גישה לממשקי Google API גלובליים דרך שרתי קצה עורפיים

בדף הזה מוסבר איך לגשת ל-Google APIs גלובליים באמצעות בקאנדים של Private Service Connect שמבוססים על מאזני עומסים פנימיים של אפליקציות חוצי-אזורים.

ההגדרה הזו מאפשרת לכם לטרגט ממשקי Google API גלובליים, תוך שימוש בחשיפה ושליטה שמסופקים על ידי קצה עורפי של Private Service Connect.

אתם יכולים להגדיר שמות מארחים מותאמים אישית, מקומיים לענן הווירטואלי הפרטי (VPC) ולרשתות המקומיות המחוברות, שמנתבים תעבורה ל-Google APIs הגלובליים שבחרתם.
אתם יכולים לגשת לקצה העורפי מכל אזור, והקצה העורפי יכול לאזן עומסים של תעבורה לקבוצות של נקודות קצה ברשת (NEGs) מסוג Private Service Connect שנמצאות בכל אזור.
אפשר להפנות תנועה אל השרתים העורפיים מרשתות VPC שנוצרו באמצעות שירותי שיתוף פעולה.

רשימה של ממשקי Google API גלובליים זמינים מופיעה במאמר יעדים גלובליים של Google API.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות להגדרת בק-אנד לגישה ל-Google APIs גלובליים, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט Google Cloud :
- אדמין ב-Compute (roles/compute.admin)
- בעלים של Certificate Manager (roles/certificatemanager.owner)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
מפעילים את Compute Engine API בפרויקט.
מפעילים את Certificate Manager API בפרויקט.
יצירת מפתח פרטי ואישור חתום מרשות אישורים (CA). פועלים לפי ההוראות שבקטע שלב 1: יצירת מפתח פרטי ותעודה. כדי ליצור אישור SSL בניהול עצמי באמצעות Certificate Manager, צריך את המפתח הפרטי ואת האישור.
יוצרים משאב אישור למאזן עומסים של אפליקציות (ALB) פנימי שפועל בכמה אזורים באמצעות המפתח הפרטי והאישור החתום שיצרתם. כשמעלים את האישור, צריך להגדיר את ההיקף ל-all-regions. מידע נוסף זמין במאמר בנושא העלאת אישור בניהול עצמי אל Certificate Manager. נדרש משאב האישור כדי להגדיר את ה-proxy של יעד ה-HTTPS עבור מאזן העומסים.
אם אין לכם רשת משנה עם פרוקסי בלבד, צריך ליצור אחת. צריכה להיות תת-רשת אחת בלבד מסוג proxy-only ברשת ה-VPC ובאזור שבהם אתם מתכוונים ליצור את כלל ההעברה של מאזן העומסים הפנימי של האפליקציה בין אזורים. כל מאזני העומסים הפנימיים של האפליקציות ברשת ובאזור האלה משתמשים ברשת המשנה הזו.

יצירת NEG של Private Service Connect

לכל Google API גלובלי שרוצים לגשת אליו, יוצרים NEG מסוג Private Service Connect. קבוצות של נקודות קצה ברשת (NEGs) מסוג Private Service Connect הן אזוריות, גם כשמשתמשים בהן כדי להתחבר ל-Google APIs גלובליים.

אי אפשר לעדכן NEG של Private Service Connect אחרי שהוא נוצר.

המסוף

נכנסים לדף Create a network endpoint group במסוף Google Cloud .

כניסה לדף Create a network endpoint group
בדף Create network endpoint group (יצירת קבוצת נקודות קצה ברשת), מזינים Name (שם) לקבוצת נקודות הקצה ברשת.
בקטע סוג קבוצת נקודות קצה ברשת, בוחרים באפשרות קבוצת נקודות קצה ברשת מסוג Private Service Connect (אזורית).
בקטע Target (יעד), בוחרים באפשרות Global Google APIs (ממשקי Google API גלובליים).
בוחרים את האזור של קבוצת נקודות הקצה ברשת.
בוחרים את שירות היעד לקבוצה של נקודות קצה ברשת.
לוחצים על יצירה.

gcloud

משתמשים בפקודה network-endpoint-groups create.

