Ви – розробник хмарних технологій, який створює масштабовані й стійкі до помилок рішення для багаторівневих додатків. Хоча деякі екземпляри віртуальних машин, розгорнуті у вашій архітектурі, не будуть загальнодоступними, усі вони мають бути стійкими до помилок і мати можливості для масштабування. Крім того, трафік вашого рішення повинен належним чином розподілятися між віртуальними машинами. Саме тому одним із найважливіших сервісів створеної вами архітектури є стійкий до збоїв і масштабований розподілювач навантаження, який може обробляти й переспрямовувати трафік, а також регулярно виконувати перевірки стану.

В архітектурі AWS трафік можна розподіляти між екземплярами Elastic Compute Cloud (EC2), які мають загальнодоступні ІР-адреси, за допомогою розподілювача навантаження з виходом в Інтернет. Для багаторівневих додатків екземпляри серверної частини зазвичай підключаються лише до клієнтської частини без внутрішніх IP-адрес. У цьому сценарії ви можете одночасно використовувати внутрішні розподілювачі навантаження мережі й ті, що мають вихід в Інтернет.

Навіть якщо екземпляри віртуальної машини серверної частини не є загальнодоступними, вони мають підтримувати завантаження виправлень вразливостей і оновлень. Ви налаштуєте шлюзи Network Address Translation (NAT), щоб забезпечити одностороннє з’єднання з мережею Інтернет. Так приватні екземпляри віртуальних машин зможуть підключатися до Інтернету, але не навпаки.

Щоб забезпечити стійкість до помилок, ефективність витрат і високу доступність, ви використовуватимете комбінацію образів машин Amazon (AMI), шаблонів завантаження й груп автомасштабування. Це дасть змогу динамічно реагувати на збільшення навантаження, вивільняти ресурси, що більше не використовуються, і виконувати перевірки стану для підтримки безперебійної роботи екземплярів.

Нижче описано, як керувати трафіком і ефективно масштабувати сервіси в Google Cloud.

Огляд

У Google Cloud можна здійснювати розподіл внутрішнього навантаження мережі за протоколами TCP або UDP. Це дає змогу запускати й масштабувати сервіси для розподілу навантаження мережі з приватної IP-адреси, доступ до якої мають лише екземпляри внутрішніх віртуальних машин.

Під час цього практичного заняття вам потрібно буде створити дві групи керованих екземплярів в одному регіоні. Потім ви налаштуєте внутрішній розподілювач навантаження мережі й перевірите його роботу з групами екземплярів як серверними частинами за цією схемою мережі:

Цілі

Під час цього практичного заняття ви навчитеся виконувати наведені нижче дії.

• Створювати правила брандмауера для внутрішнього трафіку й перевірок стану.
• Створювати конфігурацію NAT за допомогою сервісу Cloud Router.
• Налаштовувати два шаблони екземплярів.
• Створювати дві групи керованих екземплярів.
• Налаштовувати внутрішній розподілювач навантаження мережі й перевіряти його роботу.

Налаштування й вимоги

Для кожної практичної роботи ви безкоштовно отримуєте новий проект Google Cloud і набір інструментів на визначений період часу.

1. Увійдіть у Qwiklabs у вікні в режимі анонімного перегляду.

2. Слідкуйте за тим, скільки часу залишилося для виконання практичної роботи (наприклад: 1:15:00). Постарайтеся завершити її вчасно.
   Завдання не можна призупинити, а лише почати спочатку.

3. Коли будете готові, натисніть Start Lab (Почати практичну роботу).

4. Занотуйте облікові дані для практичної роботи (ім’я користувача й пароль). Вони знадобляться для входу в Google Cloud Console.

5. Натисніть Open Google Console (Відкрити Google Console).

6. Виберіть Use another account (Увійти в інший обліковий запис), потім скопіюйте та вставте облікові дані для доступу до цієї практичної роботи у відповідні поля.
   Якщо ви ввійдете з іншими обліковими даними, станеться помилка або з вас може почати стягуватися плата.

