הגדרת מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) עם VPC משותף

המסוף

1. נכנסים לדף VPC networks במסוף Google Cloud .

   מעבר לרשתות VPC

2. לוחצים על יצירת רשת VPC.
3. בשדה Name (שם), מזינים lb-network.

4. בקטע Subnets (רשתות משנה):

   1. מגדירים את מצב יצירת רשתות משנה למותאם אישית.

   2. בקטע New subnet, מזינים את הפרטים הבאים:

      • Name (שם): lb-backend-subnet

      • אזור: us-west1

      • טווח כתובות IP: 10.1.2.0/24

   3. לוחצים על סיום.

5. לוחצים על יצירה.

gcloud

1. יוצרים רשת VPC באמצעות הפקודה gcloud compute networks create:

   gcloud compute networks create lb-network --subnet-mode=custom
   

2. יוצרים רשת משנה ברשת lb-network באזור us-west1:

   gcloud compute networks subnets create lb-backend-subnet 
   
       --network=lb-network 
   
       --range=10.1.2.0/24 
   
       --region=us-west1
   

המסוף

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. לוחצים על יצירת כלל לחומת האש כדי ליצור את הכלל שיאפשר בדיקות תקינות של Google Cloud :
• Name (שם): fw-allow-health-check
• רשת: lb-network
• כיוון התנועה: נכנסת
• פעולה בהתאמה: אישור
• יעדים: תגי יעד שצוינו
• תגי טירגוט: load-balanced-backend
• מסנן מקור: טווחי IPv4
• טווחים של כתובות IPv4 של המקור: 35.191.0.0/16,130.211.0.0/22
• פרוטוקולים ויציאות:
  • בוחרים באפשרות פרוטוקולים ויציאות שצוינו.
  • מסמנים את התיבה TCP ומזינים 80 כמספר היציאה.

  מומלץ להגביל את הכלל הזה רק לפרוטוקולים וליציאות שתואמים לאלה שמשמשים את בדיקת התקינות. אם משתמשים ב-tcp:80 בשביל הפרוטוקול והיציאה,אפשר להשתמש ב-HTTP ביציאה 80 כדי ליצור קשר עם המכונות הווירטואליות, אבל אי אפשר להשתמש ב-HTTPS ביציאה 443 כדי ליצור איתן קשר. Google Cloud

3. לוחצים על יצירה.

gcloud

1. יוצרים את כלל חומת האש fw-allow-health-check כדי לאפשרGoogle Cloud בדיקות תקינות. בדוגמה הזו, כל תנועת ה-TCP מבודקי בדיקת תקינות מורשית. עם זאת, אפשר להגדיר קבוצה מצומצמת יותר של יציאות בהתאם לצרכים שלכם.

   gcloud compute firewall-rules create fw-allow-health-check \
      --network=lb-network \
      --action=allow \
      --direction=ingress \
      --source-ranges=35.191.0.0/16,130.211.0.0/22 \
      --target-tags=load-balanced-backend \
      --rules=tcp
   

המסוף

יצירת תבנית של הגדרות מכונה

יוצרים תבנית של הגדרות מכונה כדי לשמור את ההגדרה של מכונת ה-VM שמשמשת להקצאת מכונות וירטואליות לקצה העורפי של מאזן העומסים הגלובלי החיצוני של האפליקציות.

1. במסוף Google Cloud , נכנסים לדף Instance templates של Compute Engine.

   כניסה לדף Instance templates

2. לוחצים על Create instance template.

3. בשדה Name (שם), מזינים backend-template.

4. בקטע Boot disk מוודאים שדיסק האתחול מוגדר לתמונת Debian, כמו Debian GNU/Linux 12 (bookworm)‎. לוחצים על שינוי כדי לשנות את התמונה אם צריך.

5. מרחיבים את הקטע אפשרויות מתקדמות.

6. מרחיבים את הקטע Networking (רשת) ובשדה Network tags (תגי רשת) מזינים את הערך load-balanced-backend.

7. בקטע Network interfaces, בוחרים באפשרות Networks shared with me (from host project: HOST_PROJECT_ID).

8. ברשימה Shared subnetwork, בוחרים את רשת המשנה lb-backend-subnet מהרשת lb-network.

9. מרחיבים את הקטע ניהול, ובשדה אוטומציה מציינים את סקריפט ההפעלה הבא:

    #! /bin/bash
    apt-get update
    apt-get install apache2 -y
    a2ensite default-ssl
    a2enmod ssl
    vm_hostname="$(curl -H "Metadata-Flavor:Google" \
    http://metadata.google.internal/computeMetadata/v1/instance/name)"
    echo "Page served from: $vm_hostname" | \
    tee /var/www/html/index.html
    systemctl restart apache2
   

10. לוחצים על יצירה.

יצירת קבוצות של מופעי מכונה מנוהלים

יוצרים קבוצת מופעי מכונה מנוהלים כדי לספק את שרתי הבק-אנד שמטפלים בבקשות שמפוזרות על ידי שירות הבק-אנד של מאזן העומסים הגלובלי החיצוני של האפליקציות.

