Présentation

Google Cloud propose un équilibrage de charge réseau interne pour le trafic basé sur les protocoles TCP et UDP. L'équilibrage de charge réseau interne vous permet d'assurer l'exécution et le scaling de vos services derrière une adresse IP d'équilibrage de charge privée uniquement accessible à vos instances de machines virtuelles internes.

Dans cet atelier, vous allez créer deux groupes d'instances gérés dans la même région. Ensuite, vous configurerez et testerez un équilibreur de charge réseau interne en utilisant les groupes d'instances en tant que backends, comme illustré dans ce schéma réseau :

Objectifs

Dans cet atelier, vous apprendrez à effectuer les tâches suivantes :

• Créer des règles de pare-feu de trafic interne et de vérification de l'état
• Créer une configuration NAT à l'aide de Cloud Router
• Configurer deux modèles d'instance
• Créer deux groupes d'instances gérés
• Configurer et tester un équilibreur de charge réseau interne

Préparation

Pour chaque atelier, nous vous attribuons un nouveau projet Google Cloud et un nouvel ensemble de ressources pour une durée déterminée, sans frais.

1. Connectez-vous à Qwiklabs dans une fenêtre de navigation privée.

2. Vérifiez le temps imparti pour l'atelier (par exemple : 01:15:00) : vous devez pouvoir le terminer dans ce délai.
   Une fois l'atelier lancé, vous ne pouvez pas le mettre en pause. Si nécessaire, vous pourrez le redémarrer, mais vous devrez tout reprendre depuis le début.

3. Lorsque vous êtes prêt, cliquez sur Démarrer l'atelier.

4. Notez vos identifiants pour l'atelier (Nom d'utilisateur et Mot de passe). Ils vous serviront à vous connecter à Google Cloud Console.

5. Cliquez sur Ouvrir la console Google.

6. Cliquez sur Utiliser un autre compte, puis copiez-collez les identifiants de cet atelier lorsque vous y êtes invité.
   Si vous utilisez d'autres identifiants, des messages d'erreur s'afficheront ou des frais seront appliqués.

7. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.

Tâche 1 : Configurer des règles de pare-feu de trafic interne et de vérification de l'état

Configurez des règles de pare-feu pour autoriser la connectivité de trafic interne à partir de sources faisant partie de la plage 10.10.0.0/16. Cette règle autorise le trafic entrant de n'importe quel client situé dans le sous-réseau.

Les vérifications de l'état déterminent les instances d'un équilibreur de charge qui peuvent recevoir de nouvelles connexions. Pour l'équilibrage de charge d'application (HTTP), les vérifications de l'état portant sur vos instances à équilibrage de charge proviennent d'adresses situées dans les plages 130.211.0.0/22 et 35.191.0.0/16. Vos règles de pare-feu doivent autoriser ces connexions.

Explorer le réseau my-internal-app

Le réseau my-internal-app, composé des sous-réseaux subnet-a et subnet-b, et les règles de pare-feu pour le trafic RDP, SSH et ICMP ont été configurés pour vous.

• Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Réseau VPC > Réseaux VPC.
  Vous verrez alors le réseau my-internal-app et ses sous-réseaux : subnet-a et subnet-b.

  Chaque projet Google Cloud commence avec le réseau default (par défaut). En outre, le réseau my-internal-app a été créé lors de l'élaboration du schéma réseau.

  Vous allez créer les groupes d'instances gérés dans subnet-a et subnet-b. Ces deux sous-réseaux figurent dans la région , car un équilibreur de charge réseau interne est un service régional. Les groupes d'instances gérés se trouvent dans des zones distinctes, de manière à immuniser votre service contre les défaillances de zone.

Créer la règle de pare-feu pour autoriser le trafic provenant de n'importe quelle source située dans la plage 10.10.0.0/16

Créez une règle de pare-feu pour autoriser le trafic dans le sous-réseau 10.10.0.0/16.

1. Dans le menu de navigation (), cliquez sur Réseau VPC > Pare-feu.
   Vous verrez alors les règles de pare-feu app-allow-icmp et app-allow-ssh-rdp.