7. Прийміть умови й пропустіть сторінку відновлення ресурсу.

Завдання 1. Налаштуйте правила брандмауера для внутрішнього трафіку й перевірок стану

У цьому завданні ви налаштуєте правила брандмауера, щоб дозволити передачу внутрішнього трафіку й виконання перевірок стану для свого додатка. Ви перевірите наявну мережу й створите нові правила брандмауера, щоб дозволити трафік з окремих діапазонів IP-адрес.

Налаштуйте правила брандмауера, щоб дозволити внутрішній трафік із джерел у діапазоні IP-адрес 10.10.0.0/16. Таке правило дозволяє вхідний трафік із будь-якого клієнта визначеної підмережі.

Перевірки стану дають змогу визначити, до яких екземплярів розподілювача навантаження можуть здійснюватися нові підключення. Для розподілу навантаження додатка (HTTP) перевірка стану екземплярів із вирівняним навантаженням здійснюється з адрес у діапазонах 130.211.0.0/22 й 35.191.0.0/16 (такі підключення мають бути дозволені правилами брандмауера).

Дослідіть мережу my-internal-app

Ми налаштували для вас мережу my-internal-app із підмережами subnet-a і subnet-b й правила брандмауера для трафіку через протоколи RDP, SSH і ICMP.

• У меню навігації () консолі Cloud натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).
  Зверніть увагу на мережу my-internal-app із її підмережами subnet-a і subnet-b.

  Для кожного проєкту Google Cloud налаштовано мережу за умовчанням. Крім того, мережу my-internal-app було попередньо створено як частину схеми мережі.

  Вам потрібно буде створити групи керованих екземплярів у підмережах subnet-a і subnet-b. Оскільки внутрішній розподілювач навантаження мережі є регіональним сервісом, обидві підмережі розташовано в регіоні . Групи керованих екземплярів буде розміщено в різних зонах, щоб убезпечити ваш продукт у випадку збоїв у певній зоні.

Створіть правило для брандмауера, що дозволяє трафік із будь-яких джерел у діапазоні 10.10.0.0/16

Створіть правило для брандмауера, що дозволяє трафік у підмережі 10.10.0.0/16.

1. У меню навігації () натисніть VPC network > Firewall (Мережа VPC > Брандмауер).
   Перегляньте правила брандмауера app-allow-icmp й app-allow-ssh-rdp.

   Їх було створено автоматично.

2. Натисніть Create Firewall Rule (Створити правило брандмауера).

3. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Name (Назва)	fw-allow-lb-access
   Network (Мережа)	my-internal-app
   Targets (Цілі)	Specified target tags (Указані цільові теги)
   Target tags (Цільові теги)	backend-service
   Source filter (Фільтр за джерелом)	IPv4 ranges (Діапазони IPv4)
   Source IPv4 ranges (Джерела діапазонів IPv4)	10.10.0.0/16
   Protocols and ports (Протоколи й порти)	Allow all (Дозволити всі)

Примітка. Додайте маску підмережі /16 у Source IPv4 ranges (Джерела діапазонів IPv4).

4. Натисніть Create (Створити).

Створіть правило для перевірки стану

Створіть правило для брандмауера, що дозволяє перевірки стану.

1. У меню навігації () натисніть VPC network > Firewall (Мережа VPC > Брандмауер).

2. Натисніть Create Firewall Rule (Створити правило брандмауера).

3. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Name (Назва)	fw-allow-health-checks
   Network (Мережа)	my-internal-app
   Targets (Цілі)	Specified target tags (Указані цільові теги)
   Target tags (Цільові теги)	backend-service
   Source filter (Фільтр за джерелом)	IPv4 Ranges (Діапазони IPv4)
   Source IPv4 ranges (Джерела діапазонів IPv4)	130.211.0.0/22 й 35.191.0.0/16
   Protocols and ports (Протоколи й порти)	Specified protocols and ports (Указані протоколи й порти)

Примітка. Додайте маски підмережі /22 й /16 у Source IPv4 ranges (Джерела діапазонів IPv4).

