הגדרה של מאזן עומסי רשת גלובלי חיצוני בשרת proxy (שרת proxy של SSL) עם קצה עורפי של קבוצת מופעי מכונה וירטואלית

במסמך הזה מוסבר איך להגדיר מאזן עומסי רשת גלובלי חיצוני בשרת proxy עם שרת proxy של SSL וקצה עורפי של קבוצת מכונות וירטואליות. לפני שמתחילים, כדאי לקרוא את הסקירה הכללית על מאזן עומסי רשת חיצוני לשרת proxy כדי להבין איך מאזני העומסים האלה פועלים.

סקירה כללית של ההגדרה

בדוגמה הזו מוסבר איך להגדיר מאזן עומסי רשת חיצוני בשרת proxy לשירות שקיים בשני אזורים: אזור א' ואזור ב'. תגדירו את הפרטים הבאים:

  1. ארבעה מופעים שמתפרסים על פני שני אזורים
  2. קבוצות של מופעים להחזקת המופעים
  3. רכיבי קצה עורפי, כולל:
    • בדיקת תקינות – משמשת למעקב אחר תקינות המופע
    • שירות קצה עורפי – עוקב אחרי קבוצות של מופעי מכונה ומונע מהן לחרוג מהשימוש שהוגדר
    • שרתי קצה עורפיים – מכילים את קבוצות המופעים
  4. רכיבי קצה קדמי, שכוללים את הרכיבים הבאים:
    • משאב של אישור SSL. אתם יכולים להשתמש באישור בניהול עצמי, שבו אתם מספקים אישור SSL משלכם, או באישור בניהול Google, שבו Google מנפיקה אישור שתקף לכל הדומיינים שלכם. מידע נוסף זמין במאמר בנושא סוגים של אישורי SSL.
    • ה-SSL proxy עצמו עם אישור ה-SSL שלו
    • כתובת IPv4 חיצונית סטטית וכלל העברה ששולח את תנועת המשתמשים לשרת ה-proxy
    • כתובת IPv6 חיצונית סטטית וכלל העברה ששולח את תנועת המשתמשים לשרת ה-proxy
  5. כלל חומת אש שמאפשר תעבורת נתונים ממאזן העומסים ומבודק תקינות המופעים אל המופעים.
  6. אפשר גם להגדיר מדיניות SSL כדי לשלוט בתכונות של SSL שמאזן העומסים של פרוקסי SSL מנהל משא ומתן לגביהן עם לקוחות.

אחרי כן, תבדקו את ההגדרה.

הרשאות

כדי לפעול לפי המדריך הזה, אתם צריכים להיות מסוגלים ליצור מופעים ולשנות רשת בפרויקט. כדי לבצע את הפעולה הזו, אתם צריכים להיות בעלים או בעלי הרשאת עריכה בפרויקט, או שיהיו לכם את כל תפקידי ה-IAM הבאים ב-Compute Engine:

משימה התפקיד הנדרש
יצירת רשתות, רשתות משנה ורכיבים של מאזן עומסים אדמין רשתות
הוספה והסרה של כללים לחומת האש אדמין לענייני אבטחה
יצירת מופעים אדמין מכונות של Compute

מידע נוסף זמין במדריכים הבאים:

הגדרת הרשתות ורשתות המשנה

כדי ליצור את הרשת ואת רשת המשנה לדוגמה, פועלים לפי השלבים הבאים.

המסוף

כדי לתמוך בתנועה מסוג IPv4 ו-IPv6, פועלים לפי השלבים הבאים:

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על יצירת רשת VPC.

  3. מזינים שם לרשת.

  4. אופציונלי: אם רוצים להגדיר טווחי כתובות IPv6 פנימיים ברשתות משנה ברשת הזו, מבצעים את השלבים הבאים:

    1. בשדה VPC network ULA internal IPv6 range (טווח IPv6 פנימי של ULA ברשת VPC), בוחרים באפשרות Enabled (מופעל).

    2. בקטע הקצאת טווח פנימי של IPv6, בוחרים באפשרות אוטומטית או ידנית.

      אם בוחרים באפשרות Manually, צריך להזין טווח של /48 מתוך הטווח fd20::/20. אם הטווח נמצא בשימוש, תתבקשו לספק טווח אחר.

  5. בקטע Subnet creation mode (מצב יצירת רשת משנה), בוחרים באפשרות Custom (בהתאמה אישית).

  6. בקטע New subnet (רשת משנה חדשה), מגדירים את השדות הבאים:

    1. בשדה Name, מציינים שם לרשת המשנה.
    2. בשדה אזור, בוחרים אזור.
    3. בשביל IP stack type, בוחרים באפשרות IPv4 and IPv6 (dual-stack).

