![](https://cdn.qwiklabs.com/assets/labs/start_lab-f45aca49782d4033c3ff688160387ac98c66941d.png)
Before you begin
- Labs create a Google Cloud project and resources for a fixed time
- Labs have a time limit and no pause feature. If you restart it, you'll have to start from the beginning.
- On the top left of your screen, click Start lab to begin
Configure HTTP and health check firewall rules
/ 25
Configure instance templates and instance group
/ 25
Configure the HTTP Load Balancer
/ 25
Blacklist the siege-vm
/ 25
O balanceamento de carga de aplicativo do Google Cloud é implementado nos pontos de presença (POP, na sigla em inglês) na extremidade da rede do Google no mundo inteiro. O tráfego de usuários direcionado para um balanceador de carga de aplicativo entra no POP mais próximo do usuário e a carga dele é balanceada na rede global do Google, no primeiro back-end que tiver capacidade suficiente disponível.
Com as listas de bloqueio/permissões de IP do Cloud Armor, você pode restringir ou permitir o acesso ao seu balanceador de carga de aplicativo na borda do Google Cloud, o mais próximo possível do usuário ou do tráfego malicioso. Assim, os tráfegos ou usuários maliciosos são impedidos de consumir recursos ou acessar redes de nuvem privada virtual (VPC).
Neste laboratório, você vai configurar um balanceador de carga de aplicativo com back-ends globais, como mostra o diagrama abaixo. Depois, você vai fazer um teste de estresse com o balanceador de carga e usar o Cloud Armor para adicionar o IP do teste à lista de bloqueio.
Neste laboratório, você vai aprender a fazer o seguinte:
Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.
Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.
Confira os requisitos para concluir o laboratório:
Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você vai encontrar o seguinte:
Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.
O laboratório ativa os recursos e depois abre a página Fazer login em outra guia.
Dica: coloque as guias em janelas separadas lado a lado.
Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.
Você também encontra o Nome de usuário no painel Detalhes do laboratório.
Clique em Seguinte.
Copie a Senha abaixo e cole na caixa de diálogo de boas-vindas.
Você também encontra a Senha no painel Detalhes do laboratório.
Clique em Seguinte.
Acesse as próximas páginas:
Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.
Defina regras de firewall para permitir o tráfego HTTP para os back-ends e o tráfego TCP do verificador de integridade do Google Cloud.
Crie uma regra de firewall para permitir o tráfego HTTP nos back-ends.
No console do Cloud, acesse Menu de navegação () > Rede VPC > Firewall.
Veja as regras de firewall atuais: ICMP, interna, RDP e SSH.
Cada projeto do Google Cloud começa com a rede default e essas regras de firewall.
Clique em Criar regra de firewall.
Defina os valores a seguir e mantenha os demais como padrão:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Nome | default-allow-http |
Rede | default |
Destinos | Tags de destino especificadas |
Tags de destino | http-server |
Filtro de origem | Intervalos IPv4 |
Intervalos IPv4 de origem | 0.0.0.0/0 |
Protocolos e portas | Em "Portas e protocolos especificados", marque TCP e digite: 80 |
Inclua /0 nos intervalos IPv4 de origem para especificar todas as redes.
As verificações de integridade determinam quais instâncias de um balanceador de carga podem receber novas conexões. No balanceamento de carga de aplicativo, as sondagens de verificação de integridade para as instâncias com carga balanceada são provenientes de endereços nos intervalos entre 130.211.0.0/22
e 35.191.0.0/16
. Suas regras de firewall precisam permitir essas conexões.
Ainda na página Políticas de firewall, clique em Criar regra de firewall.
Defina os valores a seguir e mantenha os demais como padrão:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Nome | default-allow-health-check |
Rede | default |
Destinos | Tags de destino especificadas |
Tags de destino | http-server |
Filtro de origem | Intervalos IPv4 |
Intervalos IPv4 de origem |
130.211.0.0/22 , 35.191.0.0/16
|
Protocolos e portas | Em "Portas e protocolos especificados", marque TCP |
Clique em Criar.