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

מחליפים את מה שכתוב בשדות הבאים:

‫NEG_NAME: שם לקבוצת נקודות הקצה ברשת.
‫TARGET_SERVICE: יעד ה-API הגלובלי של Google שאליו רוצים להתחבר – לדוגמה, pubsub.googleapis.com. כאן אפשר לעיין ברשימת היעדים הנתמכים של Google API ברחבי העולם.
‫REGION: האזור שבו רוצים ליצור את קבוצת נקודות הקצה ברשת.

API

שולחים בקשת POST אל ה-method‏ regionNetworkEndpointGroups.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkEndpointGroups
{
  "name": "NEG_NAME",
  "networkEndpointType": "PRIVATE_SERVICE_CONNECT",
  "pscTargetService": "TARGET_SERVICE"
}

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט של קבוצת נקודות הקצה ברשת.
‫REGION: האזור שבו רוצים ליצור את קבוצת נקודות הקצה ברשת.
‫NEG_NAME: שם לקבוצת נקודות הקצה ברשת.
‫TARGET_SERVICE: יעד ה-API הגלובלי של Google שאליו רוצים להתחבר – לדוגמה, pubsub.googleapis.com. כאן אפשר לעיין ברשימת היעדים הנתמכים של Google API ברחבי העולם.

הגדרת מאזן העומסים

כדי לגשת לממשקי Google API גלובליים, צריך להגדיר מאזן עומסים פנימי של אפליקציות חוצה-אזורים.

המסוף

בחירת סוג מאזן העומסים

נכנסים לדף Load balancing במסוף Google Cloud .

כניסה לדף איזון עומסים
לוחצים על Create load balancer (יצירת מאזן עומסים).
בקטע Type of load balancer, בוחרים באפשרות Application Load Balancer (HTTP/HTTPS) ולוחצים על Next.
בקטע Public facing or internal (פנימי או גלוי לכולם), בוחרים באפשרות Internal (פנימי) ולוחצים על Next (הבא).
בקטע פריסה חוצה אזורים או פריסה באזור יחיד, בוחרים באפשרות הכי מתאים לעומסי עבודה חוצי אזורים ולוחצים על הבא.
לוחצים על Configure (הגדרה).

הגדרה בסיסית

מזינים שם למאזן העומסים.
בוחרים רשת למאזן העומסים.

הרשת צריכה להכיל רשת משנה של שרת proxy בלבד באזור שבו יוצרים את מאזן העומסים.

הגדרות הקצה הקדמי

לוחצים על Frontend configuration.
מזינים שם לכלל ההעברה של מאזן העומסים.
בשדה Protocol, בוחרים באפשרות HTTPS (includes HTTP/2 and HTTP/3).
בוחרים אזור של רשת משנה עבור רשת המשנה של מאזן העומסים.
בוחרים רשת משנה למאזן העומסים.
לוחצים על כתובת IP ומבצעים אחת מהפעולות הבאות:
- כדי להקצות כתובת IP זמנית באופן אוטומטי, בוחרים באפשרות זמנית (אוטומטית).
- כדי לבחור כתובת IP זמנית, בוחרים באפשרות זמנית (מותאמת אישית), ואז מזינים כתובת IP זמנית מותאמת אישית מתוך טווח כתובות ה-IP של תת-הרשת של מאזן העומסים.
- כדי לשמור ולהשתמש בכתובת IP פנימית סטטית, לוחצים על Create IP address (יצירת כתובת IP) ומבצעים את הפעולות הבאות:
  1. מזינים שם לכתובת ה-IP.
  2. לוחצים על כתובת IP סטטית, ואז מבצעים אחת מהפעולות הבאות:
    - כדי להקצות אוטומטית כתובת IP סטטית, בוחרים באפשרות הקצאה אוטומטית.
    - כדי להגדיר כתובת IP ספציפית, בוחרים באפשרות אני רוצה לבחור ואז מזינים כתובת IP מותאמת אישית מטווח כתובות ה-IP של רשת המשנה של מאזן העומסים.
  3. לוחצים על Reserve.
מוודאים שהשדה Port מוגדר לערך 443, כדי לאפשר תנועה ב-HTTPS.
לוחצים על רשימת האישורים ואז בוחרים את האישור בניהול עצמי.
לוחצים על סיום.