    4. בשדה טווח כתובות IP, מזינים טווח של כתובות IP. זהו טווח ה-IPv4 הראשי של רשת המשנה.

      אפשר להגדיר טווח כתובות IPv4 עבור רשת המשנה, אבל אי אפשר לבחור את טווח כתובות ה-IPv6 עבור רשת המשנה. ‫Google מספקת בלוק CIDR של IPv6 בגודל קבוע (/64).

    5. בשדה IPv6 access type, בוחרים באפשרות External.

  7. לוחצים על סיום.

  8. כדי להוסיף רשת משנה באזור אחר, לוחצים על הוספת רשת משנה וחוזרים על השלבים הקודמים.

  9. לוחצים על יצירה.

כדי לתמוך בתנועת נתונים ב-IPv4 בלבד, פועלים לפי השלבים הבאים:

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על יצירת רשת VPC.

  3. בשדה Name, מזינים שם לרשת.

  4. בקטע Subnet creation mode (מצב יצירת רשת משנה), בוחרים באפשרות Custom (בהתאמה אישית).

  5. בקטע New subnet (רשת משנה חדשה), מגדירים את האפשרויות הבאות:

    1. בשדה Name, מציינים שם לרשת המשנה.
    2. בשדה אזור, בוחרים אזור.
    3. בשביל IP stack type, בוחרים באפשרות IPv4 (single-stack).
    4. בשדה טווח כתובות IP, מזינים את טווח כתובות ה-IPv4 הראשי של רשת המשנה.

  6. לוחצים על סיום.

  7. כדי להוסיף רשת משנה באזור אחר, לוחצים על הוספת רשת משנה וחוזרים על השלבים הקודמים.

  8. לוחצים על יצירה.

gcloud

  1. יוצרים את רשת ה-VPC במצב בהתאמה אישית:

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

  2. ברשת, יוצרים רשת משנה לשרתי קצה עורפיים.

    כדי לעדכן רשת משנה בשביל תנועת IPv4 ו-IPv6, משתמשים בפקודה הבאה:

    gcloud compute networks subnets create SUBNET \
   --stack-type=IPV4_IPV6 \
   --ipv6-access-type=EXTERNAL \
   --network=NETWORK \
   --range=IPV4_RANGE \
   --region=REGION_A

    gcloud compute networks subnets create SUBNET_B \
   --stack-type=IPV4_IPV6 \
   --ipv6-access-type=EXTERNAL \
   --network=NETWORK \
   --range=IPV4_RANGE_B \
   --region=REGION_B

    כדי להגדיר תנועת IPv4 בלבד, משתמשים בפקודה הבאה:

    gcloud compute networks subnets create SUBNET \
   --network=NETWORK \
   --stack-type=IPV4_ONLY \
   --range=IPV4_RANGE \
   --region=REGION_A

    gcloud compute networks subnets create SUBNET_B \
   --network=NETWORK \
   --stack-type=IPV4_ONLY \
   --range=IPV4_RANGE_B \
   --region=REGION_B

מחליפים את מה שכתוב בשדות הבאים:

  • NETWORK: שם לרשת ה-VPC

  • IPV4_RANGE: טווח ה-IPv4 הראשי של תת-הרשת החדשה, בסימון CIDR. לדוגמה, 10.1.2.0/24.

  • SUBNET: שם לרשת המשנה

  • REGION_A או REGION_B: שם האזור

הגדרת מכונות וקבוצות של מכונות

בקטע הזה מוסבר איך ליצור מופעים וקבוצות של מופעים, ואז להוסיף את המופעים לקבוצות של המופעים. במערכת ייצור בדרך כלל משתמשים בקבוצות מופעי מכונה מנוהלים שמבוססות על תבניות של הגדרות מכונה, אבל ההגדרה הזו מהירה יותר לבדיקה ראשונית.

יצירת מופעים

יוצרים את המקרים האלה עם התג ssl-lb, שבו ישתמש הכלל בחומת האש בהמשך.

המסוף

יצירת מופעים

  1. נכנסים לדף VM instances במסוף Google Cloud .

    כניסה לדף VM instances

  2. לוחצים על Create instance.

  3. מגדירים את Name לערך vm-a1.

  4. מגדירים את Zone לערך ZONE_A.

  5. לוחצים על אפשרויות מתקדמות.

  6. לוחצים על Networking (רשת) ומגדירים את השדה הבא:

    • בשדה Network tags (תגי רשת), מזינים את הערכים ssl-lb ו-allow-health-check-ipv6.

  7. בקטע Network interfaces, לוחצים על Edit ומבצעים את השינויים הבאים:

    • בוחרים את הרשת.

    • בוחרים רשת משנה.

