Auf dieser Seite wird beschrieben, wie Sie einen externen Application Load Balancer erstellen, um Anfragen an serverlose Back-Ends weiterzuleiten. Der Begriff "serverlos" bezieht sich hier auf die folgenden serverlosen Computing-Produkte:
- App Engine
- Cloud Run-Funktionen
- Cloud Run
Durch die Einbindung externer Application Load Balancer in API Gateway können Ihre serverlosen Back-Ends alle Features von Cloud Load Balancing nutzen. Informationen zum Konfigurieren eines externen Application Load Balancers zum Weiterleiten von Traffic an ein API Gateway finden Sie unter Erste Schritte mit einem externen Application Load Balancer für API Gateway. Die Unterstützung für externe Application Load Balancer für API Gateway befindet sich in der Vorschau.
Serverlose NEGs bieten Ihnen die Möglichkeit, serverlose Google Cloud-Anwendungen mit externen Application Load Balancern zu verwenden. Nachdem Sie einen Load-Balancer mit dem serverlosen NEG-Backend konfiguriert haben, werden Anfragen an den Load-Balancer zum serverlosen Backend der Anwendung geleitet.
Weitere Informationen zu serverlosen NEGs finden Sie in der Übersicht zu serverlosen NEGs.
Hinweise
- App Engine-, Cloud Run Functions- oder Cloud Run-Dienst bereitstellen.
- Installieren Sie die Google Cloud CLI, falls noch nicht geschehen.
- Konfigurieren Sie Berechtigungen.
- Fügen Sie eine SSL-Zertifikatsressource hinzu.
App Engine-, Cloud Run Functions- oder Cloud Run-Dienst bereitstellen
Bei den Anleitungen auf dieser Seite wird davon ausgegangen, dass Sie bereits einen Cloud Run-, Cloud Run Functions- oder App Engine-Dienst ausführen.
Für das Beispiel auf dieser Seite wurde die Python-Kurzanleitung für Cloud Run verwendet, um einen Cloud Run-Dienst in der Region us-central1
bereitzustellen. Auf der restlichen Seite wird beschrieben, wie Sie einen externen Application Load Balancer einrichten, der ein serverloses NEG-Backend verwendet, um Anfragen an diesen Dienst weiterzuleiten.
Wenn Sie noch keine serverlose Anwendung bereitgestellt haben oder eine serverlose NEG mit einer Beispielanwendung ausprobieren möchten, nutzen Sie eine der folgenden Kurzanleitungen. Sie können eine serverlose Anwendung in jeder Region erstellen, aber Sie müssen später zum Erstellen der serverlosen NEG und des Load-Balancers dieselbe Region verwenden.
Cloud Run
Wenn Sie eine einfache Hello World-Anwendung erstellen möchten, verpacken Sie sie in ein Container-Image und stellen Sie das Container-Image dann für Cloud Run bereit. Weitere Informationen finden Sie unter Kurzanleitung: Erstellen und bereitstellen.
Wenn Sie bereits einen Beispielcontainer nach Container Registry hochgeladen haben, finden Sie weitere Informationen unter Kurzanleitung: Vorgefertigten Beispielcontainer bereitstellen.
Cloud Run-Funktionen
Siehe Cloud Run Functions: Python-Kurzanleitung.
App Engine
Informationen finden Sie in den folgenden App Engine-Kurzanleitungen für Python 3:
Google Cloud CLI installieren
Installieren Sie die Google Cloud CLI. In der gcloud-Übersicht finden Sie Informationen zum Konzept und zur Installation des Tools.
Wenn Sie die gcloud CLI noch nicht ausgeführt haben, führen Sie zuerst gcloud init
aus, um Ihr gcloud-Verzeichnis zu initialisieren.
Berechtigungen konfigurieren
Um dieser Anleitung zu folgen, müssen Sie in einem Projekt eine serverlose NEG und einen externen HTTP(S)-Load-Balancer erstellen. Sie sollten entweder Inhaber oder Bearbeiter des Projekts sein oder die folgenden IAM-Rollen für Compute Engine haben:
Aufgabe | Erforderliche Rolle |
---|---|
Load-Balancer und Netzwerkkomponenten erstellen | Netzwerkadministrator |
NEGs erstellen und ändern | Compute-Instanzadministrator |
SSL-Zertifikate erstellen und ändern | Sicherheitsadministrator |
Externe IP-Adresse reservieren
Nachdem die Dienste nun ausgeführt werden, müssen Sie eine globale statische externe IP-Adresse einrichten, über die Ihre Kunden den Load-Balancer erreichen können.