1. במסוף Google Cloud , נכנסים לדף Instance groups של Compute Engine.

   כניסה לדף Instance groups

2. לוחצים על Create Instance Group (יצירת קבוצת מופעים).

3. באפשרויות, בוחרים באפשרות New managed instance group (stateless) (קבוצת מופעי מכונה מנוהלים חדשה (בלי שמירת מצב)).

4. בשדה של שם קבוצת המופעים, מזינים lb-backend.

5. ברשימה Instance template בוחרים את תבנית של הגדרות מכונה backend-template שיצרתם בשלב הקודם.

6. בקטע מיקום, בוחרים באפשרות אזור יחיד ומזינים את הערכים הבאים:

   • בשדה אזור, בוחרים באפשרות us-west1.

   • בשדה Zone, בוחרים באפשרות us-west1-a.

7. בקטע Autoscaling (שינוי גודל אוטומטי), מזינים את הערכים הבאים:

   • בקטע מצב התאמה אוטומטית לעומס, בוחרים באפשרות מופעל: הוספה והסרה של מכונות לקבוצה.

   • בקטע מספר מינימלי של מופעים, בוחרים באפשרות 2.

   • בקטע מספר מופעים מקסימלי, בוחרים באפשרות 3.

8. בקטע Port mapping (מיפוי יציאות), לוחצים על Add port (הוספת יציאה) ומזינים את הערכים הבאים:

   • בשדה שם הניוד, מזינים http.

   • בשדה מספר יציאה, מזינים 80.

9. לוחצים על יצירה.

gcloud

1. יוצרים תבנית של הגדרות מכונה:

   gcloud compute instance-templates create backend-template \
       --region=us-west1 \
       --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
       --subnet=projects/HOST_PROJECT_ID/regions/us-west1/subnetworks/lb-backend-subnet \
       --tags=load-balanced-backend \
       --image-family=debian-12 \
       --image-project=debian-cloud \
       --metadata=startup-script='#! /bin/bash
       apt-get update
       apt-get install apache2 -y
       a2ensite default-ssl
       a2enmod ssl
       vm_hostname="$(curl -H "Metadata-Flavor:Google" \
       http://metadata.google.internal/computeMetadata/v1/instance/name)"
       echo "Page served from: $vm_hostname" | \
       tee /var/www/html/index.html
       systemctl restart apache2' \
       --project=SERVICE_PROJECT_ID
   

2. יוצרים קבוצה של מופעי מכונה מנוהלים ובוחרים את תבנית המופע שיצרתם בשלב הקודם:

   gcloud compute instance-groups managed create lb-backend \
       --zone=us-west1-a \
       --size=2 \
       --template=backend-template \
       --project=SERVICE_PROJECT_ID
   

3. מוסיפים יציאה עם שם לקבוצת המופעים:

   gcloud compute instance-groups set-named-ports lb-backend \
       --named-ports=http:80 \
       --zone=us-west1-a \
       --project=SERVICE_PROJECT_ID
   

המסוף

1. במסוף Google Cloud , נכנסים לדף Health checks של Compute Engine.

   מעבר אל Health checks

2. בשדה של שם בדיקת התקינות, מזינים lb-health-check.

3. מגדירים את הפרוטוקול ל-HTTP.

4. לוחצים על יצירה.

gcloud

יצירת בדיקת תקינות HTTP.

gcloud compute health-checks create http lb-health-check \
  --use-serving-port \
  --project=SERVICE_PROJECT_ID

המסוף

1. נכנסים לדף IP addresses במסוף Google Cloud .

   מעבר אל כתובות IP

2. לוחצים על שמירת כתובת IP חיצונית סטטית.

3. בשדה Name (שם), מזינים lb-ipv4-1.

4. מגדירים את מסלול שירות הרשת בתור Premium.

5. מגדירים את IP version ל-IPv4.

6. מגדירים את Type (סוג) לערך Global (גלובלי).

7. לוחצים על Reserve.

gcloud

יוצרים כתובת IP חיצונית סטטית גלובלית.

gcloud compute addresses create lb-ipv4-1 \
  --ip-version=IPV4 \
  --network-tier=PREMIUM \
  --global
  --project=SERVICE_PROJECT_ID

המסוף

בחירת סוג מאזן העומסים

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף Load balancing

2. לוחצים על Create load balancer (יצירת מאזן עומסים).
3. בקטע Type of load balancer, בוחרים באפשרות Application Load Balancer (HTTP/HTTPS) ולוחצים על Next.
4. בקטע Public facing or internal (פנימי או גלוי לכולם), בוחרים באפשרות Public facing (external) (גלוי לכולם – חיצוני) ולוחצים על Next (הבא).
5. אם רוצים פריסה גלובלית או פריסה באזור יחיד, בוחרים באפשרות הכי מתאים לעומסי עבודה גלובליים ולוחצים על הבא.
6. בקטע Load balancer generation (יצירת מאזן עומסים), בוחרים באפשרות Global external Application Load Balancer (מאזן עומסים גלובלי חיצוני של אפליקציות) ולוחצים על Next (הבא).
7. לוחצים על Configure (הגדרה).

