IBM Cloud Docs
跨多個位置和區域部署隔離工作負載

跨多個位置和區域部署隔離工作負載

本指導教學可能會產生成本。 使用 成本估算器 根據您的預計使用情況產生成本估算。

本指導教學將逐步引導您透過佈建 IBM Cloud® Virtual Private Clouds (VPC) 來設定高可用性及隔離工作量。 您將在一個地區內的多個區域中建立虛擬伺服器實例 (VSI),以確保應用程式的高可用性。 您將在第二個地區中建立其他 VSI,並配置廣域負載平衡器 (GLB) 以在地區之間提供高可用性,並減少不同地理位置中使用者的網路延遲。

您將從型錄供應 IBM Cloud Internet Services (CIS) 服務作為 GLB,並從型錄供應 IBM Cloud Secrets Manager 服務,以管理所有 HTTP 送入要求的傳輸層安全 (TLS) 憑證。

目標

  • 透過虛擬專用雲端可用的基礎架構物件瞭解工作負載隔離。
  • 在一個地區的不同區域之間使用負載平衡器在虛擬伺服器之間配送資料流量。
  • 在地區之間使用廣域負載平衡器,以實作高可用性,提高備援能力並縮短延遲。

架構
教學的架構圖

  1. 管理 (DevOps) 在地區 1 中的 VPC 內兩個不同區域下的子網路中佈建 VSI,並在地區 2 中建立的 VPC 內重複相同的作業。
  2. 管理員建立一個負載平衡器,其中包含區域 1 不同區域中的伺服器後端池和前端偵聽器。 在地區 2 中重複相同的作業。
  3. 管理利用關聯的自訂網域佈建 IBM Cloud Internet Services 服務,並建立一個指向在兩個不同 VPC 中建立的負載平衡器的廣域負載平衡器。
  4. 管理員透過將網域 SSL 憑證新增至Secrets Manager服務來啟用 HTTPS 加密。
  5. 使用者發出 HTTP/HTTPS 請求,全域負載平衡器處理該請求。
  6. 請求被路由到全域和本地層級的負載平衡器。 然後,由可用的伺服器實例履行此要求。

開始之前

  • 檢查使用者許可權。 您的使用者帳戶務必要有足夠的許可權以便建立及管理 VPC 資源。 請參閱 VPC 的 必要許可權 清單。
  • 您需要 SSH 金鑰才能連接至虛擬伺服器。 如果您沒有 SSH 金鑰,請參閱為 VPC 建立金鑰的 說明

建立虛擬專用雲端、子網路及虛擬伺服器實例

在本部分中,您將在區域 1 中建立自己的 VPC,並在區域 1 的兩個不同可用區中建立子網,然後設定 VSI。

建立 virtual private cloud

  1. 導覽至 虛擬專用雲端 頁面,然後按一下 建立
  2. 位置 區段下,選取 地理位置地區,例如 EuropeLondon
  3. 輸入 vpc-region1 作為 VPC 名稱,選取 資源群組,然後選擇性地新增 標籤 以組織資源。
  4. 取消選取 「允許 SSH」「允許來自預設安全群組的ping」。 SSH 存取稍後將新增至維護安全群組。 維護安全群組會新增至實例,以容許從防禦伺服器進行 SSH 存取。 本指導教學不需要連線測試存取權。
  5. 維持不勾選 啟用標準資源的存取權,並勾選 為每一個區域建立預設字首
  6. 子網路 下,變更區域 1 子網路的名稱。 按一下鉛筆圖示:
    • 輸入 vpc-region1-zone1-subnet 作為子網路的唯一名稱。
    • 選取與 VPC 資源群組相同的 資源群組
    • 保留其他值中的預設值。
    • 按一下儲存
  7. 子網路 下變更區域 2 子網路的名稱。 按一下鉛筆圖示:
    • 輸入 vpc-region1-zone2-subnet 作為子網路的唯一名稱。
    • 選取與 VPC 資源群組相同的 資源群組
    • 保留其他值中的預設值。
    • 按一下儲存
  8. 子網路 下,刪除區域 3 中的子網路。 按一下減號圖示。
  9. 按一下建立 Virtual Private Cloud 來佈建實例。

