la región asia-east1. Para las implementaciones de producción, te recomendamos que elijas un bucket multirregión, que replica de manera automática los objetos en varias regiones de Google Cloud . Esto puede mejorar la disponibilidad de tu contenido y la tolerancia a errores en tu aplicación.

Console

  1. En la consola de Google Cloud , ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. Haga clic en Crear.

  3. En la sección Primeros pasos, ingresa un nombre global único que siga los lineamientos de nomenclatura.

  4. Haz clic en Elige dónde almacenar tus datos.

  5. Configura Tipo de ubicación como Región.

  6. En la lista de regiones, selecciona us-east1.

  7. Haz clic en Crear.

  8. Haz clic en Buckets para volver a la página Buckets de Cloud Storage. Usa estas instrucciones para crear un segundo bucket, pero establece la Ubicación en asia-east1.

gcloud

  1. Crea el primer bucket en la región us-east1 con el comando gcloud storage buckets create.

    gcloud storage buckets create gs://BUCKET1_NAME \
    --default-storage-class=standard \
    --location=us-east1 \
    --uniform-bucket-level-access \
    --project=SERVICE_PROJECT_ID

  2. Crea el segundo bucket en la región asia-east1 con el comando gcloud storage buckets create.

    gcloud storage buckets create gs://BUCKET2_NAME \
    --default-storage-class=standard \
    --location=asia-east1 \
    --uniform-bucket-level-access \
    --project=SERVICE_PROJECT_ID

    Reemplaza lo siguiente:

    • BUCKET1_NAME y BUCKET2_NAME: Nombres de bucket de Cloud Storage

    • SERVICE_PROJECT_ID: ID del proyecto de Google Cloud asignado al proyecto de servicio

Copia contenido a los buckets de Cloud Storage

Para completar los buckets de Cloud Storage, copia un archivo gráfico de un bucket público de Cloud Storage en tus propios buckets de Cloud Storage.

Ejecuta los siguientes comandos en Cloud Shell y reemplaza las variables de nombre del bucket por los nombres únicos de tus bucket de Cloud Storage:

  gcloud storage cp gs://gcp-external-http-lb-with-bucket/three-cats.jpg gs://BUCKET1_NAME/love-to-purr/
  
  gcloud storage cp gs://gcp-external-http-lb-with-bucket/two-dogs.jpg gs://BUCKET2_NAME/love-to-fetch/

Reemplaza BUCKET1_NAME y BUCKET2_NAME por los nombres de bucket de Cloud Storage.

Haz que los buckets de Cloud Storage sean de acceso público

Para que todos los objetos de un bucket sean legibles para todos en la Internet pública, otorga a la principal allUsers el rol de visualizador de objetos de Storage (roles/storage.objectViewer).

Console

A fin de otorgar a todos los usuarios acceso para ver objetos en tus buckets, repite el siguiente procedimiento para cada bucket:

  1. En la consola de Google Cloud , ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. En la lista de buckets, haz clic en el nombre del bucket que deseas hacer público.

  3. Selecciona la pestaña Permisos.

  4. En la sección Permisos, haz clic en el botón Otorgar acceso. Aparecerá el cuadro de diálogo Otorgar acceso.

  5. En el campo Principales nuevas, ingresa allUsers.

  6. En el campo Seleccionar un rol, ingresa Storage Object Viewer en el cuadro de filtro y selecciona Visualizador de objetos de Storage a partir de los resultados filtrados.

  7. Haz clic en Guardar.

  8. Haz clic en Permitir acceso público.

gcloud

Para otorgar a todos los usuarios acceso para ver objetos en tus buckets, ejecuta el comando gcloud storage buckets add-iam-policy-binding.

gcloud storage buckets add-iam-policy-binding gs://BUCKET1_NAME --member=allUsers --role=roles/storage.objectViewer
 
gcloud storage buckets add-iam-policy-binding gs://BUCKET2_NAME --member=allUsers --role=roles/storage.objectViewer

Reemplaza BUCKET1_NAME y BUCKET2_NAME por los nombres de bucket de Cloud Storage.

Reserva la dirección IP del balanceador de cargas

Reserva una dirección IP interna estática para lo siguiente:

  • Regla de reenvío en la región us-east1

  • Regla de reenvío en la región asia-east1

Console

  1. En la consola de Google Cloud , ve a la página Direcciones IP.

    Ir a Reserva una dirección estática

  2. Haz clic en Reservar interno.

  3. En Nombre, ingresa un nombre para la dirección nueva.

  4. En Versión de IP, selecciona IPv4.

  5. Haz clic en Reservar si deseas reservar la dirección IP.

  6. Vuelve a seguir estos pasos para reservar una dirección IP en la región asia-east1.

gcloud

  1. Para reservar una dirección IP interna estática en la región us-east1, usa el comando gcloud compute addresses create.

    gcloud compute addresses create ADDRESS1_NAME  \
   --region=us-east1 \
   --subnet=projects/HOST_PROJECT_ID/regions/us-east1/subnetworks/subnet-us \
   --project=SERVICE_PROJECT_ID