הגדרה בסיסית

1. בשדה של שם מאזן העומסים, מזינים l7-xlb-shared-vpc.

הגדרת הקצה הקדמי של מאזן העומסים

לתנועת HTTP:

1. לוחצים על Frontend configuration.

2. בשם של חזית מאזן העומסים, מזינים http-fw-rule.

3. בשדה Protocol, בוחרים באפשרות HTTP.

4. מגדירים את IP version ל-IPv4.

5. בשדה IP address, בוחרים באפשרות lb-ipv4-1, שהיא כתובת ה-IP ששמרתם קודם.

6. מגדירים את היציאה ל-80 כדי לאפשר תעבורת HTTP.

7. כדי להשלים את הגדרת ה-Frontend, לוחצים על Done.

8. לפני שממשיכים, מוודאים שלצד Frontend configuration מופיע סימן אישור כחול.

לתנועת HTTPS:

1. לוחצים על Frontend configuration.

2. בשם של חזית מאזן העומסים, מזינים https-fw-rule.

3. בשדה Protocol, בוחרים באפשרות HTTPS.

4. מגדירים את IP version ל-IPv4.

5. בשדה IP address, בוחרים באפשרות lb-ipv4-1, שהיא כתובת ה-IP ששמרתם קודם.

6. מגדירים את היציאה ל-443 כדי לאפשר תעבורת HTTPS.

7. בקטע בחירת מאגר אישורים, בוחרים באפשרות שימוש במיפוי אישורים או שימוש באישורים קלאסיים.

8. בהתאם לבחירה, בוחרים במיפוי אישורים או באישור קלאסי.

9. כדי להשלים את הגדרת ה-Frontend, לוחצים על Done.

10. לפני שממשיכים, מוודאים שלצד Frontend configuration מופיע סימן וי כחול.

הגדרת הקצה העורפי

1. לוחצים על Backend configuration.

2. בתפריט Backend services and backend buckets (שירותי קצה עורפיים ומאגרי קצה עורפיים), לוחצים על Create a backend service (יצירת שירות קצה עורפי).

3. בשדה של שם שירות הקצה העורפי, מזינים lb-backend-service.

4. בקטע Backend type, בוחרים באפשרות Instance group.

5. מגדירים את Protocol ל-HTTP.

6. בשדה Named port, מזינים http. זהו אותו שם יציאה שהזנתם כשייצרתם את קבוצת מופעי מכונה מנוהלים.

7. כדי להוסיף שרתים עורפיים לשירות לקצה העורפי:

   1. בקטע Backends, מגדירים את Instance group לערך lb-backend, שהוא קבוצת מופעי מכונה מנוהלים שיצרתם בשלב קודם.

   2. בשדה מספרי יציאה, מזינים 80.

   3. כדי להוסיף את ה-backend, לוחצים על סיום.

8. כדי להוסיף בדיקת תקינות, ברשימה Health check בוחרים באפשרות lb-health-check, שהיא בדיקת התקינות שיצרתם קודם.

9. כדי ליצור את שירות לקצה העורפי, לוחצים על Create.

10. לפני שממשיכים, מוודאים שלצד Backend configuration מופיע סימן אישור כחול.

הגדרת כללי הניתוב

• לוחצים על כללי ניתוב. מוודאים ש-lb-backend-service הוא שירות הקצה העורפי שמוגדר כברירת מחדל לכל מארח שלא תואם ולכל נתיב שלא תואם.

מידע על ניהול תנועה זמין במאמר הגדרת ניהול תנועה.

בדיקה וסיום של ההגדרה

1. לוחצים על Review and finalize.

2. בודקים את הגדרות הקצה העורפי והקצה הקדמי של מאזן העומסים כדי לוודא שהוא מוגדר כמו שרוצים.

3. לוחצים על Create וממתינים עד שמאזן העומסים ייווצר.

gcloud

1. יוצרים שירות לקצה העורפי כדי להפיץ את תעבורת הנתונים בין ה-backends:

   gcloud compute backend-services create lb-backend-service \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --protocol=HTTP \
       --port-name=http \
       --health-checks=lb-health-check \
       --global \
       --project=SERVICE_PROJECT_ID
   

2. מוסיפים את קבוצת המכונות בתור הקצה העורפי לשירות הקצה העורפי:

   gcloud compute backend-services add-backend lb-backend-service \
       --instance-group=lb-backend \
       --instance-group-zone=us-west1-a \
       --global \
       --project=SERVICE_PROJECT_ID
   

3. יוצרים מפת URL כדי לנתב בקשות נכנסות לשירות הקצה העורפי:

   gcloud compute url-maps create lb-map \
       --default-service=lb-backend-service \
       --global \
       --project=SERVICE_PROJECT_ID
   

4. יוצרים שרת proxy ליעד.

