Menyiapkan Load Balancer Jaringan proxy eksternal regional dengan backend grup instance VM

Network Load Balancer proxy eksternal regional adalah load balancer Lapisan 4 regional berbasis proxy yang memungkinkan Anda menjalankan dan menskalakan traffic layanan TCP di satu region di balik alamat IP regional eksternal. Load balancer ini mendistribusikan traffic TCP eksternal dari internet ke backend di region yang sama.

Sebelum memulai, baca Ringkasan Load Balancer Jaringan proxy eksternal.

Panduan ini berisi petunjuk untuk menyiapkan Load Balancer Jaringan proxy eksternal regional dengan backend grup instance terkelola (MIG). Untuk contoh ini, Anda akan mengonfigurasi deployment yang ditunjukkan dalam diagram berikut.

Contoh konfigurasi Network Load Balancer proxy eksternal dengan backend grup instance.
Contoh konfigurasi Load Balancer Jaringan proxy eksternal dengan backend grup instance

Untuk contoh ini, kita akan menggunakan load balancer untuk mendistribusikan traffic TCP di seluruh VM backend dalam dua grup instance terkelola zonal di Region A. Untuk tujuan contoh, layanan ini adalah serangkaian server Apache yang dikonfigurasi untuk merespons di port 110. Banyak browser tidak mengizinkan port 110, sehingga bagian pengujian menggunakan curl.

Load Balancer Jaringan proxy eksternal regional adalah load balancer regional. Semua komponen load balancer harus berada di region yang sama dengan load balancer.

Izin

Untuk mengikuti panduan ini, Anda harus dapat membuat instance dan mengubah jaringan dalam sebuah project. Anda harus menjadi Pemilik atau Editor project, atau Anda harus memiliki semua peran IAM Compute Engine berikut.

Tugas Peran yang diperlukan
Membuat jaringan, subnet, dan komponen load balancer Compute Network Admin (roles/compute.networkAdmin)
Menambahkan dan menghapus aturan firewall Compute Security Admin (roles/compute.securityAdmin)
Membuat instance Compute Instance Admin (roles/compute.instanceAdmin)

Untuk mendapatkan informasi selengkapnya, lihat panduan berikut:

Opsional: Menggunakan alamat BYOIP

Dengan fitur bawa IP Anda sendiri (BYOIP), Anda dapat mengimpor alamat publik Anda sendiri keGoogle Cloud untuk menggunakan alamat tersebut dengan resource Google Cloud . Misalnya, jika Anda mengimpor alamat IPv4 Anda sendiri, Anda dapat menetapkannya ke aturan penerusan saat mengonfigurasi load balancer. Saat Anda mengikuti petunjuk dalam dokumen ini untuk mengonfigurasi load balancer, berikan alamat BYOIP sebagai alamat IP.

Untuk mengetahui informasi selengkapnya tentang penggunaan BYOIP, lihat Membawa alamat IP Anda sendiri.

Mengonfigurasi jaringan dan subnet

Anda memerlukan jaringan VPC dengan dua subnet, satu untuk backend load balancer dan yang lainnya untuk proxy load balancer. Load balancer ini bersifat regional. Traffic dalam jaringan VPC dirutekan ke load balancer jika sumber traffic berada di subnet di region yang sama dengan load balancer.

Contoh ini menggunakan jaringan VPC, region, dan subnet berikut:

  • Jaringan: jaringan VPC mode kustom bernama lb-network

  • Subnet untuk backend: subnet bernama backend-subnet di Region A yang menggunakan 10.1.2.0/24 untuk rentang alamat IP utamanya

  • Subnet untuk proxy: subnet bernama proxy-only-subnet di Region B yang menggunakan 10.129.0.0/23 untuk rentang alamat IP primernya

Buat jaringan dan subnet

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik Create VPC network.

