Questa pagina mostra come eseguire il deployment di un bilanciatore del carico delle applicazioni esterno regionale con un backend Cloud Run. Per configurare questa opzione, utilizzi un backend NEG serverless per il bilanciatore del carico.
Prima di provare questa procedura, assicurati di conoscere i seguenti argomenti:
La guida mostra come configurare un bilanciatore del carico delle applicazioni che funge da proxy per le richieste a un backend NEG serverless.
I NEG serverless ti consentono di utilizzare i servizi Cloud Run con il bilanciatore del carico. Dopo aver configurato un bilanciatore del carico con il backend NEG serverless, le richieste al bilanciatore del carico vengono instradate al backend Cloud Run.
Prima di iniziare
- Installa Google Cloud CLI.
- Esegui il deployment di un servizio Cloud Run.
- Configurare le autorizzazioni.
Installa Google Cloud SDK
Installa lo strumento Google Cloud CLI. Per informazioni concettuali e di installazione sullo strumento, consulta la panoramica di gcloud.
Se non hai mai eseguito gcloud CLI, esegui prima
gcloud init per inizializzare la directory gcloud.
Esegui il deployment di un servizio Cloud Run
Le istruzioni riportate in questa pagina presuppongono che tu abbia già un servizio Cloud Run in esecuzione.
Per l'esempio in questa pagina, puoi utilizzare una qualsiasi delle guide rapide di Cloud Run per eseguire il deployment di un servizio Cloud Run.
Il NEG serverless e il bilanciatore del carico devono trovarsi nella stessa regione del servizio Cloud Run. Puoi bloccare le richieste esterne inviate direttamente agli URL predefiniti del servizio Cloud Run limitando l'accesso in entrata ainternal and cloud load
balancing. Ad esempio:
gcloud run deploy CLOUD_RUN_SERVICE_NAME \
--platform=managed \
--allow-unauthenticated \
--ingress=internal-and-cloud-load-balancing \
--region=REGION \
--image=IMAGE_URL
Prendi nota del nome del servizio che crei. Il resto di questa pagina mostra come configurare un bilanciatore del carico che indirizza le richieste a questo servizio.
Configura autorizzazioni
Per seguire questa guida, devi creare un NEG serverless e un bilanciatore del carico in un progetto. Devi essere proprietario o editor di un progetto oppure disporre dei seguenti ruoli e autorizzazioni IAM di Compute Engine:
| Attività | Ruolo richiesto |
|---|---|
| Crea bilanciatore del carico e componenti di rete | Amministratore di rete |
| Creare e modificare i gruppi di annunci con targeting espanso | Compute Instance Admin |
| Crea e modifica certificati SSL | Amministratore della sicurezza |
Configura la rete e le subnet
Per configurare la rete e le relative subnet, esegui le seguenti operazioni:
- Crea una rete VPC e una subnet.
- Crea una subnet solo proxy.
crea la rete VPC
Crea una rete VPC in modalità personalizzata, quindi le subnet che vuoi all'interno di una regione.
Console
Nella console Google Cloud , vai alla pagina Reti VPC.
Fai clic su Crea rete VPC.
In Nome, inserisci
lb-network.In Modalità di creazione subnet, seleziona Personalizzata.
Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per una subnet:
- In Nome, inserisci
lb-subnet. - Seleziona una Regione.
- In Intervallo di indirizzi IP, inserisci
10.1.2.0/24. - Fai clic su Fine.
- In Nome, inserisci
Fai clic su Crea.
gcloud
Crea la rete VPC personalizzata utilizzando il comando
gcloud compute networks create:gcloud compute networks create lb-network --subnet-mode=custom
Crea una subnet nella rete
lb-network. Questo esempio utilizza un intervallo di indirizzi IP10.1.2.0/24per la subnet. Puoi configurare qualsiasi intervallo di subnet valido.gcloud compute networks subnets create lb-subnet \ --network=lb-network \ --range=10.1.2.0/24 \ --region=REGION
Crea una subnet solo proxy
Crea una subnet solo proxy per tutti i bilanciatori del carico basati su Envoy a livello di regione in una regione specifica della rete lb-network.
Console
Nella console Google Cloud , vai alla pagina Reti VPC.
Fai clic sul nome della rete VPC condiviso a cui vuoi aggiungere la subnet solo proxy.
Fai clic su Aggiungi subnet.
Nel campo Nome, inserisci
proxy-only-subnet.Seleziona una Regione.