Console
Rufen Sie in der Google Cloud Console die Seite Externe IP-Adressen auf.
Klicken Sie auf Externe statische IP-Adresse reservieren.
Geben Sie für Name
example-ip
ein.Wählen Sie für Netzwerkdienststufe die Option Premium aus.
Setzen Sie die IP-Version auf IPv4.
Wählen Sie unter Typ die Option Global aus.
Klicken Sie auf Reservieren.
gcloud
gcloud compute addresses create example-ip \ --network-tier=PREMIUM \ --ip-version=IPV4 \ --global
Notieren Sie sich die reservierte IPv4-Adresse:
gcloud compute addresses describe example-ip \ --format="get(address)" \ --global
SSL-Zertifikatsressource erstellen
Zum Erstellen eines HTTPS-Load-Balancers müssen Sie dem Frontend des Load-Balancers eine SSL-Zertifikatsressource hinzufügen. Erstellen Sie eine SSL-Zertifikatsressource mit einem von Google verwalteten SSL-Zertifikat oder mit einem selbst verwalteten SSL-Zertifikat.
Von Google verwaltete Zertifikate. Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert. Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain und die zugehörigen DNS-Einträge, damit das Zertifikat bereitgestellt werden kann. Außerdem müssen Sie den DNS-A-Eintrag der Domain so aktualisieren, dass er auf die IP-Adresse des Load-Balancers (
example-ip
) verweist, die im vorherigen Schritt erstellt wurde. Eine ausführliche Anleitung finden Sie unter Von Google verwaltete Zertifikate verwenden.Selbst signierte Zertifikate. Wenn Sie derzeit keine Domain einrichten möchten, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden.
In diesem Beispiel wird davon ausgegangen, dass Sie bereits eine SSL-Zertifikatsressource erstellt haben.
Wenn Sie diesen Prozess testen möchten, ohne eine SSL-Zertifikatsressource oder eine Domain (für von Google verwaltete Zertifikate erforderlich) zu erstellen, folgen Sie der Anleitung auf dieser Seite, um stattdessen einen HTTP-Load-Balancer einzurichten.
Load-Balancer erstellen
Im folgenden Diagramm verwendet der Load-Balancer ein serverloses NEG-Backend, um Anfragen zu einem serverlosen Cloud Run-Dienst zu leiten. Für dieses Beispiel wurde die Python-Kurzanleitung für Cloud Run verwendet, um einen Cloud Run-Dienst bereitzustellen.
Da Systemdiagnosen für Backend-Dienste mit serverlosen NEG-Backends nicht unterstützt werden, müssen Sie keine Firewallregel erstellen, die Systemdiagnosen zulässt, wenn der Load-Balancer nur serverlose NEG-Backends hat.
Console
Konfiguration starten
Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
- Klicken Sie auf Load-Balancer erstellen.
- Wählen Sie unter Typ des Load Balancers die Option Application Load Balancer (HTTP/HTTPS) aus und klicken Sie auf Weiter.
- Wählen Sie für Öffentlich oder intern die Option Öffentlich (extern) aus und klicken Sie auf Weiter.
- Wählen Sie unter Globale oder Einzelregion-Bereitstellung die Option Am besten für globale Arbeitslasten aus und klicken Sie auf Weiter.
- Wählen Sie unter Generation des Load Balancers die Option Klassischer Application Load Balancer aus und klicken Sie auf Weiter.
- Klicken Sie auf Konfigurieren.
Grundlegende Konfiguration
- Geben Sie
serverless-lb
als Name für den Load-Balancer ein. - Lassen Sie das Fenster geöffnet, um fortzufahren.
Frontend-Konfiguration
- Klicken Sie auf Frontend-Konfiguration.
- Geben Sie für Name einen Namen ein.
-
Zum Erstellen eines HTTPS-Load-Balancers benötigen Sie ein SSL-Zertifikat (
gcloud compute ssl-certificates list
).Wir empfehlen die Verwendung eines von Google verwalteten Zertifikats, wie bereits beschrieben.
- Klicken Sie auf Fertig.
Füllen Sie die folgenden Felder aus, um einen externen Application Load Balancer zu konfigurieren.
