Private Service Connect con configurazione DNS automatica

1. Introduzione

Private Service Connect con configurazione automatica dei DNS utilizza Service Directory e Cloud DNS per creare automaticamente record DNS programmati con gli indirizzi IP dell'endpoint Private Service Connect consumer.

Cosa creerai

In questo codelab, creerai un'architettura Private Service Connect completa che illustra l'utilizzo del DNS automatico, come mostrato nella Figura 1.

Il DNS automatico è reso possibile da quanto segue:

1. Il collegamento di servizio producer genera DNS automatici fornendo un dominio pubblico di proprietà con il flag "– domain-names" durante la creazione del collegamento di servizio Private Service Connect.
2. Il consumatore definisce un nome dell'endpoint.
3. Il DNS automatico crea una zona DNS goog-psc-default-us-central1 e un nome DNS cosmopup.net, oltre a una voce di Service Directory costituita dal nome dell'endpoint consumer.

Il vantaggio del DNS automatico è illustrato in (4), dove un utente finale può comunicare con l'endpoint consumer tramite DNS, FQDN stargazer.cosmopup.net.

Figura 1

Cosa imparerai a fare

• Come creare un bilanciatore del carico HTTP(S) interno
• Come creare un collegamento al servizio con DNS automatico
• Come stabilire un servizio producer Private Service Connect
• Come accedere a un endpoint consumer utilizzando il DNS automatico

Che cosa ti serve

• Progetto Google Cloud
• Un dominio pubblico di tua proprietà

2. Prima di iniziare

Aggiorna il progetto per supportare il codelab

Questo codelab utilizza le variabili $per facilitare l'implementazione della configurazione di gcloud in Cloud Shell.

In Cloud Shell, esegui le seguenti operazioni:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=YOUR-PROJECT-NAME
echo $projectname

3. Configurazione di Producer

Crea il VPC producer

In Cloud Shell, esegui le seguenti operazioni:

gcloud compute networks create producer-vpc --project=$projectname --subnet-mode=custom

Crea le subnet del produttore

In Cloud Shell, esegui le seguenti operazioni:

gcloud compute networks subnets create gce-subnet --project=$projectname --range=172.16.20.0/28 --network=producer-vpc --region=us-central1

In Cloud Shell, esegui le seguenti operazioni:

gcloud compute networks subnets create load-balancer-subnet --project=$projectname --range=172.16.10.0/28 --network=producer-vpc --region=us-central1

Prenota un indirizzo IP per il bilanciatore del carico interno

In Cloud Shell, esegui le seguenti operazioni:

gcloud compute addresses create lb-ip \
    --region=us-central1 \
    --subnet=load-balancer-subnet \
    --purpose=GCE_ENDPOINT

Visualizzare l'indirizzo IP allocato

Utilizza il comando compute addresses describe per visualizzare l'indirizzo IP allocato.

gcloud compute addresses describe lb-ip  --region=us-central1 | grep address:

Crea le subnet proxy regionali

L'allocazione dei proxy avviene a livello di rete VPC, non a livello di bilanciatore del carico. Devi creare una subnet solo proxy in ogni regione di una rete virtuale (VPC) in cui utilizzi bilanciatori del carico basati su Envoy. Se implementi più bilanciatori del carico nella stessa regione e nella stessa rete VPC, questi condividono la stessa subnet solo proxy per il bilanciamento del carico.

1. Un client stabilisce una connessione all'indirizzo IP e alla porta della regola di forwarding del bilanciatore del carico.
2. Ogni proxy è in ascolto sull'indirizzo IP e sulla porta specificati dalla regola di forwarding del bilanciatore del carico corrispondente. Uno dei proxy riceve e termina la connessione di rete del client.
3. Il proxy stabilisce una connessione alla VM di backend appropriata determinata dalla mappa URL e dai servizi di backend del bilanciatore del carico.