Imposta Scopo su Proxy gestito a livello di regione.
Inserisci un intervallo di indirizzi IP come
10.129.0.0/23.Fai clic su Aggiungi.
gcloud
Crea la subnet solo proxy utilizzando il comando
gcloud compute networks subnets create.Questo esempio utilizza un intervallo di indirizzi IP di
10.129.0.0/23per la subnet solo proxy. Puoi configurare qualsiasi intervallo di subnet valido.gcloud compute networks subnets create proxy-only-subnet \ --purpose=REGIONAL_MANAGED_PROXY \ --role=ACTIVE \ --region=REGION \ --network=lb-network \ --range=10.129.0.0/23
Crea il bilanciatore del carico
Nel seguente diagramma, il bilanciatore del carico utilizza un backend NEG serverless per indirizzare le richieste a un servizio Cloud Run serverless.
Il traffico dal bilanciatore del carico ai backend NEG serverless utilizza route speciali definiti al di fuori del VPC che non sono soggetti a regole firewall. Pertanto, se il bilanciatore del carico ha solo backend NEG serverless, non devi creare regole firewall per consentire il traffico dalla subnet solo proxy al backend serverless.
Console
Avvia la configurazione
Nella console Google Cloud , vai alla pagina Bilanciamento del carico.
- Fai clic su Crea bilanciatore del carico.
- In Tipo di bilanciatore del carico, seleziona Bilanciatore del carico delle applicazioni (HTTP/HTTPS) e fai clic su Avanti.
- In Pubblico o interno, seleziona Pubblico (esterno) e fai clic su Avanti.
- In Deployment globale o in una regione singola, seleziona Ideale per workload regionali e fai clic su Avanti.
- Fai clic su Configura.
Configurazione di base
- In corrispondenza del nome del bilanciatore del carico, inserisci
serverless-lb. - Seleziona Rete come
lb_network. - Tieni aperta la finestra per continuare.
Configura il frontend
- Prima di procedere, assicurati di avere un certificato SSL.
- Fai clic su Configurazione frontend.
- Inserisci un nome.
- Per configurare un bilanciatore del carico delle applicazioni esterno regionale, compila i campi come segue.
- Nella sezione Protocollo, seleziona HTTPS.
- In Livello di servizio di rete, seleziona Standard.
- In Versione IP, seleziona IPv4.
- In Indirizzo IP, seleziona Temporaneo.
- In Porta, seleziona
443. In Certificato, seleziona un certificato SSL esistente o creane uno nuovo.
L'esempio seguente mostra come creare certificati SSL di Compute Engine:
- Fai clic su Crea un nuovo certificato.
- Nel campo Nome, inserisci un nome.
- Nei campi appropriati, carica i file in formato PEM:
- Certificato
- Chiave privata
- Fai clic su Crea.
- (Facoltativo) Per creare un bilanciatore del carico HTTP:
- Nella sezione Protocollo, seleziona HTTP.
- In Livello di servizio di rete, seleziona Standard.
- In Versione IP, seleziona IPv4.
- In Indirizzo IP, seleziona Temporaneo.
- In Porta, seleziona
80. - Fai clic su Fine.
Se vuoi testare questa procedura senza configurare una risorsa del certificato SSL, puoi configurare un bilanciatore del carico HTTP.
Configura i servizi di backend
- Fai clic su Configurazione backend.
- Nel menu a discesa Crea o seleziona servizi di backend, tieni il puntatore del mouse su Servizi di backend, quindi seleziona Crea un servizio di backend.
- Nella finestra Crea un servizio di backend, inserisci un nome.
- In Tipo di backend, seleziona Gruppo di endpoint di rete serverless.
- Lascia invariato Protocollo. Questo parametro viene ignorato.
- In Backend > Nuovo backend, seleziona Crea gruppo di endpoint di rete serverless.
- Nella finestra Crea gruppo di endpoint di rete serverless, inserisci un Nome.
- Nella sezione Regione viene visualizzata la regione del bilanciatore del carico.
- Nel campo Tipo di gruppo di endpoint di rete serverless, seleziona Cloud Run. Cloud Run è l'unico tipo supportato.
- Seleziona Seleziona il nome del servizio.
- Dall'elenco a discesa Servizio, seleziona il servizio Cloud Run per cui vuoi creare un bilanciatore del carico.
- Fai clic su Fine.
- Fai clic su Crea.
- Nella finestra Crea servizio di backend, fai clic su Crea.