建立安全群組以容許入埠資料流量流至應用程式

透過在安全群組中定義規則,對應用程式啟用 HTTP (80) 及 HTTP (443) 埠的入埠規則。 在後續步驟中,您將新增 VSI 至安全群組。

  1. 導覽至「安全群組」頁面,然後按一下 建立

  2. 輸入 vpc-region1-sg 作為名稱,選取與 VPC 資源群組相同的 資源群組

  3. 選取先前建立的 vpc-region1 虛擬專用雲端。

  4. 新增下表中找到的相同 入埠規則,然後按一下 建立安全群組

    入埠規則
    通訊協定 來源類型 來源
    TCP 全部 0.0.0.0/0 埠 80-80
    TCP 全部 0.0.0.0/0 埠 443-443

佈建虛擬伺服器實例

  1. 導覽至 子網路 頁面。
  2. 驗證所有子網路的狀態是否為 可用
  3. 按一下 vpc-region1-zone1-subnet,後面接著 連接的資源,然後在 連接的實例 下按一下 建立
    1. 輸入 vpc-region1-zone1-vsi 作為虛擬伺服器的唯一名稱。
    2. 驗證或設定 虛擬專用雲端資源群組位置區域 欄位。
  4. 影像及設定檔 區段下,按一下 變更影像
  5. 搜尋項目 欄位中,輸入 Ubuntu,並挑選影像的任何版本,然後按一下 儲存
  6. 設定檔 區段下,按一下 變更設定檔
  7. 挑選 計算 並以 2 vCPUs4 GB RAM 作為您的設定檔,然後按一下 儲存
  8. SSH 金鑰設定為您先前建立的 SSH 金鑰。
  9. 具有虛擬網路介面的網路連接下,按一下 eth0 介面列上的鉛筆圖示。
    • 按一下 “下一步”
    • 勾選 vpc-region1-sg 並取消勾選 VPC 預設 安全群組。
    • 下一步 幾次,然後按一下 儲存
  10. 按一下建立虛擬伺服器
  11. 重複上述步驟,以在 vpc-region1-zone2-subnet 子網路中佈建 vpc-region1-zone2-vsi 虛擬伺服器。

在另一個位置建立資源

從步驟 1 重複上述步驟,以在另一個地區 (例如 法蘭克福) 中佈建新的 VPC,其中包含子網路和虛擬伺服器實例。 將 region2 替換為 region1 時,請遵循與上述相同的命名慣例。

在虛擬伺服器實例上安裝及配置 Web 伺服器

請遵循 使用防禦主機安全存取遠端實例 中提及的步驟,以安全維護伺服器。 使用防禦主機作為先前佈建的 VSI 的 jump 伺服器及維護安全群組。 每一個 VPC 都需要一個防禦主機。

一旦您成功透過 SSH 連線到區域 1區域 1 的子網路中設定的伺服器,

  1. 在提示下,執行下列命令將Nginx安裝為您的 Web 伺服器
    sudo apt-get update
sudo apt-get install nginx
  2. 使用下面的指令檢查 Nginx 服務的狀態:
    sudo systemctl status nginx
    輸出應顯示 Nginx 服務處於作用中狀態並且正在執行。
  3. (可選)驗證Nginx是否如預期工作。curl localhost。 您應該會看到預設 Nginx 歡迎使用頁面。
  4. 若要使用地區和區域詳細資料更新 html 頁面,請執行下面的指令:
    nano /var/www/html/index.nginx-debian.html
    將地區及區域附加至 h1 標籤引號 Welcome to nginx!,以立即讀取 Welcome to nginx! server running in **zone 1 of region 1** 並儲存變更。
  5. 執行 curl localhost 指令來驗證變更。
  6. 重複上述步驟,在所有區域子網路中的 VSI 上安裝和設定 Web 伺服器,並且不要忘記更新 html 以包含相應的區域和區域資訊。