   לתעבורת נתונים של HTTP, יוצרים Proxy יעד ל-HTTP כדי להפנות בקשות למפת URL:

   gcloud compute target-http-proxies create http-proxy \
       --url-map=lb-map \
       --global \
       --project=SERVICE_PROJECT_ID
   

   לתנועה מסוג HTTPS, יוצרים שרת proxy מסוג HTTPS ליעד כדי להפנות בקשות למפת URL. הפרוקסי הוא החלק במאזן העומסים שמכיל את אישור ה-SSL של מאזן עומסים של HTTPS, לכן בשלב הזה צריך גם לטעון את אישור ה-SSL:

   gcloud compute target-https-proxies create https-proxy \
       --url-map=lb-map \
       --ssl-certificates=lb-ssl-cert
       --global \
       --project=SERVICE_PROJECT_ID
   

5. יוצרים כלל העברה.

   לתנועת HTTP, יוצרים כלל העברה גלובלי כדי לנתב בקשות נכנסות לשרת ה-proxy של היעד:

   gcloud compute forwarding-rules create http-fw-rule \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --address=lb-ipv4-1 \
       --global \
       --target-http-proxy=http-proxy \
       --ports=80 \
       --project=SERVICE_PROJECT_ID
   

   לתנועת HTTPS, יוצרים כלל העברה גלובלי כדי לנתב בקשות נכנסות אל שרת ה-proxy של היעד:

   gcloud compute forwarding-rules create https-fw-rule \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --address=lb-ipv4-1 \
       --global \
       --target-https-proxy=https-proxy \
       --ports=443 \
       --project=SERVICE_PROJECT_ID
   

המסוף

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף Load balancing

2. לוחצים על מאזן העומסים שיצרתם.

3. שימו לב לכתובת ה-IP של מאזן העומסים. בשלבים הבאים נתייחס לכתובת ה-IP הזו כאל LB_IP_ADDRESS.

4. בקטע Backend, מוודאים שהמכונות הווירטואליות תקינות.

   העמודה Healthy (תקין) צריכה להתמלא, כדי לציין שהמכונות הווירטואליות תקינות. לדוגמה, אם נוצרו שתי מכונות, אמורה להופיע הודעה עם הסימן 2 of 2 וסימן וי ירוק לידה. אם אתם רואים משהו אחר, נסו קודם לטעון מחדש את הדף. יכול להיות שיחלפו כמה דקות עד שמסוף Google Cloud יציין שהמכונות הווירטואליות תקינות. אם ה-backends לא מופיעים כפעילים אחרי כמה דקות, כדאי לבדוק את ההגדרות של חומת האש ואת תג הרשת שהוקצה למכונות הווירטואליות של ה-backend.

5. אחרי שבמסוף מוצג שהמופעים בעורף בריאים, אפשר לבדוק את מאזן העומסים על ידי הפניית דפדפן האינטרנט אל https://LB_IP_ADDRESS (או אל http://LB_IP_ADDRESS). מחליפים את LB_IP_ADDRESS בכתובת ה-IP של מאזן העומסים. Google Cloud

6. אם השתמשתם באישור בחתימה עצמית כדי לבדוק HTTPS, בדפדפן תוצג אזהרה. צריך להנחות את הדפדפן באופן מפורש לקבל אישור בחתימה עצמית.

7. בדפדפן אמור להיות מוצג דף עם תוכן שכולל את שם המופע שסיפק את הדף (לדוגמה, Page served from: lb-backend-example-xxxx). אם הדף הזה לא מוצג בדפדפן, צריך לעיין בהגדרות התצורה במדריך הזה.

gcloud

שימו לב לכתובת ה-IP שהוזמנה:

gcloud compute addresses describe IP_ADDRESS_NAME \
    --format="get(address)" \
    --global

כדי לבדוק את איזון העומסים, מצביעים בדפדפן האינטרנט על https://LB_IP_ADDRESS (או על http://LB_IP_ADDRESS). מחליפים את LB_IP_ADDRESS בכתובת ה-IP של איזון העומסים.

אם השתמשתם באישור בחתימה עצמית כדי לבדוק HTTPS, בדפדפן תוצג אזהרה. צריך להנחות את הדפדפן באופן מפורש לקבל אישור בחתימה עצמית.

בדפדפן אמור להיטען דף עם מידע מינימלי על מופע ה-Backend. אם הדפדפן לא מעבד את הדף הזה, כדאי לעיין בהגדרות התצורה במדריך הזה.

המסוף

יצירת תבנית של הגדרות מכונה

1. במסוף Google Cloud , נכנסים לדף Instance templates של Compute Engine.

   כניסה לדף Instance templates

2. לוחצים על Create instance template.

3. בשדה Name (שם), מזינים backend-template.

4. בקטע Boot disk מוודאים שדיסק האתחול מוגדר לתמונת Debian, כמו Debian GNU/Linux 12 (bookworm)‎. אם צריך לשנות את התמונה, לוחצים על שינוי.

5. מרחיבים את הקטע אפשרויות מתקדמות.

6. מרחיבים את הקטע Networking (רשת) ובשדה Network tags (תגי רשת) מזינים את הערך load-balanced-backend.

7. בקטע Network interfaces, בוחרים באפשרות Networks shared with me (from host project: HOST_PROJECT_ID).