Configurare le regole di routing
Le regole di routing determinano come viene indirizzato il traffico. Puoi indirizzare il traffico a un servizio di backend o a un servizio Kubernetes. Tutto il traffico che non corrisponde esplicitamente a un matcher host e percorso viene inviato al servizio predefinito.
- Fai clic su Regola host e percorso semplice.
- Seleziona un servizio di backend dall'elenco a discesa Backend.
Esamina la configurazione
- Fai clic su Esamina e finalizza.
- Esamina i valori per Backend, Regole host e percorso e Frontend.
- (Facoltativo) Fai clic su Codice equivalente per visualizzare la richiesta dell'API REST che verrà utilizzata per creare il bilanciatore del carico.
- Fai clic su Crea. Attendi che la creazione del bilanciatore del carico sia completa.
- Fai clic sul nome del bilanciatore del carico (serverless-lb).
- Prendi nota dell'indirizzo IP del bilanciatore del carico, che utilizzerai nella prossima attività.
gcloud
- Prenota un indirizzo IP esterno statico per il bilanciatore del carico.
gcloud compute addresses create IP_ADDRESS_NAME \ --region=REGION \ --network-tier=STANDARD - Crea un NEG serverless per il tuo servizio Cloud Run:
gcloud compute network-endpoint-groups create SERVERLESS_NEG_NAME \ --region=REGION \ --network-endpoint-type=serverless \ --cloud-run-service=CLOUD_RUN_SERVICE_NAME - Crea un servizio di backend regionale. Imposta
--protocolsu HTTP. Questo parametro viene ignorato, ma è obbligatorio perché--protocolaltrimenti è impostato su TCP per impostazione predefinita.gcloud compute backend-services create BACKEND_SERVICE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --protocol=HTTP \ --region=REGION - Aggiungi il NEG serverless come backend al servizio di backend:
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \ --region=REGION \ --network-endpoint-group=SERVERLESS_NEG_NAME \ --network-endpoint-group-region=REGION - Crea una mappa URL regionale per instradare le richieste in entrata al servizio di backend:
gcloud compute url-maps create URL_MAP_NAME \ --default-service=BACKEND_SERVICE_NAME \ --region=REGION - (Facoltativo) Esegui questo passaggio se utilizzi HTTPS tra il client e
il bilanciatore del carico. Questo passaggio non è obbligatorio per i bilanciatori del carico HTTP.
Puoi creare certificati Compute Engine o Certificate Manager. Utilizza uno dei seguenti metodi per creare certificati utilizzando Certificate Manager:
- Certificati autogestiti a livello di regione. Per informazioni sulla creazione e l'utilizzo di certificati autogestiti a livello di regione, consulta Eseguire il deployment di un certificato autogestito a livello di regione. Le mappe dei certificati non sono supportate.
Certificati gestiti da Google a livello di regione. Le mappe dei certificati non sono supportate.
I seguenti tipi di certificati gestiti da Google a livello di regione sono supportati da Certificate Manager:
- Certificati gestiti a livello di regione da Google con autorizzazione DNS per progetto. Per saperne di più, vedi Esegui il deployment di un certificato regionale gestito da Google.
- Certificati (privati) gestiti a livello di regione da Google con Certificate Authority Service. Per maggiori informazioni, vedi Eseguire il deployment di un certificato regionale gestito da Google con CA Service.
Dopo aver creato i certificati, collegali direttamente al proxy di destinazione.
Per creare una risorsa del certificato SSL autogestito a livello di regione:gcloud compute ssl-certificates create SSL_CERTIFICATE_NAME \ --certificate CRT_FILE_PATH \ --private-key KEY_FILE_PATH \ --region=REGION - Crea un proxy di destinazione a livello di regione per instradare le richieste alla mappa URL.
Per un bilanciatore del carico HTTP, crea un proxy HTTP di destinazione:gcloud compute target-http-proxies create TARGET_HTTP_PROXY_NAME \ --url-map=URL_MAP_NAME \ --region=REGIONgcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \ --ssl-certificates=SSL_CERTIFICATE_NAME \ --url-map=URL_MAP_NAME \ --region=REGION - Crea una regola di forwarding per instradare le richieste in entrata al proxy.