Devi creare subnet solo proxy indipendentemente dal fatto che la rete VPC sia in modalità automatica o personalizzata. Una subnet solo proxy deve fornire almeno 64 indirizzi IP. Questo requisito corrisponde a una lunghezza del prefisso pari o inferiore a /26. La dimensione consigliata della subnet è /23 (512 indirizzi solo proxy).

In Cloud Shell, esegui le seguenti operazioni:

gcloud compute networks subnets create proxy-subnet-us-central \
  --purpose=REGIONAL_MANAGED_PROXY \
  --role=ACTIVE \
  --region=us-central1 \
  --network=producer-vpc \
  --range=172.16.0.0/23

Crea le subnet NAT Private Service Connect

Crea una o più subnet dedicate da utilizzare con Private Service Connect. Se utilizzi la console Google Cloud per pubblicare un servizio, puoi creare le subnet durante questa procedura. Crea la subnet nella stessa regione del bilanciatore del carico del servizio. Non puoi convertire una subnet normale in una subnet Private Service Connect.

In Cloud Shell, esegui le seguenti operazioni:

gcloud compute networks subnets create psc-nat-subnet \
    --project $projectname \
    --network producer-vpc \
    --region us-central1 \
    --range 100.100.10.0/24 \
    --purpose PRIVATE_SERVICE_CONNECT

Crea le regole firewall del produttore

Configura le regole firewall per consentire il traffico tra la subnet NAT Private Service Connect e la subnet solo proxy ILB.

In Cloud Shell, esegui le seguenti operazioni:

gcloud compute --project=$projectname firewall-rules create allow-to-ingress-nat-subnet --direction=INGRESS --priority=1000 --network=producer-vpc --action=ALLOW --rules=all --source-ranges=100.100.10.0/24

In Cloud Shell, crea la regola firewall fw-allow-health-check per consentire ai controlli di integrità di Google Cloud di raggiungere il servizio di produzione (servizio di backend) sulla porta TCP 80.

gcloud compute firewall-rules create fw-allow-health-check \
    --network=producer-vpc \
    --action=allow \
    --direction=ingress \
    --source-ranges=130.211.0.0/22,35.191.0.0/16 \
    --rules=tcp:80

Crea una regola firewall di autorizzazione in entrata per la subnet solo proxy per consentire al bilanciatore del carico di comunicare con le istanze di backend sulla porta TCP 80.

gcloud compute firewall-rules create fw-allow-proxy-only-subnet \
    --network=producer-vpc \
    --action=allow \
    --direction=ingress \
    --source-ranges=172.16.0.0/23 \
    --rules=tcp:80

Configurazione di router Cloud e NAT

Cloud NAT viene utilizzato nel codelab per l'installazione del pacchetto software poiché l'istanza VM non ha un indirizzo IP esterno.

In Cloud Shell, crea il router Cloud.

gcloud compute routers create cloud-router-for-nat --network producer-vpc --region us-central1

In Cloud Shell, crea il gateway NAT.

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

Configurazione del gruppo di istanze

Nella sezione seguente, creerai l'istanza Compute Engine e il gruppo di istanze non gestite. Nei passaggi successivi, il gruppo di istanze verrà utilizzato come servizio di backend del bilanciatore del carico.

In Cloud Shell, crea il controllo di integrità a livello di regione passato al servizio di produzione.

gcloud compute instances create app-server-1 \
    --project=$projectname \
    --machine-type=e2-micro \
    --image-family debian-10 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=gce-subnet \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to App-Server-1 !!' | tee /var/www/html/index.html
      EOF"

In Cloud Shell, crea il gruppo di istanze non gestite.

gcloud compute instance-groups unmanaged create psc-instance-group --zone=us-central1-a

gcloud compute instance-groups unmanaged set-named-ports psc-instance-group --project=$projectname --zone=us-central1-a --named-ports=http:80

gcloud compute instance-groups unmanaged add-instances psc-instance-group --zone=us-central1-a --instances=app-server-1

Configura il bilanciatore del carico

Nei passaggi seguenti configurerai il bilanciatore del carico HTTP interno che verrà pubblicato come collegamento a un servizio in un passaggio successivo.