    Reemplaza lo siguiente:

    • ADDRESS1_NAME: El nombre que quieres asignar a esta dirección IP
    • HOST_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto host
    • SERVICE_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto de servicio

  2. Para reservar una dirección IP interna estática en la región asia-east1, usa el comando gcloud compute addresses create.

    gcloud compute addresses create ADDRESS2_NAME  \
   --region=asia-east1 \
   --subnet=projects/HOST_PROJECT_ID/regions/asia-east1/subnetworks/subnet-asia \
   --project=SERVICE_PROJECT_ID

    Reemplaza lo siguiente:

    • ADDRESS2_NAME: El nombre que deseas asignar a esta dirección IP
    • HOST_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto host
    • SERVICE_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto de servicio

  3. Usa el comando gcloud compute addresses describe para ver el resultado:

    gcloud compute addresses describe ADDRESS1_NAME \
   --project=SERVICE_PROJECT_ID

    gcloud compute addresses describe ADDRESS2_NAME \
   --project=SERVICE_PROJECT_ID

    Reemplaza lo siguiente:

    • ADDRESS1_NAME y ADDRESS2_NAME: El nombre que asignaste a las direcciones IP
    • SERVICE_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto de servicio

    La dirección IP que se devuelve se denomina RESERVED_IP_ADDRESS en las siguientes secciones.

Configura un recurso de certificado SSL

Para un balanceador de cargas de aplicaciones interno entre regiones que usa HTTPS como el protocolo de solicitud y respuesta, crea un recurso de certificado SSL con Certificate Manager como se describe en uno de los siguientes documentos:

Después de crear el certificado, puedes adjuntarlo al proxy HTTPS de destino.

Recomendamos que uses un certificado administrado por Google.

Configura el balanceador de cargas con buckets de backend

En esta sección, se muestra cómo crear los siguientes recursos para un balanceador de cargas de aplicaciones interno entre regiones:

En este ejemplo, puedes usar HTTP o HTTPS como el protocolo de solicitud y respuesta entre el cliente y el balanceador de cargas. Si quieres crear un balanceador de cargas de HTTPS, debes agregar un recurso de certificado SSL al frontend del balanceador de cargas.

Para crear los componentes de balanceo de cargas mencionados anteriormente con gcloud CLI, sigue estos pasos:

  1. Crea dos buckets de backend, uno para cada bucket de Cloud Storage, con el comando gcloud compute backend-buckets create. Los buckets de backend tienen un esquema de balanceo de cargas de INTERNAL_MANAGED.

    En este ejemplo, los buckets de backend se llaman backend-bucket-cats y backend-bucket-dogs, lo que indica el contenido de los buckets de Cloud Storage.

    gcloud compute backend-buckets create backend-bucket-cats \
    --gcs-bucket-name=BUCKET1_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --project=SERVICE_PROJECT_ID

    gcloud compute backend-buckets create backend-bucket-dogs \
    --gcs-bucket-name=BUCKET2_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --project=SERVICE_PROJECT_ID

    Reemplaza lo siguiente:

    • BUCKET1_NAME y BUCKET2_NAME: Nombres de bucket de Cloud Storage

    • SERVICE_PROJECT_ID: ID del proyecto de Google Cloud asignado al proyecto de servicio

  2. Crea un mapa de URL para enrutar las solicitudes entrantes al bucket de backend con el comando gcloud compute url-maps create.

    En este ejemplo, el mapa de URL se llama lb-map.

    gcloud compute url-maps create lb-map \
    --default-backend-bucket=backend-bucket-cats \
    --global \
    --project=SERVICE_PROJECT_ID

    Reemplaza SERVICE_PROJECT_ID por el ID del proyectoGoogle Cloud asignado al proyecto de servicio.

  3. Configura las reglas de host y ruta de acceso del mapa de URL con el comando gcloud compute url-maps add-path-matcher.

    En este ejemplo, el bucket de backend predeterminado es backend-bucket-cats, que controla todas las rutas de acceso que existen dentro de él. Sin embargo, cualquier solicitud dirigida a http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg usa el backend de backend-bucket-dogs. Por ejemplo, si la carpeta /love-to-fetch/ también existe en tu backend predeterminado (backend-bucket-cats), el balanceador de cargas prioriza el backend backend-bucket-dogs porque hay una regla de ruta específica para /love-to-fetch/*.

    gcloud compute url-maps add-path-matcher lb-map \
    --path-matcher-name=path-matcher-pets \
    --new-hosts=* \
    --backend-bucket-path-rules="/love-to-fetch/*=backend-bucket-dogs" \
    --default-backend-bucket=backend-bucket-cats
    --project=SERVICE_PROJECT_ID

    Reemplaza SERVICE_PROJECT_ID por el ID del proyectoGoogle Cloud asignado al proyecto de servicio.

