arrow_back

Configurer un équilibreur de charge réseau interne

Se connecter Rejoindre
Accédez à plus de 700 ateliers et cours

Configurer un équilibreur de charge réseau interne

Atelier 1 heure 30 minutes universal_currency_alt 5 crédits show_chart Débutant
info Cet atelier peut intégrer des outils d'IA pour vous accompagner dans votre apprentissage.
Accédez à plus de 700 ateliers et cours

Présentation

Google Cloud propose un équilibrage de charge réseau interne pour le trafic basé sur les protocoles TCP et UDP. L'équilibrage de charge réseau interne vous permet d'assurer l'exécution et le scaling de vos services derrière une adresse IP d'équilibrage de charge privée uniquement accessible à vos instances de machines virtuelles internes.

Dans cet atelier, vous allez créer deux groupes d'instances gérés dans la même région. Ensuite, vous configurerez et testerez un équilibreur de charge réseau interne en utilisant les groupes d'instances en tant que backends, comme illustré dans ce schéma réseau :

Schéma de l'architecture réseau

Objectifs

Dans cet atelier, vous apprendrez à effectuer les tâches suivantes :

  • Créer des règles de pare-feu de trafic interne et de vérification de l'état
  • Créer une configuration NAT à l'aide de Cloud Router
  • Configurer deux modèles d'instance
  • Créer deux groupes d'instances gérés
  • Configurer et tester un équilibreur de charge réseau interne

Préparation

Pour chaque atelier, nous vous attribuons un nouveau projet Google Cloud et un nouvel ensemble de ressources pour une durée déterminée, sans frais.

  1. Connectez-vous à Qwiklabs dans une fenêtre de navigation privée.

  2. Vérifiez le temps imparti pour l'atelier (par exemple : 01:15:00) : vous devez pouvoir le terminer dans ce délai.
    Une fois l'atelier lancé, vous ne pouvez pas le mettre en pause. Si nécessaire, vous pourrez le redémarrer, mais vous devrez tout reprendre depuis le début.

  3. Lorsque vous êtes prêt, cliquez sur Démarrer l'atelier.

  4. Notez vos identifiants pour l'atelier (Nom d'utilisateur et Mot de passe). Ils vous serviront à vous connecter à Google Cloud Console.

  5. Cliquez sur Ouvrir la console Google.

  6. Cliquez sur Utiliser un autre compte, puis copiez-collez les identifiants de cet atelier lorsque vous y êtes invité.
    Si vous utilisez d'autres identifiants, des messages d'erreur s'afficheront ou des frais seront appliqués.

  7. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.

Tâche 1 : Configurer des règles de pare-feu de trafic interne et de vérification de l'état

Configurez des règles de pare-feu pour autoriser la connectivité de trafic interne à partir de sources faisant partie de la plage 10.10.0.0/16. Cette règle autorise le trafic entrant de n'importe quel client situé dans le sous-réseau.

Les vérifications de l'état déterminent les instances d'un équilibreur de charge qui peuvent recevoir de nouvelles connexions. Pour l'équilibrage de charge d'application (HTTP), les vérifications de l'état portant sur vos instances à équilibrage de charge proviennent d'adresses situées dans les plages 130.211.0.0/22 et 35.191.0.0/16. Vos règles de pare-feu doivent autoriser ces connexions.

Explorer le réseau my-internal-app

Le réseau my-internal-app, composé des sous-réseaux subnet-a et subnet-b, et les règles de pare-feu pour le trafic RDP, SSH et ICMP ont été configurés pour vous.

  • Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation), puis cliquez sur Réseau VPC > Réseaux VPC.
    Vous verrez alors le réseau my-internal-app et ses sous-réseaux : subnet-a et subnet-b.

    Chaque projet Google Cloud commence avec le réseau default (par défaut). En outre, le réseau my-internal-app a été créé lors de l'élaboration du schéma réseau.

    Vous allez créer les groupes d'instances gérés dans subnet-a et subnet-b. Ces deux sous-réseaux figurent dans la région , car un équilibreur de charge réseau interne est un service régional. Les groupes d'instances gérés se trouvent dans des zones distinctes, de manière à immuniser votre service contre les défaillances de zone.

Créer la règle de pare-feu pour autoriser le trafic provenant de n'importe quelle source située dans la plage 10.10.0.0/16

Créez une règle de pare-feu pour autoriser le trafic dans le sous-réseau 10.10.0.0/16.

  1. Dans le menu de navigation (Icône du menu de navigation), cliquez sur Réseau VPC > Pare-feu.
    Vous verrez alors les règles de pare-feu app-allow-icmp et app-allow-ssh-rdp.