In Cloud Shell, crea il controllo di integrità a livello di regione.

gcloud compute health-checks create http http-health-check \
    --region=us-central1 \
    --use-serving-port

In Cloud Shell, crea il servizio di backend.

 gcloud compute backend-services create l7-ilb-backend-service \
      --load-balancing-scheme=INTERNAL_MANAGED \
      --protocol=HTTP \
      --health-checks=http-health-check \
      --health-checks-region=us-central1 \
      --region=us-central1

In Cloud Shell, aggiungi i backend al servizio di backend.

gcloud compute backend-services add-backend l7-ilb-backend-service \
  --balancing-mode=UTILIZATION \
  --instance-group=psc-instance-group \
  --instance-group-zone=us-central1-a \
  --region=us-central1

In Cloud Shell, crea la mappa URL per instradare le richieste in entrata al servizio di backend.

gcloud compute url-maps create l7-ilb-map \
    --default-service l7-ilb-backend-service \
    --region=us-central1

Crea il proxy HTTP di destinazione.

gcloud compute target-http-proxies create l7-ilb-proxy\
    --url-map=l7-ilb-map \
    --url-map-region=us-central1 \
    --region=us-central1

Crea una regola di forwarding per indirizzare le richieste in entrata al proxy. Non utilizzare la subnet solo proxy per creare la regola di forwarding.

 gcloud compute forwarding-rules create l7-ilb-forwarding-rule \
      --load-balancing-scheme=INTERNAL_MANAGED \
      --network=producer-vpc \
      --subnet=load-balancer-subnet \
      --address=lb-ip \
      --ports=80 \
      --region=us-central1 \
      --target-http-proxy=l7-ilb-proxy \
      --target-http-proxy-region=us-central1

4. Convalida il bilanciatore del carico

Nella console Cloud, vai a Servizi di rete → Bilanciamento del carico → Bilanciatori del carico. Prendi nota del controllo di integrità riuscito per il servizio di backend

Se selezioni 'l7-ilb-map', viene visualizzato l'indirizzo IP frontend, che deve corrispondere all'indirizzo IP che hai estratto in un passaggio precedente e identifica il servizio di backend.

5. Crea il collegamento del servizio Private Service Connect

Crea il collegamento al servizio

In Cloud Shell, crea l'allegato del servizio. Assicurati di aggiungere il punto alla fine del nome di dominio.

gcloud compute service-attachments create published-service --region=us-central1 --producer-forwarding-rule=l7-ilb-forwarding-rule --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=psc-nat-subnet --domain-names=cosmopup.net.

(Facoltativo) Se utilizzi un VPC condiviso, crea il collegamento del servizio nel progetto di servizio.

gcloud compute service-attachments create published-service --region=us-central1 --producer-forwarding-rule=l7-ilb-forwarding-rule --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=projects/<hostproject>/regions/us-central1/subnetworks/psc-nat-subnet --domain-names=cosmopup.net.

Vai a Servizi di rete → Private Service Connect per visualizzare il collegamento del servizio appena stabilito.

Se selezioni published-service, vengono visualizzati maggiori dettagli, tra cui l'URI del collegamento al servizio utilizzato dal consumer per stabilire una connessione Private Service Connect e il nome di dominio.

Dettagli del collegamento servizio:

projects/<project name>/regions/us-central1/serviceAttachments/published-service

6. Configurazione consumatore

Abilita le API consumer

In Cloud Shell, esegui le seguenti operazioni:

gcloud services enable dns.googleapis.com
gcloud services enable servicedirectory.googleapis.com

Crea la rete VPC consumer

In Cloud Shell, esegui le seguenti operazioni:

gcloud compute networks create consumer-vpc --project=$projectname --subnet-mode=custom

Crea le subnet consumer

In Cloud Shell, crea la subnet per l'istanza di test.

gcloud compute networks subnets create db1-subnet --project=$projectname --range=10.20.0.0/28 --network=consumer-vpc --region=us-central1