Prüfen Sie, ob die folgenden Optionen mit diesen Werten konfiguriert sind:
Attribut | Wert (Wert eingeben bzw. Option auswählen) |
---|---|
Protokoll | HTTPS |
Netzwerkdienststufe | Premium |
IP-Version | IPv4 |
IP-Adresse | Beispiel-IP |
Port | 443 |
Zertifikat | Wählen Sie ein vorhandenes Zertifikat aus oder erstellen Sie ein neues. Zum Erstellen eines HTTPS-Load-Balancers benötigen Sie eine SSL-Zertifikatsressource, die im HTTPS-Proxy verwendet wird. Sie können eine SSL-Zertifikatsressource entweder mit einem von Google verwalteten SSL-Zertifikat oder mit einem selbst verwalteten SSL-Zertifikat erstellen. Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain. Der A-Eintrag der Domain muss der IP-Adresse des Load-Balancers zugeordnet werden (in diesem Beispiel example-ip). Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert. Wenn Sie keine Domain haben, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden. |
Optional: HTTP-zu-HTTPS-Weiterleitung aktivieren |
Klicken Sie dieses Kästchen an, um HTTP-zu-HTTPS-Weiterleitungen zu aktivieren.
Wenn Sie dieses Kästchen anklicken, wird ein zusätzlicher partieller HTTP-Load-Balancer erstellt, der dieselbe IP-Adresse wie Ihr HTTPS-Load-Balancer verwendet und die HTTP-Anfragen an das HTTPS-Frontend Ihres Load-Balancers weiterleitet. Dieses Kästchen kann nur angeklickt werden, wenn das HTTPS-Protokoll aktiviert und eine reservierte IP-Adresse verwendet wird. |
Backend-Konfiguration
- Klicken Sie auf Backend-Konfiguration.
- Klicken Sie in der Liste Backend-Dienste und Backend-Buckets auf Backend-Dienst erstellen.
- Geben Sie für Name einen Namen ein.
- Wählen Sie unter Backend-Typ die Option Endpunktgruppe in serverlosem Netzwerk aus.
- Lassen Sie das Protokoll unverändert. Dieser Parameter wird ignoriert.
- Wählen Sie im Bereich Backends für Neues Backend die Option Endpunktgruppe für ein serverloses Netzwerk erstellen aus.
- Geben Sie für Name einen Namen ein.
- Klicken Sie auf Erstellen.
- Klicken Sie im Bereich Neues Backend auf Fertig.
- Wählen Sie Cloud CDN aktivieren aus.
- Optional: Ändern Sie die Einstellungen für den Cache-Modus und den TTL.
- Klicken Sie auf Erstellen.
Routingregeln
Routingregeln bestimmen, wie Ihr Traffic weitergeleitet wird. Um das Routing zu konfigurieren, richten Sie Hostregeln und Pfad-Matcher ein, die Konfigurationskomponenten der URL-Zuordnung eines externen Application Load Balancers sind.
-
Klicken Sie auf Host- und Pfadregeln.
- Behalten Sie die Standardhosts und -pfade bei. In diesem Beispiel werden alle Anfragen an den Backend-Dienst gesendet, der im vorherigen Schritt erstellt wurde.
Konfiguration prüfen
- Klicken Sie auf Prüfen und abschließen.
- Prüfen Sie alle Einstellungen.
- Optional: Klicken Sie auf Entsprechender Code, um die REST API-Anfrage aufzurufen, die zum Erstellen des Load-Balancers verwendet wird.
- Klicken Sie auf Erstellen.
- Warten Sie, bis der Load-Balancer erstellt ist.
- Klicken Sie auf den Namen des Load-Balancers (serverless-lb).
- Notieren Sie die IP-Adresse des Load-Balancers für die nächste Aufgabe. Sie wird als
IP_ADDRESS
bezeichnet.
gcloud
- Erstellen Sie eine serverlose NEG für Ihre serverlose Anwendung.
Weitere Optionen finden Sie im Referenzhandbuch
gcloud
zugcloud compute network-endpoint-groups create
. - Erstellen Sie einen Back-End-Dienst.
gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=LOAD_BALANCING_SCHEME \ --global \ --enable-cdn \ --cache-mode=CACHE_MODE \ --custom-response-header='Cache-Status: {cdn_cache_status}' \ --custom-response-header='Cache-ID: {cdn_cache_id}'
Legen Sie den Cache-Modus fest. Ersetzen Sie dazu CACHE_MODE durch einen der folgenden Werte:
CACHE_All_STATIC
(Standard): Statische Inhalte werden automatisch im Cache gespeichert.USE_ORIGIN_HEADERS
: Hiermit wird erzwungen, dass der Ursprung zum Speichern von Inhalten im Cache gültige Caching-Header festlegt.FORCE_CACHE_ALL
: Alle Inhalte werden im Cache gespeichert. Sämtliche Anweisungenprivate
,no-store
oderno-cache
inCache-Control
-Antwortheadern werden ignoriert.