   Ces règles de pare-feu ont été créées en amont.

2. Cliquez sur Créer une règle de pare-feu.

3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	fw-allow-lb-access
   Réseau	my-internal-app
   Cibles	Tags cibles spécifiés
   Tags cibles	backend-service
   Filtre source	Plages IPv4
   Plages IPv4 sources	10.10.0.0/16
   Protocoles et ports	Tout autoriser

Remarque : Pensez à ajouter /16 dans les plages IPv4 sources.

4. Cliquez sur Créer.

Créer la règle de vérification de l'état

Créez une règle de pare-feu pour autoriser les vérifications de l'état.

1. Dans le menu de navigation (), cliquez sur Réseau VPC > Pare-feu.

2. Cliquez sur Créer une règle de pare-feu.

3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	fw-allow-health-checks
   Réseau	my-internal-app
   Cibles	Tags cibles spécifiés
   Tags cibles	backend-service
   Filtre source	Plages IPv4
   Plages IPv4 sources	130.211.0.0/22 et 35.191.0.0/16
   Protocoles et ports	Protocoles et ports spécifiés

Remarque : Pensez à ajouter /22 et /16 dans les plages d'adresses IPv4 sources.

4. Cochez la case tcp et spécifiez le port 80.
5. Cliquez sur Créer.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer des règles de pare-feu de trafic interne et de vérification de l'état

Tâche 2 : Créer une configuration NAT à l'aide de Cloud Router

Les instances backend de VM Google Cloud que vous configurerez lors de la tâche 3 n'utiliseront pas des adresses IP externes.

À la place, vous allez configurer le service Cloud NAT pour permettre à ces instances de VM d'envoyer le trafic sortant uniquement via Cloud NAT et de recevoir le trafic entrant via l'équilibreur de charge.

Créer l'instance Cloud Router

1. Dans la barre de titre de la console Google Cloud, saisissez Services réseau dans le champ de recherche, puis cliquez sur Services réseau dans la section Produits et pages.

2. Sur la page Service réseau, cliquez sur Épingler à côté de "Services réseau".

3. Cliquez sur Cloud NAT.

4. Cliquez sur Commencer pour configurer une passerelle NAT.

5. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom de la passerelle	nat-config
   Réseau	my-internal-app
   Région

6. Cliquez sur Cloud Router, puis sélectionnez Créer un routeur.

7. Dans le champ Nom, saisissez nat-router-.

8. Cliquez sur Créer.

9. Dans "Créer une passerelle Cloud NAT", cliquez sur Créer.

Remarque : Attendez que la valeur du champ "NAT Gateway Status" (État de la passerelle NAT) passe à "Running" (Exécution) avant de passer à la tâche suivante.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer une configuration NAT à l'aide de Cloud Router

Tâche 3 : Configurer les modèles d'instance et créer les groupes d'instances

Un groupe d'instances géré crée un groupe d'instances identiques à l'aide d'un modèle d'instance. Ces instances permettent de créer les backends de l'équilibreur de charge réseau interne.

Cette tâche a été effectuée pour vous au début de cet atelier. Vous devrez vous connecter en SSH à chaque VM du groupe d'instances et exécuter la commande suivante pour configurer l'environnement.

1. Dans le menu de navigation, cliquez sur Compute Engine > Instances de VM.
   Vous pouvez voir des instances dont les noms commencent par instance-group-1 et instance-group-2.

2. Sélectionnez le bouton SSH à côté d'instance-group-1 pour vous connecter en SSH à la VM.

3. Si vous y êtes invité, autorisez la fonctionnalité SSH dans le navigateur à se connecter à la VM en cliquant sur Autoriser.

4. Exécutez la commande suivante pour relancer le script de démarrage de l'instance :

sudo google_metadata_script_runner startup

5. Répétez les étapes précédentes pour instance-group-2.

6. Attendez que les deux scripts de démarrage terminent de s'exécuter, puis fermez le terminal SSH de chaque VM. Le résultat des scripts de démarrage doit être le suivant :

Finished running startup scripts.

