Panoramica

Google Cloud offre il bilanciamento del carico di rete interno per il traffico basato su TCP/UDP. Il bilanciamento del carico di rete interno ti permette di eseguire e scalare i servizi utilizzando un indirizzo IP privato di bilanciamento del carico a cui possono accedere solo le istanze di macchine virtuali interne.

In questo lab creerai due gruppi di istanze gestite nella stessa regione. Quindi, configurerai e testerai un bilanciatore del carico di rete interno con i gruppi di istanze come i backend, come illustrato in questo diagramma di rete.

Obiettivi

In questo lab imparerai a:

• Creare regole del firewall per il traffico interno e per il controllo di integrità.
• Creare una configurazione NAT utilizzando il router Cloud.
• Configurare due modelli di istanza.
• Creare due gruppi di istanze gestite.
• Configurare e testare un bilanciatore del carico di rete interno.

Configurazione e requisiti

Per ciascun lab, riceverai un nuovo progetto Google Cloud e un insieme di risorse per un periodo di tempo limitato senza alcun costo aggiuntivo.

1. Accedi a Qwiklabs utilizzando una finestra di navigazione in incognito.

2. Tieni presente la durata dell'accesso al lab (ad esempio, 1:15:00) e assicurati di finire entro quell'intervallo di tempo.
   Non è disponibile una funzionalità di pausa. Se necessario, puoi riavviare il lab ma dovrai ricominciare dall'inizio.

3. Quando è tutto pronto, fai clic su Inizia lab.

4. Annota le tue credenziali del lab (Nome utente e Password). Le userai per accedere a Google Cloud Console.

5. Fai clic su Apri console Google.

6. Fai clic su Utilizza un altro account e copia/incolla le credenziali per questo lab nei prompt.
   Se utilizzi altre credenziali, compariranno errori oppure ti verranno addebitati dei costi.

7. Accetta i termini e salta la pagina di ripristino delle risorse.

Attività 1: configura le regole del firewall per il traffico interno e il controllo di integrità

Configura le regole del firewall per consentire la connettività del traffico interno da origini nell'intervallo 10.10.0.0/16. Questa regola consente il traffico in entrata da qualsiasi client che si trova nella subnet.

I controlli di integrità determinano quali istanze di un bilanciatore del carico possono ricevere nuove connessioni. Per il bilanciatore del carico delle applicazioni (HTTP), i probe di controllo di integrità che verificano le tue istanze con bilanciamento del carico provengono da indirizzi inclusi negli intervalli 130.211.0.0/22 e 35.191.0.0/16. Le regole firewall devono consentire queste connessioni.

Esplora la rete my-internal-app

La rete my-internal-app è già configurata con subnet-a e subnet-b e le regole del firewall per il traffico RDP, SSH e ICMP.

• Nella console Cloud, nel menu di navigazione (), fai clic su Rete VPC > Reti VPC.
  Osserva la rete my-internal-app con le subnet subnet-a e subnet-b.

  Ogni progetto di Google Cloud viene avviato con la rete predefinita. Inoltre, la rete my-internal-app è stata creata appositamente come parte del tuo diagramma di rete.

  I gruppi di istanze gestite verranno creati in subnet-a e subnet-b. Le subnet si trovano entrambe nella regione perché il bilanciatore del carico di rete interno è un servizio a livello di regione. I gruppi di istanze gestite si troveranno in zone diverse, in modo che il servizio non risenta di problemi a livello locale.

Crea la regola del firewall per consentire il traffico da qualsiasi origine nell'intervallo 10.10.0.0/16.

Crea una regola del firewall per consentire il traffico nella subnet 10.10.0.0/16.

1. Nel menu di navigazione (), fai clic su Rete VPC > Firewall.
   Osserva le regole del firewall app-allow-icmp e app-allow-ssh-rdp.

   Queste regole del firewall sono state create automaticamente.