    • בשדה IP stack type, בוחרים באפשרות IPv4 and IPv6 (dual-stack).

    • לוחצים על סיום.

  8. לוחצים על ניהול. מזינים את הסקריפט הבא בשדה סקריפט לטעינה בזמן ההפעלה.

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>vm-a1</h1></body></html>' | sudo tee /var/www/html/index.html

  9. משאירים את ערכי ברירת המחדל בשאר השדות.

  10. לוחצים על יצירה.

  11. יוצרים את vm-a2 עם אותן הגדרות, אבל עם סקריפט לטעינה בזמן ההפעלה שמוגדר כך:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>vm-a2</h1></body></html>' | sudo tee /var/www/html/index.html

  12. יוצרים את vm-b1 עם אותן הגדרות, למעט Zone שמוגדר ל-ZONE_B וStartup script שמוגדר לסקריפט לטעינה בזמן ההפעלה הבא:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>vm-b1</h1></body></html>' | sudo tee /var/www/html/index.html

  13. יוצרים את vm-b2 עם אותן הגדרות, למעט Zone שמוגדר ל-ZONE_B וStartup script שמוגדר לסקריפט לטעינה בזמן ההפעלה הבא:

    sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo service apache2 restart
echo '<!doctype html><html><body><h1>vm-b2</h1></body></html>' | sudo tee /var/www/html/index.html

gcloud

  1. יצירת vm-a1 באזור ZONE_A.

    gcloud compute instances create vm-a1 \
   --image-family debian-12 \
   --image-project debian-cloud \
   --tags ssl-lb \
   --zone ZONE_A \
   --metadata startup-script="#! /bin/bash
     sudo apt-get update
     sudo apt-get install apache2 -y
     sudo a2ensite default-ssl
     sudo a2enmod ssl
     sudo service apache2 restart
     echo '<!doctype html><html><body><h1>vm-a1</h1></body></html>' | sudo tee /var/www/html/index.html
     EOF"

  2. יצירת vm-a2 באזור ZONE_A.

    gcloud compute instances create vm-a2 \
  --image-family=debian-12 \
  --image-project=debian-cloud \
  --tags=ssl-lb \
  --zone=ZONE_A \
  --metadata=startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>vm-a2</h1></body></html>' | sudo tee /var/www/html/index.html
     EOF"

  3. יצירת vm-b1 באזור ZONE_B.

    gcloud compute instances create vm-b1 \
  --image-family=debian-12 \
  --image-project=debian-cloud \
  --tags=ssl-lb \
  --zone=ZONE_B \
  --metadata=startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>vm-b1</h1></body></html>' | sudo tee /var/www/html/index.html
    EOF"

  4. יצירת vm-b2 באזור ZONE_B.

    gcloud compute instances create vm-b2 \
  --image-family=debian-12 \
  --image-project=debian-cloud \
  --tags=ssl-lb \
  --zone=ZONE_B \
  --metadata=startup-script="#! /bin/bash
    sudo apt-get update
    sudo apt-get install apache2 -y
    sudo a2ensite default-ssl
    sudo a2enmod ssl
    sudo service apache2 restart
    echo '<!doctype html><html><body><h1>vm-b2</h1></body></html>' | sudo tee /var/www/html/index.html
    EOF"

יצירת קבוצת מופעים לכל אזור והוספת מופעים

המסוף

  1. נכנסים לדף Instance groups במסוף Google Cloud .

    כניסה לדף Instance groups

  2. לוחצים על יצירת קבוצת מופעים.

  3. מגדירים את Name לערך instance-group-a.

  4. מגדירים את Zone לערך ZONE_A.

  5. בקטע מיפוי יציאות, לוחצים על הוספת יציאה. מאזן עומסים שולח תנועה לקבוצת מופעים דרך יציאה עם שם. יוצרים יציאה עם שם כדי למפות את התנועה הנכנסת למספר יציאה ספציפי.

    1. מזינים שם יציאה של ssl-lb ומספרי יציאות של 443.

  6. בקטע Instance definition, לוחצים על Select existing instances.

  7. בקטע VM instances, בוחרים באפשרות vm-a1 ואז באפשרות vm-a2.

  8. לא משנים הגדרות אחרות.

  9. לוחצים על יצירה.

  10. חוזרים על השלבים, אבל מגדירים את הערכים הבאים:

    • Name (שם): instance-group-b
    • Zone (תחום): ZONE_B
    • שם היציאה של ssl-lb ומספרי היציאות של 443
    • Instances: vm-b1 and vm-b2.