使用負載平衡器在區域之間分散資料流量

在此區段中,您將建立兩個負載平衡器。 每個地區一個負載平衡器,以在不同區域內個別子網路下的多個伺服器實例之間分散資料流量。

建立安全群組以容許透過負載平衡器的入埠及出埠資料流量

若要容許資料流量傳送至應用程式,您需要啟用 HTTP (80) 及 HTTP (443) 埠的入埠及出埠規則。 在後續步驟中,建立負載平衡器時,您會將它們新增至定義這些規則的安全性群組。

  1. 導覽至「安全群組」頁面,然後按一下 建立

  2. 選取先前建立的 vpc-region1 虛擬專用雲端。

  3. 輸入 vpc-lb-sg 作為名稱,選取與 VPC 資源群組相同的 資源群組

  4. 新增下表中找到的相同 入埠規則

    入埠規則
    通訊協定 來源類型 來源
    TCP 全部 0.0.0.0/0 埠 80-80
    TCP 全部 0.0.0.0/0 埠 443-443

  5. 新增下表中找到的相同 出埠規則,然後按一下 建立安全群組

    出埠規則
    通訊協定 來源類型 來源
    TCP 全部 0.0.0.0/0 埠 80-80
    TCP 全部 0.0.0.0/0 埠 443-443

  6. 區域 2 中重複上述步驟。

配置負載平衡器

  1. 導覽至 負載平衡器 頁面,然後按一下 建立
  2. 選取 應用程式負載平衡器 (ALB) 作為負載平衡器類型。
  3. 位置 區段下,選取先前建立的 vpc-region1 虛擬專用雲端所使用的相同 地理位置地區
  4. 輸入 vpc-lb-region1 作為名稱,選取與 VPC 資源群組相同的 資源群組
  5. 選取先前建立的 vpc-region1 虛擬專用雲端。
  6. 選取 vpc-region1-zone1-subnetvpc-region1-zone2-subnet子網路
  7. 按一下 「建立池」 以建立新的 VSI 後端池,這些 VSI 可作為平等對等方以共用路由到池的流量。 使用以下值設定參數,完成後按一下 「建立」
    • 姓名region1-pool
    • 協定: HTTP
    • 會話黏性None
    • 代理協定Disabled
    • 方法Round robin
    • 健康檢查路徑/
    • 健康協議HTTP
    • 性能埠:保留空白
    • 間隔(秒)15
    • 超時(秒)5
    • 最大重試次數2
    • 按一下建立
  8. 按一下附加伺服器將伺服器實例新增至池中。
    • 子網路 下拉清單中,選取 vpc-region1-zone1-subnetvpc-region1-zone2-subnet
    • 選取您建立的實例,並將 80 設為
    • 按一下連接以完成後端儲存區的建立。
  9. 點選建立監聽,新建一個前端監聽;偵聽器是檢查連線請求的進程。
    • 後端池region1-pool
    • 協定: HTTP
    • Proxy 通訊協定: 未勾選
    • 港口80
    • 最大連線數:將其留空並按一下 「建立」
  10. 安全群組 下勾選 vpc-lb-sg,並取消勾選預設安全群組。
  11. 一下建立負載平衡器以配置負載平衡器。
  12. 地區 2 中重複上述步驟,這次將負載平衡器命名為 vpc-lb-region2 及後端儲存區 region2-pool

測試負載平衡器

  1. 等待負載平衡器狀態變更為作用中
  2. 在 Web 瀏覽器中,開啟主機名稱
  3. 多次重新整理頁面,並在每次重新整理時注意到負載平衡器從不同區域或虛擬伺服器實例傳回結果。
  4. 保存地址以供日後參考。