  4. Crea un proxy de destino con el comando gcloud compute target-http-proxies create.

    Para el tráfico HTTP, crea un proxy HTTP de destino, llamado http-proxy, para enrutar las solicitudes al mapa de URL:

    gcloud compute target-http-proxies create http-proxy \
    --url-map=lb-map \
    --global \
    --project=SERVICE_PROJECT_ID

    Reemplaza SERVICE_PROJECT_ID por el ID del proyectoGoogle Cloud asignado al proyecto de servicio.

    Para el tráfico HTTPS, crea un proxy HTTPS de destino llamado https-proxy para enrutar las solicitudes al mapa de URL. El proxy es la parte del balanceador de cargas que contiene el certificado SSL para el balanceo de cargas de HTTPS. Después de crear el certificado, puedes adjuntarlo al proxy HTTPS de destino.

    gcloud compute target-https-proxies create https-proxy \
    --url-map=lb-map \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global \
    --project=SERVICE_PROJECT_ID

    Reemplaza lo siguiente:

  5. Crea dos reglas de reenvío globales, una con una dirección IP en la región us-east1 y otra con una dirección IP en la región asia-east1 con el comando gcloud compute forwarding-rules create.

    Para el tráfico HTTP, crea las reglas de reenvío globales (http-fw-rule-1 y http-fw-rule-2) para enrutar las solicitudes entrantes al proxy HTTP de destino:

    gcloud compute forwarding-rules create http-fw-rule-1 \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
    --subnet=projects/HOST_PROJECT_ID/regions/us-east1/subnetworks/subnet-us \
    --subnet-region=us-east1 \
    --address=RESERVED_IP_ADDRESS \
    --ports=80 \
    --target-http-proxy=http-proxy \
    --global-target-http-proxy \
    --global \
    --project=SERVICE_PROJECT_ID

    gcloud compute forwarding-rules create http-fw-rule-2 \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
    --subnet=projects/HOST_PROJECT_ID/regions/asia-east1/subnetworks/subnet-asia \
    --subnet-region=asia-east1 \
    --address=RESERVED_IP_ADDRESS \
    --ports=80 \
    --target-http-proxy=http-proxy \
    --global-target-http-proxy \
    --global \
    --project=SERVICE_PROJECT_ID

    Reemplaza lo siguiente:

    • HOST_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto host
    • RESERVED_IP_ADDRESS: La dirección IP que reservaste
    • SERVICE_PROJECT_ID: ID del proyecto de Google Cloud asignado al proyecto de servicio

    Para el tráfico HTTPS, crea las reglas de reenvío globales (https-fw-rule-1 y https-fw-rule-2) para enrutar las solicitudes entrantes al proxy de destino HTTPS:

    gcloud compute forwarding-rules create https-fw-rule-1 \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
    --subnet=projects/HOST_PROJECT_ID/regions/us-east1/subnetworks/subnet-us \
    --subnet-region=us-east1 \
    --address=RESERVED_IP_ADDRESS \
    --ports=443 \
    --target-https-proxy=https-proxy \
    --global-target-https-proxy \
    --global \
    --project=SERVICE_PROJECT_ID

    gcloud compute forwarding-rules create https-fw-rule-2 \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
    --subnet=projects/HOST_PROJECT_ID/regions/asia-east1/subnetworks/subnet-asia \
    --subnet-region=asia-east1 \
    --address=RESERVED_IP_ADDRESS \
    --ports=443 \
    --target-https-proxy=https-proxy \
    --global-target-https-proxy \
    --global \
    --project=SERVICE_PROJECT_ID

    Reemplaza lo siguiente:

    • HOST_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto host
    • RESERVED_IP_ADDRESS: La dirección IP que reservaste
    • SERVICE_PROJECT_ID: ID del proyecto de Google Cloud asignado al proyecto de servicio

Envía una solicitud HTTP al balanceador de cargas

Envía una solicitud desde una VM de cliente interna a la regla de reenvío del balanceador de cargas.

Obtén la dirección IP de la regla de reenvío del balanceador de cargas

Para obtener la dirección IP de la regla de reenvío del balanceador de cargas, completa los siguientes pasos:

  1. Obtén la dirección IP de la regla de reenvío del balanceador de cargas (http-fw-rule-1), que se encuentra en la región us-east1.

    gcloud compute forwarding-rules describe http-fw-rule-1 \
    --global \
    --project=SERVICE_PROJECT_ID

  2. Obtén la dirección IP de la regla de reenvío del balanceador de cargas (http-fw-rule-2), que se encuentra en la región asia-east1.

    gcloud compute forwarding-rules describe http-fw-rule-2 \
    --global \
    --project=SERVICE_PROJECT_ID

    Reemplaza SERVICE_PROJECT_ID por el ID del proyectoGoogle Cloud asignado al proyecto de servicio.

    Copia la dirección IP que se devolvió para usarla como FORWARDING_RULE_IP_ADDRESS en los pasos posteriores.