  3. Untuk Name, masukkan lb-network.

  4. Di bagian Subnets, setel Subnet creation mode ke Custom.

  5. Buat subnet untuk backend load balancer. Di bagian New subnet, masukkan informasi berikut:

    • Nama: backend-subnet
    • Region: REGION_A
    • Rentang alamat IP: 10.1.2.0/24

  6. Klik Done.

  7. Klik Create.

gcloud

  1. Untuk membuat jaringan VPC kustom, gunakan perintah gcloud compute networks create:

    gcloud compute networks create lb-network --subnet-mode=custom

  2. Untuk membuat subnet di jaringan lb-network di region REGION_A, gunakan perintah gcloud compute networks subnets create:

    gcloud compute networks subnets create backend-subnet \
    --network=lb-network \
    --range=10.1.2.0/24 \
    --region=REGION_A

Buat subnet khusus proxy

Subnet khusus proxy menyediakan serangkaian alamat IP yang digunakan Google untuk menjalankan proxy Envoy atas nama Anda. Proxy menghentikan koneksi dari klien dan membuat koneksi baru ke backend.

Subnet khusus proxy ini digunakan oleh semua load balancer berbasis Envoy di Region A jaringan VPC lb-network.

Konsol

Jika menggunakan konsol Google Cloud , Anda dapat menunggu dan membuat subnet khusus proxy nanti di halaman Load balancing.

Jika Anda ingin membuat subnet khusus proxy sekarang, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka VPC networks

  2. Klik nama jaringan VPC: lb-network.

  3. Klik Tambahkan subnet.

  4. Untuk Name, masukkan proxy-only-subnet.

  5. Untuk Region, pilih REGION_A.

  6. Tetapkan Purpose ke Regional Managed Proxy.

  7. Untuk Rentang alamat IP, masukkan 10.129.0.0/23.

  8. Klik Tambahkan.

gcloud

Untuk membuat subnet khusus proxy, gunakan perintah gcloud compute networks subnets create:

gcloud compute networks subnets create proxy-only-subnet \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE \
    --region=REGION_A \
    --network=lb-network \
    --range=10.129.0.0/23

Membuat aturan firewall

Dalam contoh ini, Anda akan membuat aturan firewall berikut:

  • fw-allow-ssh. Aturan ingress, yang berlaku untuk instance yang di-load balance, yang memungkinkan konektivitas SSH yang masuk pada TCP port 22 dari alamat mana pun. Anda dapat memilih rentang IP sumber yang lebih ketat untuk aturan ini; misalnya, Anda dapat menentukan hanya rentang IP sistem tempat Anda memulai sesi SSH. Contoh ini menggunakan tag target allow-ssh.

  • fw-allow-health-check. Aturan ingress, yang berlaku untuk instance yang di-load balance, yang mengizinkan semua traffic TCP dari Google Cloud rentang pemeriksaan kondisi. Contoh ini menggunakan tag target allow-health-check.

  • fw-allow-proxy-only-subnet. Aturan ingress yang mengizinkan koneksi dari subnet khusus proxy untuk menjangkau backend.

Tanpa aturan firewall ini, aturan tolak ingress default akan memblokir traffic masuk ke instance backend.

Tag target menentukan instance backend. Tanpa tag target, aturan firewall berlaku untuk semua instance backend Anda di jaringan VPC. Saat membuat VM backend, pastikan untuk menyertakan tag target yang ditentukan, seperti yang ditunjukkan dalam Membuat grup instance terkelola.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Firewall policies

  2. Klik Create firewall rule untuk membuat aturan yang mengizinkan koneksi SSH yang masuk. Lengkapi kolom berikut:

    • Nama: fw-allow-ssh
    • Network: lb-network
    • Direction of traffic: Ingress
    • Tindakan terhadap kecocokan: Izinkan
    • Targets: Tag target yang ditentukan
    • Tag target: allow-ssh
    • Filter sumber: Rentang IPv4
    • Rentang IPv4 sumber: 0.0.0.0/0
    • Protokol dan port:
      • Pilih Specified protocols and ports.
      • Pilih kotak centang TCP, lalu masukkan 22 untuk nomor port.

  3. Klik Create.

  4. Klik Create firewall rule untuk kedua kalinya guna membuat aturan yang mengizinkan Google Cloud health check:

    • Nama: fw-allow-health-check
    • Network: lb-network
    • Direction of traffic: Ingress
    • Tindakan terhadap kecocokan: Izinkan
    • Targets: Tag target yang ditentukan
    • Tag target: allow-health-check
    • Filter sumber: Rentang IPv4
    • Rentang IPv4 sumber: 35.191.0.0/16,130.211.0.0/22

    • Protocols and ports:

      • Pilih Specified protocols and ports.
      • Pilih kotak centang TCP, lalu masukkan 80 untuk nomor port.

