1. مقدمه
نمای کلی
بسیاری از سازمانها برای ایمن کردن ترافیک شبکه برای سرویسها و برنامههای خود، از شبکه ابر خصوصی مجازی (VCP) در Google Cloud با کنترلهای محیطی برای جلوگیری از نفوذ دادهها استفاده میکنند. شبکه VPC یک نسخه مجازی از یک شبکه فیزیکی است که در داخل شبکه تولید گوگل پیاده سازی شده است. یک شبکه VPC اتصال را برای نمونههای ماشین مجازی موتور محاسباتی (VM) شما فراهم میکند، تعادلدهنده بار داخلی و سیستمهای پراکسی را برای متعادلکنندههای بار داخلی برنامه ارائه میدهد، با استفاده از تونلهای Cloud VPN و پیوستهای VLAN برای Cloud Interconnect، به شبکههای داخلی متصل میشود. و ترافیک را از متعادل کننده های بار خارجی Google Cloud به backend ها توزیع می کند.
بر خلاف ماشین های مجازی، سرویس های Cloud Run به طور پیش فرض با هیچ شبکه VPC خاصی مرتبط نیستند. این آزمایشگاه کد نحوه تغییر تنظیمات ورودی (اتصالات ورودی) را به گونه ای نشان می دهد که فقط ترافیکی که از VPC می آید می تواند به یک سرویس Cloud Run (به عنوان مثال یک سرویس باطن) دسترسی داشته باشد. علاوه بر این، این کد لبه به شما نشان می دهد که چگونه می توانید یک سرویس دوم (به عنوان مثال یک سرویس frontend) به هر دو سرویس Cloud Run از طریق VPC و همچنین دسترسی به اینترنت عمومی ادامه دهید.
در این مثال، سرویس Cloud Run باطن، hello world را برمیگرداند. سرویس فرانتاند Cloud Run یک فیلد ورودی در رابط کاربری برای جمعآوری URL ارائه میکند. سپس سرویس frontend یک درخواست GET به آن URL (مثلاً سرویس Backend) میکند، از این رو این درخواست سرویس به سرویس (به جای درخواست مرورگر به سرویس) میشود. هنگامی که سرویس frontend می تواند با موفقیت به backend برسد، پیام hello world در مرورگر نمایش داده می شود. سپس، خواهید دید که چگونه می توانید با https://curlmyip.org تماس بگیرید تا آدرس IP سرویس frontend خود را بازیابی کنید.
چیزی که یاد خواهید گرفت
- چگونه می توان فقط از VPC به سرویس Cloud Run خود اجازه ترافیک داد
- نحوه پیکربندی egress در یک سرویس Cloud Run (به عنوان مثال frontend) برای برقراری ارتباط با یک سرویس Cloud Run فقط با ورودی داخلی (به عنوان مثال باطن)، در حالی که دسترسی عمومی به اینترنت را برای سرویس Frontend حفظ می کند.
2. راه اندازی و الزامات
پیش نیازها
- شما به کنسول Cloud وارد شده اید.
- شما قبلاً یک تابع نسل دوم را مستقر کرده اید. برای مثال، میتوانید برای شروع، استقرار یک راهاندازی سریع نسل دوم Cloud Function را دنبال کنید.
Cloud Shell را فعال کنید
- از Cloud Console، روی Activate Cloud Shell کلیک کنید
.
اگر این اولین باری است که Cloud Shell را راه اندازی می کنید، با یک صفحه میانی روبرو می شوید که آن را توصیف می کند. اگر با یک صفحه میانی مواجه شدید، روی Continue کلیک کنید.
تهیه و اتصال به Cloud Shell فقط باید چند لحظه طول بکشد.
این ماشین مجازی با تمام ابزارهای توسعه مورد نیاز بارگذاری شده است. این یک فهرست اصلی 5 گیگابایتی دائمی ارائه میکند و در Google Cloud اجرا میشود، که عملکرد و احراز هویت شبکه را بسیار افزایش میدهد. بسیاری از کارهای شما، اگر نه همه، در این کد لبه با مرورگر قابل انجام است.