您可能已注意到要求未加密且僅支援 HTTP。 在下一區段中,您將配置 SSL 憑證和啟用 HTTPS。

配置多位置負載平衡

您的應用程式現在在兩個區域中運行,但缺少一個元件供用戶從單一入口點透明地存取它。

在此區段中,您將配置 IBM Cloud Internet Services (CIS),以在兩個地區之間配送負載。CIS 提供 廣域負載平衡器 (GLB)快取Web 應用程式防火牆 (WAF)頁面規則,以保護應用程式安全,同時確保雲端應用程式的可靠性及效能。

若要配置廣域負載平衡器,您將需要:

  • 將自訂網域指向 CIS 名稱伺服器,
  • 以擷取 VPC 負載平衡器的 IP 位址或主機名稱,
  • 配置性能檢查,以驗證應用程式的可用性,
  • 以及定義指向 VPC 負載平衡器的原始儲存區。

將自訂網域新增至 IBM Cloud Internet Services

第一步是建立 CIS 實例,並將自訂網域指向 CIS 名稱伺服器。

  1. 如果您沒有域名,可以從註冊商購買一個。

  2. 導覽至 IBM Cloud 型錄中的 IBM Cloud Internet Services

  3. 挑選方案,設定服務名稱及資源群組,然後按一下 建立 以建立服務實例。

  4. 佈建服務實例時,請按一下 新增網域

  5. 輸入網域名稱,然後按 下一步

  6. 設定 DNS 記錄是可選步驟,在本教學中可以跳過。按一下 “下一步”

  7. 指派名稱伺服器時,請配置註冊商或網域名稱提供者以便使用列出的名稱伺服器。

  8. 此時您可以按一下 取消 以回到主頁面,在您配置登記員或 DNS 提供者之後,可能需要長達 24 小時才能讓變更生效。

    當「Overview」頁面上的網域狀態從_Pending_變成_Active_時,您可以使用 dig <your_domain_name> ns 指令來驗證新的網域伺服器是否已生效。

為廣域負載平衡器配置性能檢查

性能檢查有助於深入瞭解儲存區的可用性,以將資料流量遞送至性能良好儲存區。 這些檢查會定期傳送 HTTP/HTTPS 要求,以及監視回應。

  1. 在 IBM Cloud Internet Services 儀表板中,導覽至 可靠性 > 廣域負載平衡器

  2. 選取 性能檢查,然後按一下 建立

  3. 名稱設為 nginx

  4. 針對 監視器類型,選取 HTTP

  5. 設為 80

  6. 路徑設定為 /

  7. 按一下建立

    在建立您自己的應用程式時,您可以定義一個專用的運行狀況端點,例如_/health_,您可以在其中報告應用程式狀態。

定義原始儲存區

儲存區是原始 VSI 或負載平衡器的群組,當資料流量連接至廣域負載平衡器時,會智慧地將資料流量遞送至其中。 使用兩個地區中的 VPC 負載平衡器,您可以定義位置型儲存區並配置 CIS,以根據使用者要求的地理位置將使用者重新導向至最接近的 VPC 負載平衡器。

VPC 負載平衡器的原始儲存區

  1. 選取 原始儲存區,然後按一下 建立
  2. 輸入儲存區的名稱: region-1-pool
  3. 來源名稱設定為 region-1
  4. Origin Address 設定為region1 VPC負載平衡器的主機名,請參閱VPC負載平衡器的概覽頁面
  5. 選取 現有性能檢查,然後選取先前建立的性能檢查。
  6. 選取靠近位置區域 1 的 性能檢查區域
  7. 按一下儲存
  8. 針對區域 2 重複上述步驟。