הגדרת הקצה העורפי

לוחצים על Backend configuration.
לכל Google API גלובלי שרוצים לגשת אליו, יוצרים שירות בקצה העורפי גלובלי. כדי ליצור שירות לקצה עורפי גלובלי:
1. בתפריט Create or select backend services (יצירה או בחירה של שירותי קצה עורפי), בוחרים באפשרות Create a backend service (יצירת שירות קצה עורפי).
2. מזינים שם לשירות לקצה העורפי.
3. מגדירים את סוג הקצה העורפי לקבוצה של נקודות קצה ברשת מסוג Private Service Connect.
4. מגדירים את סוג היעד של Private Service Connect לGlobal Google API.
5. בוחרים באפשרות HTTPS לפרוטוקול.
6. בקטע Backends לוחצים על התפריט New backend ובוחרים קבוצה של נקודות קצה ברשת מסוג Private Service Connect.
  
  אם אתם צריכים ליצור קבוצה חדשה של נקודות קצה ברשת מסוג Private Service Connect, לוחצים על יצירת PSC NEG.
7. לוחצים על סיום.
8. לוחצים על יצירה.
מוודאים שכל שירות קצה עורפי שרוצים להוסיף מסומן בתפריט יצירה או בחירה של שירותי קצה עורפי, ואז לוחצים על אישור.

כללי ניתוב

קבוצת הכללים לניתוב בקשות HTTPS נכנסות לשירותי קצה עורפי ספציפיים נקראת מפת URL. מידע נוסף על מיפוי כתובות URL זמין במאמר סקירה כללית על מיפוי כתובות URL.

אם מגדירים רק שירות לקצה העורפי אחד למאזן העומסים, כלל הניתוב שמוגדר כברירת מחדל מספיק, ואפשר לדלג אל בדיקה וסיום.

אם אתם מגדירים כמה שירותים לקצה העורפי, אתם צריכים ליצור התאמת נתיבים לכל שירות לקצה העורפי. כל כלל מארח יכול להפנות רק להתאמה אחת של נתיב, אבל שני כללי מארח או יותר יכולים להפנות לאותה התאמה של נתיב.

אם יש לכם יותר משירות קצה עורפי אחד, לוחצים על כללי ניתוב.
בוחרים באפשרות כלל פשוט של מארח ונתיב.
לכל קצה עורפי, מבצעים את הפעולות הבאות:
1. לוחצים על הוספת כלל של מארח ונתיב.
2. בשדה מארח, מזינים את שם המארח שישמש לשליחת בקשות לשירות הזה – לדוגמה, pubsub.example.com.
3. בשדה Paths (נתיבים), מזינים את הנתיב. לדוגמה, /*.
4. בשדה Backends (קצה עורפי), בוחרים את שירות הקצה העורפי.