      Sebagai praktik terbaik, batasi aturan ini hanya pada protokol dan port yang cocok dengan yang digunakan oleh health check Anda. Jika Anda menggunakan tcp:80 untuk protokol dan port, Google Cloud dapat menggunakan HTTP di port 80 untuk menghubungi VM Anda, tetapi tidak dapat menggunakan HTTPS di port 443 untuk menghubungi VM.

  5. Klik Create.

  6. Klik Create firewall rule untuk ketiga kalinya guna membuat aturan yang mengizinkan server proxy load balancer terhubung ke backend:

    • Nama: fw-allow-proxy-only-subnet
    • Network: lb-network
    • Direction of traffic: Ingress
    • Tindakan terhadap kecocokan: Izinkan
    • Targets: Tag target yang ditentukan
    • Tag target: allow-proxy-only-subnet
    • Filter sumber: Rentang IPv4
    • Rentang IPv4 sumber: 10.129.0.0/23
    • Protokol dan port:
      • Pilih Specified protocols and ports.
      • Pilih kotak centang TCP, lalu masukkan 80 untuk nomor port.

  7. Klik Create.

gcloud

  1. Buat aturan firewall fw-allow-ssh untuk mengizinkan konektivitas SSH ke VM dengan tag jaringan allow-ssh. Jika Anda menghapus source-ranges, Google Cloud akan menafsirkan aturan sebagai sumber apa pun.

    gcloud compute firewall-rules create fw-allow-ssh \
    --network=lb-network \
    --action=allow \
    --direction=ingress \
    --target-tags=allow-ssh \
    --rules=tcp:22

  2. Buat aturan fw-allow-health-check untuk mengizinkan health check Google Cloud. Contoh ini mengizinkan semua traffic TCP dari penguji health check; namun, Anda juga dapat mengonfigurasi kumpulan port yang lebih sempit untuk memenuhi kebutuhan Anda.

    gcloud compute firewall-rules create fw-allow-health-check \
    --network=lb-network \
    --action=allow \
    --direction=ingress \
    --source-ranges=35.191.0.0/16,130.211.0.0/22 \
    --target-tags=allow-health-check \
    --rules=tcp:80

  3. Buat aturan fw-allow-proxy-only-subnet untuk mengizinkan proxy Envoy di region terhubung ke backend Anda. Tetapkan --source-ranges ke rentang yang dialokasikan dari subnet khusus proxy Anda—dalam contoh ini, 10.129.0.0/23.

    gcloud compute firewall-rules create fw-allow-proxy-only-subnet \
    --network=lb-network \
    --action=allow \
    --direction=ingress \
    --source-ranges=10.129.0.0/23 \
    --target-tags=allow-proxy-only-subnet \
    --rules=tcp:80

Mencadangkan alamat IP load balancer

Cadangkan alamat IP statis untuk load balancer.

Konsol

  1. Di konsol Google Cloud , buka halaman Reserve a static address.

    Buka Reserve a static address

  2. Pilih nama untuk alamat baru.

  3. Untuk Network Service Tier, pilih Standard.

  4. Untuk IP version, pilih IPv4. Alamat IPv6 tidak didukung.

  5. Untuk Jenis, pilih Regional.

  6. Untuk Region, pilih REGION_A.

  7. Biarkan opsi Dilampirkan ke ditetapkan ke Tidak ada. Setelah Anda membuat load balancer, alamat IP ini dilampirkan ke aturan penerusan load balancer.

  8. Klik Reserve untuk mereservasi alamat IP.

gcloud

  1. Untuk mencadangkan alamat IP eksternal statis, gunakan perintah gcloud compute addresses create:

    gcloud compute addresses create ADDRESS_NAME  \
    --region=REGION_A \
    --network-tier=STANDARD

    Ganti ADDRESS_NAME dengan nama yang ingin Anda beri untuk alamat ini.

  2. Untuk melihat hasilnya, gunakan perintah gcloud compute addresses describe:

    gcloud compute addresses describe ADDRESS_NAME

Membuat grup instance terkelola

Bagian ini menunjukkan cara membuat dua backend grup instance terkelola (MIG) di Region A untuk load balancer. MIG menyediakan instance VM yang menjalankan server Apache backend untuk contoh ini. Biasanya, Network Load Balancer proxy eksternal regional tidak digunakan untuk traffic HTTP, tetapi software Apache umumnya digunakan untuk pengujian.