  11. מוודאים שיש עכשיו שתי קבוצות של מכונות, שבכל אחת מהן יש שתי מכונות.

gcloud

  1. יוצרים את קבוצת המכונות instance-group-a.

    gcloud compute instance-groups unmanaged create instance-group-a --zone ZONE_A

  2. מגדירים יציאה עם שם לקבוצת המכונות.

    gcloud compute instance-groups set-named-ports instance-group-a \
    --named-ports=ssl-lb:443 \
    --zone=ZONE_A

  3. הוספה של vm-a1 ושל vm-a2 לקבוצת המופעים instance-group-a

    gcloud compute instance-groups unmanaged add-instances instance-group-a \
    --instances=vm-a1,vm-a2 \
    --zone=ZONE_A

  4. יוצרים את קבוצת המכונות instance-group-b.

    gcloud compute instance-groups unmanaged create instance-group-b --zone ZONE_B

  5. מגדירים יציאה עם שם לקבוצת המכונות.

    gcloud compute instance-groups set-named-ports instance-group-b \
    --named-ports=ssl-lb:443 \
    --zone=ZONE_B

  6. הוספה של vm-b1 ושל vm-b2 לקבוצת המופעים instance-group-b

    gcloud compute instance-groups unmanaged add-instances instance-group-b \
    --instances=vm-b1,vm-b2 \
    --zone=ZONE_B

עכשיו יש לכם קבוצת מופעים בכל אחד משני אזורים, ולכל קבוצה שני מופעים.

יצירת כלל לחומת האש עבור מאזן העומסים של SSL

מגדירים את חומת האש כך שתאפשר תעבורת נתונים ממאזן העומסים ומכלי הבדיקה של תקינות המכונות אל המכונות.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. לוחצים על יצירת כלל לחומת האש.

  3. בשדה שם מזינים allow-ssl-lb-and-health.

  4. בוחרים את הרשת.

  5. בקטע יעדים, בוחרים באפשרות תגי יעד ספציפיים.

  6. מגדירים את Target tags ל-ssl-lb.

  7. מגדירים את Source filter בתור IPv4 ranges.

  8. מגדירים את Source IPv4 ranges (טווחים של כתובות IPv4 של המקור) ל-130.211.0.0/22 ול-35.191.0.0/16.

  9. בקטע פרוטוקולים ויציאות, מגדירים את פרוטוקולים ויציאות שצוינו לערך tcp:443.

  10. לוחצים על יצירה.

gcloud 

gcloud compute firewall-rules create allow-ssl-lb-and-health \
  --source-ranges=130.211.0.0/22,35.191.0.0/16 \
  --target-tags=ssl-lb \
  --allow=tcp:443

אם אתם משתמשים באישור ש-Google מנהלת, ודאו שהסטטוס של משאב האישור הוא ACTIVE. מידע נוסף זמין במאמר סטטוס של משאב אישור SSL בניהול Google.

gcloud compute ssl-certificates list

יצירת כלל לחומת האש לבדיקת תקינות של IPv6

חשוב לוודא שיש לכם כלל תעבורה נכנסת (ingress) שחל על המופעים שמתבצע איזון עומסים ביניהם, ושמאפשר תעבורה ממערכות בדיקת תקינות (2600:2d00:1:b029::/64). בדוגמה הזו נעשה שימוש בתג היעד allow-health-check-ipv6 כדי לזהות את המופעים של המכונות הווירטואליות שעליהם הוא חל. Google Cloud

בלי כלל חומת האש הזה, הכלל default deny ingress חוסם תעבורת IPv6 נכנסת לשרתים העורפיים.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. כדי לאפשר תעבורה של רשת משנה ב-IPv6, לוחצים שוב על יצירת כלל חומת אש ומזינים את הפרטים הבאים:

    • Name (שם): fw-allow-lb-access-ipv6
    • רשת: NETWORK
    • עדיפות: 1000
    • כיוון התנועה: תעבורת נתונים נכנסת (ingress)
    • יעדים: תגי יעד שצוינו
    • בשדה Target tags (תגי טרגוט), מזינים allow-health-check-ipv6.
    • מסנן מקור: טווחים של IPv6
    • טווחים של כתובות IPv6 של המקור: 2600:2d00:1:b029::/64,2600:2d00:1:1::/64
    • פרוטוקולים ויציאות: אישור הכול

  3. לוחצים על יצירה.

gcloud

יוצרים את כלל חומת האש fw-allow-lb-access-ipv6 כדי לאפשר תקשורת עם תת-הרשת:

gcloud compute firewall-rules create fw-allow-lb-access-ipv6 \
  --network=NETWORK \
  --action=allow \
  --direction=ingress \
  --target-tags=allow-health-check-ipv6 \
  --source-ranges=2600:2d00:1:b029::/64,2600:2d00:1:1::/64 \
  --rules=all

הגדרת מאזן העומסים

המסוף

התחלת ההגדרה

  1. נכנסים לדף Load balancing במסוף Google Cloud .