In Cloud Shell, crea una subnet per l'endpoint consumer.

gcloud compute networks subnets create consumer-ep-subnet --project=$projectname --range=10.10.0.0/28 --network=consumer-vpc --region=us-central1

Crea l'endpoint consumer (regola di forwarding)

In Cloud Shell, crea l'indirizzo IP statico che verrà utilizzato per l'endpoint consumer.

gcloud compute addresses create psc-consumer-ip-1 --region=us-central1 --subnet=consumer-ep-subnet --addresses 10.10.0.10

Utilizziamo l'URI del collegamento al servizio generato in precedenza per creare l'endpoint consumer.

In Cloud Shell, crea l'endpoint consumer.

gcloud compute forwarding-rules create stargazer --region=us-central1 --network=consumer-vpc --address=psc-consumer-ip-1 --target-service-attachment=projects/$projectname/regions/us-central1/serviceAttachments/published-service

7. Convalida la connessione nella rete VPC del consumer

Dalla rete VPC consumer, verifica che la connessione Private Service Connect sia riuscita andando a Servizi di rete → Private Service Connect → Endpoint connessi. Prendi nota della connessione stargazer stabilita e dell'indirizzo IP corrispondente che abbiamo creato in precedenza.

Quando selezioni psc-consumer-1, vengono forniti i dettagli, incluso l'URI del collegamento al servizio

8. Convalida la connessione nella rete VPC del producer

Dalla rete VPC del producer, verifica che la connessione Private Service Connect sia riuscita andando a Servizi di rete → Private Service Connect → Servizio pubblicato. Tieni presente che la connessione del servizio pubblicato ora indica una regola di forwarding (endpoint di connessione).

9. Convalida la configurazione DNS automatica

Valutiamo la configurazione di DNS e Service Directory.

Configurazione di Cloud DNS

Vai a Servizi di rete → Cloud DNS → Zone. La zona goog-psc-default-us-central & il nome DNS cosmopup.net. vengono generati automaticamente.

Visualizzare la configurazione di DNS e Service Directory

Selezionando il nome della zona, possiamo vedere come Service Directory è integrato con Cloud DNS.

Configurazione di Service Directory

Vai a Servizi di rete → Directory dei servizi

Vuoi richiamare il nome dell'endpoint consumer "stargazer"? Viene programmato automaticamente in Service Directory, consentendoci di raggiungere l'endpoint consumer utilizzando il nome di dominio completo stargazer.goog-psc-default–us-central1

10. Convalidare l'accesso dei consumatori al servizio dei produttori

Dalla rete VPC del consumer, creeremo una VM per testare la connettività del servizio pubblicato accedendo all'endpoint consumer stargazer.cosmopup.net

In Cloud Shell, crea l'istanza di test nel VPC consumer.

gcloud compute instances create db1 \
    --zone=us-central1-a \
    --image-family=debian-10 \
    --image-project=debian-cloud \
    --subnet=db1-subnet \
    --no-address

Per consentire a IAP di connettersi alle tue istanze VM, crea una regola firewall che:

• Si applichi a tutte le istanze VM a cui vuoi accedere tramite IAP.
• Consente il traffico in entrata dall'intervallo IP 35.235.240.0/20. Questo intervallo contiene tutti gli indirizzi IP che utilizzati da IAP per l'inoltro TCP.

In Cloud Shell, crea la regola firewall IAP.

gcloud compute firewall-rules create ssh-iap-consumer \
    --network consumer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

Accedi a consumer-vm utilizzando IAP in Cloud Shell per convalidare la connettività al servizio producer eseguendo un comando curl. Riprova se si verifica un timeout.

gcloud compute ssh db1 --project=$projectname --zone=us-central1-a --tunnel-through-iap

Esegui un comando curl per convalidare la connettività al servizio producer. Una volta convalidata, esci dalla VM e torna al prompt di Cloud Shell.