Crea una VM cliente para probar la conectividad

Para crear una VM de cliente y probar la conectividad, completa los siguientes pasos:

  1. Crea una VM de cliente llamada client-a en la región us-east1.

    gcloud compute instances create client-a \
    --image-family=debian-12 \
    --image-project=debian-cloud \
    --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
    --subnet=projects/HOST_PROJECT_ID/regions/us-east1/subnetworks/subnet-us \
    --zone=us-east1-c \
    --tags=allow-ssh \
    --project=SERVICE_PROJECT_ID

    Reemplaza lo siguiente:

    • HOST_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto host
    • SERVICE_PROJECT_ID: ID del proyecto de Google Cloud asignado al proyecto de servicio

  2. Establece una conexión SSH a la VM del cliente.

     gcloud compute ssh client-a \
     --zone=us-east1-c \
     --project=SERVICE_PROJECT_ID

    Reemplaza SERVICE_PROJECT_ID por el ID del proyectoGoogle Cloud asignado al proyecto de servicio.

  3. En este ejemplo, el balanceador de cargas de aplicaciones interno entre regiones tiene direcciones IP virtuales (VIP) de frontend en las regiones us-east1 y asia-east1 de la red de VPC. Realiza una solicitud HTTP a la VIP en cualquiera de las regiones con curl.

    curl http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg --output two-dogs.jpg

    curl http://FORWARDING_RULE_IP_ADDRESS/love-to-purr/three-cats.jpg --output three-cats.jpg

    Reemplaza FORWARDING_RULE_IP_ADDRESS por la dirección IP de la regla de reenvío del balanceador de cargas.

Prueba la alta disponibilidad

Para probar la alta disponibilidad, completa los siguientes pasos:

  1. Borra la regla de reenvío (http-fw-rule-1) en la región us-east1 para simular una interrupción regional y verifica si el cliente en la región us-east aún puede acceder a los datos del bucket de backend.

    gcloud compute forwarding-rules delete http-fw-rule-1 \
    --global \
    --project=SERVICE_PROJECT_ID

    Reemplaza SERVICE_PROJECT_ID por el ID del proyectoGoogle Cloud asignado al proyecto de servicio.

  2. Realiza una solicitud HTTP a la VIP de la regla de reenvío en cualquiera de las regiones con curl.

    curl http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg --output two-dogs.jpg

    curl http://FORWARDING_RULE_IP_ADDRESS/love-to-purr/three-cats.jpg --output three-cats.jpg

    Reemplaza FORWARDING_RULE_IP_ADDRESS por la dirección IP de la regla de reenvío.

    Si realizas una solicitud HTTP a la VIP en la región us-east1, las políticas de enrutamiento de DNS detectan que esta VIP no responde y muestran la siguiente VIP más óptima al cliente (en este ejemplo, asia-east1). Este comportamiento ayuda a garantizar que tu aplicación siga funcionando incluso durante las interrupciones regionales.

Configura un balanceador de cargas con una configuración entre proyectos

En el ejemplo anterior de esta página, se muestra cómo configurar una implementación de VPC compartida en la que todos los componentes del balanceador de cargas y sus backends se crean en el proyecto de servicio.

Los balanceadores de cargas de aplicaciones internos entre regiones también te permiten configurar implementaciones de VPC compartida en las que un mapa de URL de un proyecto host o de servicio puede hacer referencia a buckets de backend ubicados en varios proyectos de servicio en entornos de VPC compartida.

Puedes usar los pasos en esta sección como referencia para configurar cualquiera de las combinaciones compatibles que se enumeran aquí:

  • Regla de reenvío, proxy de destino y mapa de URL en el proyecto host, y bucket de backend en un proyecto de servicio
  • Regla de reenvío, proxy de destino y mapa de URL en un proyecto de servicio, y bucket de backend en otro proyecto de servicio

En esta sección, se describe la última configuración como ejemplo.

Descripción general de la configuración

En este ejemplo, se configura un balanceador de cargas con su frontend y backend en dos proyectos de servicio diferentes.

Si aún no lo hiciste, debes completar todos los pasos de requisitos previos para configurar la VPC compartida y configurar la red, las subredes y las reglas firewall necesarias para este ejemplo. Para obtener instrucciones, consulta las siguientes secciones al comienzo de esta página:

Figura 2. Frontend y backend del balanceador de cargas en diferentes proyectos de servicio
Figura 2.. Frontend y backend del balanceador de cargas en diferentes proyectos de servicio

Configura los buckets de Cloud Storage y los buckets de backend en el proyecto de servicio B

Todos los pasos de esta sección deben realizarse en el proyecto de servicio B

Para crear el bucket de backend, debes hacer lo siguiente:

  1. Crea los buckets de Cloud Storage.
  2. Copia contenido en los buckets de Cloud Storage.
  3. Haz que los buckets de Cloud Storage sean de acceso público.
  4. Crea los buckets de backend y dirígelos a los buckets de Cloud Storage.

Crea los buckets de Cloud Storage

En este ejemplo, crearás dos buckets de Cloud Storage, uno en la región us-east1 y otro en la región asia-east1. Para las implementaciones de producción, te recomendamos que elijas un bucket multirregión, que replica de manera automática los objetos en varias regiones de Google Cloud . Esto puede mejorar la disponibilidad de tu contenido y la tolerancia a errores en tu aplicación.