    Ces règles de pare-feu ont été créées en amont.

  2. Cliquez sur Créer une règle de pare-feu.

  3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom fw-allow-lb-access
    Réseau my-internal-app
    Cibles Tags cibles spécifiés
    Tags cibles backend-service
    Filtre source Plages IPv4
    Plages IPv4 sources 10.10.0.0/16
    Protocoles et ports Tout autoriser
Remarque : Pensez à ajouter /16 dans les plages IPv4 sources.
  1. Cliquez sur Créer.

Créer la règle de vérification de l'état

Créez une règle de pare-feu pour autoriser les vérifications de l'état.

  1. Dans le menu de navigation (Icône du menu de navigation), cliquez sur Réseau VPC > Pare-feu.

  2. Cliquez sur Créer une règle de pare-feu.

  3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom fw-allow-health-checks
    Réseau my-internal-app
    Cibles Tags cibles spécifiés
    Tags cibles backend-service
    Filtre source Plages IPv4
    Plages IPv4 sources 130.211.0.0/22 et 35.191.0.0/16
    Protocoles et ports Protocoles et ports spécifiés
Remarque : Pensez à ajouter /22 et /16 dans les plages d'adresses IPv4 sources.
  1. Cochez la case tcp et spécifiez le port 80.
  2. Cliquez sur Créer.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer des règles de pare-feu de trafic interne et de vérification de l'état

Tâche 2 : Créer une configuration NAT à l'aide de Cloud Router

Les instances backend de VM Google Cloud que vous configurerez lors de la tâche 3 n'utiliseront pas des adresses IP externes.

À la place, vous allez configurer le service Cloud NAT pour permettre à ces instances de VM d'envoyer le trafic sortant uniquement via Cloud NAT et de recevoir le trafic entrant via l'équilibreur de charge.

Créer l'instance Cloud Router

  1. Dans la barre de titre de la console Google Cloud, saisissez Services réseau dans le champ de recherche, puis cliquez sur Services réseau dans la section Produits et pages.

  2. Sur la page Service réseau, cliquez sur Épingler à côté de "Services réseau".

  3. Cliquez sur Cloud NAT.

  4. Cliquez sur Commencer pour configurer une passerelle NAT.

  5. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom de la passerelle nat-config
    Réseau my-internal-app
    Région

  6. Cliquez sur Cloud Router, puis sélectionnez Créer un routeur.

  7. Dans le champ Nom, saisissez nat-router-.

  8. Cliquez sur Créer.

  9. Dans "Créer une passerelle Cloud NAT", cliquez sur Créer.

Remarque : Attendez que la valeur du champ "NAT Gateway Status" (État de la passerelle NAT) passe à "Running" (Exécution) avant de passer à la tâche suivante.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer une configuration NAT à l'aide de Cloud Router

Tâche 3 : Configurer les modèles d'instance et créer les groupes d'instances

Un groupe d'instances géré crée un groupe d'instances identiques à l'aide d'un modèle d'instance. Ces instances permettent de créer les backends de l'équilibreur de charge réseau interne.

Cette tâche a été effectuée pour vous au début de cet atelier. Vous devrez vous connecter en SSH à chaque VM du groupe d'instances et exécuter la commande suivante pour configurer l'environnement.

  1. Dans le menu de navigation, cliquez sur Compute Engine > Instances de VM.
    Vous pouvez voir des instances dont les noms commencent par instance-group-1 et instance-group-2.

  2. Sélectionnez le bouton SSH à côté d'instance-group-1 pour vous connecter en SSH à la VM.

  3. Si vous y êtes invité, autorisez la fonctionnalité SSH dans le navigateur à se connecter à la VM en cliquant sur Autoriser.

  4. Exécutez la commande suivante pour relancer le script de démarrage de l'instance :

sudo google_metadata_script_runner startup

  1. Répétez les étapes précédentes pour instance-group-2.

  2. Attendez que les deux scripts de démarrage terminent de s'exécuter, puis fermez le terminal SSH de chaque VM. Le résultat des scripts de démarrage doit être le suivant :

Finished running startup scripts.

Vérifier les backends

Vérifiez que les instances de VM sont créées dans les deux sous-réseaux, et créez une VM utilitaire pour accéder aux sites HTTP des backends.

  1. Dans le menu de navigation, cliquez sur Compute Engine > Instances de VM.
    Vous pouvez voir des instances dont les noms commencent par instance-group-1 et instance-group-2.

    Ces instances figurent dans des zones distinctes, et leurs adresses IP internes font partie des blocs CIDR subnet-a et subnet-b.