4. Поставте прапорець біля протоколу tcp й укажіть порт 80.
5. Натисніть Create (Створити).

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання. Налаштуйте правила брандмауера для внутрішнього трафіку й перевірок стану

Завдання 2. Створіть конфігурацію NAT за допомогою сервісу Cloud Router

У цьому завданні ви створите екземпляр Cloud Router і налаштуєте Cloud NAT, щоб забезпечити надсилання вихідного трафіку з екземплярів серверної частини.

Для екземплярів серверної частини віртуальних машин Google Cloud, з якими ви працюватимете в завданні 3, не буде налаштовано зовнішні IP-адреси.

Натомість ви налаштуєте сервіс Cloud NAT, щоб вихідний трафік із таких екземплярів віртуальних машин надходив лише через цей сервіс, а вхідний трафік – через розподілювач навантаження.

Створіть екземпляр Cloud Router

1. На панелі заголовка Google Cloud Console введіть Network services (Мережеві сервіси) в полі пошуку, а потім натисніть Network services (Мережеві сервіси) в розділі Products & Page (Продукт і сторінки).

2. На сторінці Network service (Мережевий сервіс) натисніть Pin (Закріпити) поруч із мережевими сервісами.

3. Виберіть Cloud NAT.

4. Натисніть Get started (Почати), щоб налаштувати шлюз NAT.

5. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Gateway name (Назва шлюзу)	nat-config
   Network (Мережа)	my-internal-app
   Region (Регіон)

6. Натисніть Cloud Router й виберіть Create new router (Створити новий маршрутизатор).

7. У полі Name (Назва) введіть nat-router-.

8. Натисніть Create (Створити).

9. У вікні Create Cloud NAT gateway (Створити шлюз Cloud NAT) натисніть Create (Створити).

Примітка. Перш ніж переходити до наступного завдання, зачекайте, доки NAT Gateway Status (Статус шлюзу NAT) зміниться на Running (Активний).

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання. Створіть конфігурацію NAT за допомогою сервісу Cloud Router

Завдання 3. Налаштуйте шаблони екземплярів і створіть групи екземплярів

У цьому завданні ви перевірите роботу попередньо налаштованих екземплярів шаблонів і керованих груп екземплярів. Ви також виконаєте скрипти запуску для наявних екземплярів і створите віртуальну машину, щоб протестувати з’єднання з екземплярами серверної частини.

Група керованих ідентичних екземплярів створюється за допомогою шаблона екземпляра. Створіть серверні частини внутрішнього розподілювача навантаження мережі, використовуючи такі екземпляри.

На початку практичного заняття це завдання було виконано для вас. Вам потрібно буде підключитися до віртуальної машини кожної групи екземплярів через протокол SSH і виконати наведену нижче команду, щоб налаштувати середовище.

1. У меню навігації натисніть Compute Engine > VM instances (Compute Engine > Екземпляри віртуальних машин).
   Зверніть увагу на два екземпляри, назви яких починаються з instance-group-1 і instance-group-2.

2. Щоб підключитися до віртуальної машини через SSH, натисніть кнопку SSH поруч з екземпляром instance-group-1.

3. За потреби дозвольте SSH-in-browser підключитися до віртуальних машин і натисніть Authorize (Авторизувати).

4. Виконайте наведену нижче команду, щоб перевизначити скрипт запуску екземпляра.

sudo google_metadata_script_runner startup

5. Повторіть ці дії для екземпляра instance-group-2.

6. Зачекайте, доки обидва скрипти запуску буде виконано, а потім закрийте термінал SSH для доступу до кожної віртуальної машини. Вивід скриптів запуску матиме такий вигляд:

Finished running startup scripts.