پس از اتصال به Cloud Shell، باید ببینید که احراز هویت شده اید و پروژه به ID پروژه شما تنظیم شده است.
- برای تایید احراز هویت، دستور زیر را در Cloud Shell اجرا کنید:
gcloud auth list
خروجی فرمان
Credentialed Accounts ACTIVE ACCOUNT * <my_account>@<my_domain.com> To set the active account, run: $ gcloud config set account `ACCOUNT`
- دستور زیر را در Cloud Shell اجرا کنید تا تأیید کنید که دستور gcloud از پروژه شما اطلاع دارد:
gcloud config list project
خروجی فرمان
[core] project = <PROJECT_ID>
اگر اینطور نیست، می توانید آن را با این دستور تنظیم کنید:
gcloud config set project <PROJECT_ID>
خروجی فرمان
Updated property [core/project].
3. خدمات Cloud Run را ایجاد کنید
تنظیم متغیرهای محیطی
می توانید متغیرهای محیطی را تنظیم کنید که در سراسر این کد لبه مورد استفاده قرار می گیرند.
PROJECT_ID=<YOUR_PROJECT_ID> REGION=<YOUR_REGION, e.g. us-central1> FRONTEND=frontend-with-internet BACKEND=backend SUBNET_NAME=default
سرویس Cloud Run را ایجاد کنید
ابتدا یک دایرکتوری برای کد منبع و سی دی در آن دایرکتوری ایجاد کنید.
mkdir -p egress-private-codelab/frontend-w-internet egress-private-codelab/backend && cd egress-private-codelab/backend
سپس، یک فایل «package.json» با محتوای زیر ایجاد کنید:
{ "name": "backend-service", "version": "1.0.0", "description": "", "scripts": { "start": "node index.js" }, "dependencies": { "express": "^4.18.1" } }
سپس یک فایل منبع index.js
با محتوای زیر ایجاد کنید. این فایل حاوی نقطه ورود سرویس و حاوی منطق اصلی برنامه است.
const express = require('express'); const app = express(); app.use(express.urlencoded({ extended: true })); app.get('/', function (req, res) { res.send("hello world"); }); const port = parseInt(process.env.PORT) || 8080; app.listen(port, () => { console.log(`helloworld: listening on port ${port}`); });
در نهایت، سرویس Cloud Run را با اجرای دستور زیر اجرا کنید.
gcloud run deploy $BACKEND --source . --allow-unauthenticated --region $REGION
سرویس Cloud Run frontend ایجاد کنید
به دایرکتوری frontend بروید
cd ../frontend-w-internet
سپس یک فایل package.json
با محتوای زیر ایجاد کنید:
{ "name": "frontend", "version": "1.0.0", "description": "", "scripts": { "start": "node index.js" }, "keywords": [], "author": "", "license": "ISC", "dependencies": { "axios": "^1.6.6", "express": "^4.18.2", "htmx.org": "^1.9.10" } }
سپس یک فایل منبع index.js
با محتوای زیر ایجاد کنید. این فایل حاوی نقطه ورود سرویس و حاوی منطق اصلی برنامه است.
const express = require("express"); const app = express(); const port = 8080; const path = require('path'); const axios = require('axios'); // serve static content (index.html) using // built-in middleware function in Express app.use(express.static('public')); app.use(express.urlencoded({ extended: true })); // this endpoint receives a URL in the post body // and then makes a get request to that URL // results are sent back to the caller app.post('/callService', async (req, res) => { const url = req.body.url; let message = ""; try { console.log("url: ", url); const response = await axios.get(url); message = response.data; } catch (error) { message = error.message; console.error(error.message); } res.send(` ${message} <p> </p> `); }); app.listen(port, () => { console.log(`Example app listening on port ${port}`); });
یک فهرست عمومی برای فایل index.html ایجاد کنید
mkdir public touch public/index.html
و index.html
بهروزرسانی کنید تا حاوی موارد زیر باشد:
<html> <script src="https://unpkg.com/htmx.org@1.9.10" integrity="sha384-D1Kt99CQMDuVetoL1lrYwg5t+9QdHe7NLX/SoJYkXDFfX37iInKRy5xLSi8nO7UC" crossorigin="anonymous" ></script> <body> <div style="margin-top: 100px; margin-left: 100px"> <h1>I'm the Request Tester service on the Internet</h1> <form hx-trigger="submit" hx-post="/callService" hx-target="#zen"> <label for="url"> URL:</label> <input style="width: 308px" type="text" id="url" name="url" placeholder="The backend service URL" required /> <button hx-indicator="#loading" type="submit">Submit</button> <p></p> <span class="htmx-indicator" id="loading"> Loading... </span> <div id="zen" style="white-space: pre-wrap"></div> <p></p> </form> </div> </body> </html>
در نهایت، سرویس Cloud Run را با اجرای دستور زیر اجرا کنید.