2. Fai clic su Crea regola firewall.

3. Specifica quanto segue e non modificare le altre impostazioni predefinite.

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Nome	fw-allow-lb-access
   Rete	my-internal-app
   Destinazioni	Tag di destinazione specificati
   Tag di destinazione	backend-service
   Filtro di origine	Intervalli IPv4
   Intervalli IPv4 di origine	10.10.0.0/16
   Protocolli e porte	Consenti tutto

Nota: assicurati di includere /16 negli intervalli IPv4 di origine.

4. Fai clic su Crea.

Crea la regola per il controllo di integrità

Crea una regola firewall per consentire i controlli di integrità.

1. Nel menu di navigazione (), fai clic su Rete VPC > Firewall.

2. Fai clic su Crea regola firewall.

3. Specifica quanto segue e non modificare le altre impostazioni predefinite.

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Nome	fw-allow-health-checks
   Rete	my-internal-app
   Destinazioni	Tag di destinazione specificati
   Tag di destinazione	backend-service
   Filtro di origine	Intervalli IPv4
   Intervalli IPv4 di origine	130.211.0.0/22 e 35.191.0.0/16
   Protocolli e porte	Protocolli e porte specificati

Nota: assicurati di includere /22 e /16 negli intervalli IPv4 di origine.

4. Per tcp, seleziona la casella di controllo e specifica la porta 80.
5. Fai clic su Crea.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Configura le regole del firewall per il traffico interno e il controllo di integrità

Attività 2: crea una configurazione NAT utilizzando il router Cloud

Le istanze di backend VM di Google Cloud che hai configurato nell'attività 3 non verranno configurate con indirizzi IP esterni.

Puoi invece configurare il servizio Cloud NAT per consentire a queste istanze VM di inviare il traffico in uscita solo tramite Cloud NAT e ricevere traffico in entrata attraverso il bilanciatore del carico.

Crea l'istanza del router Cloud

1. Nella barra del titolo della console Google Cloud, digita Servizi di rete nel campo Cerca, quindi fai clic su Servizi di rete nella sezione Prodotti e pagine.

2. Nella pagina Servizio di rete, fai clic su Blocca accanto a Servizi di rete.

3. Fai clic su Cloud NAT.

4. Fai clic su Inizia per configurare un gateway NAT.

5. Specifica quanto segue e non modificare le altre impostazioni predefinite.

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Nome gateway	nat-config
   Rete	my-internal-app
   Regione

6. Fai clic su Router Cloud e seleziona Crea nuovo router.

7. Come Nome, digita nat-router-

8. Fai clic su Crea.

9. In Crea il gateway Cloud NAT, fai clic su Crea.

Nota: attendi che lo stato del gateway NAT diventi In esecuzione prima di passare all'attività successiva.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea una configurazione NAT utilizzando il router Cloud

Attività 3. Configura i modelli di istanza e crea i gruppi di istanze

Un gruppo di istanze gestite utilizza un modello di istanza per creare un gruppo di istanze identiche, che puoi utilizzare per creare i backend del bilanciatore del carico di rete interno.

Questa attività è stata eseguita per te all'inizio di questo lab. Dovrai accedere tramite SSH a ogni VM del gruppo di istanze ed eseguire il seguente comando per configurare l'ambiente.

1. Nel menu di navigazione, fai clic su Compute Engine > Istanze VM.
   Osserva le istanze che iniziano con instance-group-1 e instance-group-2.

2. Seleziona il pulsante SSH accanto a instance-group-1 per accedere tramite SSH alla VM.

3. Se ti viene richiesto di consentire a SSH nel browser di connettersi alle VM, fai clic su Autorizza.

4. Esegui questo comando per eseguire nuovamente lo script di avvio dell'istanza:

sudo google_metadata_script_runner startup

5. Ripeti i passaggi precedenti per instance-group-2.

6. Attendi che entrambi gli script di avvio terminino l'esecuzione, quindi chiudi il terminale SSH su ogni VM. L'output dello script di avvio dovrebbe indicare quanto segue:

Finished running startup scripts.

Verifica i backend

Verifica che le istanze VM vengano create in entrambe le subnet e crea una VM di utilità per accedere ai siti HTTP dei backend.