Перевірте налаштування серверних частин

Переконайтеся, що в обох підмережах налаштовано екземпляри віртуальних машин, і створіть віртуальну машину для доступу до сайтів HTTP серверних частин.

1. У меню навігації натисніть Compute Engine > VM instances (Compute Engine > Екземпляри віртуальних машин).
   Зверніть увагу на два екземпляри, назви яких починаються з instance-group-1 і instance-group-2.

   Ці екземпляри розміщено в окремих зонах, а їх внутрішні IP-адреси входять до блоків CIDR підмереж subnet-a і subnet-b.

2. Натисніть Create Instance (Створити екземпляр).

3. На сторінці Machine configuration (Конфігурація машини) укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Name (Назва)	utility-vm
   Region (Регіон)
   Zone (Зона)
   Series (Серія)	E2
   Machine type (Тип машини)	e2-medium (з 2 віртуальними центральними процесорами й 4 ГБ пам’яті)

4. Натисніть OS and storage (ОС і сховище).

5. Якщо під заголовком Image (Образ) не відображається варіант Debian GNU/Linux 12 (bookworm), натисніть Change (Змінити), виберіть Debian GNU/Linux 12 (bookworm) і натисніть Select (Вибрати).

6. Натисніть Networking (Мережі).

7. У розділі Network interfaces (Мережеві інтерфейси) натисніть потрібне спадне меню, щоб змінити мережевий інтерфейс.

8. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Network (Мережа)	my-internal-app
   Subnetwork (Підмережа)	subnet-a
   Primary internal IP (Основна внутрішня IP-адреса)	Ephemeral (Custom) (Тимчасова (власна))
   Custom ephemeral IP address (Власна тимчасова IP-адреса)	10.10.20.50
   External IPv4 address (Зовнішня адреса IPv4)	None (Немає)

9. Натисніть Done (Готово).

10. Натисніть Create (Створити).

11. Зверніть увагу, що для серверних частин має бути призначено внутрішні IP-адреси 10.10.20.2 й 10.10.30.2.

Примітка. Якщо вказано інші IP-адреси, замініть їх у двох наведених нижче командах curl.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання. Налаштуйте шаблони екземплярів і створіть групи екземплярів

12. Натисніть SSH, щоб запустити термінал і підключитися до мережі utility-vm.

13. За потреби дозвольте SSH-in-browser підключитися до віртуальних машин і натисніть Authorize (Авторизувати).

14. Щоб перевірити сторінку привітання, яка відображатиметься для групи екземплярів instance-group-1-xxxx, виконайте наведену нижче команду.

curl 10.10.20.2

Нижче показано, яким має бути вивід.

Вивід:

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-1-1zn8<h2>Server Location</h2>Region and Zone: {{{project_0.default_zone | Zone 1}}}

15. Щоб перевірити сторінку привітання, яка відображатиметься для групи екземплярів instance-group-2-xxxx, виконайте наведену нижче команду.

curl 10.10.30.2

Нижче показано, яким має бути вивід.

Вивід:

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-2-q5wp<h2>Server Location</h2>Region and Zone: {{{project_0.default_zone_2 | Zone 2}}}

Примітка. За допомогою цієї команди можна перевірити, чи надсилає внутрішній розподілювач навантаження трафік до обох серверних частин.

16. Закрийте термінал SSH для доступу до віртуальної машини utility-vm:

exit

Завдання 4. Налаштуйте внутрішній розподілювач навантаження мережі

У цьому завданні ви налаштуєте внутрішній розподілювач навантаження мережі, щоб розподілити трафік між двома серверними частинами (instance-group-1 у регіоні і instance-group-2 в регіоні ), як показано на цій схемі мережі:

Почніть налаштування

1. У меню навігації () консолі Cloud натисніть Network services (Мережеві сервіси) > Load balancing (Розподіл навантаження).
2. Натисніть + Create load balancer (+ Створити розподілювач навантаження).
3. У розділі Type of load balancer (Тип розподілювача навантаження) виберіть Network Load Balancer (TCP/UDP/SSL) (Розподілювач навантаження для мережі (TCP/UDP/SSL)) і натисніть Next (Далі).
4. Для параметра Proxy or passthrough (Проксі або проходження) виберіть Passthrough load balancer (Розподілювач навантаження для проходження) й натисніть Next (Далі).
5. Для параметра Public facing or internal (Загальнодоступний або внутрішній) виберіть Internal (Внутрішній) і натисніть Next (Далі).
6. У полі Create load balance (Створити розподілювач навантаження) натисніть Configure (Налаштувати).

7. У полі Load balancer name (Назва розподілювача навантаження) введіть my-ilb.
8. У полі Region (Регіон) введіть .
9. У полі Network (Мережа) виберіть my-internal-app зі спадного меню.

Налаштуйте регіональний серверний сервіс

Цей сервіс відстежує групи екземплярів, щоб запобігати перевищенню дозволеного навантаження.

1. Натисніть Backend configuration (Конфігурація серверної частини).

2. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (виберіть зі списку)
   Instance group (Група екземплярів)	instance-group-1 ()

3. Натисніть Done (Готово).

4. Натисніть Add backend (Додати серверну частину).

5. Для параметра Instance group (Група екземплярів) виберіть instance-group-2 ().

6. Натисніть Done (Готово).

7. Для параметра Health Check (Перевірка стану) виберіть Create a health check (Почати перевірку стану).

8. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (виберіть зі списку)
   Name (Назва)	my-ilb-health-check
   Protocol (Протокол)	TCP
   Port (Порт)	80
   Check interval (Інтервал перевірки)	10 sec (10 с)
   Timeout (Час очікування)	5 sec (5 с)
   Healthy threshold (Порогове значення нормального стану)	2
   Unhealthy threshold (Порогове значення незадовільного стану)	3

Примітка. Перевірки стану дають змогу визначити, до яких екземплярів можуть здійснюватися нові підключення. Ця перевірка стану HTTP звертається до екземплярів кожні 10 секунд, очікує на відповідь протягом 5 секунд і визначає 2 вдалі або 3 невдалі спроби (як порогове значення нормального чи незадовільного стану).

9. Натисніть Save (Зберегти).
10. Переконайтеся, що біля опції Backend configuration (Конфігурація серверної частини) у Cloud Console установлено синій прапорець. Якщо ні, перевірте, чи виконали ви всі кроки вище.

Налаштуйте клієнтську частину

Клієнтська частина перенаправляє трафік до серверної частини.

1. Натисніть Frontend configuration (Конфігурація клієнтської частини).

2. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Subnetwork (Підмережа)	subnet-b
   Internal IP purpose (Призначення внутрішньої IP-адреси) > IP address (ІР-адреса)	Create IP address (Створити IP-адресу)

3. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Name (Назва)	my-ilb-ip
   Static IP address (Статична IP-адреса)	Let me choose (Вибрати вручну)
   Custom IP address (Власна IP-адреса)	10.10.30.5

4. Натисніть Reserve (Зарезервувати).

5. У розділі Ports (Порти) введіть значення 80 у полі Port number (Номер порту).

6. Натисніть Done (Готово).

Перевірте й створіть внутрішній розподілювач навантаження мережі

1. Натисніть Review and finalize (Перевірити й завершити).
2. Перевірте налаштування Backend (Серверна частина) і Frontend (Клієнтська частина).
3. Натисніть Create (Створити).
   Перш ніж переходити до наступного завдання, зачекайте, доки не буде створено розподілювач навантаження.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання. Налаштуйте внутрішній розподілювач навантаження мережі

Завдання 5. Перевірте роботу внутрішнього розподілювача навантаження мережі

У цьому завданні ви переконаєтеся, що IP-адреса внутрішнього розподілювача навантаження my-ilb перенаправляє трафік до групи екземплярів instance-group-1 у зоні і instance-group-2 в зоні .