Konsol

Buat template instance.

  1. Di konsol Google Cloud , buka halaman Instance templates.

    Buka Instance templates

  2. Klik Buat template instance .

  3. Untuk Name, masukkan ext-reg-tcp-proxy-backend-template.

  4. Pastikan Boot disk disetel ke image Debian, seperti Debian GNU/Linux 12 (bookworm). Petunjuk ini menggunakan perintah yang hanya tersedia di Debian, seperti apt-get.

  5. Klik Advanced options.

  6. Klik Networking dan konfigurasi kolom berikut:

    1. Untuk Network tags, masukkan allow-ssh, allow-health-check, dan allow-proxy-only-subnet.
    2. Untuk Network interfaces, pilih opsi berikut:
      • Network: lb-network
      • Subnet: backend-subnet

  7. Klik Management. Masukkan skrip berikut ke dalam kolom Startup script:

     #! /bin/bash
 apt-get update
 apt-get install apache2 -y
 a2ensite default-ssl
 a2enmod ssl
 vm_hostname="$(curl -H "Metadata-Flavor:Google" \
 http://metadata.google.internal/computeMetadata/v1/instance/name)"
 echo "Page served from: $vm_hostname" | \
 tee /var/www/html/index.html
 systemctl restart apache2

  8. Klik Create.

Membuat grup instance terkelola

  1. Di konsol Google Cloud , buka halaman Instance groups.

    Buka Instance groups

  2. Klik Create instance group.

  3. Pilih New managed instance group (stateless). Untuk mengetahui informasi selengkapnya, lihat Membuat MIG dengan disk stateful.

  4. Untuk Name, masukkan mig-a.

  5. Untuk Location, pilih Single zone.

  6. Untuk Region, pilih REGION_A.

  7. Untuk Zone, pilih ZONE_A.

  8. Untuk Template instance, pilih ext-reg-tcp-proxy-backend-template.

  9. Tentukan jumlah instance yang ingin Anda buat dalam grup.

    Untuk contoh ini, tentukan opsi berikut untuk Penskalaan otomatis:

    • Untuk Autoscaling mode, pilih Off:do not autoscale.
    • Untuk Maximum number of instances, masukkan 2.

  10. Untuk Port mapping, klik Add port.

    • Untuk Port name, masukkan tcp80.
    • Untuk Port number, masukkan 80.

  11. Klik Create.

  12. Untuk membuat grup instance terkelola kedua, ulangi langkah-langkah Membuat grup instance terkelola dan gunakan setelan berikut:

    • Nama: mig-b
    • Zona: ZONE_B

    Pertahankan semua setelan lainnya.

gcloud

Petunjuk Google Cloud CLI dalam panduan ini mengasumsikan bahwa Anda menggunakan Cloud Shell atau lingkungan lain dengan bash terinstal.

  1. Untuk membuat template instance VM dengan server HTTP, gunakan perintah gcloud compute instance-templates create:

    gcloud compute instance-templates create ext-reg-tcp-proxy-backend-template \
    --region=REGION_A \
    --network=lb-network \
    --subnet=backend-subnet \
    --tags=allow-ssh,allow-health-check,allow-proxy-only-subnet \
    --image-family=debian-12 \
    --image-project=debian-cloud \
    --metadata=startup-script='#! /bin/bash
       apt-get update
       apt-get install apache2 -y
       a2ensite default-ssl
       a2enmod ssl
       vm_hostname="$(curl -H "Metadata-Flavor:Google" \
       http://metadata.google.internal/computeMetadata/v1/instance/name)"
       echo "Page served from: $vm_hostname" | \
       tee /var/www/html/index.html
       systemctl restart apache2'

  2. Buat grup instance terkelola di zona ZONE_A:

    gcloud compute instance-groups managed create mig-a \
    --zone=ZONE_A \
    --size=2 \
    --template=ext-reg-tcp-proxy-backend-template

  3. Buat grup instance terkelola di zona ZONE_B:

    gcloud compute instance-groups managed create mig-b \
    --zone=ZONE_B \
    --size=2 \
    --template=ext-reg-tcp-proxy-backend-template

Mengonfigurasi load balancer

Konsol

Mulai konfigurasi

  1. Di konsol Google Cloud , buka halaman Load balancing.

    Buka Load balancing

  2. Klik Create load balancer.
  3. Untuk Type of load balancer, pilih Network Load Balancer (TCP/UDP/SSL), lalu klik Next.
  4. Untuk Proxy or passthrough, pilih Proxy load balancer, lalu klik Next.
  5. Untuk Public facing or internal, pilih Public facing (external), lalu klik Next.
  6. Untuk Global or single region deployment, pilih Best for regional workloads, lalu klik Next.
  7. Klik Configure.