    כניסה לדף איזון עומסים

  2. לוחצים על Create load balancer (יצירת מאזן עומסים).
  3. בקטע Type of load balancer (סוג מאזן העומסים), בוחרים באפשרות Network Load Balancer (TCP/UDP/SSL) (מאזן עומסים ברשת (TCP/UDP/SSL)) ולוחצים על Next (הבא).
  4. בקטע Proxy or passthrough (פרוקסי או העברה), בוחרים באפשרות Proxy load balancer (מאזן עומסים של פרוקסי) ולוחצים על Next (הבא).
  5. בקטע Public facing or internal (פנימי או חיצוני), בוחרים באפשרות Public facing (external) (חיצוני) ולוחצים על Next (הבא).
  6. לפריסה גלובלית או פריסה באזור יחיד, בוחרים באפשרות הכי מתאים לעומסי עבודה גלובליים ולוחצים על הבא.
  7. בקטע Load balancer generation (יצירת מאזן עומסים), בוחרים באפשרות Global external proxy Network Load Balancer (מאזן עומסי רשת גלובלי חיצוני בשרת proxy) ולוחצים על Next (הבא).
  8. לוחצים על Configure (הגדרה).

הגדרה בסיסית

מגדירים את Name לערך my-ssl-lb.

Backend configuration

  1. לוחצים על Backend configuration.
  2. ברשימה Backend type (סוג ה-Backend), בוחרים באפשרות Instance groups (קבוצות של מכונות).
  3. ברשימה Protocol בוחרים באפשרות SSL.
  4. בשדה Named port, מזינים ssl-lb.
  5. מאשרים את ערך ברירת המחדל של Timeout.
  6. ברשימה IP address selection policy בוחרים באפשרות Prefer IPv6.
  7. מגדירים את בדיקת התקינות:
    • ברשימה בדיקת תקינות, בוחרים באפשרות יצירת בדיקת תקינות.
    • בשדה שם מזינים my-ssl-health-check.
    • ברשימה Protocol בוחרים באפשרות SSL.
    • משאירים את שאר ערכי ברירת המחדל.
    • לוחצים על יצירה.
  8. מגדירים את הקצה העורפי הראשון:
    1. בקטע New backend (עורף חדש), בוחרים בקבוצת מכונות instance-group-a.
    2. מגדירים את ניוד מספרים ל-443.
    3. משאירים את שאר ערכי ברירת המחדל.
  9. מגדירים את הקצה העורפי השני:
    1. לוחצים על הוספת קצה עורפי.
    2. בוחרים קבוצת מכונות instance-group-b.
    3. מגדירים את ניוד מספרים ל-443.
    4. לוחצים על סיום.
  10. במסוף Google Cloud , מוודאים שיש סימן וי ליד Backend configuration. אם לא, צריך לוודא שהשלמתם את כל השלבים.

Frontend configuration

  1. לוחצים על Frontend configuration.
      2. כדי להוסיף את כלל ההעברה הראשון:
    1. מזינים שם של my-ssl-lb-forwarding-rule.
    2. בקטע Protocol, בוחרים באפשרות SSL.
    3. בקטע כתובת IP, בוחרים באפשרות יצירת כתובת IP:
      1. מזינים שם של ssl-lb-static-ipv4.
      2. לוחצים על Reserve.
    4. בקטע Certificate, בוחרים באפשרות Create a new certificate.
    5. מזינים שם של my-ssl-cert.
    6. אם בוחרים באפשרות העלאת האישור שלי, מבצעים את השלבים הבאים:
      1. מדביקים את האישור או לוחצים על העלאה כדי לנווט אל קובץ האישור.
      2. מדביקים את המפתח הפרטי או לוחצים על העלאה כדי לנווט לקובץ המפתח הפרטי.
    7. אם בוחרים באפשרות Create Google managed certificate, מזינים Domain.
      1. כדי להזין דומיינים נוספים, לוחצים על הוספת דומיין.
      2. לוחצים על יצירה.
    8. כדי להוסיף משאבי אישורים בנוסף למשאב אישור ה-SSL הראשי, לוחצים על אישורים נוספים. אחר כך בוחרים אישור אחר מהתפריט Certificates או לוחצים על Create a new certificate ופועלים לפי ההוראות שלמעלה.
      1. (אופציונלי) כדי ליצור מדיניות SSL:
      2. בקטע SSL policy (מדיניות SSL), בוחרים באפשרות Create a policy (יצירת מדיניות).
      3. מזינים שם של my-ssl-policy.
      4. ב-Minimum TLS Version, בוחרים באפשרות TLS 1.0.
      5. בשדה פרופיל, בוחרים באפשרות מודרני. מוצגות האפשרויות תכונות מופעלות ותכונות מושבתות.
      6. לוחצים על Save.
    9. אופציונלי: מפעילים את האפשרות פרוטוקול שרת proxy.
    10. לוחצים על סיום.
  2. מוודאים שמופיע סימן וי ירוק ליד Frontend configuration במסוף Google Cloud . אם לא, בודקים שוב שביצעתם את כל השלבים הקודמים.
  3. לוחצים על סיום.