Clique em Verificar meu progresso para conferir o objetivo.
Um grupo gerenciado de instâncias usa um modelo para criar um grupo de instâncias idênticas. Use modelos de instâncias para criar os back-ends do balanceador de carga de aplicativo.
Um modelo é um recurso de API que pode ser usado para criar instâncias de VMs e grupos gerenciados de instâncias. Esses modelos definem o tipo de máquina, a imagem do disco de inicialização, as sub-redes, os rótulos e outras propriedades da instância.
Crie um modelo de instância para
No console do Cloud, acesse Menu de navegação () > Compute Engine > Modelos de instâncias e clique em Criar modelo de instância.
Em Nome, digite
Em Local, selecione Global.
Em Série, selecione E2.
Para Tipo de máquina, selecione e2-micro.
Clique em Opções avançadas.
Clique em Rede. Defina o valor a seguir e mantenha os demais como padrão:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Tags de rede | http-server |
Clique em default em Interfaces de rede. Defina os valores a seguir e mantenha os demais como padrão:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Rede | default |
Sub-rede | default |
Clique em Concluído.
A tag de rede http-server garante que as regras de firewall HTTP e Verificação de integridade sejam aplicadas a essas instâncias.
Clique na guia Gerenciamento.
Em Metadados, selecione +ADICIONAR ITEM e especifique o seguinte:
Chave | Valor |
---|---|
startup-script-url | gs://cloud-training/gcpnet/httplb/startup.sh |
startup-script-url
especifica um script que é executado quando as instâncias são iniciadas. O script instala o Apache e altera a página inicial para incluir o IP do cliente e o nome, a região e a zona da instância de VM. Se quiser, confira este script.
Agora crie outro modelo de instância para subnet-b copiando
Crie um grupo gerenciado de instâncias em
Ainda em Compute Engine, clique em Grupos de instâncias no menu à esquerda.
Clique em Criar grupo de instâncias.
Defina os valores a seguir e mantenha os demais como padrão:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Nome |
|
Modelo de instância |
|
Local | Várias zonas |
Região | |
Número mínimo de instâncias | 1 |
Número máximo de instâncias | 2 |
Indicadores de escalonamento automático > Clique no menu suspenso > Tipo de indicador | Uso de CPU |
Meta de uso da CPU | 80. Clique em Concluído. |
Período de inicialização | 45 |
Os grupos gerenciados de instâncias têm recursos de escalonamento automático para você adicionar ou remover instâncias dos grupos, com base em aumentos ou reduções da carga. O escalonamento automático ajuda seus aplicativos a processar aumentos de tráfego e reduzir os custos quando poucos recursos são necessários. Para isso, basta definir a política de escalonamento automático, e ela vai ser aplicada pelo autoescalador com base na carga avaliada.
Agora, repita o mesmo procedimento para criar um segundo grupo de instâncias para
Clique em Criar grupo de instâncias.
Defina estes valores e mantenha os demais como padrão:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Nome |
|
Modelo de instância |
|
Local | Várias zonas |
Região | |
Número mínimo de instâncias | 1 |
Número máximo de instâncias | 2 |
Indicadores de escalonamento automático > Clique no menu suspenso > Tipo de indicador | Uso de CPU |
Meta de uso da CPU | 80. Clique em Concluído. |
Período de inicialização | 45 |
Clique em Criar.
Clique em Verificar meu progresso para conferir o objetivo.
Verifique se as instâncias de VM estão sendo criadas nas duas regiões e acesse os sites HTTP.
Ainda em Compute Engine, clique em Instâncias de VM no menu à esquerda.
Confira as instâncias que começam com
Elas fazem parte dos grupos gerenciados de instâncias.