8. ברשימה Shared subnetwork, בוחרים את רשת המשנה lb-backend-subnet מהרשת lb-network.

9. מרחיבים את הקטע ניהול, ובשדה אוטומציה מציינים את סקריפט ההפעלה הבא:

     #! /bin/bash
     apt-get update
     apt-get install apache2 -y
     a2ensite default-ssl
     a2enmod ssl
     vm_hostname="$(curl -H "Metadata-Flavor:Google" \
     http://metadata.google.internal/computeMetadata/v1/instance/name)"
     echo "Page served from: $vm_hostname" | \
     tee /var/www/html/index.html
     systemctl restart apache2
   

10. לוחצים על יצירה.

יצירה של קבוצת מופעי מכונה מנוהלים

1. במסוף Google Cloud , נכנסים לדף Instance groups של Compute Engine.

   כניסה לדף Instance groups

2. לוחצים על Create Instance Group (יצירת קבוצת מופעים).

3. באפשרויות, בוחרים באפשרות New managed instance group (stateless) (קבוצת מופעי מכונה מנוהלים חדשה (בלי שמירת מצב)).

4. בשדה של שם קבוצת המופעים, מזינים lb-backend.

5. ברשימה Instance template בוחרים את תבנית של הגדרות מכונה backend-template שיצרתם בשלב הקודם.

6. בקטע מיקום, בוחרים באפשרות אזור יחיד ומזינים את הערכים הבאים:

   • בשדה אזור, בוחרים באפשרות us-west1.

   • בשדה Zone, בוחרים באפשרות us-west1-a.

7. בקטע Autoscaling (שינוי גודל אוטומטי), מזינים את הערכים הבאים:

   • בקטע מצב התאמה אוטומטית לעומס, בוחרים באפשרות מופעל: הוספה והסרה של מכונות לקבוצה.

   • בקטע מספר מינימלי של מופעים, בוחרים באפשרות 2.

   • בקטע מספר מופעים מקסימלי, בוחרים באפשרות 3.

8. בקטע Port mapping (מיפוי יציאות), לוחצים על Add port (הוספת יציאה) ומזינים את הערכים הבאים:

   • בשדה שם הניוד, מזינים http.

   • בשדה מספר יציאה, מזינים 80.

9. לוחצים על יצירה.

gcloud

1. יוצרים תבנית של הגדרות מכונה:

   gcloud compute instance-templates create backend-template \
       --region=us-west1 \
       --network=projects/HOST_PROJECT_ID/global/networks/lb-network \
       --subnet=projects/HOST_PROJECT_ID/regions/us-west1/subnetworks/lb-backend-subnet \
       --tags=load-balanced-backend \
       --image-family=debian-12 \
       --image-project=debian-cloud \
       --metadata=startup-script='#! /bin/bash
       apt-get update
       apt-get install apache2 -y
       a2ensite default-ssl
       a2enmod ssl
       vm_hostname="$(curl -H "Metadata-Flavor:Google" \
       http://metadata.google.internal/computeMetadata/v1/instance/name)"
       echo "Page served from: $vm_hostname" | \
       tee /var/www/html/index.html
       systemctl restart apache2' \
       --project=SERVICE_PROJECT_B_ID
   

2. יוצרים קבוצה של מופעי מכונה מנוהלים ובוחרים את תבנית המכונה שיצרתם בשלב הקודם:

   gcloud compute instance-groups managed create lb-backend \
       --zone=us-west1-a \
       --size=2 \
       --template=backend-template \
       --project=SERVICE_PROJECT_B_ID
   

3. מוסיפים יציאה עם שם לקבוצת המופעים:

   gcloud compute instance-groups set-named-ports lb-backend \
       --named-ports=http:80 \
       --zone=us-west1-a \
       --project=SERVICE_PROJECT_B_ID
   

המסוף

1. במסוף Google Cloud , נכנסים לדף Health checks של Compute Engine.

   מעבר אל Health checks

2. בשדה של שם בדיקת התקינות, מזינים lb-health-check.

3. מגדירים את הפרוטוקול ל-HTTP.

4. לוחצים על יצירה.

gcloud

יצירת בדיקת תקינות HTTP.

gcloud compute health-checks create http lb-health-check \
  --use-serving-port \
  --project=SERVICE_PROJECT_B_ID

המסוף

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף Load balancing

2. עוברים לקטע Backends.

3. לוחצים על Create backend service.

4. בקטע שירות לקצה העורפי גלובלי, לוחצים על הלחצן Create שלידו.

5. בשדה של שם שירות הקצה העורפי, מזינים cross-ref-backend-service.

6. בקטע Backend type, בוחרים באפשרות Instance group.

7. מגדירים את Protocol ל-HTTP.

8. בשדה Named port, מזינים http. זהו אותו שם יציאה שהזנתם כשייצרתם את קבוצת מופעי מכונה מנוהלים.

9. כדי להוסיף שרתים עורפיים לשירות לקצה העורפי:

   1. בקטע Backends, מגדירים את Instance group לערך lb-backend, שהוא קבוצת מופעי מכונה מנוהלים שיצרתם בשלב קודם.