gcloud run deploy $FRONTEND --source . --allow-unauthenticated --region $REGION
با سرویس Backend تماس بگیرید
در این بخش، تأیید میکنید که دو سرویس Cloud Run را با موفقیت اجرا کردهاید.
URL سرویس ظاهری را در مرورگر وب خود باز کنید، به عنوان مثال https://frontend-your-hash-uc.a.run.app/
در جعبه متن، URL مربوط به سرویس Backend را وارد کنید. توجه داشته باشید که این درخواست از نمونه Cloud Run جلویی به سرویس Cloud Run باطن ارسال می شود و نه از مرورگر شما.
"سلام دنیا" را خواهید دید
4. سرویس Backend را فقط برای ورود داخلی تنظیم کنید
می توانید دستور gcloud زیر را اجرا کنید تا یک سرویس Cloud Run را در شبکه خصوصی خود بگنجانید.
gcloud run services update $BACKEND --ingress internal --region $REGION
اگر بخواهید از سرویس frontend با سرویس پشتیبان تماس بگیرید، خطای 404 دریافت خواهید کرد. اتصال خروجی سرویس Cloud Run (یا خروج) ابتدا به اینترنت می رود، بنابراین Google Cloud منشأ درخواست را نمی داند.
5. سرویس Frontend را برای دسترسی به VPC پیکربندی کنید
در این بخش، سرویس Cloud Run frontend خود را برای ارتباط با سرویس باطن خود از طریق VPC پیکربندی خواهید کرد.
برای انجام این کار، باید خروج مستقیم VPC را به سرویس Cloud Run frontend خود اضافه کنید تا مطمئن شوید که می تواند به آدرس های IP داخلی در شبکه VPC برسد. سپس، خروجی را طوری پیکربندی میکنید که فقط درخواستهای IP خصوصی به VPC هدایت شوند. این پیکربندی به ظاهر شما امکان می دهد همچنان به اینترنت عمومی دسترسی داشته باشد. میتوانید در اسناد دریافت درخواستها از سایر سرویسهای Cloud Run اطلاعات بیشتری کسب کنید.
خروجی مستقیم VPC را پیکربندی کنید
ابتدا این دستور را اجرا کنید تا از خروج مستقیم VPC در سرویس frontend خود استفاده کنید:
gcloud beta run services update $FRONTEND \ --network=$SUBNET_NAME \ --subnet=$SUBNET_NAME \ --vpc-egress=private-ranges-only \ --region=$REGION
اکنون می توانید تأیید کنید که سرویس frontend شما به VPC دسترسی دارد:
gcloud beta run services describe $FRONTEND \ --region=$REGION
شما باید خروجی مشابه را ببینید
VPC access: Network: default Subnet: default Egress: private-ranges-only
دسترسی Google خصوصی را فعال کنید
در مرحله بعد، با اجرای دستور زیر، دسترسی Google خصوصی را در زیر شبکه فعال میکنید:
gcloud compute networks subnets update $SUBNET_NAME \ --region=$REGION \ --enable-private-ip-google-access
با اجرای این دستور می توانید تأیید کنید که دسترسی Google خصوصی فعال شده است:
gcloud compute networks subnets describe $SUBNET_NAME \ --region=$REGION \ --format="get(privateIpGoogleAccess)"
منطقه Cloud DNS را برای URL های run.app ایجاد کنید
در نهایت، یک منطقه Cloud DNS برای URL های run.app ایجاد کنید تا Google Cloud بتواند آنها را به عنوان آدرس IP داخلی در نظر بگیرد.