בדיקה וסיום

לוחצים על בדיקה וסיום כדי לבדוק את ההגדרה.
לוחצים על יצירה.

gcloud

לכל Google API גלובלי שרוצים לגשת אליו, מבצעים את הפעולות הבאות:
1. כדי ליצור שירות לקצה העורפי גלובלי, משתמשים בפקודה gcloud compute backend-services create.
```
gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --protocol=HTTPS \
    --global
```
  מחליפים את BACKEND_SERVICE_NAME בשם של שירות לקצה העורפי.
2. כדי להוסיף NEG לשירות לקצה העורפי המתאים, משתמשים בפקודה gcloud compute backend-services add-backend.
```
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=REGION \
    --global
```
  מחליפים את מה שכתוב בשדות הבאים:
  - ‫NEG_NAME: השם של ה-NEG של Private Service Connect.
  - ‫REGION: האזור של ה-NEG של Private Service Connect.
כדי ליצור מפת URL גלובלית למאזן העומסים, משתמשים בפקודה gcloud compute url-maps create.

מפת URL חייבת להפנות לשירות לקצה העורפי שמוגדר כברירת מחדל. אם אתם מגדירים את מאזן העומסים עם שירות לקצה העורפי אחד, הגדירו את שירות לקצה העורפי הזה כברירת מחדל. אם אתם מגדירים את מאזן העומסים לשימוש בכמה שירותים לקצה העורפי, אתם צריכים לבחור אחד מהשירותים לקצה העורפי כברירת המחדל של מפת ה-URL.
```
gcloud compute url-maps create URL_MAP_NAME \
    --default-service=DEFAULT_BACKEND_SERVICE_NAME
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫URL_MAP_NAME: שם למפת URL.
- ‫DEFAULT_BACKEND_SERVICE_NAME: השם של שירות הקצה העורפי שמוגדר כברירת המחדל במאזן העומסים. המערכת משתמשת בברירת המחדל אם אין כלל מארח שמתאים לשם המארח המבוקש.
אופציונלי: אם מגדירים את מאזן העומסים לשימוש בכמה שירותי קצה עורפי, צריך לבצע את השלב הזה. אם מפת ה-URL מפנה רק לשירות לקצה העורפי אחד, אפשר לדלג על השלב הזה.

כדי להוסיף עוד שירותי קצה עורפי למפת URL, משתמשים בפקודה gcloud compute url-maps add-path-matcher.

לכל שירות קצה עורפי, מוסיפים התאמת נתיבים וכלל אחד או יותר של מארחים. צריך ליצור התאמה לנתיב אחד לכל שירות קצה עורפי. כל כלל מארח יכול להפנות רק להתאמת נתיב אחת, אבל שני כללי מארח או יותר יכולים להפנות לאותה התאמת נתיב.
```
gcloud compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=PATH_MATCHER \
    --default-service=BACKEND_SERVICE_NAME \
    --new-hosts=HOSTNAMES
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PATH_MATCHER: שם להתאמת הנתיב.
- ‫BACKEND_SERVICE_NAME: השם של שירות הקצה העורפי.
- ‫HOSTNAMES: שם מארח אחד או יותר שאליהם יישלחו בקשות לשירות לקצה העורפי, לדוגמה, pubsub.example.com. אפשר להזין כמה שמות מארחים ברשימה מופרדת בפסיקים.
כדי ליצור proxy יעד מסוג HTTPS, משתמשים בפקודה gcloud compute target-https-proxies create.
```
gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PROXY_NAME: שם ל-proxy ל-HTTPS עם יעד.
- ‫URL_MAP_NAME: השם של מפת URL.
- ‫CERTIFICATE_NAME: השם של משאב האישור.
כדי ליצור כלל העברה גלובלי למאזן העומסים, משתמשים בפקודה gcloud compute forwarding-rules create.
```
gcloud compute forwarding-rules create RULE_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --network=NETWORK \
    --address=IP_ADDRESS \
    --ports=443 \
    --target-https-proxy=PROXY_NAME \
    --subnet=SUBNET \
    --subnet-region=SUBNET_REGION \
    --global
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫RULE_NAME: השם של כלל ההעברה.
- ‫NETWORK: רשת ה-VPC של כלל ההעברה. הרשת הזו צריכה להכיל רשת משנה של פרוקסי בלבד באזור שבו אתם יוצרים את איזון העומסים.
- ‫IP_ADDRESS: כתובת ה-IP הפנימית של כלל ההעברה, שחייבת להיות בטווח כתובות ה-IP של רשת המשנה של כלל ההעברה. כדי להשתמש בכתובת IP ספציפית וזמנית, מזינים את כתובת ה-IP – לדוגמה, 10.0.0.5. כדי להשתמש בכתובת IP פנימית סטטית, מזינים את השם של כתובת ה-IP. כדי לאפשר ל- Google Cloud לבחור כתובת IP זמנית, לא מציינים את הדגל הזה.
- ‫SUBNET: רשת המשנה של כלל ההעברה.
- ‫SUBNET_REGION: האזור של רשת המשנה של כלל ההעברה.