Clique no IP externo de uma instância em
Você vai encontrar estas informações: IP do cliente (seu endereço IP), Nome do host (começa com
Clique no IP externo de uma instância em
Você vai encontrar estas informações: IP do cliente (seu endereço IP), Nome do host (começa com
Configure o balanceador de carga de aplicativo para equilibrar o tráfego entre os dois back-ends (
No console do Cloud, clique em Menu de navegação () > VER TODOS OS PRODUTOS > Rede > Serviços de rede > Balanceamento de carga.
Clique em Criar balanceador de carga.
Em Balanceador de carga de aplicativo HTTP(S), clique em "Próxima".
Em Voltado ao público ou interno, selecione Voltado ao público (externo) e clique em "Próxima".
Em Implantação global ou de região única, selecione Melhor para cargas de trabalho globais e clique em "Próxima".
Em Criar balanceador de carga, clique em Configurar.
Defina o Nome do balanceador de carga como http-lb
.
As regras de host e caminho determinam como o tráfego será direcionado. Por exemplo, você pode direcionar o tráfego de vídeo para um back-end e o tráfego estático para outro back-end. No entanto, você não definirá as regras de host e caminho neste laboratório.
Clique em Configuração de front-end.
Especifique o seguinte e não altere os outros valores:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Protocolo | HTTP |
Versão IP | IPv4 |
Endereço IP | Temporário |
Porta | 80 |
Clique em Concluído.
Clique em Adicionar IP e porta do front-end.
Especifique o seguinte e não altere os outros valores:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Protocolo | HTTP |
Versão do IP | IPv6 |
Endereço IP | Alocação automática |
Porta | 80 |
Clique em Concluído.
O balanceamento de carga de aplicativo aceita endereços IPv4 e IPv6 para o tráfego do cliente. As solicitações IPv6 do cliente são encerradas na camada de balanceamento de carga global e, depois, são encaminhadas por proxy via IPv4 para seus back-ends.
Os serviços de back-end direcionam o tráfego de entrada para um ou mais back-ends anexados. Cada back-end é composto por um grupo de instâncias e metadados com capacidade adicional de serviço.
Clique em Configuração de back-end.
Em Serviços e buckets de back-end, clique em Criar um serviço de back-end.
Defina os valores a seguir e mantenha os demais como padrão:
Propriedade | Valor (selecione a opção conforme especificado) |
---|---|
Nome | http-backend |
Grupo de instâncias |
|
Números de portas | 80 |
Modo de balanceamento | Taxa |
RPS máximo | 50 |
Capacidade | 100 |
Essa configuração significa que o balanceador de carga tenta manter cada instância em
Clique em Concluído.
Clique em Adicionar um back-end.
Defina os valores a seguir e mantenha os demais como padrão:
Propriedade | Valor (selecione a opção conforme especificado) |
---|---|
Grupo de instâncias |
|
Números de portas | 80 |
Modo de balanceamento | Utilização |
Utilização máxima de back-end | 80 |
Capacidade | 100 |
Essa configuração significa que o balanceador de carga tenta manter cada instância em
Clique em Concluído.
Em Verificação de integridade, selecione Criar verificação de integridade.
Defina os seguintes valores e mantenha o restante como padrão:
Propriedade | Valor (selecione a opção conforme especificado) |
---|---|
Nome | http-health-check |
Protocolo | TCP |
Porta | 80 |
As verificações de integridade determinam quais instâncias receberão novas conexões. Essa verificação de integridade HTTP sonda instâncias a cada cinco segundos e espera no máximo mais cinco segundos por uma resposta. Se duas tentativas tiverem sucesso, a instância é considerada íntegra. Com duas tentativas malsucedidas, ela é considerada não íntegra.
1
.[LB_IP_v4]
e [LB_IP_v6]
, respectivamente.Clique em Verificar meu progresso para conferir o objetivo.
Agora que você já criou o balanceador de carga de aplicativo para seus back-ends, verifique se o tráfego está sendo encaminhado ao serviço de back-end.