Konfigurasi dasar

  1. Untuk Name, masukkan my-ext-tcp-lb.
  2. Untuk Region, pilih REGION_A.
  3. Untuk Network, pilih lb-network.

Mereservasi subnet khusus proxy

  1. Klik Reserve.
  2. Di kolom Name, masukkan proxy-only-subnet.
  3. Di kolom IP address range, masukkan 10.129.0.0/23.
  4. Klik Tambahkan.

Mengonfigurasi backend

  1. Klik Backend configuration.
  2. Di daftar Backend type, pilih Instance group.
  3. Di daftar Protocol, pilih TCP.
  4. Di kolom Named port, masukkan tcp80.
  5. Konfigurasi health check:
    1. Dalam daftar Health check, pilih Create a health check.
    2. Di kolom Name, masukkan tcp-health-check.
    3. Di daftar Protocol, pilih TCP.
    4. Di kolom Port, masukkan 80.
    5. Klik Create.
  6. Konfigurasi backend pertama:
    1. Untuk New backend, pilih grup instance mig-a.
    2. Untuk Port numbers, masukkan 80.
    3. Pertahankan nilai default yang tersisa, lalu klik Done.
  7. Konfigurasi backend kedua:
    1. Klik Add backend.
    2. Untuk New backend, pilih grup instance mig-b.
    3. Untuk Port numbers, masukkan 80.
    4. Pertahankan nilai default yang tersisa, lalu klik Done.
  8. Pertahankan nilai default yang tersisa, lalu klik Simpan.
  9. Di konsol Google Cloud , pastikan ada tanda centang di samping Backend configuration. Jika belum, periksa kembali apakah Anda telah menyelesaikan semua langkah.

Mengonfigurasi frontend

  1. Klik Frontend configuration.
  2. Untuk Name, masukkan ext-reg-tcp-forwarding-rule.
  3. Untuk Network Service Tier, pilih Standard.
  4. Untuk IP address, pilih alamat IP yang dicadangkan sebelumnya: LB_IP_ADDRESS
  5. Untuk Port number, masukkan 110. Aturan penerusan hanya meneruskan paket dengan port tujuan yang cocok.
  6. Untuk Proxy protocol, pilih Off karena protokol PROXY tidak berfungsi dengan software Apache HTTP Server. Untuk mengetahui informasi selengkapnya, lihat protokol PROXY.
  7. Klik Done.
  8. Di konsol Google Cloud , pastikan ada tanda centang di samping Frontend configuration. Jika tidak ada, periksa kembali apakah Anda telah menyelesaikan semua langkah sebelumnya.

Tinjau dan selesaikan

  1. Klik Review and finalize.
  2. Tinjau setelan konfigurasi load balancer Anda.
  3. Opsional: Klik Equivalent code untuk melihat permintaan REST API yang digunakan untuk membuat load balancer.
  4. Klik Create.

gcloud

  1. Membuat health check regional:

    gcloud compute health-checks create tcp tcp-health-check \
    --region=REGION_A \
    --use-serving-port

  2. Buat layanan backend:

    gcloud compute backend-services create ext-reg-tcp-proxy-bs \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=TCP \
    --port-name=tcp80 \
    --region=REGION_A \
    --health-checks=tcp-health-check \
    --health-checks-region=REGION_A

  3. Tambahkan grup instance ke layanan backend Anda:

    gcloud compute backend-services add-backend ext-reg-tcp-proxy-bs \
    --region=REGION_A \
    --instance-group=mig-a \
    --instance-group-zone=ZONE_A \
    --balancing-mode=UTILIZATION \
    --max-utilization=0.8
 
    gcloud compute backend-services add-backend ext-reg-tcp-proxy-bs \
    --region=REGION_A \
    --instance-group=mig-b \
    --instance-group-zone=ZONE_B \
    --balancing-mode=UTILIZATION \
    --max-utilization=0.8

  4. Buat proxy TCP target:

    gcloud compute target-tcp-proxies create ext-reg-tcp-target-proxy \
    --backend-service=ext-reg-tcp-proxy-bs \
    --proxy-header=NONE \
    --region=REGION_A

    Jika Anda ingin mengaktifkan header proxy, tetapkan ke PROXY_V1, bukan NONE. Dalam contoh ini, jangan aktifkan protokol PROXY karena tidak berfungsi dengan software Apache HTTP Server. Untuk mengetahui informasi selengkapnya, lihat protokol PROXY.