Console

  1. En la consola de Google Cloud , ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. Haga clic en Crear.

  3. En la sección Primeros pasos, ingresa un nombre global único que siga los lineamientos de nomenclatura.

  4. Haz clic en Elige dónde almacenar tus datos.

  5. Configura Tipo de ubicación como Región.

  6. En la lista de regiones, selecciona us-east1.

  7. Haz clic en Crear.

  8. Haz clic en Buckets para volver a la página Buckets de Cloud Storage. Usa estas instrucciones para crear un segundo bucket, pero establece la Ubicación en asia-east1.

gcloud

  1. Crea el primer bucket en la región us-east1 con el comando gcloud storage buckets create.

    gcloud storage buckets create gs://BUCKET1_NAME \
    --default-storage-class=standard \
    --location=us-east1 \
    --uniform-bucket-level-access \
    --project=SERVICE_PROJECT_B_ID

  2. Crea el segundo bucket en la región asia-east1 con el comando gcloud storage buckets create.

    gcloud storage buckets create gs://BUCKET2_NAME \
    --default-storage-class=standard \
    --location=asia-east1 \
    --uniform-bucket-level-access \
    --project=SERVICE_PROJECT_B_ID

Reemplaza lo siguiente:

  • BUCKET1_NAME y BUCKET2_NAME: Nombres de bucket de Cloud Storage

  • SERVICE_PROJECT_B_ID: Es el Google Cloud ID del proyecto asignado al proyecto de servicio B.

Copia contenido en los buckets de Cloud Storage

Para completar los buckets de Cloud Storage, copia un archivo gráfico de un bucket público de Cloud Storage en tus propios buckets de Cloud Storage.

Ejecuta los siguientes comandos en Cloud Shell y reemplaza las variables de nombre del bucket por los nombres únicos de tus bucket de Cloud Storage:

  gcloud storage cp gs://gcp-external-http-lb-with-bucket/three-cats.jpg gs://BUCKET1_NAME/love-to-purr/
  
  gcloud storage cp gs://gcp-external-http-lb-with-bucket/two-dogs.jpg gs://BUCKET2_NAME/love-to-fetch/

Reemplaza BUCKET1_NAME y BUCKET2_NAME por nombres de bucket de Cloud Storage.

Haz que los buckets de Cloud Storage sean de acceso público

Para que todos los objetos de un bucket sean legibles para todos en la Internet pública, otorga a la principal allUsers el rol de visualizador de objetos de Storage (roles/storage.objectViewer).

Console

A fin de otorgar a todos los usuarios acceso para ver objetos en tus buckets, repite el siguiente procedimiento para cada bucket:

  1. En la consola de Google Cloud , ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. En la lista de buckets, haz clic en el nombre del bucket que deseas hacer público.

  3. Selecciona la pestaña Permisos.

  4. En la sección Permisos, haz clic en el botón Otorgar acceso. Aparecerá el cuadro de diálogo Otorgar acceso.

  5. En el campo Principales nuevas, ingresa allUsers.

  6. En el campo Seleccionar un rol, ingresa Storage Object Viewer en el cuadro de filtro y selecciona Visualizador de objetos de Storage a partir de los resultados filtrados.

  7. Haz clic en Guardar.

  8. Haz clic en Permitir acceso público.

gcloud

Ejecuta el comando gcloud storage buckets add-iam-policy-binding para otorgar a todos los usuarios acceso para ver objetos en tus buckets.

gcloud storage buckets add-iam-policy-binding gs://BUCKET1_NAME --member=allUsers --role=roles/storage.objectViewer
 
gcloud storage buckets add-iam-policy-binding gs://BUCKET2_NAME --member=allUsers --role=roles/storage.objectViewer

Reemplaza BUCKET1_NAME y BUCKET2_NAME con los nombres de bucket de Cloud Storage.

Configura el balanceador de cargas con buckets de backend

Para crear los buckets de backend, sigue estos pasos:

  1. Crea dos buckets de backend, uno para cada bucket de Cloud Storage, con el comando gcloud compute backend-buckets create. Los buckets de backend tienen un esquema de balanceo de cargas de INTERNAL_MANAGED.

    En este ejemplo, los buckets de backend se llaman backend-bucket-cats y backend-bucket-dogs, lo que indica el contenido de los buckets de Cloud Storage.

    gcloud compute backend-buckets create backend-bucket-cats \
    --gcs-bucket-name=BUCKET1_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --project=SERVICE_PROJECT_B_ID

    gcloud compute backend-buckets create backend-bucket-dogs \
    --gcs-bucket-name=BUCKET2_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --project=SERVICE_PROJECT_B_ID

    Reemplaza lo siguiente:

    • BUCKET1_NAME y BUCKET2_NAME: Nombres de bucket de Cloud Storage

    • SERVICE_PROJECT_B_ID: Es el Google Cloud ID del proyecto asignado al proyecto de servicio B.