Per un bilanciatore del carico HTTP:
gcloud compute forwarding-rules create HTTP_FORWARDING_RULE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --network-tier=STANDARD \ --network=lb-network \ --target-http-proxy=TARGET_HTTP_PROXY_NAME \ --target-http-proxy-region=REGION \ --region=REGION \ --ports=80gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \ --load-balancing-scheme=EXTERNAL_MANAGED \ --network-tier=STANDARD \ --network=lb-network \ --target-https-proxy=TARGET_HTTPS_PROXY_NAME \ --target-https-proxy-region=REGION \ --region=REGION \ --ports=443
Testa il bilanciatore del carico
Ora che hai configurato il bilanciatore del carico, puoi iniziare a inviare traffico al suo indirizzo IP.
Nella console Google Cloud , vai alla pagina Bilanciamento del carico.
Fai clic sul bilanciatore del carico che hai appena creato.
Prendi nota dell'indirizzo IP del bilanciatore del carico.
Per un bilanciatore del carico HTTP, puoi testare il bilanciatore del carico utilizzando un browser web andando su
http://IP_ADDRESS. SostituisciIP_ADDRESScon l'indirizzo IP del bilanciatore del carico. Dovresti essere indirizzato alla home page del servizio Cloud Run.Per un bilanciatore del carico HTTPS, puoi testare il bilanciatore del carico utilizzando un browser web andando all'indirizzo
https://IP_ADDRESS. SostituisciIP_ADDRESScon l'indirizzo IP del bilanciatore del carico. Viene visualizzata la home page del servizio Cloud Run.
Se hai utilizzato un certificato autofirmato per i test, il browser mostra un avviso. Devi indicare esplicitamente al browser di accettare un certificato autofirmato. Fai clic sull'avviso per visualizzare la pagina effettiva.
Opzioni di configurazione aggiuntive
Questa sezione espande l'esempio di configurazione per fornire opzioni di configurazione alternative e aggiuntive. Tutte le attività sono facoltative. Puoi eseguirle in qualsiasi ordine.
Utilizzo di una maschera URL
Quando crei un NEG serverless, anziché selezionare un servizio Cloud Run specifico, puoi utilizzare una maschera URL per puntare a più servizi che vengono pubblicati nello stesso dominio. Una maschera URL è un modello dello schema URL. Il NEG serverless utilizza questo modello per estrarre il nome del servizio dall'URL della richiesta in entrata e mappare la richiesta al servizio appropriato.
Le maschere URL sono particolarmente utili se il tuo servizio è mappato a un dominio personalizzato anziché all'indirizzo predefinito fornito da Google Cloud per il servizio di cui è stato eseguito il deployment. Una maschera URL ti consente di scegliere come target più servizi e versioni con una singola regola anche quando la tua applicazione utilizza un pattern URL personalizzato.
Se non l'hai ancora fatto, assicurati di leggere la panoramica dei NEGS serverless: maschere URL.
Costruire una maschera URL
Per creare una maschera URL per il bilanciatore del carico, inizia con l'URL del tuo
servizio. Questo esempio utilizza un'app serverless di esempio in esecuzione all'indirizzo
https://example.com/login. Questo è l'URL in cui viene pubblicato il servizio login dell'app.
- Rimuovi
httpohttpsdall'URL. Ti rimangonoexample.com/login. - Sostituisci il nome del servizio con un segnaposto per la maschera URL.
- Cloud Run: sostituisci il
nome del servizio Cloud Run con il
segnaposto
<service>. Se il servizio Cloud Run ha un tag associato, sostituisci il nome del tag con il segnaposto<tag>. In questo esempio, la maschera URL rimanente èexample.com/<service>.
- Cloud Run: sostituisci il
nome del servizio Cloud Run con il
segnaposto
(Facoltativo) Se il nome del servizio può essere estratto dalla parte del percorso dell'URL, il dominio può essere omesso. La parte del percorso della maschera URL è distinta dal primo carattere barra (
/). Se non è presente una barra (/) nella maschera URL, si presume che la maschera rappresenti solo l'host. Pertanto, per questo esempio, la maschera URL può essere ridotta a/<service>.Allo stesso modo, se è possibile estrarre
<service>dalla parte host dell'URL, puoi omettere completamente il percorso dalla maschera URL.Puoi anche omettere qualsiasi componente di host o sottodominio che precede il primo segnaposto, nonché qualsiasi componente di percorso che segue l'ultimo segnaposto. In questi casi, il segnaposto acquisisce le informazioni richieste per il componente.