בדיקה וסיום

  1. לוחצים על Review and finalize.
  2. בודקים את הגדרות ההגדרה של מאזן העומסים.
  3. אופציונלי: לוחצים על Equivalent code כדי לראות את בקשת ה-API בארכיטקטורת REST שתשמש ליצירת מאזן העומסים.
  4. לוחצים על יצירה.

gcloud

  1. יצירת בדיקת תקינות. 
       gcloud compute health-checks create ssl my-ssl-health-check --port=443
  2. יוצרים שירות לקצה העורפי. 
       gcloud beta compute backend-services create my-ssl-lb \
       --load-balancing-scheme EXTERNAL_MANAGED \
       --global-health-checks \
       --protocol=SSL \
       --port-name=ssl-lb \
       --ip-address-selection-policy=PREFER_IPV6 \
       --health-checks=my-ssl-health-check \
       --timeout=5m \
       --global

    לחלופין, אפשר להגדיר תקשורת לא מוצפנת ממאזן העומסים למופעים באמצעות --protocol=TCP.

  3. מוסיפים קבוצות של מכונות וירטואליות לשירות הקצה העורפי.

       gcloud compute backend-services add-backend my-ssl-lb \
       --instance-group=instance-group-a \
       --instance-group-zone=ZONE_A \
       --balancing-mode=UTILIZATION \
       --max-utilization=0.8 \
       --global
   
       gcloud compute backend-services add-backend my-ssl-lb \
       --instance-group=instance-group-b \
       --instance-group-zone=ZONE_B \
       --balancing-mode=UTILIZATION \
       --max-utilization=0.8 \
       --global
  4. מגדירים את משאב אישור ה-SSL.

    אם אתם משתמשים באישור בניהול עצמי, אתם צריכים להעלות לפחות אישור SSL אחד. אם לא, אפשר לעיין בסקירה הכללית על אישורי SSL. כשמשתמשים בכמה אישורי SSL, צריך ליצור אותם אחד בכל פעם.

    אם אתם משתמשים באישורי SSL בניהול עצמי ואין לכם מפתח פרטי ואישור חתום, אתם יכולים ליצור ולהשתמש באישור בחתימה עצמית למטרות בדיקה.

    כדי ליצור משאב של אישור SSL בניהול עצמי:

       gcloud compute ssl-certificates create my-ssl-cert \
       --certificate=CRT_FILE_PATH \
       --private-key=KEY_FILE_PATH

    כדי ליצור משאב של אישור SSL בניהול Google:

       gcloud compute ssl-certificates create www-ssl-cert \
       --domains=DOMAIN_1,DOMAIN_2
  5. מגדירים שרת proxy של SSL ביעד.

    מאזני עומסים חיצוניים לשרת proxy תומכים ביצירת שרת proxy של SSL עם אישור SSL אחד עד חמישה עשר. לפני שמריצים את הפקודה הזו, צריך ליצור משאב של אישור SSL לכל אישור.

    אם רוצים להפעיל את כותרת ה-proxy, צריך להגדיר אותה ל-PROXY_V1 במקום ל-none. אפשר גם לצרף מדיניות SSL לשרת ה-proxy של היעד. קודם יוצרים את המדיניות.

       gcloud compute ssl-policies create my-ssl-policy \
       --profile=MODERN \
       --min-tls-version=1.0

    לאחר מכן, מצרפים את המדיניות לשרת ה-proxy של היעד.

       gcloud beta compute target-ssl-proxies create my-ssl-lb-target-proxy \
       --backend-service=my-ssl-lb \
       --ssl-certificates=[SSL_CERT_1][,[SSL_CERT_2],...] \
       --ssl-policy=my-ssl-policy \
       --proxy-header=NONE
  6. שמירת כתובות IP סטטיות גלובליות.

    הלקוחות שלכם משתמשים בכתובות ה-IP האלה כדי לגשת לשירות שלכם שמתבצע בו איזון עומסים.

       gcloud compute addresses create ssl-lb-static-ipv4 \
       --ip-version=IPV4 \
       --global
   
       gcloud compute addresses create ssl-lb-static-ipv6 \
       --ip-version=IPV6 \
       --global
  7. הגדרת כללי העברה גלובליים.