  5. Membuat aturan penerusan. Untuk --ports, tentukan satu nomor port dari 1-65535. Contoh ini menggunakan port 110. Aturan penerusan hanya meneruskan paket dengan port tujuan yang cocok.

    gcloud compute forwarding-rules create ext-reg-tcp-forwarding-rule \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --network-tier=STANDARD \
    --network=lb-network \
    --region=REGION_A \
    --target-tcp-proxy=ext-reg-tcp-target-proxy \
    --target-tcp-proxy-region=REGION_A \
    --address=LB_IP_ADDRESS \
    --ports=110

Menguji load balancer

Setelah mengonfigurasi load balancer, Anda dapat menguji pengiriman traffic ke alamat IP load balancer.

  1. Dapatkan alamat IP load balancer.

    Untuk mendapatkan alamat IPv4, jalankan perintah berikut:

    gcloud compute addresses describe ADDRESS_NAME

  2. Kirim traffic ke load balancer dengan menjalankan perintah berikut. Ganti LB_IP_ADDRESS dengan alamat IPv4 load balancer Anda.

    curl -m1 LB_IP_ADDRESS:9090

Opsi konfigurasi tambahan

Bagian ini memperluas contoh konfigurasi untuk memberikan opsi konfigurasi alternatif dan tambahan. Semua tugas bersifat opsional. Anda dapat melakukannya dalam urutan apa pun.

Membuat load balancer dengan rute TLS

Bagian ini menunjukkan cara membuat load balancer yang dapat menggunakan perutean berbasis SNI. Perutean berbasis SNI memungkinkan Load Balancer Jaringan proxy Anda merutekan traffic ke layanan backend tertentu berdasarkan nama host Server Name Indication (SNI) yang diberikan selama handshake TLS.

Untuk membuat load balancer ini, kita menggunakan jaringan, subnet, dan aturan firewall yang sama yang dibuat sebelumnya di halaman ini. Anda mengonfigurasi deployment yang ditunjukkan dalam diagram berikut:

Konfigurasi Load Balancer Jaringan proxy eksternal regional dengan rute TLS.
Konfigurasi Load Balancer Jaringan proxy eksternal regional dengan rute TLS.

Membuat backend grup instance terkelola

Bagian ini menunjukkan cara membuat backend grup instance terkelola (MIG) untuk load balancer. MIG menyediakan instance VM yang menjalankan server backend untuk contoh ini.

Petunjuk Google Cloud CLI dalam panduan ini mengasumsikan bahwa Anda menggunakan Cloud Shell atau lingkungan lain dengan bash terinstal.

  1. Buat template instance dengan layanan HTTPS "echo" yang diekspos di port 443.

    gcloud compute instance-templates create INSTANCE_TEMPLATE_NAME \
--region=REGION_A \
--network=NETWORK \
--subnet=SUBNET_A \
--stack-type=IPv4_ONLY \
--tags=allow-ssh,allow-health-check,allow-proxy-only-subnet \
--image-family=debian-12 \
--image-project=debian-cloud \
--metadata=startup-script='#! /bin/bash
sudo sed -i "s/^#DNS=.*/DNS=8.8.8.8 8.8.4.4/" /etc/systemd/resolved.conf
sudo systemctl restart systemd-resolved
sudo rm -rf /var/lib/apt/lists/*
sudo apt-get -y clean
sudo apt-get -y update
sudo apt-get -y install ca-certificates curl gnupg software-properties-common
sudo curl -fsSL https://download.docker.com/linux/debian/gpg | sudo apt-key add -
sudo add-apt-repository -y "deb [arch=amd64] https://download.docker.com/linux/debian $(lsb_release -cs) stable"
sudo apt-get -y update
sudo apt-get -y install docker-ce
sudo which docker
echo "{ \"registry-mirrors\": [\"https://mirror.gcr.io\"] }" | sudo tee -a /etc/docker/daemon.json
sudo service docker restart
sudo docker run -e HTTPS_PORT=9999 -p 443:9999 --rm -dt mendhak/http-https-echo:22'

    Ganti kode berikut:

    • INSTANCE_TEMPLATE_NAME: nama untuk template instance.
    • REGION_A: region untuk template instance.
    • NETWORK: nama jaringan.
    • SUBNET_A: nama subnetwork.