Configura los componentes de frontend del balanceador de cargas en el proyecto de servicio A

Todos los pasos de esta sección deben realizarse en el proyecto de servicio A

En el proyecto de servicio A, debes crear los siguientes componentes de balanceo de cargas de frontend:

  • Es el recurso del certificado SSL que se adjunta al proxy de destino. Puedes seguir los pasos que se describen en la sección anterior para crear el certificado SSL.
  • Dos direcciones IP para las dos reglas de reenvío del balanceador de cargas. Puedes seguir los pasos que se describen en la sección anterior para crear las direcciones IP de las reglas de reenvío.
  • Mapa de URL que hace referencia a los buckets de backend en el proyecto de servicio B
  • Proxy de destino
  • Dos reglas de reenvío, cada una con una dirección IP regional.

Para crear los componentes de frontend, haz lo siguiente:

  1. Crea un mapa de URL para enrutar las solicitudes entrantes al bucket de backend con el comando gcloud compute url-maps create.

    En este ejemplo, el mapa de URL se llama lb-map.

    gcloud compute url-maps create lb-map \
    --default-backend-bucket=projects/SERVICE_PROJECT_B_ID/global/backendBuckets/backend-bucket-cats \
    --global \
    --project=SERVICE_PROJECT_A_ID

    Reemplaza lo siguiente:

    • SERVICE_PROJECT_B_ID: Es el Google Cloud ID del proyecto asignado al proyecto de servicio B.

    • SERVICE_PROJECT_A_ID: ID del proyecto de Google Cloud asignado al proyecto de servicio A

  2. Configura las reglas de host y ruta de acceso del mapa de URL con el comando gcloud compute url-maps add-path-matcher.

    En este ejemplo, el bucket de backend predeterminado es backend-bucket-cats, que controla todas las rutas de acceso que existen dentro de él. Sin embargo, cualquier solicitud dirigida a http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg usa el backend de backend-bucket-dogs. Por ejemplo, si la carpeta /love-to-fetch/ también existe en tu backend predeterminado (backend-bucket-cats), el balanceador de cargas prioriza el backend backend-bucket-dogs porque hay una regla de ruta específica para /love-to-fetch/*.

    gcloud compute url-maps add-path-matcher lb-map \
    --path-matcher-name=path-matcher-pets \
    --new-hosts=* \
    --backend-bucket-path-rules="/love-to-fetch/*=projects/SERVICE_PROJECT_B_ID/global/backendBuckets/backend-bucket-dogs" \
    --default-backend-bucket=projects/SERVICE_PROJECT_B_ID/global/backendBuckets/backend-bucket-cats \
    --project=SERVICE_PROJECT_A_ID

    Reemplaza lo siguiente:

    • SERVICE_PROJECT_B_ID: Es el Google Cloud ID del proyecto asignado al proyecto de servicio B.

    • SERVICE_PROJECT_A_ID: ID del proyecto de Google Cloud asignado al proyecto de servicio A

  3. Crea un proxy de destino con el comando gcloud compute target-http-proxies create.

    Para el tráfico HTTP, crea un proxy HTTP de destino, llamado http-proxy, para enrutar las solicitudes al mapa de URL:

    gcloud compute target-http-proxies create http-proxy \
    --url-map=lb-map \
    --global \
    --project=SERVICE_PROJECT_A_ID

    Reemplaza SERVICE_PROJECT_A_ID por elGoogle Cloud ID del proyecto asignado al proyecto de servicio A.

    Para el tráfico HTTPS, crea un proxy HTTPS de destino, llamado https-proxy, para enrutar las solicitudes al mapa de URL. El proxy es la parte del balanceador de cargas que contiene el certificado SSL para el balanceo de cargas de HTTPS. Después de crear el certificado, puedes adjuntarlo al proxy HTTPS de destino.

    gcloud compute target-https-proxies create https-proxy \
    --url-map=lb-map \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global \
    --project=SERVICE_PROJECT_A_ID

    Reemplaza lo siguiente:

  4. Crea dos reglas de reenvío globales, una con una dirección IP en la región us-east1 y otra con una dirección IP en la región asia-east1 con el comando gcloud compute forwarding-rules create.