    יוצרים כללי העברה גלובליים שמשויכים לשרת ה-Proxy של היעד. מחליפים את LB_STATIC_IP ואת LB_STATIC_IPV6 בכתובות ה-IP שיצרתם בשלב שמירת כתובות IP סטטיות גלובליות.

       gcloud beta compute forwarding-rules create my-ssl-lb-forwarding-rule \
       --load-balancing-scheme EXTERNAL_MANAGED \
       --global \
       --target-ssl-proxy=my-ssl-lb-target-proxy \
       --address=LB_STATIC_IP \
       --ports=443

חיבור הדומיין למאזן העומסים

אחרי שיוצרים את מאזן העומסים, רושמים את כתובת ה-IP שמשויכת למאזן העומסים – לדוגמה, 30.90.80.100. כדי להפנות את הדומיין למאזן העומסים, צריך ליצור רשומת A באמצעות שירות הרישום של הדומיין. אם הוספתם מספר דומיינים לאישור ה-SSL, צריך להוסיף רשומת A לכל אחד מהם, כשכולם מפנים לכתובת ה-IP של מאזן העומסים. לדוגמה, כדי ליצור רשומות A בשביל www.example.com ובשביל example.com, משתמשים בפקודה הבאה:

NAME                  TYPE     DATA
www                   A        30.90.80.100
@                     A        30.90.80.100

אם אתם משתמשים ב-Cloud DNS כספק ה-DNS, תוכלו לעיין במאמר בנושא הוספה, שינוי ומחיקה של רשומות.

בדיקת מאזן העומסים

בדפדפן האינטרנט, מתחברים לכתובת ה-IP הסטטית באמצעות HTTPS. בהגדרת הבדיקה הזו, המופעים משתמשים באישורים עם חתימה עצמית. לכן, בפעם הראשונה שתגשו לדף, תוצג אזהרה בדפדפן. לוחצים על האזהרה כדי לראות את הדף בפועל. מחליפים את IP_ADDRESS בכתובת IPv4 או IPv6 שיצרתם קודם.

https://IP_ADDRESS

אחד המנחים מהאזור הקרוב אליכם אמור להופיע. טוענים מחדש את הדף עד שמופיע המופע השני באזור הזה. כדי לראות מכונות מאזור אחר, צריך לעצור את המכונות באזור הקרוב ביותר.

אפשר גם להשתמש בפקודה curl משורת הפקודה במחשב המקומי. אם אתם משתמשים באישור בחתימה עצמית בשרת ה-proxy של SSL, אתם צריכים לציין גם את -k. האפשרות curl -k מאפשרת ל-curl לפעול גם אם יש לכם אישור בחתימה עצמית או אם אין לכם אישור בכלל. אם יש לכם אישור רגיל, אתם יכולים להסיר את הפרמטר הזה. מומלץ להשתמש בפרמטר -k רק כדי לבדוק את האתר שלכם. בנסיבות רגילות, אישור תקין הוא אמצעי אבטחה חשוב, ואסור להתעלם מאזהרות לגבי אישורים.

מחליפים את IP_ADDRESS בכתובת IPv4 או IPv6 שיצרתם קודם.

curl -k https://IP_ADDRESS

אם לא מצליחים להגיע למאזן העומסים, כדאי לנסות את השלבים שמתוארים במאמר רישום ביומן ומעקב של מאזן עומסי רשת פרוקסי כדי לבדוק את היומנים והמדדים של מאזן העומסים.

אפשרויות הגדרה נוספות

בקטע הזה אנחנו מרחיבים את דוגמת ההגדרה ומציגים אפשרויות הגדרה חלופיות ונוספות. כל המשימות הן אופציונליות. אפשר לבצע אותן בכל סדר.

פרוטוקול PROXY לשמירת פרטי החיבור של הלקוח

מאזן עומסי רשת של ה-proxy מסיים חיבורי TCP מהלקוח ויוצר חיבורים חדשים למופעים. כברירת מחדל, המידע המקורי על כתובת ה-IP והיציאה של הלקוח לא נשמר.

כדי לשמור את פרטי החיבור המקוריים ולשלוח אותם למופעים, צריך להפעיל את גרסה 1 של פרוטוקול PROXY. הפרוטוקול הזה שולח כותרת נוספת שמכילה את כתובת ה-IP של המקור, כתובת ה-IP של היעד ומספרי היציאות למופע כחלק מהבקשה.

מוודאים שהשרתים העורפיים (backend instance) של מאזן העומסים של ה-proxy פועלים בשרתים שתומכים בכותרות של פרוטוקול PROXY. אם השרתים לא מוגדרים לתמיכה בכותרות של פרוטוקול PROXY, המופעים העורפיים מחזירים תגובות ריקות.

