하고 싶은 일

1. 자체 서비스에서 IP 제한이 있는 외부 API에 연결하고 싶습니다.

2. 자서비스는 GAE로 움직이고 있어 접속원 IP를 고정할 수 없기 때문에, GCE를 중계 서버 + Cloud NAT로 출구의 IP를 고정

3. 자서비스(GAE)→중계 서버(GCE)는 서브 도메인을 준비해, SSL 접속하고 싶다

간단하게 그림으로 하면・・・

※「internet」의 전단에는 자서비스(GAE)가 있습니다

GCE 인스턴스 그룹 설정

먼저 인스턴스 템플릿을 만들고 템플릿을 기반으로 인스턴스 그룹을 생성합니다.
인스턴스 그룹을 만들 때 자동 스케일링/비활성화 또는 인스턴스 수(스케일하지 않는 경우에만)를 선택합니다.
배포 시 다운타임을 발생시키지 않으려면 롤링 업데이트를 수행합니다.
롤링 갱신할 때, [리전의 수 > 인스턴스수]로 해 두지 않으면, 동시에 전부 갱신됩니다.
(1개 영역에 대해 둘 이상의 인스턴스가 있는 영역이 하나 이상 필요합니까?)

Cloud Load Balancing 설정

이번에는 HTTP(S) 부하 분산을 작성하겠습니다.




백엔드 설정

새로 백엔드 서비스를 만듭니다.
방금 만든 GCE 인스턴스 그룹을 선택합니다.
이번에는 API가 8080에서 시작되었으므로 포트는 8080으로 설정했습니다.
백엔드 서비스를 만들 때 새로운 상태 확인을 만듭니다. 마찬가지로 포트는 8080이었습니다.


호스트 및 경로 규칙

이번에는 기본값으로 두었습니다.

프런트 엔드 설정

IP를 고정하는 경우 외부 IP 주소를 열고 IP 주소를 확보한 다음 프런트 엔드에 할당합니다.

(IP 고정하지 않는 경우 임페리얼을 선택합니다.)

HTTPS 프로토콜을 사용하려면 기존 인증서를 업로드하거나 SSL 인증서를 새로 만듭니다.


이번에는 방금 확보한 고정 IP 주소에 대해 도메인을 연결하고 있으므로, 그 정보로 증명서를 신규 작성합니다.


완료 버튼을 눌러 잠시 기다립니다.

로드 밸런서의 세부 정보를 열고 백엔드의 "n/n개의 인스턴스가 정상입니다"라고 표시되면 성공입니다.

방화벽 설정

※로드 밸런서에서 각 인스턴스로의 헬스 체크시, 헬스 체크의 소스 원 IP 주소를 허가하지 않으면 안됩니다.
IP 범위는 공식 문서에 설명되어 있습니다.
h tps : // c ぉ d. 오, ぇ. 코 m/코 m 뿌테/도 cs/ぉ아 d바센신 g/헤아 lth-치ぇ cks? hl = 그럼

Cloud NAT 설정

인스턴스 그룹이 외부로 나갈 때 IP 주소 = NAT의 IP 주소가 되도록 설정합니다.
Cloud Router 선택에서,
· VPC 네트워크 (이번에는 default)
· 지역 (임의 지역)
・Cloud Router
를 입력하여 작성을 완료합니다.



Cloud Router는 이름을 결정하고 작성하기만 하면 됩니다.


확보하고 있는 IP 주소를 NAT의 IP 주소로 설정해 줍니다.