  2. Buat grup instance terkelola berdasarkan template instance:

    gcloud compute instance-groups managed create INSTANCE_GROUP_NAME \
  --zone=ZONE_A \
  --size=2 \
  --template=INSTANCE_TEMPLATE_NAME

    Ganti ZONE_A dengan zona untuk grup instance.

  3. Tetapkan nama port penayangan untuk grup instance terkelola:

    gcloud compute instance-groups managed set-named-ports INSTANCE_GROUP_NAME \
  --named-ports=PORT_NAME:PORT_NUMBER \
  --zone=ZONE_A

    Ganti kode berikut:

    • PORT_NAME: nama untuk port penayangan—misalnya, tcp443.
    • PORT_NUMBER: nomor port untuk port penayangan—misalnya, 443.

Mengonfigurasi firewall

Konfigurasi aturan firewall untuk mengizinkan traffic dari load balancer dan dari probe health check ke instance backend.

gcloud compute firewall-rules create FIREWALL_RULE_NAME \
    --network=NETWORK \
    --action=allow \
    --direction=ingress \
    --source-ranges=35.191.0.0/16,130.211.0.0/22 \
    --target-tags=allow-health-check \
    --rules=tcp:443

Ganti FIREWALL_RULE_NAME dengan nama untuk aturan firewall.

Mengonfigurasi load balancer

  1. Buat health check HTTPS:

    gcloud compute health-checks create http HTTPS_HEALTH_CHECK_NAME \
    --region=REGION_A \
    --port=HC_PORT

    Ganti kode berikut:

    • HTTPS_HEALTH_CHECK_NAME: nama untuk health check.
    • HC_PORT: port untuk health check—misalnya, 443.
    • REGION_A: region untuk health check.

  2. Buat layanan backend:

    gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=TCP \
    --port-name=PORT_NAME \
    --health-checks=HTTPS_HEALTH_CHECK_NAME \
    --health-checks-region=REGION_A \
    --region=REGION_A

    Ganti kode berikut:

    • BACKEND_SERVICE_NAME: nama untuk layanan backend.
    • PORT_NAME: nama port untuk layanan backend. Gunakan port bernama yang sama yang dikonfigurasi di grup instance—misalnya, tcp443.
    • HTTPS_HEALTH_CHECK_NAME: nama health check HTTPS.

  3. Tambahkan grup instance backend ke layanan backend Anda:

    gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --balancing-mode=UTILIZATION \
    --max-utilization=0.8
    --instance-group=INSTANCE_GROUP_NAME \
    --instance-group-zone=ZONE_A \
    --region=REGION_A

    Ganti kode berikut:

    • INSTANCE_GROUP_NAME: nama grup instance backend.
    • ZONE_A: zona grup instance.

  4. Buat proxy TCP target.

    gcloud beta compute target-tcp-proxies create TARGET_TCP_PROXY_NAME \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --proxy-header=NONE \
    --region=REGION_A

    Ganti TARGET_TCP_PROXY_NAME dengan nama proxy TCP target.

  5. Buat spesifikasi rute TLS dan simpan ke file YAML.

    cat <<EOF | tee YAML_FILE_NAME
name: TLS_ROUTE_NAME
targetProxies:
- projects/PROJECT_NUMBER/locations/REGION_A/targetTcpProxies/TARGET_TCP_PROXY
rules:
- matches:
  - sniHost:
    - example.com
  action:
  destinations:
  - serviceName: projects/PROJECT_NUMBER/locations/REGION_A/backendServices/BACKEND_SERVICE_NAME
EOF

    Ganti kode berikut:

    • YAML_FILE_NAME: nama untuk file YAML—misalnya, tls-route.yaml.
    • TLS_ROUTE_NAME: nama untuk rute TLS.
    • PROJECT_NUMBER: nomor project.