אם הגדרתם את פרוטוקול ה-PROXY לתנועת משתמשים, אתם יכולים להגדיר אותו גם עבור בדיקות התקינות. אם אתם בודקים את התקינות ומציגים תוכן באותה יציאה, צריך להגדיר את --proxy-header של בדיקת התקינות כך שיתאים להגדרה של מאזן העומסים.

כותרת פרוטוקול ה-PROXY היא בדרך כלל שורה אחת של טקסט שקריא למשתמש בפורמט הבא:

PROXY TCP4 <client IP> <load balancing IP> <source port> <dest port>\r\n

בדוגמה הבאה מוצג פרוטוקול PROXY:

PROXY TCP4 192.0.2.1 198.51.100.1 15221 110\r\n

בדוגמה שלמעלה, כתובת ה-IP של הלקוח היא 192.0.2.1, כתובת ה-IP של איזון העומסים היא 198.51.100.1, יציאת הלקוח היא 15221 ויציאת היעד היא 110.

אם כתובת ה-IP של הלקוח לא ידועה, מאזן העומסים יוצר כותרת של פרוטוקול PROXY בפורמט הבא:

PROXY UNKNOWN\r\n

עדכון כותרת פרוטוקול ה-PROXY עבור שרת ה-proxy של היעד

ההגדרה לדוגמה של מאזן העומסים בדף הזה מראה איך להפעיל את כותרת פרוטוקול ה-PROXY בזמן יצירת מאזן עומסי הרשת של ה-proxy. כדי לשנות את הכותרת של פרוטוקול ה-PROXY עבור שרת proxy קיים ליעד, פועלים לפי השלבים הבאים.

המסוף

  1. נכנסים לדף Load balancing במסוף Google Cloud .

    כניסה לדף איזון עומסים

  2. לוחצים על Edit (עריכה) ליד מאזן העומסים.
  3. לוחצים על Frontend configuration.
  4. משנים את הערך של השדה Proxy protocol (פרוטוקול שרת Proxy) ל-On (מופעל).
  5. לוחצים על עדכון כדי לשמור את השינויים.

gcloud

בפקודה הבאה, עורכים את השדה --proxy-header ומגדירים אותו לערך NONE או PROXY_V1, בהתאם לדרישה.

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --proxy-header=[NONE | PROXY_V1]

הגדרת זיקה לסשן

בקטעים הבאים מוסבר איך לעדכן שירות לקצה העורפי עבור איזון עומסים לדוגמה בשרת proxy של SSL, כך ששירות לקצה העורפי ישתמש בזיקה לכתובת IP של לקוח.

כשמופעלת זיקה לכתובת IP של לקוח, מאזן העומסים (LB) מפנה את הבקשות של לקוח מסוים לאותה מכונה וירטואלית בעורף, על סמך ערך hash שנוצר מכתובת ה-IP של הלקוח ומכתובת ה-IP של מאזן העומסים (כתובת ה-IP החיצונית של כלל העברה חיצוני).

המסוף

כדי להפעיל זיקה לסשן לפי כתובת IP של לקוח:

  1. נכנסים לדף Load balancing במסוף Google Cloud .

    כניסה לדף איזון עומסים

  2. לוחצים על Backends.

  3. לוחצים על my-ssl-lb (השם של שירות לקצה העורפי שיצרתם בדוגמה הזו) ואז על עריכה.

  4. בדף פרטי שירות לקצה העורפי, לוחצים על הגדרות מתקדמות.

  5. בקטע Session affinity, בוחרים באפשרות Client IP מהתפריט.

  6. לוחצים על עדכון.

gcloud

משתמשים בפקודה הבאה כדי לעדכן את שירות הקצה העורפי my-ssl-lb, ומציינים את זיקת הסשן של כתובת ה-IP של הלקוח:

gcloud compute backend-services update my-ssl-lb \
    --global \
    --session-affinity=CLIENT_IP

API

כדי להגדיר זיקה לסשן (session affinity) של כתובת IP של לקוח, שולחים בקשת PATCH אל ה-method‏ backendServices/patch.

PATCH https://www.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/us-west1/backendServices/my-ssl-lb
{
  "sessionAffinity": "CLIENT_IP"
}

הפעלת זמן להשלמת תהליך (connection draining)

אתם יכולים להפעיל זמן להשלמת תהליך (connection draining) בשירותי קצה עורפי כדי להבטיח הפרעה מינימלית למשתמשים כשמופסקת פעילות של מופע שמשרת תעבורה, כשמסירים אותו באופן ידני או כשמסירים אותו באמצעות מידרוג אוטומטי. מידע נוסף על זמן להשלמת תהליך (connection draining) זמין במאמרי עזרה בנושא הפעלת זמן להשלמת תהליך (connection draining).

המאמרים הבאים