Отримайте доступ до внутрішнього розподілювача навантаження мережі

1. У меню навігації натисніть Compute Engine > VM instances (Compute Engine > Екземпляри віртуальних машин).
2. Натисніть SSH, щоб запустити термінал і підключитися до мережі utility-vm.
3. За потреби дозвольте SSH-in-browser підключитися до віртуальних машин і натисніть Authorize (Авторизувати).
4. Щоб перевірити, чи внутрішній розподілювач навантаження мережі перенаправляє трафік, виконайте наведену нижче команду.

curl 10.10.30.5

Нижче показано, яким має бути вивід.

Вивід:

<h1>Internal Load Balancing Lab</h1><h2>Client IP</h2>Your IP address : 10.10.20.50<h2>Hostname</h2>Server Hostname: instance-group-2-1zn8<h2>Server Location</h2>Region and Zone: {{{project_0.default_zone_2|Zone2}}} Примітка. Трафік перенаправляється з внутрішнього розподілювача навантаження (10.10.30.5) до серверної частини.

4. Виконайте наведену нижче команду кілька разів.

curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5 curl 10.10.30.5

Має бути встановлено зв’язок із групами екземплярів instance-group-1 у зоні і instance-group-2 в зоні . Якщо ні, виконайте команду ще раз.

Вітаємо!

Під час цього практичного заняття ви створили дві групи керованих екземплярів у регіоні і правило, що дозволяє трафік HTTP до цих екземплярів, а трафік TCP – з інструмента перевірки стану Google Cloud. Потім ви налаштували й перевірили роботу внутрішнього розподілювача навантаження мережі для цих груп екземплярів.

Приватність екземплярів Elastic Compute Cloud (EC2) в AWS забезпечують шлюзи Network Address Translation (NAT), групи автомасштабування й еластичні розподілювачі навантаження (ELB). Це рішення дає екземплярам EC2 змогу обмінюватися даними з екземплярами клієнтської частини й безпечно завантажувати оновлення з мережі Інтернет.

У Google Cloud ви можете використовувати внутрішній розподілювач навантаження мережі, щоб розподіляти трафік до екземплярів або керованих груп екземплярів у межах одного регіону Google Cloud. Якщо серверні частини розміщено в різних регіонах, знадобиться глобальний розподілювач навантаження, який можна розгорнути лише в зовнішній мережі. Ви можете використовувати внутрішній розподілювач навантаження мережі для наведених нижче типів трафіку.

• TCP/UDP (транзитний трафік)
• HTTP/HTTPS
• TCP (проксі)

Щоб екземпляри без зовнішніх IP-адрес могли встановлювати вихідні з’єднання з мережею Інтернет, можна створити конфігурацію Cloud NAT.

Завершіть завдання

Закінчивши виконувати завдання, натисніть кнопку End Lab (Завершити завдання). Google Cloud Skills Boost вилучить використані ресурси й очистить обліковий запис.

Ви зможете оцінити, наскільки вам сподобалося виконувати завдання на платформі. Виберіть потрібну кількість зірочок, введіть коментар і натисніть Submit (Надіслати).

Кількість зірочок відповідає певній оцінці:

• 1 зірочка = зовсім не сподобалося
• 2 зірочки = не сподобалося
• 3 зірочки = не можу сказати напевно
• 4 зірочки = сподобалося
• 5 зірочок = дуже сподобалося

Якщо ви не хочете надсилати відгук, просто закрийте діалогове вікно.

Залишайте свої відгуки, пропозиції або коментарі на вкладці Support (Підтримка).

© Google LLC 2022. Усі права захищено. Назва та логотип Google є торговельними марками Google LLC. Усі інші назви компаній і продуктів можуть бути торговельними марками відповідних компаній, з якими вони пов’язані.