  6. Gunakan file spesifikasi YAML untuk membuat resource rute TLS.

    gcloud network-services tls-routes import TLS_ROUTE_NAME \
  --source=YAML_FILE_NAME \
  --location=REGION_A

  7. Membuat aturan penerusan.

    gcloud compute forwarding-rules create FORWARDING_RULE_NAME \
  --load-balancing-scheme=EXTERNAL_MANAGED \
  --network-tier=STANDARD \
  --network=NETWORK \
  --region=REGION_A \
  --target-tcp-proxy=TARGET_TCP_PROXY_NAME \
  --target-tcp-proxy-region=REGION_A \
  --address=IP_ADDRESS \
  --ports=PORT_NUMBER

    Ganti kode berikut:

    • FORWARDING_RULE_NAME: nama untuk aturan penerusan.
    • NETWORK: nama jaringan.
    • SUBNET_A: nama subnetwork di region yang sama dengan load balancer.
    • IP_ADDRESS: alamat IP load balancer.
    • PORT_NUMBER: port yang digunakan oleh aturan penerusan—misalnya, 443.

Menguji load balancer

Setelah mengonfigurasi load balancer, Anda dapat menguji pengiriman traffic ke alamat IP load balancer.

  1. Pastikan Anda dapat mengakses layanan HTTPS melalui load balancer.

    curl https://example.com --resolve example.com:443:IP_ADDRESS -k

    Anda akan melihat perintah yang menampilkan respons dari salah satu VM di grup instance terkelola dengan output berikut yang dicetak ke konsol.

    "path": "/",
"headers": {
  "host": "example.com",
  "user-agent": "curl/7.81.0",
  "accept": "*/*"
},
"method": "GET",
"body": "",
"fresh": false,
"hostname": "example.com",
"ip": "::ffff:10.142.0.2",
"ips": [],
"protocol": "https",
"query": {},
"subdomains": [],
"xhr": false,
"os": {
  "hostname": "0cd3aec9b351"
},
"connection": {
  "servername": "example.com"
}

    Anda dapat memverifikasi lebih lanjut bahwa jika Anda memberikan nama host SNI yang berbeda yang tidak cocok dengan rute TLS, atau jika Anda tidak memberikan nama host SNI sama sekali, permintaan akan dibatalkan.

    • Jalankan pengujian dengan nama host SNI yang tidak cocok dengan example.com, untuk memastikan bahwa koneksi ditolak.
    curl https://unknown.com --resolve unknown.com:443:IP_ADDRESS -k
    • Jalankan pengujian dengan koneksi teks biasa tanpa TLS, untuk memastikan bahwa koneksi ditolak.
    curl example.com:443 --resolve example.com:443:IP_ADDRESS -k

    Perintah ini menampilkan error berikut.

    curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

    Anda akan melihat kode error connection_refused di logproxyStatus saat load balancer menolak koneksi tidak valid tersebut.

Mengaktifkan afinitas sesi

Contoh konfigurasi membuat layanan backend tanpa afinitas sesi.

Prosedur ini menunjukkan cara memperbarui layanan backend untuk contoh load balancer yang dibuat sebelumnya sehingga layanan backend menggunakan afinitas IP klien atau afinitas cookie yang dihasilkan.

Jika afinitas IP klien diaktifkan, load balancer akan mengarahkan permintaan klien tertentu ke VM backend yang sama berdasarkan hash yang dibuat dari alamat IP klien dan alamat IP load balancer (alamat IP internal aturan penerusan internal).

Untuk mengaktifkan afinitas sesi IP klien, selesaikan langkah-langkah berikut.

Konsol

  1. Di konsol Google Cloud , buka halaman Load balancing.

    Buka Load balancing

  2. Klik Backend.

  3. Klik ext-reg-tcp-proxy-bs (nama layanan backend yang Anda buat untuk contoh ini), lalu klik Edit.

  4. Di halaman Backend service details, klik Advanced configuration.

  5. Untuk Afinitas sesi, pilih IP Klien.

  6. Klik Update.

gcloud

Untuk memperbarui layanan backend ext-reg-tcp-proxy-bs dan menentukan afinitas sesi IP klien, gunakan perintah gcloud compute backend-services update ext-reg-tcp-proxy-bs:

gcloud compute backend-services update ext-reg-tcp-proxy-bs \
    --region=REGION_A \
    --session-affinity=CLIENT_IP

Langkah berikutnya