Para testar o acesso do IPv4 ao balanceador de carga de aplicativo, abra uma nova guia no navegador e digite o endereço http://[LB_IP_v4]
. Substitua [LB_IP_v4]
pelo endereço IPv4 do balanceador de carga.
Se você tiver um endereço IPv6 local, tente usar o endereço IPv6 do balanceador de carga de aplicativo navegando até http://[LB_IP_v6]
. Lembre-se de substituir [LB_IP_v6]
pelo endereço IPv6 do balanceador de carga.
Crie uma nova VM para simular uma carga do balanceador de carga de aplicativo usando o utilitário siege
. Depois, determine se o tráfego será balanceado nos dois back-ends quando a carga for alta.
No console, acesse Menu de navegação () > Compute Engine > Instâncias de VM.
Clique em Criar instância.
Defina os seguintes valores e mantenha o restante como padrão:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Nome | siege-vm |
Região | |
Zona | |
Série | E2 |
Como
[LB_IP_v4]
pelo endereço IPv4:No console do Cloud, clique em Menu de navegação () > VER TODOS OS PRODUTOS > Rede > Serviços de rede > Balanceamento de carga.
Clique em Back-ends.
Clique em http-backend.
Acesse http-lb.
Clique na guia Monitoramento.
Monitore o Local de front-end (total de tráfego de entrada) entre a América do Norte e os dois back-ends por dois a três minutos.
A princípio, o tráfego só deve ser direcionado a
Isso demonstra que o tráfego é encaminhado para o back-end mais próximo por padrão, mas que ele também pode ser distribuído pelos back-ends se a carga aumentar muito.
O resultado será semelhante a este:
Use o Cloud Armor para adicionar a instância siege-vm à lista de bloqueio e impedir que ela acesse o balanceador de carga de aplicativo.
Crie uma política de segurança do Cloud Armor com uma regra de lista de bloqueio para siege-vm.
[SIEGE_IP]
.No console do Cloud, clique em Menu de navegação () > VER TODOS OS PRODUTOS > Rede > Segurança da rede > Políticas do Cloud Armor.
Clique em Criar política.
Defina os valores a seguir e mantenha os demais como padrão:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Nome | denylist-siege |
Ação de regra padrão | Permitir |
Clique em Próxima etapa.
Clique em Adicionar uma regra.
Defina os valores a seguir e mantenha os demais como padrão:
Propriedade | Valor (digite o valor ou selecione a opção conforme especificado) |
---|---|
Condição > Correspondência | Inserir SIEGE_IP |
Ação | Recusar |
Código de resposta | 403 (Forbidden) |
Prioridade | 1000 |
Clique em Concluído.
Clique em Próxima etapa.
Clique em Adicionar destino.
Em Tipo, selecione Serviço de back-end (balanceador de carga de aplicativo externo).
Em Destino, selecione http-backend.
Clique em Criar política.
Clique em Verificar meu progresso para conferir o objetivo.
Confirme se siege-vm não pode acessar o balanceador de carga de aplicativo.
O resultado será semelhante a este:
http://[LB_IP_v4]
. Substitua [LB_IP_v4]
pelo endereço IPv4 do balanceador de carga.O comando não vai gerar resposta.
Analise os registros da política de segurança para saber se esse tráfego também está bloqueado.
A origem da solicitação deve ser o endereço IP da instância siege-vm. Se não for, expanda outra entrada do registro.
DENY
) com o nome denylist-siege
.As políticas de segurança do Cloud Armor geram registros que você pode analisar para saber quando o tráfego é negado ou permitido e de onde ele vem.
Você configurou um balanceador de carga de aplicativo com back-ends em
Para conhecer os conceitos básicos do Cloud Armor, consulte a documentação do Cloud Armor
Consulte a documentação do Cloud Load Balancing para saber mais.
Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.
Manual atualizado em 24 de outubro de 2024
Laboratório testado em 18 de abril de 2024
Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.