   2. בשדה מספרי יציאה, מזינים 80.

   3. כדי להוסיף את ה-backend, לוחצים על סיום.

10. כדי להוסיף בדיקת תקינות, ברשימה Health check בוחרים באפשרות lb-health-check, שהיא בדיקת התקינות שיצרתם קודם.

11. אופציונלי: בקטע Add permissions, מזינים את עקרונות האבטחה של IAM מפרויקטים אחרים (בדרך כלל כתובת אימייל) שיש להם את התפקיד 'אדמין של מאזן עומסים של Compute' (roles/compute.loadBalancerAdmin), כדי שהם יוכלו להשתמש בשירות העורפי הזה למאזני עומסים בפרויקטים שלהם. בלי ההרשאה הזו, אי אפשר להשתמש בהפניה לשירותים בין פרויקטים.

    אם אין לכם הרשאה להגדיר מדיניות בקרת גישה לשירותי קצה עורפי בפרויקט הזה, עדיין תוכלו ליצור את שירות הקצה העורפי עכשיו, ומשתמש מורשה יוכל לבצע את השלב הזה מאוחר יותר, כפי שמתואר בקטע הענקת הרשאות לאדמין של מאזן העומסים של Compute לשימוש בשירות הקצה העורפי. בקטע הזה מוסבר גם איך להעניק גישה לכל שירותי הקצה העורפי בפרויקט הזה, כדי שלא תצטרכו להעניק גישה בכל פעם שתיצרו שירות קצה עורפי חדש.

12. כדי ליצור את שירות לקצה העורפי, לוחצים על Create.

gcloud

1. יוצרים שירות לקצה עורפי גלובלי כדי להפיץ את התנועה בין הקצוות העורפיים:

   gcloud compute backend-services create cross-ref-backend-service \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --protocol=HTTP \
       --port-name=http \
       --health-checks=lb-health-check \
       --global \
       --project=SERVICE_PROJECT_B_ID
   

2. מוסיפים את קבוצת המכונות בתור הקצה העורפי לשירות הקצה העורפי:

   gcloud compute backend-services add-backend cross-ref-backend-service \
       --instance-group=lb-backend \
       --instance-group-zone=us-west1-a \
       --global \
       --project=SERVICE_PROJECT_B_ID
   

המסוף

1. נכנסים לדף IP addresses במסוף Google Cloud .

   מעבר אל כתובות IP

2. לוחצים על שמירת כתובת IP חיצונית סטטית.

3. בשדה Name (שם), מזינים cross-ref-ip-address.

4. מגדירים את מסלול שירות הרשת בתור Premium.

5. מגדירים את IP version ל-IPv4.

6. מגדירים את Type (סוג) לערך Global (גלובלי).

7. לוחצים על Reserve.

gcloud

יוצרים כתובת IP חיצונית סטטית גלובלית.

gcloud compute addresses create cross-ref-ip-address \
    --ip-version=IPV4 \
    --network-tier=PREMIUM \
    --global \
    --project=SERVICE_PROJECT_A_ID

המסוף

בחירת סוג מאזן העומסים

1. נכנסים לדף Load balancing במסוף Google Cloud .

   כניסה לדף Load balancing

2. לוחצים על Create load balancer (יצירת מאזן עומסים).
3. בקטע Type of load balancer, בוחרים באפשרות Application Load Balancer (HTTP/HTTPS) ולוחצים על Next.
4. בקטע Public facing or internal (פנימי או גלוי לכולם), בוחרים באפשרות Public facing (external) (גלוי לכולם – חיצוני) ולוחצים על Next (הבא).
5. אם רוצים פריסה גלובלית או פריסה באזור יחיד, בוחרים באפשרות הכי מתאים לעומסי עבודה גלובליים ולוחצים על הבא.
6. בקטע Load balancer generation (יצירת מאזן עומסים), בוחרים באפשרות Global external Application Load Balancer (מאזן עומסים גלובלי חיצוני של אפליקציות) ולוחצים על Next (הבא).
7. לוחצים על Configure (הגדרה).

הגדרה בסיסית

1. מזינים את השם של מאזן העומסים: cross-ref-lb-shared-vpc.
2. כדי להמשיך, צריך להשאיר את הדף פתוח.

הגדרת הקצה הקדמי

ל-HTTP:

1. לוחצים על Frontend configuration.
2. מזינים שם לכלל ההעברה: cross-ref-http-forwarding-rule.
3. מגדירים את Protocol ל-HTTP.
4. בוחרים את כתובת ה-IP שיצרתם בשלב שמירת כתובת ה-IP של מאזן העומסים, שנקראת cross-ref-ip-address.
5. מגדירים את Port ל-80.
6. לוחצים על סיום.

ל-HTTPS:

אם אתם משתמשים ב-HTTPS בין הלקוח לבין מאזן העומסים, אתם צריכים משאב אחד או יותר של אישור SSL כדי להגדיר את ה-proxy.