1. Nel menu di navigazione, fai clic su Compute Engine > Istanze VM.
   Osserva le istanze che iniziano con instance-group-1 e instance-group-2.

   Queste istanze si trovano in zone distinte e i relativi indirizzi IP interni fanno parte dei blocchi CIDR di subnet-a e subnet-b.

2. Fai clic su Crea istanza.

3. Specifica quanto segue e non modificare le altre impostazioni predefinite.

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Nome	utility-vm
   Regione
   Zona
   Serie	E2
   Tipo di macchina	e2-medium (2 vCPU, 4 GB di memoria)
   Disco di avvio	Debian GNU/Linux 12 (bookworm)

4. Fai clic su Opzioni avanzate.

5. Fai clic su Networking.

6. In Interfacce di rete, fai clic sul menu a discesa per modificare.

7. Specifica quanto segue e non modificare le altre impostazioni predefinite.

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Rete	my-internal-app
   Subnet	subnet-a
   Indirizzo IPv4 interno principale	Temporaneo (personalizzato)
   Indirizzo IP temporaneo personalizzato	10.10.20.50
   Indirizzo IPv4 esterno	Nessuno

8. Fai clic su Fine.

9. Fai clic su Crea.

10. Tieni presente che gli indirizzi IP interni per i backend sono 10.10.20.2 e 10.10.30.2.

Nota: se questi indirizzi IP sono diversi, sostituiscili nei due comandi curl riportati di seguito.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Configura i modelli di istanza e crea i gruppi di istanze

11. In utility-vm, fai clic su SSH per avviare un terminale e stabilire la connessione.

12. Se ti viene richiesto di consentire a SSH nel browser di connettersi alle VM, fai clic su Autorizza.

13. Per verificare la pagina di benvenuto per instance-group-1-xxxx, esegui questo comando:

curl 10.10.20.2

L'output dovrebbe essere simile al seguente.

Output:

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-1-1zn8<h2>Server Location</h2>Region and Zone:

14. Per verificare la pagina di benvenuto per instance-group-2-xxxx, esegui questo comando:

curl 10.10.30.2

L'output dovrebbe essere simile al seguente.

Output:

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-2-q5wp<h2>Server Location</h2>Region and Zone:

Nota: questo è utile per verificare che il bilanciatore del carico interno invii il traffico a entrambi i backend.

15. Chiudi il terminale SSH per utility-vm:

exit

Attività 4: configura il bilanciatore del carico di rete interno

Configura il bilanciatore del carico di rete interno per bilanciare il traffico tra i due backend (instance-group-1 in e instance-group-2 in ), come illustrato in questo diagramma di rete:

Avvia la configurazione

1. Nel menu di navigazione () della console Cloud, fai clic su Servizi di rete > Bilanciamento del carico.
2. Fai clic su Crea bilanciatore del carico.
3. Per Tipo di bilanciatore del carico, seleziona Bilanciatore del carico di rete (TCP/UDP/SSL) e fai clic su Avanti.
4. Per Proxy o passthrough, seleziona Bilanciatore del carico passthrough e fai clic su Avanti.
5. In Pubblico o interno, seleziona Interno e fai clic su Avanti.
6. Per Crea bilanciamento del carico, fai clic su Configura.

7. In Nome bilanciatore del carico, digita my-ilb.
8. In Regione, digita .
9. Per Rete, seleziona my-internal-app dal menu a discesa.

Configura il servizio di backend a livello di regione

Il servizio di backend monitora i gruppi di istanze ed evita che superino i limiti di utilizzo configurati.