API

לכל Google API גלובלי שרוצים לגשת אליו, מבצעים את הפעולות הבאות:
1. כדי ליצור שירות לקצה העורפי גלובלי, שולחים בקשת POST אל ה-method‏ backendServices.insert.
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices
{
  "loadBalancingScheme": "INTERNAL_MANAGED",
  "name": "BACKEND_SERVICE_NAME",
  "protocol": "HTTPS"
}
```
  מחליפים את מה שכתוב בשדות הבאים:
  - ‫PROJECT_ID: מזהה הפרויקט.
  - ‫BACKEND_SERVICE_NAME: השם של שירות ה-Backend.
2. כדי להוסיף NEG לשירות הקצה העורפי המתאים, שולחים בקשת PATCH ל-method‏ backendServices.patch.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME
{
  "backends": [
    {
      "group": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkEndpointGroups/NEG_NAME"
    }
  ]
}
```
  מחליפים את מה שכתוב בשדות הבאים:
  - ‫REGION: האזור של ה-NEG.
  - ‫NEG_NAME: השם של קבוצת נקודות הקצה ברשת שרוצים להוסיף.
כדי ליצור מיפוי כתובות URL גלובלי למאזן העומסים, שולחים בקשת POST אל ה-method‏ urlMaps.insert.

מפת URL חייבת להפנות לשירות לקצה העורפי שמוגדר כברירת מחדל. אם אתם מגדירים את מאזן העומסים עם שירות לקצה העורפי אחד, הגדירו את שירות לקצה העורפי הזה כברירת מחדל. אם אתם מגדירים את מאזן העומסים לשימוש בכמה שירותים לקצה העורפי, אתם צריכים לבחור אחד מהשירותים לקצה העורפי כברירת המחדל של מפת ה-URL.
```
 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/urlMaps
 {
   "defaultService": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/DEFAULT_BACKEND_SERVICE_NAME",
   "name": "URL_MAP_NAME"
 }
 
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫DEFAULT_BACKEND_SERVICE_NAME: השם של ברירת המחדל של מאזן העומסים. ברירת המחדל משמשת כשאין כלל מארח שתואם לשם המארח המבוקש.
- ‫URL_MAP_NAME: שם למפת URL.
אם אתם מגדירים את מאזן העומסים לשימוש בכמה שירותי קצה עורפיים, אתם צריכים להשלים את השלב הזה. אם מפת ה-URL מפנה רק לשירות לקצה העורפי אחד, אפשר לדלג על השלב הזה.

כדי להוסיף עוד שירותי קצה עורפי למפת URL, שולחים PATCHבקשה לשיטה urlMaps.patch.

לכל שירות קצה עורפי, מוסיפים התאמת נתיבים וכלל אחד או יותר של מארחים. צריך ליצור התאמה לנתיב אחד לכל שירות קצה עורפי. כל כלל מארח יכול להפנות רק להתאמת נתיב אחת, אבל שני כללי מארח או יותר יכולים להפנות לאותה התאמת נתיב.

אפשר להוסיף כמה כללים להתאמת נתיבים וכללי מארחים באמצעות בקשת API אחת.
```
 PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/urlMaps/URL_MAP_NAME
 {
   "pathMatchers": [
     {
       "name": "PATH_MATCHER_NAME_1",
       "defaultService": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME_1"
     },
     {
       "name": "PATH_MATCHER_NAME_2",
       "defaultService": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME_2"
     }
   ],
   "hostRules": [
     {
       "hosts": ["HOSTNAME_1"],
       "pathMatcher": "PATH_MATCHER_NAME_1"
     },
     {
       "hosts": ["HOSTNAME_2"],
       "pathMatcher": "PATH_MATCHER_NAME_2"
     }
   ]
 }
 