Vérifier les backends

Vérifiez que les instances de VM sont créées dans les deux sous-réseaux, et créez une VM utilitaire pour accéder aux sites HTTP des backends.

1. Dans le menu de navigation, cliquez sur Compute Engine > Instances de VM.
   Vous pouvez voir des instances dont les noms commencent par instance-group-1 et instance-group-2.

   Ces instances figurent dans des zones distinctes, et leurs adresses IP internes font partie des blocs CIDR subnet-a et subnet-b.

2. Cliquez sur Créer une instance.

3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	utility-vm
   Région
   Zone
   Série	E2
   Type de machine	e2-medium (2 vCPU, 4 GB memory)
   Disque de démarrage	Debian GNU/Linux 12 (bookworm)

4. Cliquez sur Options avancées.

5. Cliquez sur Mise en réseau.

6. Pour Interfaces réseau, cliquez sur le menu déroulant afin d'effectuer vos modifications.

7. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Réseau	my-internal-app
   Sous-réseau	subnet-a
   Adresse IPv4 interne principale	Éphémère (personnalisée)
   Adresse IP éphémère personnalisée	10.10.20.50
   Adresse IPv4 externe	Aucune

8. Cliquez sur OK.

9. Cliquez sur Créer.

10. Notez que les adresses IP internes des backends sont 10.10.20.2 et 10.10.30.2.

Remarque : Si ces adresses IP diffèrent de ces valeurs, remplacez-les dans les deux commandes curl ci-dessous.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer les modèles d'instance et créer les groupes d'instances

11. Pour utility-vm, cliquez sur SSH afin de lancer un terminal et de vous y connecter.

12. Si vous y êtes invité, autorisez la fonctionnalité SSH dans le navigateur à se connecter à la VM en cliquant sur Autoriser.

13. Pour vérifier la page d'accueil d'instance-group-1-xxxx, exécutez la commande suivante :

curl 10.10.20.2

Le résultat doit se présenter comme suit :

Résultat :

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-1-1zn8<h2>Server Location</h2>Region and Zone:

14. Pour vérifier la page d'accueil d'instance-group-2-xxxx, exécutez la commande suivante :

curl 10.10.30.2

Le résultat doit se présenter comme suit :

Résultat :

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-2-q5wp<h2>Server Location</h2>Region and Zone:

Remarque : Ce résultat sera utile pour vérifier que l'équilibreur de charge interne envoie du trafic aux deux backends.

15. Fermez le terminal SSH pour utility-vm :

exit

Tâche 4 : Configurer l'équilibreur de charge réseau interne

Configurez l'équilibreur de charge réseau interne pour qu'il équilibre le trafic entre les deux backends (instance-group-1 dans et instance-group-2 dans ), comme illustré dans le schéma réseau ci-dessous.

Démarrer la configuration

1. Dans la console Cloud, accédez au menu de navigation () et cliquez sur Services réseau > Équilibrage de charge.
2. Cliquez sur Créer un équilibreur de charge.
3. Pour Type d'équilibreur de charge, sélectionnez Équilibreur de charge réseau (TCP/UDP/SSL), puis cliquez sur Suivant.
4. Pour Proxy ou Passthrough, sélectionnez Équilibreur de charge Passthrough, puis cliquez sur Suivant.
5. Pour Public ou interne, sélectionnez Interne, puis cliquez sur Suivant.
6. Pour Créer un équilibreur de charge, cliquez sur Configurer.

7. Pour Nom de l'équilibreur de charge, saisissez my-ilb.
8. Pour Région, saisissez .
9. Pour Réseau, sélectionnez my-internal-app dans le menu déroulant.

Configurer le service de backend régional

Le service de backend surveille les groupes d'instances et les empêche de dépasser l'utilisation configurée.