1. Fai clic su Configurazione backend.

2. Specifica quanto segue e non modificare le altre impostazioni predefinite.

   Proprietà	Valore (seleziona l'opzione come specificato)
   Gruppo di istanze	instance-group-1 ()

3. Fai clic su Fine.

4. Fai clic su Aggiungi un backend.

5. In Gruppo di istanze, seleziona instance-group-2 ().

6. Fai clic su Fine.

7. In Controllo di integrità, seleziona Crea un controllo di integrità.

8. Specifica quanto segue e non modificare le altre impostazioni predefinite.

   Proprietà	Valore (seleziona l'opzione come specificato)
   Nome	my-ilb-health-check
   Protocollo	TCP
   Porta	80
   Intervallo di controllo	10 sec
   Timeout	5 sec
   Soglia stato integro	2
   Soglia stato non integro	3

Nota: i controlli di integrità determinano quali istanze possono ricevere nuove connessioni. Questo controllo di integrità HTTP esegue il polling delle istanze ogni 10 secondi, attende fino a 5 secondi una risposta e considera 2 tentativi riusciti o 3 tentativi non riusciti rispettivamente come soglia di stato integro o non integro.

9. Fai clic su Salva.
10. Verifica che sia presente un segno di spunta blu accanto a Configurazione backend nella console Cloud. In caso contrario, assicurati di aver completato tutti i passaggi riportati sopra.

Configura il frontend

Il frontend inoltra il traffico al backend.

1. Fai clic su Configurazione frontend.

2. Specifica quanto segue e non modificare le altre impostazioni predefinite.

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Subnet	subnet-b
   Scopo IP interno > Indirizzo IP	Crea indirizzo IP

3. Specifica quanto segue e non modificare le altre impostazioni predefinite.

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Nome	my-ilb-ip
   Indirizzo IP statico	Scelta manuale
   Indirizzo IP personalizzato	10.10.30.5

4. Fai clic su Prenota.

5. In Porte, per Numero porta, digita 80.

6. Fai clic su Fine.

Esamina e crea il bilanciatore del carico di rete interno

1. Fai clic su Esamina e finalizza.
2. Esamina il Backend e il Frontend.
3. Fai clic su Crea.
   Attendi il completamento della creazione del bilanciatore del carico prima di passare all'attività successiva.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Configura il bilanciatore del carico di rete interno

Attività 5: testa il bilanciatore del carico di rete interno

Verifica che l'indirizzo IP my-ilb inoltri il traffico a instance-group-1 in e a instance-group-2 in .

Accedi al bilanciatore del carico di rete interno

1. Nel menu di navigazione, fai clic su Compute Engine > Istanze VM.
2. In utility-vm, fai clic su SSH per avviare un terminale e stabilire la connessione.
3. Se ti viene richiesto di consentire a SSH nel browser di connettersi alle VM, fai clic su Autorizza.
4. Per verificare che il bilanciatore del carico di rete interno inoltri il traffico, esegui questo comando:

curl 10.10.30.5

L'output dovrebbe essere simile al seguente.

Output:

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-2-1zn8<h2>Server Location</h2>Region and Zone: {{{project_0.default_zone_2 | Zone 2}}} Nota: come previsto, il traffico viene inoltrato dal bilanciatore del carico interno (10.10.30.5) al backend.

5. Esegui lo stesso comando un paio di volte:

curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5

Dovresti poter vedere le risposte di instance-group-1 in e di instance-group-2 in . In caso contrario, esegui di nuovo il comando.

Complimenti!

In questo lab hai creato due gruppi di istanze gestite nella regione e una regola firewall per consentire il traffico HTTP verso queste istanze e il traffico TCP proveniente dal controllo di integrità di Google Cloud. Quindi, hai configurato e testato un bilanciatore del carico di rete interno per questi gruppi di istanze.

Termina il lab

Una volta completato il lab, fai clic su Termina lab. Google Cloud Skills Boost rimuove le risorse che hai utilizzato ed esegue la pulizia dell'account.

Avrai la possibilità di inserire una valutazione in merito alla tua esperienza. Seleziona il numero di stelle applicabile, inserisci un commento, quindi fai clic su Invia.

Il numero di stelle corrisponde alle seguenti valutazioni:

• 1 stella = molto insoddisfatto
• 2 stelle = insoddisfatto
• 3 stelle = esperienza neutra
• 4 stelle = soddisfatto
• 5 stelle = molto soddisfatto

Se non vuoi lasciare un feedback, chiudi la finestra di dialogo.

Per feedback, suggerimenti o correzioni, utilizza la scheda Assistenza.

Copyright 2020 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.