建立廣域負載平衡器

定義原始儲存區後,可以完成負載平衡器的配置。

  1. 選取 負載平衡器,然後按一下 建立

  2. 保留 啟用: OnProxy: Off 的預設值。

  3. 輸入廣域負載平衡器的名稱 lb,此名稱將是子網域中用來存取應用程式的起始字元。(http://lb.<your_domain_name>)。

  4. 按一下 新增路徑

  5. 選擇區域Default

  6. 選取您剛建立的原始儲存區,即 region-1-poolregion-2-pool

  7. 按一下新增

  8. 展開 地理路線的區段,您可以根據原始地區來配送資料流量。

    如果需要的話,您可以根據地理位置新增更多路徑,並將資料流量導向至最接近的儲存區。 按一下 新增路徑,選取廣域負載平衡器地區 (例如 西歐 ),並選取所需的儲存區 (例如 region-2-pool ),然後按一下 新增。 要求不符合任何已定義的路徑,它將重新導向至 預設原始儲存區,而您所定義廣域負載平衡器區域中的使用者將導向至最接近的負載平衡器/VSI。

  9. 按一下建立

使用 HTTPS 保護

HTTP 加密需要可從 CIS 廣域負載平衡器及 VPC 負載平衡器存取已簽章的憑證。 IBM Cloud Secrets Manager 將用來訂購或匯入,然後管理網域的憑證。 然後會配置 Identity and Access Management (IAM) 服務授權,以容許對所需服務中的憑證進行讀取存取。

建立並授權 Secrets Manager 實例

  1. 如果您具有現有的 Secrets Manager 實例,則可以在本指導教學中使用它,或視需要遵循 建立 Secrets Manager 服務實例 中概述的步驟來建立新的實例。

  2. 建立授權,為 VPC 負載平衡器服務提供包含 SSL 憑證的Secrets Manager實例的存取權。

    • 導覽至 Identity and Access Authorizations
    • 按一下 建立,然後選取 VPC 基礎架構服務 作為來源服務。
    • 選取 特定資源資源類型,然後選取 Load Balancer for VPC
    • Secrets Manager 作為 目標服務
    • 指派 Writer 服務存取角色。
    • 目標服務實例可以是 所有資源,也可以是您的特定 Secrets Manager 實例 (如果需要的話)。 目前選取的 所有資源
    • 按一下 授權

  3. 繼續在「管理授權」頁面中建立授權,讓 Secrets Manager 存取 CIS:

    • 按一下建立並選擇 Secrets Manager 作為來源服務。
    • 選擇 所有資源,或只選擇先前建立的 Secrets Manager。
    • Internet Services 作為目標服務。
    • 選擇 所有資源,或只選擇先前建立的 CIS。
    • 指派管理員服務存取角色。
    • 按一下 授權

    如果 CIS 實例支援多個網域,您也可以將 讀者 角色指派給 CIS 實例,並將 管理員 指派給您用於解決方案的特定網域。 請參閱 授與特定網域的服務存取權 主題。

IBM CIS 支援針對廣域負載平衡器進行 Proxy 處理。 當負載平衡器進行 Proxy 處理時,表示其資料流量會直接透過 CIS執行。 負載平衡器同時支援 DNS 專用和 HTTP Proxy 模式,請考量下面兩個替代方案中的哪一個最符合您的使用案例,然後再繼續進行,因為資料流量遞送行為不同,如下所示:

  • 替代方案 1: 透過 CIS進行 Proxy 處理的資料流量。
  • 替代方案 2: 非 Proxy (僅限 DNS 模式) 的資料流量直接從用戶端流向原點。 在僅限 DNS 模式中,不會套用任何 CIS 安全、效能及可靠性特性。

車流
車流

如需相關資訊,請閱讀 Proxying DNS 記錄和廣域負載平衡器 主題。

替代方案 1: Proxy,資料流量流經 CIS

第一個替代方案為自訂網域建立通配符證書,然後在IBM Cloud Internet Services ( CIS ) 中代理它,讓您能夠利用業界領先的安全性、保護和性能能力。 在下列步驟中,將 example.com 取代為您的自訂網域名稱。

目前使用 Let 's Encrypt 訂購憑證,您可以遵循 支援的憑證管理中心 主題進行更新。 使用 Let 's Encrypt 需要 ACME 帳戶。 請遵循 連接協力廠商憑證管理中心 主題中概述的步驟來建立或登錄您的帳戶。 此外,您還需要遵循 連接 DNS 提供者 主題中的步驟來新增 DNS 提供者。 對於本指導教學,您必須新增 CIS 作為 DNS 提供者。