    Para el tráfico HTTP, crea las reglas de reenvío globales (http-fw-rule-1 y http-fw-rule-2) para enrutar las solicitudes entrantes al proxy HTTP de destino:

      gcloud compute forwarding-rules create http-fw-rule-1 \
      --load-balancing-scheme=INTERNAL_MANAGED \
      --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
      --subnet=projects/HOST_PROJECT_ID/regions/us-east1/subnetworks/subnet-us \
      --subnet-region=us-east1 \
      --address=RESERVED_IP_ADDRESS \
      --ports=80 \
      --target-http-proxy=http-proxy \
      --global-target-http-proxy \
      --global \
      --project=SERVICE_PROJECT_A_ID

      gcloud compute forwarding-rules create http-fw-rule-2 \
      --load-balancing-scheme=INTERNAL_MANAGED \
      --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
      --subnet=projects/HOST_PROJECT_ID/regions/asia-east1/subnetworks/subnet-asia \
      --subnet-region=asia-east1 \
      --address=RESERVED_IP_ADDRESS \
      --ports=80 \
      --target-http-proxy=http-proxy \
      --global-target-http-proxy \
      --global \
      --project=SERVICE_PROJECT_A_ID

    Reemplaza lo siguiente:

    • HOST_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto host
    • RESERVED_IP_ADDRESS: La dirección IP que reservaste
    • SERVICE_PROJECT_A_ID: ID del proyecto de Google Cloud asignado al proyecto de servicio A

    Para el tráfico HTTPS, crea las reglas de reenvío globales (https-fw-rule-1 y https-fw-rule-2) para enrutar las solicitudes entrantes al proxy de destino HTTPS:

    gcloud compute forwarding-rules create https-fw-rule-1 \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
    --subnet=projects/HOST_PROJECT_ID/regions/us-east1/subnetworks/subnet-us \
    --subnet-region=us-east1 \
    --address=RESERVED_IP_ADDRESS \
    --ports=443 \
    --target-https-proxy=https-proxy \
    --global-target-https-proxy \
    --global \
    --project=SERVICE_PROJECT_A_ID

    gcloud compute forwarding-rules create https-fw-rule-2 \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
    --subnet=projects/HOST_PROJECT_ID/regions/asia-east1/subnetworks/subnet-asia \
    --subnet-region=asia-east1 \
    --address=RESERVED_IP_ADDRESS \
    --ports=443 \
    --target-https-proxy=https-proxy \
    --global-target-https-proxy \
    --global \
    --project=SERVICE_PROJECT_A_ID

    Reemplaza lo siguiente:

    • HOST_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto host
    • RESERVED_IP_ADDRESS: La dirección IP que reservaste
    • SERVICE_PROJECT_A_ID: ID del proyecto de Google Cloud asignado al proyecto de servicio A

Otorga permisos al administrador del balanceador de cargas para usar el bucket de backend

Si quieres que los balanceadores de cargas hagan referencia a los buckets de backend en otros proyectos de servicio, el administrador del balanceador de cargas debe tener el permiso compute.backendBuckets.use. Para otorgar este permiso, puedes usar el rol predefinido de IAM llamado Usuario de servicios del balanceador de cargas de Compute (roles/compute.loadBalancerServiceUser). El administrador del proyecto de servicio debe otorgar este rol, que puede aplicarse a nivel del proyecto de servicio o a nivel del bucket de backend individual.

En este ejemplo, un administrador del proyecto de servicio B debe ejecutar uno de los siguientes comandos para otorgar el permiso compute.backendBuckets.use a un administrador del balanceador de cargas del proyecto de servicio A. Esto se puede hacer a nivel de proyecto (para todos los buckets de backend del proyecto) o por bucket de backend.

Console

Permisos a nivel del proyecto

Sigue estos pasos para otorgar permisos a todos los buckets de backend de tu proyecto.

Necesitas los permisos compute.backendBuckets.setIamPolicy y resourcemanager.projects.setIamPolicy para completar este paso.

  1. En la consola de Google Cloud , dirígete a la página IAM.

    Ir a IAM

  2. Elige tu proyecto.

  3. Haz clic en Otorgar acceso.

  4. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la principal o algún otro identificador.

  5. En la sección Asignar roles, haz clic en Agregar roles.

  6. En el diálogo Seleccionar roles, ingresa Compute Load Balancer Services User en el campo Buscar roles.

  7. Selecciona la casilla de verificación Usuario de servicios del balanceador de cargas de Compute.

  8. Haz clic en Aplicar.

  9. Opcional: Agrega una condición a la función.

  10. Haz clic en Guardar.

Permisos a nivel de recurso para buckets de backend individuales

Sigue estos pasos para otorgar permisos a buckets de backend individuales en tu proyecto.

Necesitas el permiso compute.backendBuckets.setIamPolicy para completar este paso.

  1. En la consola de Google Cloud , ve a la página Backends.

    Ir a Backends

  2. En la lista de backends, selecciona el bucket de backend al que deseas otorgar acceso y haz clic en Permisos.

  3. Haz clic en Agregar principal.

  4. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la principal o algún otro identificador.

  5. En la lista Seleccionar un rol, selecciona Usuario de servicios de balanceador de cargas de Compute.

  6. Haz clic en Guardar.

gcloud

Permisos a nivel del proyecto

Sigue estos pasos para otorgar permisos a todos los buckets de backend de tu proyecto.

Necesitas los permisos compute.backendBuckets.setIamPolicy y resourcemanager.projects.setIamPolicy para completar este paso. 

  gcloud projects add-iam-policy-binding SERVICE_PROJECT_B_ID \
      --member="user:LOAD_BALANCER_ADMIN" \
      --role="roles/compute.loadBalancerServiceUser"

Reemplaza lo siguiente:

  • SERVICE_PROJECT_B_ID: ID del proyecto Google Cloudasignado al proyecto de servicio B
  • LOAD_BALANCER_ADMIN: Es el principal al que se agregará la vinculación.