Informationen zu den Cache-Anweisungen, die für Cloud CDN verwendet werden können, und welche Inhalte nicht von Cloud CDN im Cache gespeichert werden, finden Sie unter Cache-fähige Inhalte und Nicht cache-fähige Inhalte.
- Fügen Sie dem Back-End-Dienst das serverlose NEG als Back-End hinzu.
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --global \ --network-endpoint-group=SERVERLESS_NEG_NAME \ --network-endpoint-group-region=us-central1
- Erstellen Sie eine URL-Zuordnung, um eingehende Anfragen an den Backend-Dienst weiterzuleiten:
gcloud compute url-maps create URL_MAP_NAME \ --default-service BACKEND_SERVICE_NAME
Diese beispielhafte URL-Zuordnung ist nur auf einen Backend-Dienst ausgerichtet, der eine einzelne serverlose Anwendung darstellt. Daher müssen keine Hostregeln oder Pfad-Matcher eingerichtet werden. Wenn Sie mehr als einen Backend-Dienst haben, können Sie Hostregeln verwenden, um Anfragen basierend auf dem Hostnamen zu verschiedenen Diensten zu leiten. Sie können auch Tools zum Abgleich von Pfaden einrichten, um Anfragen basierend auf dem Anfragepfad zu verschiedenen Diensten zu leiten.
-
Zum Erstellen eines HTTPS-Load-Balancers benötigen Sie eine SSL-Zertifikatsressource, die im HTTPS-Proxy verwendet wird.
Sie können eine SSL-Zertifikatsressource entweder mit einem von Google verwalteten SSL-Zertifikat oder mit einem selbst verwalteten SSL-Zertifikat erstellen. Es empfiehlt sich, von Google verwaltete Zertifikate zu verwenden, da Google Cloud diese Zertifikate automatisch abruft, verwaltet und verlängert.
Zum Erstellen eines von Google verwalteten Zertifikats benötigen Sie eine Domain. Wenn Sie keine Domain haben, können Sie ein selbst signiertes SSL-Zertifikat zu Testzwecken verwenden.
So erstellen Sie eine von Google verwaltete SSL-Zertifikatsressource: So erstellen Sie eine selbstverwaltete SSL-Zertifikatressource:gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --domains DOMAIN
gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --certificate CRT_FILE_PATH \ --private-key KEY_FILE_PATH
-
Erstellen Sie einen HTTP(S)-Zielproxy, um Anfragen an Ihre URL-Zuordnung weiterzuleiten.
Erstellen Sie einen HTTPS-Zielproxy für einen HTTPS-Load-Balancer. Der Proxy ist der Teil des Load-Balancers, der das SSL-Zertifikat für das HTTPS-Load-Balancing besitzt. Daher laden Sie in diesem Schritt auch Ihr Zertifikat.
gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \ --ssl-certificates=SSL_CERTIFICATE_NAME \ --url-map=URL_MAP_NAME
- Erstellen Sie eine Weiterleitungsregel, um eingehende Anfragen an den Proxy weiterzuleiten.
Für einen HTTPS-Load-Balancer:
gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \ --load-balancing-scheme=EXTERNAL \ --network-tier=PREMIUM \ --address=example-ip \ --target-https-proxy=TARGET_HTTPS_PROXY_NAME \ --global \ --ports=443
Domain mit dem Load-Balancer verbinden
Notieren Sie sich nach der Erstellung des Load-Balancers die IP-Adresse, die diesem zugewiesen ist, z. B. 30.90.80.100
. Wenn Sie Ihre Domain auf den Load-Balancer verweisen möchten, erstellen Sie mit Ihrem Domain-Registrierungsdienst einen A
-Eintrag. Wenn Sie Ihrem SSL-Zertifikat mehrere Domains hinzugefügt haben, müssen Sie für jede Domain einen A
-Eintrag hinzufügen, der auf die IP-Adresse des Load-Balancers verweist. So erstellen Sie beispielsweise A
-Einträge für www.example.com
und example.com
:
NAME TYPE DATA www A 30.90.80.100 @ A 30.90.80.100
Wenn Sie Cloud DNS als DNS-Anbieter verwenden, finden Sie weitere Informationen unter Einträge hinzufügen, ändern und löschen.
Load-Balancer testen
Nachdem Sie den Load-Balancer konfiguriert haben, können Sie Traffic an die IP-Adresse des Load-Balancers senden. Wenn Sie eine Domain konfiguriert haben, können Sie auch Traffic an den Domainnamen senden. Die DNS-Weitergabe kann jedoch einige Zeit in Anspruch nehmen. Sie sollten daher zuerst die IP-Adresse zu Testzwecken verwenden.
Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.
Klicken Sie auf den Load-Balancer, den Sie gerade erstellt haben.
Notieren Sie sich seine IP-Adresse.
Bei einem HTTPS-Load-Balancer können Sie Ihren Load-Balancer mit einem Webbrowser testen. Rufen Sie dafür
https://IP_ADDRESS
auf. Ersetzen SieIP_ADDRESS
durch die IP-Adresse des Load-Balancers. Sie sollten zur Startseite deshelloworld
-Dienstes geleitet werden.
Sollte das nicht funktionieren und Sie verwenden ein von Google verwaltetes Zertifikat, prüfen Sie, ob der Status der Zertifikatsressource AKTIV ist. Weitere Informationen finden Sie unter Von Google verwaltete SSL-Zertifikate verwenden.
Wenn Sie ein selbst signiertes Zertifikat zu Testzwecken genutzt haben, zeigt Ihr Browser eine Warnung an. Sie müssen Ihren Browser ausdrücklich anweisen, ein selbst signiertes Zertifikat zu akzeptieren. Bestätigen Sie die Warnung, um die eigentliche Seite zu sehen.Verwenden Sie zum Prüfen von Cache-Antworten „curl“ in der Befehlszeile Ihres lokalen Computers. Ersetzen Sie IP_ADDRESS durch die IPv4-Adresse des Load-Balancers:
curl -v -o/dev/null https://IP_ADDRESS
Wenn Sie ein von Google verwaltetes Zertifikat verwenden, testen Sie die Domain, die auf die IP-Adresse des Load-Balancers verweist. Beispiel:
curl -v -o/dev/null -k -s 'https://DOMAIN:443' --connect-to DOMAIN:443:IP_ADDRESS:443
Wenn Sie ein selbst signiertes Zertifikat verwenden, müssen Sie auch das Flag
-k
angeben. Die „curl“-Option-k
gewährleistet, dass „curl“ mit einem selbst signierten Zertifikat funktioniert. Sie sollten den Parameter-k
nur verwenden, um Ihre eigene Website zu testen. Unter normalen Umständen ist die Prüfung auf ein gültiges Zertifikat eine wichtige Sicherheitsmaßnahme und Zertifikatwarnungen sollten nicht ignoriert werden.Die Ausgabe sollte die benutzerdefinierten Header
Cache-ID
undCache-Status
enthalten, die Sie so konfiguriert haben, dass die Antwort aus dem Cache bereitgestellt wurde:HTTP/2 200 cache-status: hit cache-id: SEA-b9fa975e
Die Ausgabe enthält die Antwortheader, die darauf hinweisen, dass es einen Cache-Treffer gab. Das bedeutet, dass dem Nutzer der statische Inhalt der serverlosen Anwendung aus einem Edge-Cache von Cloud CDN bereitgestellt wurde.
Der Header
cache-status
gibt den Wertdisabled
für die Antworten an, die nicht in Cloud CDN zwischengespeichert werden. Bei im Cache gespeicherten Antworten ist der Headerwertcache-status
hit
,miss
oderrevalidated
.
Cloud CDN deaktivieren
Console
Cloud CDN für einen einzelnen Back-End-Dienst deaktivieren
Rufen Sie in der Google Cloud Console die Seite Cloud CDN auf.
Klicken Sie auf der rechten Seite der ursprünglichen Zeile auf Menü
und wählen Sie Bearbeiten aus.Heben Sie die Auswahl der Kästchen aller Back-End-Dienste auf, die Cloud CDN nicht mehr verwenden sollen.
Klicken Sie auf Aktualisieren.
Cloud CDN für alle Backend-Buckets für einen Ursprung entfernen
Rufen Sie in der Google Cloud Console die Seite Cloud CDN auf.
Klicken Sie auf der rechten Seite der ursprünglichen Zeile auf Menü
und wählen Sie Entfernen aus.Klicken Sie zur Bestätigung auf Entfernen.
gcloud
gcloud compute backend-services update BACKEND_SERVICE_NAME
--no-enable-cdn
Die Aktivierung von Cloud CDN führt zu keiner Entwertung oder Löschung von Caches. Wenn Sie Cloud CDN deaktivieren und wieder aktivieren, bleiben die meisten oder alle im Cache gespeicherten Inhalte im Cache gespeichert. Um zu verhindern, dass Inhalte von Caches verwendet werden, müssen Sie diese Inhalte entwerten.
Nächste Schritte
- Weitere Informationen zum Cache-Modus und zur Cache-Fähigkeit Ihrer Antworten finden Sie in der Cloud CDN-Dokumentation.