最初僅將使用者配置為 Secrets Manager。

  1. 在 Secrets Manager 中訂購憑證
    • 開啟 Secrets Manager 服務,並選取左側的 密鑰
    • 按一下新增
    • 如果您使用新的 Secrets Manager 實例,則在訂購憑證之前需要先配置它。 遵循 準備訂購公用憑證 下概述的步驟。
    • 按一下 公用憑證,然後按 下一步
    • 請完成下列表單:
      • 名稱-輸入您可以記住的名稱。
      • 說明-輸入您選擇的說明。
      • 按一下 “下一步”
      • 憑證管理中心 下,選取已配置的 Let 's Encrypt 憑證管理中心引擎。
      • 金鑰演算法下,挑選您偏好的演算法,
      • 組合憑證-離開
      • 自動憑證旋轉-離開
      • DNS 提供者 下,選取已配置的 DNS 提供者實例
      • 按一下 選取網域 勾選 使用萬用字元選取,並保持不勾選網域本身,然後按一下 完成
    • 下一步
    • 檢閱您的選擇,然後按一下 新增
    • 您不需要等待啟動完成,即可執行下一步,但在驗證成功之前,您需要等待它完成。
  2. 配置從用戶端 Web 瀏覽器到 CIS 端點的 HTTP。 在 CIS 中,配置 TLS 安全:
    • 開啟安全畫面,然後選擇 TLS
    • 針對模式,選擇用戶端到邊緣。 這將終止全域負載平衡器上的 HTTPS 連接,並將切換到與 VPC 負載平衡器的 HTTP 連接。
  3. 在CIS中配置全域負載平衡器以使用 TLS:
    • 開啟 “可靠性” 面板並選擇 “全域負載平衡器”
    • 找到先前建立的全域負載平衡器並開啟代理程式。
  4. 在瀏覽器中開啟 https://lb.example.com 以驗證是否成功。

接下來配置從 CIS 到 VPC 負載平衡器的 HTTP。

將 HTTPS 接聽器新增至 VPC 負載平衡器:

  1. 導覽至 VPC, 然後導覽至負載平衡器,然後按一下 vpc-lb-region1

  2. 選擇前端監聽器

  3. 點選建立偵聽器

  4. 選取 預設後端儲存區: region1-poolregion2-pool

  5. 選取 HTTPS,並輸入 443

  6. 選取您先前建立的 Secrets Manager 實例,「SSL 憑證」下拉清單應會顯示您先前從 Let 's Encrypt 中使用 Secrets Manager 實例所訂購的憑證 名稱。 按一下建立

    如果 SSL 憑證下拉清單中沒有 example.com 您可能錯過了上述授予 VPC 負載平衡器存取Secrets Manager服務的授權步驟。 驗證 Secrets Manager 服務是否具有 example.com 的憑證。

  7. 針對 vpc-lb-region2 負載平衡器,重複上述步驟。

建立的通配符憑證將允許存取 vpc-lb-region1 等網域名稱。例.com。 開啟 VPC 負載平衡器 vpc-lb-region1概述選項卡,並注意主機名稱是xxxxxxx-REGION.lb.appdomain.cloud。 萬用字元憑證將無法運作。 透過建立別名然後更新配置來解決該問題。

  1. 可以建立 DNS CNAME 記錄以允許用戶端尋找 vpc-lb-region1。example.com 並解析xxxxxxx-REGION.lb.appdomain.cloud。

    • 在 CIS中,開啟 可靠性 畫面並選擇 DNS
    • 向下捲動至 DNS 記錄並建立一筆記錄,類型為:CNAME,名稱:vpc-lb-region1,TTL:自動,別名網域:VPC 負載平衡器 Hostname
    • vpc-lb-region2 新增 DNS CNAME 記錄。