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PATH_MATCHER_NAME_1: שם של התאמת הנתיב הראשונה.
- ‫BACKEND_SERVICE_NAME_1: השם של שירות הקצה העורפי הראשון.
- ‫PATH_MATCHER_NAME_2: שם של התאמת הנתיב השני.
- ‫BACKEND_SERVICE_NAME_2: השם של שירות הקצה העורפי השני.
- ‫HOSTNAME_1: שם המארח שאליו נשלחות בקשות לשירות הראשון, לדוגמה pubsub.example.com.
- ‫HOSTNAME_2: שם המארח שאליו יש לשלוח בקשות עבור השירות השני.

כדי ליצור proxy HTTPS ליעד, שולחים בקשת POST אל ה-method‏ targetHttpsProxies.insert.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetHttpsProxies
 {
   "name": "PROXY_NAME",
   "sslCertificates": [
     "https://certificatemanager.googleapis.com/v1/projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"
   ],
   "urlMap": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/urlMaps/URL_MAP_NAME"
 }

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫PROXY_NAME: שם ל-proxy ל-HTTPS עם יעד.
‫CERTIFICATE_NAME: השם של משאב האישור.
‫URL_MAP_NAME: השם של מפת URL.

כדי ליצור כלל העברה גלובלי למאזן העומסים, שולחים בקשת POST אל ה-method‏ globalForwardingRules.insert. הרשת של כלל ההעברה צריכה להכיל תת-רשת של שרת proxy בלבד בתת-הרשת של האזור של כלל ההעברה.
```
 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules
 {
   "IPAddress": "IP_ADDRESS",
   "loadBalancingScheme": "INTERNAL_MANAGED",
   "name": "FORWARDING_RULE_NAME",
   "network": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME",
   "portRange": "443",
   "subnetwork": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/SUBNET_REGION/subnetworks/SUBNET_NAME",
   "target": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME"
 }
 
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫IP_ADDRESS: כתובת ה-IP הפנימית של כלל ההעברה, שחייבת להיות בטווח כתובות ה-IP של רשת המשנה של כלל ההעברה. כדי להשתמש בכתובת IP ארעית ספציפית, צריך לציין את כתובת ה-IP – לדוגמה, 10.0.0.5. כדי להשתמש בכתובת IP פנימית סטטית, צריך לציין את השם של כתובת ה-IP. כדי לאפשר ל-Google Cloud לבחור כתובת IP זמנית, משמיטים את השדה הזה.
- ‫FORWARDING_RULE_NAME: השם של כלל ההעברה.
- ‫NETWORK_NAME: השם של רשת ה-VPC של כלל ההעברה. הרשת הזו צריכה להכיל רשת משנה מסוג proxy-only באזור שבו יוצרים את מאזן העומסים.
- ‫SUBNET_REGION: האזור של רשת המשנה של כלל ההעברה.
- ‫SUBNET_NAME: השם של רשת המשנה של כלל ההעברה.

אימות ההגדרה

כדי לבדוק את החיבור של ה-Backend לממשקי Google API גלובליים, מבצעים את הפעולות הבאות:

אם אין לכם מכונה וירטואלית, אתם צריכים ליצור מכונה וירטואלית (VM) ברשת ה-VPC שבה הגדרתם את ה-Backend.
מוודאים שלא יצרתם כללי חומת אש או מדיניות חומת אש שדורסים את כלל ברירת המחדל שמאפשר תעבורת נתונים יוצאת (egress) ב-IPv4.
מתחברים ל-VM.
במכונה הווירטואלית, משתמשים בפקודה curl כדי לוודא שאפשר לשלוח שאילתות לכל API. הפקודה הזו מגדירה את הכותרת Host ומדלגת על פענוח DNS על ידי ציון כתובת IP שהוגדרה על ידי המשתמש.

אפשר לדלג על אימות האישור באמצעות הדגל -k. יכול להיות שתצטרכו לדלג על האימות אם השתמשתם באישור בחתימה עצמית כדי להגדיר את שרת ה-proxy של יעד ה-HTTPS, או אם למכונה הווירטואלית אין את האישור של רשות האישורים שחתמה על האישור שלכם.
```
curl -iv --resolve HOSTNAME:443:IP_ADDRESS \
   'https://HOSTNAME/RESOURCE_URI'
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫HOSTNAME: שם המארח שהגדרתם במפת ה-URL, לדוגמה pubsub.example.com.
- ‫IP_ADDRESS: כתובת ה-IP של כלל ההעברה של מאזן העומסים.
- ‫RESOURCE_URI: שאר ה-URI של המשאב שרוצים להשתמש בו לאימות. לדוגמה, אם מאזן העומסים מעביר בקשות לנקודת קצה אזורית של Pub/Sub, אפשר להשתמש ב-$discovery/rest?version=v1.