  2. Cliquez sur Créer une instance.

  3. Sur la page __Configuration de la machine__, spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom utility-vm
    Région
    Zone
    Série E2
    Type de machine e2-medium (2 vCPU, 4 Go de mémoire)

  4. Cliquez sur OS et stockage.

  5. Si l'image affichée n'est pas Debian GNU/Linux 12 (bookworm), cliquez sur Modifier, sélectionnez Debian GNU/Linux 12 (bookworm), puis cliquez sur Sélectionner.

  6. Cliquez sur Mise en réseau.

  7. Pour Interfaces réseau, cliquez sur le menu déroulant afin de modifier l'interface réseau.

  8. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Réseau my-internal-app
    Sous-réseau subnet-a
    Adresse IPv4 interne principale Éphémère (personnalisée)
    Adresse IP éphémère personnalisée 10.10.20.50
    Adresse IPv4 externe Aucune

  9. Cliquez sur OK.

  10. Cliquez sur Créer.

  11. Notez que les adresses IP internes des backends sont 10.10.20.2 et 10.10.30.2.

Remarque : Si ces adresses IP diffèrent de ces valeurs, remplacez-les dans les deux commandes curl ci-dessous.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer les modèles d'instance et créer les groupes d'instances

  1. Pour utility-vm, cliquez sur SSH afin de lancer un terminal et de vous y connecter.

  2. Si vous y êtes invité, autorisez la fonctionnalité SSH dans le navigateur à se connecter à la VM en cliquant sur Autoriser.

  3. Pour vérifier la page d'accueil d'instance-group-1-xxxx, exécutez la commande suivante :

curl 10.10.20.2

Le résultat doit se présenter comme suit :

Résultat :

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-1-1zn8<h2>Server Location</h2>Region and Zone:
  1. Pour vérifier la page d'accueil d'instance-group-2-xxxx, exécutez la commande suivante :
curl 10.10.30.2

Le résultat doit se présenter comme suit :

Résultat :

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-2-q5wp<h2>Server Location</h2>Region and Zone:

Remarque : Ce résultat sera utile pour vérifier que l'équilibreur de charge interne envoie du trafic aux deux backends.
  1. Fermez le terminal SSH pour utility-vm :
exit

Tâche 4 : Configurer l'équilibreur de charge réseau interne

Configurez l'équilibreur de charge réseau interne pour qu'il équilibre le trafic entre les deux backends (instance-group-1 dans et instance-group-2 dans ), comme illustré dans le schéma réseau ci-dessous.

Schéma réseau

Démarrer la configuration

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation) et cliquez sur Services réseau > Équilibrage de charge.
  2. Cliquez sur Créer un équilibreur de charge.
  3. Pour Type d'équilibreur de charge, sélectionnez Équilibreur de charge réseau (TCP/UDP/SSL), puis cliquez sur Suivant.
  4. Pour Proxy ou Passthrough, sélectionnez Équilibreur de charge Passthrough, puis cliquez sur Suivant.
  5. Pour Public ou interne, sélectionnez Interne, puis cliquez sur Suivant.
  6. Pour Créer un équilibreur de charge, cliquez sur Configurer.
  1. Pour Nom de l'équilibreur de charge, saisissez my-ilb.
  2. Pour Région, saisissez .
  3. Pour Réseau, sélectionnez my-internal-app dans le menu déroulant.

Configurer le service de backend régional

Le service de backend surveille les groupes d'instances et les empêche de dépasser l'utilisation configurée.

  1. Cliquez sur Configuration du backend.

  2. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

    Propriété Valeur (sélectionnez l'option spécifiée)
    Groupe d'instances instance-group-1 ()

  3. Cliquez sur OK.

  4. Cliquez sur Ajouter un backend.

  5. Pour Groupe d'instances, sélectionnez instance-group-2 ().

  6. Cliquez sur OK.

  7. Dans le champ Vérification d'état, sélectionnez Créer une vérification d'état.

  8. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

    Propriété Valeur (sélectionnez l'option spécifiée)
    Nom my-ilb-health-check
    Protocole TCP
    Port 80
    Intervalle entre deux tests 10 s
    Délai avant expiration 5 s
    Seuil opérationnel 2
    Seuil de faible capacité 3
Remarque : Les vérifications de l'état déterminent les instances qui peuvent recevoir de nouvelles connexions. Cette vérification de l'état HTTP sonde les instances toutes les 10 secondes, attend une réponse pendant cinq secondes, puis considère deux tentatives ayant réussi ou trois tentatives ayant échoué comme seuil opérationnel ou seuil de faible capacité, respectivement.
  1. Cliquez sur Enregistrer.
  2. Vérifiez qu'il y a une coche bleue à côté de Configuration du backend dans la console Cloud. S'il n'y a pas de coche, vérifiez que vous avez bien suivi la procédure ci-dessus dans son intégralité.