1. לוחצים על Frontend configuration.
2. מזינים שם לכלל ההעברה: cross-ref-https-forwarding-rule.
3. בשדה Protocol, בוחרים באפשרות HTTPS (includes HTTP/2).
4. בוחרים את כתובת ה-IP שיצרתם בשלב שמירת כתובת ה-IP של מאזן העומסים, שנקראת cross-ref-ip-address.
5. מוודאים שהיציאה מוגדרת ל-443 כדי לאפשר תנועת HTTPS.
6. בקטע בחירת מאגר אישורים, בוחרים באפשרות שימוש במיפוי אישורים או שימוש באישורים קלאסיים.
7. בהתאם לבחירה, בוחרים במיפוי אישורים או באישור קלאסי.
8. לוחצים על סיום.

הגדרת הקצה העורפי

1. לוחצים על Backend configuration.
2. לוחצים על Cross-project backend services (שירותי קצה עורפיים בין פרויקטים).
3. בשדה מזהה הפרויקט, מזינים את מזהה הפרויקט של פרויקט שירות ב'.
4. ברשימה Select backend services, בוחרים את שירותי ה-Backend מפרויקט השירות B שרוצים להשתמש בהם. בדוגמה הזו, מזינים את הערך cross-ref-backend-service.
5. לוחצים על OK.

הגדרת כללי הניתוב

• לוחצים על כללי ניתוב. מוודאים ש-cross-ref-backend-service הוא שירות הקצה העורפי היחיד עבור כל מארח שלא נמצאה לו התאמה ועבור כל נתיב שלא נמצאה לו התאמה.

מידע על ניהול תנועה זמין במאמר הגדרת ניהול תנועה.

בדיקה וסיום של ההגדרה

• לוחצים על יצירה.

gcloud

1. אופציונלי: לפני שיוצרים מאזן עומסים עם שירותי בק-אנד שמתייחסים זה לזה, כדאי לבדוק אם אפשר להתייחס לשירותי הבק-אנד שרוצים להפנות אליהם באמצעות מיפוי URL:

   gcloud compute backend-services list-usable \
       --global \
       --project=SERVICE_PROJECT_B_ID
   

2. יוצרים מפת URL כדי לנתב בקשות נכנסות לשירות הקצה העורפי:

   gcloud compute url-maps create cross-ref-url-map \
       --default-service=projects/SERVICE_PROJECT_B_ID/global/backendServices/cross-ref-backend-service \
       --global \
       --project=SERVICE_PROJECT_A_ID
   

3. יוצרים שרת proxy ליעד.

   לתעבורת נתונים של HTTP, יוצרים Proxy יעד ל-HTTP כדי להפנות בקשות למפת URL:

   gcloud compute target-http-proxies create cross-ref-http-proxy \
       --url-map=cross-ref-url-map \
       --global \
       --project=SERVICE_PROJECT_A_ID
   

   לתנועה מסוג HTTPS, יוצרים שרת proxy מסוג HTTPS ליעד כדי להפנות בקשות למפת URL. הפרוקסי הוא החלק במאזן העומסים שמכיל את אישור ה-SSL של מאזן עומסים של HTTPS, ולכן בשלב הזה צריך גם לטעון את אישור ה-SSL:

   gcloud compute target-https-proxies create cross-ref-https-proxy \
       --url-map=cross-ref-url-map \
       --ssl-certificates=lb-ssl-cert \
       --global \
       --project=SERVICE_PROJECT_A_ID
   

4. יוצרים כלל העברה.

   לתנועת HTTP, יוצרים כלל העברה גלובלי כדי לנתב בקשות נכנסות לשרת ה-proxy של היעד:

   gcloud compute forwarding-rules create cross-ref-http-forwarding-rule \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --address=cross-ref-ip-address \
       --global \
       --target-http-proxy=cross-ref-http-proxy \
       --ports=80 \
       --project=SERVICE_PROJECT_A_ID
   

   לתנועת HTTPS, יוצרים כלל העברה גלובלי כדי לנתב בקשות נכנסות אל ה-proxy של היעד:

   gcloud compute forwarding-rules create cross-ref-https-forwarding-rule \
       --load-balancing-scheme=EXTERNAL_MANAGED \
       --address=cross-ref-ip-address \
       --global \
       --target-https-proxy=cross-ref-https-proxy \
       --ports=443 \
       --project=SERVICE_PROJECT_A_ID
   

המסוף

הרשאות ברמת הפרויקט

כדי לתת הרשאות לכל שירותי הקצה העורפי בפרויקט, מבצעים את הפעולות הבאות.

כדי להשלים את השלב הזה, צריך את ההרשאות compute.backendServices.setIamPolicy ו-resourcemanager.projects.setIamPolicy.

1. נכנסים לדף IAM במסוף Google Cloud .

   כניסה לדף IAM

2. בוחרים את הפרויקט הרצוי.

3. לוחצים על person_addGrant access.

4. בשדה New principals, מזינים את כתובת האימייל או מזהה אחר של החשבון הראשי.

5. ברשימה Select a role בוחרים באפשרות Compute Load Balancer Services User.

6. אם רוצים, מוסיפים תנאי לתפקיד.