Ecco alcuni altri esempi che dimostrano queste regole:
Questa tabella presuppone che tu abbia un dominio personalizzato chiamato example.com e che
tutti i tuoi servizi Cloud Run siano mappati
a questo dominio.
| Servizio, Nome tag | URL del dominio personalizzato Cloud Run | Maschera URL |
|---|---|---|
| service: login | https://login-home.example.com/web | <service>-home.example.com |
| service: login | https://example.com/login/web | example.com/<service> o /<service> |
| service: login, tag: test | https://test.login.example.com/web | <tag>.<service>.example.com |
| service: login, tag: test | https://example.com/home/login/test | example.com/home/<service>/<tag> or /home/<service>/<tag> |
| service: login, tag: test | https://test.example.com/home/login/web | <tag>.example.com/home/<service> |
Creazione di un NEG serverless con una maschera URL
Console
Per un nuovo bilanciamento del carico, puoi utilizzare la stessa procedura end-to-end descritta in precedenza in questo documento. Quando configuri il servizio di backend, invece di selezionare un servizio specifico, inserisci una maschera URL.
Se hai un bilanciatore del carico esistente, puoi modificare la configurazione del backend e fare in modo che il NEG serverless punti a una maschera URL anziché a un servizio specifico.
Per aggiungere un NEG serverless basato su maschera URL a un servizio di backend esistente:
- Nella console Google Cloud , vai alla pagina Bilanciamento del carico.
Vai a Bilanciamento del carico - Fai clic sul nome del bilanciatore del carico che contiene il servizio di backend da modificare.
- Nella pagina Dettagli del bilanciatore del carico, fai clic su Modifica.
- Nella pagina Modifica bilanciatore del carico delle applicazioni esterno globale, fai clic su Configurazione backend.
- Nella pagina Configurazione backend, fai clic su Modifica per il servizio di backend che vuoi modificare.
- Fai clic su Aggiungi backend.
- Seleziona Crea gruppo di endpoint di rete serverless.
- In Nome, inserisci
helloworld-serverless-neg. - Nella sezione Regione viene visualizzata la regione del bilanciatore del carico.
- In Tipo di gruppo di endpoint di rete serverless, Cloud Run è l'unico tipo di gruppo di endpoint di rete supportato.
- Seleziona Usa maschera URL.
- Inserisci una maschera URL. Per informazioni su come creare una maschera URL, consulta Creazione di una maschera URL.
- Fai clic su Crea.
- In Nuovo backend, fai clic su Fine.
- Fai clic su Aggiorna.
gcloud
Per creare un NEG serverless con una maschera URL di esempio di
example.com/<service>:
gcloud compute network-endpoint-groups create SERVERLESS_NEG_MASK_NAME \
--region=REGION \
--network-endpoint-type=serverless \
--cloud-run-url-mask="example.com/<service>"
Eliminazione di un NEG serverless
Un gruppo di endpoint di rete non può essere eliminato se è collegato a un servizio di backend. Prima di eliminare un NEG, assicurati che sia scollegato dal servizio di backend.
Console
- Per assicurarti che il NEG serverless che vuoi eliminare non sia
in uso da alcun servizio di backend, vai alla scheda Servizi di backend nella
pagina Componenti di bilanciamento del carico.
Vai a Servizi di backend - Se il NEG serverless è in uso:
- Fai clic sul nome del servizio di backend che utilizza il NEG serverless.
- Fai clic su Modifica.
- Nell'elenco dei backend, fai clic su per rimuovere il backend NEG serverless dal servizio di backend.
- Fai clic su Salva.
- Vai alla pagina Gruppo di endpoint di rete nella console Google Cloud .
Vai al gruppo di endpoint di rete - Seleziona la casella di controllo per il NEG serverless che vuoi eliminare.
- Fai clic su Elimina.
- Fai di nuovo clic su Elimina per confermare.
gcloud
Per rimuovere un NEG serverless da un servizio di backend, devi specificare la regione in cui è stato creato il NEG.
gcloud compute backend-services remove-backend BACKEND_SERVICE_NAME \
--network-endpoint-group=SERVERLESS_NEG_NAME \
--network-endpoint-group-region=REGION \
--region=REGION
Per eliminare il NEG serverless:
gcloud compute network-endpoint-groups delete SERVERLESS_NEG_NAME \
--region=REGION
Passaggi successivi
- Utilizzo di logging e monitoraggio
- Risolvere i problemi relativi ai NEG serverless
- Pulisci la configurazione del bilanciatore del carico
- Utilizzo di un modulo Terraform per un bilanciatore del carico HTTPS esterno con un backend Cloud Run