Configurer l'interface

L'interface transfère le trafic vers le backend.

  1. Cliquez sur Configuration de l'interface.

  2. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Sous-réseau subnet-b
    Objectif de l'adresse IP interne > Adresse IP Créer une adresse IP

  3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres.

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom my-ilb-ip
    Adresse IP statique Laissez-moi choisir
    Adresse IP personnalisée 10.10.30.5

  4. Cliquez sur Réserver.

  5. Sous Ports, saisissez 80 dans le champ Numéro de port.

  6. Cliquez sur OK.

Examiner et créer l'équilibreur de charge réseau interne

  1. Cliquez sur Vérifier et finaliser.
  2. Examinez les sections Backend et Interface.
  3. Cliquez sur Créer.
    Attendez que l'équilibreur de charge soit créé avant de passer à la tâche suivante.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer l'équilibreur de charge réseau interne

Tâche 5 : Tester l'équilibreur de charge réseau interne

Vérifiez que l'adresse IP my-ilb transfère le trafic vers instance-group-1 dans et vers instance-group-2 dans .

Accéder à l'équilibreur de charge réseau interne

  1. Dans le menu de navigation, cliquez sur Compute Engine > Instances de VM.
  2. Pour utility-vm, cliquez sur SSH afin de lancer un terminal et de vous y connecter.
  3. Si vous y êtes invité, autorisez la fonctionnalité SSH dans le navigateur à se connecter à la VM en cliquant sur Autoriser.
  4. Pour vérifier que l'équilibreur de charge réseau interne transfère le trafic, exécutez la commande suivante :
curl 10.10.30.5

Le résultat doit se présenter comme suit :

Résultat :

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-2-1zn8<h2>Server Location</h2>Region and Zone: {{{project_0.default_zone_2 | Zone 2}}} Remarque : Comme prévu, le trafic est transféré de l'équilibreur de charge interne (10.10.30.5) vers le backend.
  1. Exécutez la même commande à plusieurs reprises :
curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5

Vous devriez obtenir des réponses d'instance-group-1 dans et d'instance-group-2 dans . Si ce n'est pas le cas, exécutez de nouveau la commande.

Félicitations !

Dans cet atelier, vous avez créé deux groupes d'instances gérés dans la région , ainsi qu'une règle de pare-feu pour autoriser le trafic HTTP vers ces instances et le trafic TCP à partir du vérificateur d'état Google Cloud. Ensuite, vous avez configuré et testé un équilibreur de charge réseau interne pour ces groupes d'instances.

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur Terminer l'atelier. Google Cloud Skills Boost supprime les ressources que vous avez utilisées, puis efface le compte.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez un nombre d'étoiles, saisissez un commentaire, puis cliquez sur Envoyer.

Le nombre d'étoiles correspond à votre degré de satisfaction :

  • 1 étoile = très insatisfait(e)
  • 2 étoiles = insatisfait(e)
  • 3 étoiles = ni insatisfait(e), ni satisfait(e)
  • 4 étoiles = satisfait(e)
  • 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez accéder à l'onglet Assistance.

Copyright 2020 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.

Avant de commencer

  1. Les ateliers créent un projet Google Cloud et des ressources pour une durée déterminée.
  2. Les ateliers doivent être effectués dans le délai imparti et ne peuvent pas être mis en pause. Si vous quittez l'atelier, vous devrez le recommencer depuis le début.
  3. En haut à gauche de l'écran, cliquez sur Démarrer l'atelier pour commencer.

Utilisez la navigation privée

  1. Copiez le nom d'utilisateur et le mot de passe fournis pour l'atelier
  2. Cliquez sur Ouvrir la console en navigation privée

Connectez-vous à la console

  1. Connectez-vous à l'aide des identifiants qui vous ont été attribués pour l'atelier. L'utilisation d'autres identifiants peut entraîner des erreurs ou des frais.
  2. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.
  3. Ne cliquez pas sur Terminer l'atelier, à moins que vous n'ayez terminé l'atelier ou que vous ne vouliez le recommencer, car cela effacera votre travail et supprimera le projet.

Ce contenu n'est pas disponible pour le moment

Nous vous préviendrons par e-mail lorsqu'il sera disponible

Parfait !

Nous vous contacterons par e-mail s'il devient disponible

Un atelier à la fois

Confirmez pour mettre fin à tous les ateliers existants et démarrer celui-ci

Utilisez la navigation privée pour effectuer l'atelier

Ouvrez une fenêtre de navigateur en mode navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.