7. לוחצים על Save.

הרשאות ברמת המשאב לשירותי קצה עורפיים ספציפיים

כדי לתת הרשאות לשירותי קצה עורפיים ספציפיים בפרויקט, מבצעים את השלבים הבאים.

כדי להשלים את השלב הזה, נדרשת ההרשאה compute.backendServices.setIamPolicy.

1. נכנסים לדף Backends במסוף Google Cloud .

   כניסה לדף Backends

2. ברשימת שירותי ה-Backend, בוחרים את שירות ה-Backend שרוצים לתת לו גישה ולוחצים על person_addהרשאות.

3. לוחצים על person_addAdd principal.

4. בשדה New principals, מזינים את כתובת האימייל או מזהה אחר של החשבון הראשי.

5. ברשימה Select a role בוחרים באפשרות Compute Load Balancer Services User.

6. לוחצים על Save.

gcloud

הרשאות ברמת הפרויקט

כדי לתת הרשאות לכל שירותי הקצה העורפי בפרויקט, מבצעים את הפעולות הבאות.

כדי להשלים את השלב הזה, צריך את ההרשאות compute.backendServices.setIamPolicy ו-resourcemanager.projects.setIamPolicy.

gcloud projects add-iam-policy-binding SERVICE_PROJECT_B_ID \
    --member="user:LOAD_BALANCER_ADMIN" \
    --role="roles/compute.loadBalancerServiceUser"

הרשאות ברמת המשאב לשירותי קצה עורפיים ספציפיים

ברמת שירות לקצה העורפי, אדמינים של פרויקט שירות יכולים להשתמש באחת מהפקודות הבאות כדי להעניק את התפקיד 'משתמש בשירותי איזון עומסים ב-Compute' (roles/compute.loadBalancerServiceUser).

כדי להשלים את השלב הזה, נדרשת ההרשאה compute.backendServices.setIamPolicy.

gcloud projects add-iam-policy-binding SERVICE_PROJECT_B_ID \
    --member="user:LOAD_BALANCER_ADMIN" \
    --role="roles/compute.loadBalancerServiceUser" \
    --condition='expression=resource.name=="projects/SERVICE_PROJECT_B_ID/regions/us-west1/backend-services/BACKEND_SERVICE_NAME",title=Shared VPC condition'

או

gcloud compute backend-services add-iam-policy-binding BACKEND_SERVICE_NAME \
    --member="user:LOAD_BALANCER_ADMIN" \
    --role="roles/compute.loadBalancerServiceUser" \
    --project=SERVICE_PROJECT_B_ID \
    --region=us-west1

כדי להשתמש בפקודות האלה, מחליפים את LOAD_BALANCER_ADMIN בפרינציפל של המשתמש, למשל test-user@gmail.com.

אפשר גם להגדיר הרשאות IAM כך שהן יחולו רק על קבוצת משנה של שירותי קצה עורפיים אזוריים באמצעות תנאים וציון מאפייני תנאים.

המסוף

1. נכנסים לדף Load balancing במסוף Google Cloud בפרויקט שירות א'.

   כניסה לדף Load balancing

2. לוחצים על מאזן העומסים שיצרתם.

3. שימו לב לכתובת ה-IP של מאזן העומסים. בשלבים הבאים נתייחס לכתובת ה-IP הזו כאל LB_IP_ADDRESS.

4. כדי לבדוק את איזון העומסים, מצביעים בדפדפן האינטרנט על https://LB_IP_ADDRESS (או על http://LB_IP_ADDRESS). מחליפים את LB_IP_ADDRESS בכתובת ה-IP של איזון העומסים.

5. אם השתמשתם באישור בחתימה עצמית כדי לבדוק HTTPS, בדפדפן תוצג אזהרה. צריך להנחות את הדפדפן באופן מפורש לקבל אישור בחתימה עצמית.

6. בדפדפן אמור להיות מוצג דף עם תוכן שכולל את שם המופע שסיפק את הדף (לדוגמה, Page served from: lb-backend-example-xxxx). אם הדף הזה לא מוצג בדפדפן, צריך לעיין בהגדרות התצורה במדריך הזה.

gcloud

שימו לב לכתובת ה-IP שהוזמנה:

gcloud compute addresses describe IP_ADDRESS_NAME \
    --format="get(address)" \
    --global
    --project=SERVICE_PROJECT_A_ID

כדי לבדוק את איזון העומסים, מצביעים בדפדפן האינטרנט על https://LB_IP_ADDRESS (או על http://LB_IP_ADDRESS). מחליפים את LB_IP_ADDRESS בכתובת ה-IP של איזון העומסים.

אם השתמשתם באישור בחתימה עצמית כדי לבדוק HTTPS, בדפדפן תוצג אזהרה. צריך להנחות את הדפדפן באופן מפורש לקבל אישור בחתימה עצמית.

בדפדפן אמור להיטען דף עם מידע מינימלי על מופע ה-Backend. אם הדפדפן לא מעבד את הדף הזה, כדאי לעיין בהגדרות התצורה במדריך הזה.