הגדרת רשומות DNS

מגדירים רשומות DNS לכל מארח שהוספתם למפת URL, כך שהן יפנו לכתובת ה-IP של כלל ההעברה. אם אתם משתמשים ב-Cloud DNS כדי לנהל את ה-DNS, כדאי לעיין במאמר בנושא הוספה, שינוי ומחיקה של רשומות. אחרת, צריך להגדיר רשומות DNS בשרת ה-DNS.

לדוגמה, נניח שיצרתם את ההגדרות הבאות:

קבוצה של נקודות קצה ברשת מסוג Private Service Connect שמשתמשת בשירות היעד pubsub.googleapis.com.
מאזן עומסים פנימי של אפליקציות בכמה אזורים שמשתמש ב-NEG מסוג Private Service Connect כקצה עורפי.
מפת URL שמגדירה כלל מארח ל-pubsub.example.com.

כדי שההגדרה הזו תפעל בצורה תקינה, צריך ליצור רשומת DNS שמפנה pubsub.example.com לכתובת ה-IP של כלל ההעברה.

בהגדרה הזו, כל בקשה שנשלחת אל pubsub.example.com מועברת למאזן העומסים, שמעביר את הבקשה אל pubsub.googleapis.com.

הגדרת לקוחות לשליחת בקשות לקצה העורפי

כדי לשלוח בקשות דרך ה-backend במקום דרך נקודות הקצה של השירות הציבורי, צריך להגדיר את הלקוחות כך שישלחו בקשות לשם המארח שהגדרתם במפת URL של מאזן העומסים – לדוגמה, pubsub.example.com. במסמכי התיעוד של הלקוח או של ספריית הלקוח שלכם מוסבר איך להגדיר אותם לשימוש בנקודות קצה מותאמות אישית. בדפים הבאים מפורטים שלבי ההגדרה של כמה לקוחות נפוצים:

‫Python: אפשר להגדיר את api_endpoint באפשרויות של הלקוח.
מעבר: אפשר להגדיר את WithEndpoint ב-ClientOptions.
‫‎.NET: אפשר להגדיר את Endpoint במחלקה של בונה הלקוח.
‫Java: אפשר להגדיר את setEndpoint בכיתת ההגדרות של הלקוח.
‫gcloud: אפשר להגדיר את api_endpoint_overrides ב- CLI של gcloud.