Permisos a nivel de recurso para buckets de backend individuales

A nivel del bucket de backend, los administradores de proyectos de servicio pueden usar cualquiera de los siguientes comandos para otorgar el rol Usuario de servicios del balanceador de cargas de Compute (roles/compute.loadBalancerServiceUser):

Usa el comando gcloud projects add-iam-policy-binding para otorgar el rol de usuario de servicios de balanceador de cargas de Compute.

Necesitas el permiso compute.backendBuckets.setIamPolicy para completar este paso.

  gcloud projects add-iam-policy-binding SERVICE_PROJECT_B_ID \
      --member="user:LOAD_BALANCER_ADMIN" \
      --role="roles/compute.loadBalancerServiceUser" \
      --condition='expression=resource.name=="projects/SERVICE_PROJECT_B_ID/global/backendBuckets/BACKEND_BUCKET_NAME",title=Shared VPC condition'
Reemplaza lo siguiente:
  • SERVICE_PROJECT_B_ID: ID del proyecto Google Cloudasignado al proyecto de servicio B
  • LOAD_BALANCER_ADMIN: Es el principal al que se agregará la vinculación.
  • BACKEND_BUCKET_NAME: Es el nombre del bucket de backend.
Como alternativa, usa el comando gcloud compute backend-buckets add-iam-policy-binding para otorgar el rol de usuario de servicios de balanceador de cargas de Compute. 
  gcloud compute backend-buckets add-iam-policy-binding BACKEND_BUCKET_NAME \
      --member="user:LOAD_BALANCER_ADMIN" \
      --role="roles/compute.loadBalancerServiceUser" \
      --project=SERVICE_PROJECT_B_ID \

Envía una solicitud HTTP al balanceador de cargas

Envía una solicitud desde una VM de cliente interna a la regla de reenvío del balanceador de cargas.

Obtén la dirección IP de la regla de reenvío del balanceador de cargas

Para obtener la dirección IP de la regla de reenvío del balanceador de cargas, completa los siguientes pasos:

  1. Obtén la dirección IP de la regla de reenvío del balanceador de cargas (http-fw-rule-1), que se encuentra en la región us-east1.

    gcloud compute forwarding-rules describe http-fw-rule-1 \
    --global \
    --project=SERVICE_PROJECT_A_ID

  2. Obtén la dirección IP de la regla de reenvío del balanceador de cargas (http-fw-rule-2), que se encuentra en la región asia-east1.

    gcloud compute forwarding-rules describe http-fw-rule-2 \
    --global \
    --project=SERVICE_PROJECT_A_ID

    Reemplaza SERVICE_PROJECT_A_ID por elGoogle Cloud ID del proyecto asignado al proyecto de servicio A.

    Copia la dirección IP que se devolvió para usarla como FORWARDING_RULE_IP_ADDRESS en los pasos posteriores.

Crea una VM cliente para probar la conectividad

Para crear una VM de cliente y probar la conectividad, completa los siguientes pasos:

  1. Crea una VM de cliente llamada client-a en la región us-east1.

    gcloud compute instances create client-a \
    --image-family=debian-12 \
    --image-project=debian-cloud \
    --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
    --subnet=projects/HOST_PROJECT_ID/regions/us-east1/subnetworks/subnet-us \
    --zone=us-east1-c \
    --tags=allow-ssh \
    --project=SERVICE_PROJECT_A_ID

    Reemplaza lo siguiente:

    • HOST_PROJECT_ID: ID del proyecto Google Cloud asignado al proyecto host
    • SERVICE_PROJECT_A_ID: ID del proyecto de Google Cloud asignado al proyecto de servicio A

  2. Establece una conexión SSH a la VM del cliente.

     gcloud compute ssh client-a \
     --zone=us-east1-c \
     --project=SERVICE_PROJECT_A_ID

    Reemplaza SERVICE_PROJECT_A_ID por elGoogle Cloud ID del proyecto asignado al proyecto de servicio A.

  3. En este ejemplo, el balanceador de cargas de aplicaciones interno entre regiones tiene direcciones IP virtuales (VIP) de frontend en las regiones us-east1 y asia-east1 de la red de VPC. Realiza una solicitud HTTP a la VIP en cualquiera de las regiones con curl.

    curl http://FORWARDING_RULE_IP_ADDRESS/love-to-fetch/two-dogs.jpg --output two-dogs.jpg

    curl http://FORWARDING_RULE_IP_ADDRESS/love-to-purr/three-cats.jpg --output three-cats.jpg

    Reemplaza FORWARDING_RULE_IP_ADDRESS por la dirección IP de la regla de reenvío del balanceador de cargas.

Para probar la alta disponibilidad, consulta la sección Cómo probar la alta disponibilidad en este documento.

¿Qué sigue?