  2. 現在調整全域負載平衡器以使用新的 CNAME 記錄。

    • 打開可靠性面板並選擇 Global Load Balancers
    • 尋找並編輯來源池以將來源來源****位址變更為 vpc-lb-region1.example.com
    • 針對 vpc-lb-region2.example.com,重複上述步驟。

  3. 開啟端對端安全。

    • 開啟安全畫面,然後選擇 TLS
    • 針對模式,選擇端對端 CA 簽章。 這將在全域負載平衡器上使用 HTTPS 連接,並在 VPC 負載平衡器上使用 HTTPS 連接。

在瀏覽器中開啟 https://lb.example.com 驗證是否成功

替代方案 2: 僅限 DNS 模式,資料流量直接從用戶端流向 VPC 負載平衡器

在此替代方案中,您將從 Let 's Encrypt 到 Secrets Manager 訂購 lb.example.com 的 SSL 憑證,並配置廣域負載平衡器。

目前無法直接為 CIS 廣域負載平衡器訂購憑證,但可以為 CNAME 記錄訂購憑證。 因此,我們將建立 CNAME 來訂購憑證。

  1. 開啟您先前建立的 CIS 服務,您可以在 資源清單 中找到它

  2. 導覽至可靠性下的全域負載平衡器,然後按一下 DNS

  3. 向下捲動至 DNS 記錄區段,並建立新的記錄:

    • 類型:CNAME
    • 名稱:lb
    • TTL: default (Automatic)
    • 別名網域:zzz.example.com
    • 點擊新增記錄

  4. 在 Secrets Manager 中訂購憑證

    • 開啟 Secrets Manager 服務,並選取左側的 密鑰
    • 按一下 新增,然後按一下 公用憑證。 按一下 “下一步”
    • 請完成下列表單:
      • 名稱- lb-alias
      • 說明-輸入您選擇的說明。
      • 按一下 “下一步”
      • 憑證管理中心 下,選取已配置的 Let 's Encrypt 憑證管理中心引擎。
      • 金鑰演算法 下,選取 RSA4096
      • 組合憑證-離開
      • 自動憑證旋轉-離開
      • DNS 提供者 下,選取已配置的 DNS 提供者實例
      • 按一下 選取網域
      • 展開列出的網域以檢視子網域清單,並選取 lb.example.com 旁邊的勾選框,然後按一下 完成
    • 下一步
    • 檢閱您的選擇,然後按一下 新增

建立 HTTPS 接聽器:

  1. 導覽至 VPC負載平衡器頁面。

  2. 選取 vpc-lb-region1

  3. 前端接聽器下,按一下 建立

    • 通訊協定:HTTPS
    • :443
    • 後端儲存區:相同地區中的儲存區
    • 選擇現行地區作為 SSL 地區
    • 選擇您剛剛為 lb.example.com 建立的 SSL 憑證訂單名稱

  4. 一下「儲存」 以設定 HTTPS 偵聽器

區域 2 的負載平衡器中重複上述步驟。

在瀏覽器中開啟https://驗證是否 lb.example.com

失效接手測試

現在,您應該已看到大部分時間您正在存取 region 1 中的伺服器,因為與 region 2 中的伺服器相比,指派給它的加權更高。 讓我們在 區域 1 原始儲存區中建立性能檢查失敗,

  1. 導覽至虛擬伺服器實例的清單。

  2. 按一下在地區 1區域 1 內執行的伺服器旁邊的三個點 (...),並按一下停止

  3. 區域 1區域 2 中運行的伺服器重複相同的操作。

  4. 回到 CIS 服務下的 GLB,並等待性能狀態變更為嚴重

  5. 現在,重新整理網域 URL 時,您應該會一律命中地區 2 中的伺服器。

    不要忘記啟動區域 1 的區域 1 和區域 2 中的伺服器。

移除資源

  • 移除 CIS 服務下的廣域負載平衡器、原始儲存區和性能檢查。
  • 刪除Secrets Manager服務中的憑證。
  • 移除負載平衡器、VSI、子網路和 VPC。
  • 資源清單下,刪除本指導教學中使用的服務。