1. Cliquez sur Configuration du backend.

2. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

   Propriété	Valeur (sélectionnez l'option spécifiée)
   Groupe d'instances	instance-group-1 ()

3. Cliquez sur OK.

4. Cliquez sur Ajouter un backend.

5. Pour Groupe d'instances, sélectionnez instance-group-2 ().

6. Cliquez sur OK.

7. Dans le champ Vérification d'état, sélectionnez Créer une vérification d'état.

8. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

   Propriété	Valeur (sélectionnez l'option spécifiée)
   Nom	my-ilb-health-check
   Protocole	TCP
   Port	80
   Intervalle entre deux tests	10 s
   Délai avant expiration	5 s
   Seuil opérationnel	2
   Seuil de faible capacité	3

Remarque : Les vérifications de l'état déterminent les instances qui peuvent recevoir de nouvelles connexions. Cette vérification de l'état HTTP sonde les instances toutes les 10 secondes, attend une réponse pendant cinq secondes, puis considère deux tentatives ayant réussi ou trois tentatives ayant échoué comme seuil opérationnel ou seuil de faible capacité, respectivement.

9. Cliquez sur Enregistrer.
10. Vérifiez qu'il y a une coche bleue à côté de Configuration du backend dans la console Cloud. S'il n'y a pas de coche, vérifiez que vous avez bien suivi la procédure ci-dessus dans son intégralité.

Configurer l'interface

L'interface transfère le trafic vers le backend.

1. Cliquez sur Configuration de l'interface.

2. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Sous-réseau	subnet-b
   Objectif de l'adresse IP interne > Adresse IP	Créer une adresse IP

3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	my-ilb-ip
   Adresse IP statique	Laissez-moi choisir
   Adresse IP personnalisée	10.10.30.5

4. Cliquez sur Réserver.

5. Sous Ports, saisissez 80 dans le champ Numéro de port.

6. Cliquez sur OK.

Examiner et créer l'équilibreur de charge réseau interne

1. Cliquez sur Vérifier et finaliser.
2. Examinez les sections Backend et Interface.
3. Cliquez sur Créer.
   Attendez que l'équilibreur de charge soit créé avant de passer à la tâche suivante.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer l'équilibreur de charge réseau interne

Tâche 5 : Tester l'équilibreur de charge réseau interne

Vérifiez que l'adresse IP my-ilb transfère le trafic vers instance-group-1 dans et vers instance-group-2 dans .

Accéder à l'équilibreur de charge réseau interne

1. Dans le menu de navigation, cliquez sur Compute Engine > Instances de VM.
2. Pour utility-vm, cliquez sur SSH afin de lancer un terminal et de vous y connecter.
3. Si vous y êtes invité, autorisez la fonctionnalité SSH dans le navigateur à se connecter à la VM en cliquant sur Autoriser.
4. Pour vérifier que l'équilibreur de charge réseau interne transfère le trafic, exécutez la commande suivante :

curl 10.10.30.5

Le résultat doit se présenter comme suit :

Résultat :

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-2-1zn8<h2>Server Location</h2>Region and Zone: {{{project_0.default_zone_2 | Zone 2}}} Remarque : Comme prévu, le trafic est transféré de l'équilibreur de charge interne (10.10.30.5) vers le backend.

5. Exécutez la même commande à plusieurs reprises :

curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5

Vous devriez obtenir des réponses d'instance-group-1 dans et d'instance-group-2 dans . Si ce n'est pas le cas, exécutez de nouveau la commande.

Félicitations !

Dans cet atelier, vous avez créé deux groupes d'instances gérés dans la région , ainsi qu'une règle de pare-feu pour autoriser le trafic HTTP vers ces instances et le trafic TCP à partir du vérificateur d'état Google Cloud. Ensuite, vous avez configuré et testé un équilibreur de charge réseau interne pour ces groupes d'instances.

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur Terminer l'atelier. Google Cloud Skills Boost supprime les ressources que vous avez utilisées, puis efface le compte.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez un nombre d'étoiles, saisissez un commentaire, puis cliquez sur Envoyer.

Le nombre d'étoiles correspond à votre degré de satisfaction :

• 1 étoile = très insatisfait(e)
• 2 étoiles = insatisfait(e)
• 3 étoiles = ni insatisfait(e), ni satisfait(e)
• 4 étoiles = satisfait(e)
• 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez accéder à l'onglet Assistance.

Copyright 2020 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.