In Cloud Shell esegui un comando curl sul tuo dominio personalizzato, ad esempio stargazer.[custom-domain.com]. Nell'output riportato di seguito, viene eseguito un comando curl su stargazer.cosmopup.net

user@db1:~$ curl -v stargazer.cosmopup.net
*   Trying 10.10.0.10...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x55d3aa8190f0)
* Connected to stargazer.cosmopup.net (10.10.0.10) port 80 (#0)
> GET / HTTP/1.1
> Host: stargazer.cosmopup.net
> User-Agent: curl/7.64.0
> Accept: */*
> 
< HTTP/1.1 200 OK
< date: Thu, 22 Dec 2022 00:16:25 GMT
< server: Apache/2.4.38 (Debian)
< last-modified: Wed, 21 Dec 2022 20:26:32 GMT
< etag: "1b-5f05c5e43a083"
< accept-ranges: bytes
< content-length: 27
< content-type: text/html
< via: 1.1 google
< 
Welcome to App-Server-1 !!

Esci dalla VM e torna al prompt di Cloud Shell per avviare le attività di pulizia.

11. Esegui la pulizia

Da Cloud Shell, elimina i componenti del codelab.

gcloud compute forwarding-rules delete stargazer --region=us-central1 --quiet

gcloud compute instances delete db1 --zone=us-central1-a --quiet 

gcloud compute addresses delete psc-consumer-ip-1 --region=us-central1 --quiet 

gcloud compute networks subnets delete consumer-ep-subnet db1-subnet --region=us-central1 --quiet 

gcloud compute firewall-rules delete ssh-iap-consumer --quiet 

gcloud compute networks delete consumer-vpc --quiet 

gcloud compute service-attachments delete published-service --region=us-central1 --quiet 

gcloud compute forwarding-rules delete l7-ilb-forwarding-rule --region=us-central1 --quiet 

gcloud compute target-http-proxies delete l7-ilb-proxy --region=us-central1 --quiet 
 
gcloud compute url-maps delete l7-ilb-map --region=us-central1 --quiet 
 
gcloud compute backend-services delete l7-ilb-backend-service --region=us-central1 --quiet
 
gcloud compute instance-groups unmanaged delete psc-instance-group --zone=us-central1-a --quiet
 
gcloud compute instances delete app-server-1 --zone=us-central1-a --quiet 
 
gcloud compute firewall-rules delete allow-to-ingress-nat-subnet fw-allow-health-check fw-allow-proxy-only-subnet --quiet 
 
gcloud compute addresses delete lb-ip --region=us-central1 --quiet 
 
gcloud compute networks subnets delete gce-subnet load-balancer-subnet psc-nat-subnet proxy-subnet-us-central --region=us-central1 --quiet 
 
gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet 
 
gcloud compute networks delete producer-vpc --quiet 

12. Complimenti

Congratulazioni, hai configurato e convalidato correttamente un endpoint Private Service Connect con configurazione automatica dei DNS.

Hai creato l'infrastruttura del produttore e hai aggiunto un collegamento del servizio con la registrazione del dominio pubblico. Hai imparato a creare un endpoint consumer nella rete VPC consumer che consentiva la connettività al servizio on-premise utilizzando il DNS generato automaticamente.

Cosmopup pensa che i codelab siano fantastici.

Passaggi successivi

Dai un'occhiata ad alcuni di questi codelab...

• Utilizzo di Private Service Connect per pubblicare e consumare servizi con GKE
• Utilizzo di Private Service Connect per pubblicare e utilizzare servizi
• Connettiti ai servizi on-prem tramite networking ibrido utilizzando Private Service Connect e un bilanciatore del carico proxy TCP interno

Ulteriori letture e video

• Panoramica di Private Service Connect
• Che cos'è Private Service Connect?
• Tipi di bilanciatori del carico supportati

Documentazione di riferimento

• Panoramica del bilanciatore del carico HTTP(S) interno
• Panoramica dei controlli di integrità
• Come pubblicare un servizio utilizzando Private Service Connect
• Private Service Connect - DNS automatico