در مرحله قبل، زمانی که خروج مستقیم VPC را فقط در محدوده خصوصی پیکربندی کردید. این بدان معنی است که اتصالات خروجی از سرویس frontend شما تنها در صورتی به شبکه VPC می رود که مقصد یک IP داخلی باشد. با این حال، سرویس پشتیبان شما از URL run.app استفاده می کند که به یک IP عمومی حل می شود.
در این مرحله، یک منطقه Cloud DNS برای URL های run.app ایجاد می کنید تا به محدوده آدرس IP private.googleapis.com که به عنوان آدرس IP داخلی شناخته می شوند، حل شوند. اکنون، هر درخواستی به این محدوده ها از طریق شبکه VPC شما ارسال می شود.
می توانید این کار را از طریق: https://cloud.google.com/run/docs/securing/private-networking#from-other-services انجام دهید
# do not include the https:// in your DNS Name # for example: backend-<hash>-uc.a.run.app DNS_NAME=<your backend service URL without the https://> gcloud dns --project=$PROJECT_ID managed-zones create codelab-backend-service \ --description="" \ --dns-name="a.run.app." \ --visibility="private" \ --networks=$SUBNET_NAME gcloud dns --project=$PROJECT_ID record-sets create $DNS_NAME. \ --zone="codelab-backend-service" \ --type="A" \ --ttl="60" \ --rrdatas="199.36.153.8,199.36.153.9,199.36.153.10,199.36.153.11"
اکنون هنگامی که سعی می کنید به سرویس پشتیبان وب سایت خود دسترسی پیدا کنید، "سلام جهان" را مشاهده خواهید کرد.
و هنگامی که سعی می کنید با استفاده از https://curlmyip.org/ به اینترنت دسترسی پیدا کنید، آدرس IP خود را خواهید دید.
6. عیب یابی
در اینجا برخی از پیام های خطای احتمالی وجود دارد که اگر تنظیمات به درستی پیکربندی نشده باشند، ممکن است با آنها مواجه شوید.
- اگر با خطای
getaddrinfo ENOTFOUND backend-your-hash-uc.a.run.app
مواجه شدید، مطمئن شوید که "https://" را به رکورد DNS A اضافه نکرده اید. - اگر هنگام تلاش برای دسترسی به باطن پس از پیکربندی منطقه، خطای 404 دریافت کردید، میتوانید منتظر بمانید تا حافظه نهان در رکورد جهانی run.app منقضی شود (مثلاً 6 ساعت) یا میتوانید یک ویرایش جدید ایجاد کنید (بنابراین کش را پاک کنید. ) با اجرای دستور زیر:
gcloud beta run services update $FRONTEND --network=$SUBNET_NAME --subnet=$SUBNET_NAME --vpc-egress=private-ranges-only --region=$REGION
7. تبریک می گویم!
برای تکمیل کد لبه تبریک می گویم!
توصیه میکنیم مستندات مربوط به شبکههای خصوصی را در Cloud Run مرور کنید.
آنچه را پوشش داده ایم
- چگونه می توان فقط از VPC به سرویس Cloud Run خود اجازه ترافیک داد
- نحوه پیکربندی egress در یک سرویس Cloud Run (به عنوان مثال frontend) برای برقراری ارتباط با یک سرویس Cloud Run فقط با ورودی داخلی (به عنوان مثال باطن)، در حالی که دسترسی عمومی به اینترنت را برای سرویس Frontend حفظ می کند.
8. پاکسازی کنید
برای جلوگیری از هزینههای غیرعمدی، (به عنوان مثال، اگر این سرویس Cloud Run سهواً بیشتر از تخصیص فراخوانی ماهانه Cloud Run در ردیف رایگان فراخوانی شود)، میتوانید سرویس Cloud Run را حذف کنید یا پروژهای را که در مرحله 2 ایجاد کردهاید حذف کنید.
برای حذف سرویسهای Cloud Run، به کنسول Cloud Run Cloud در https://console.cloud.google.com/functions/ بروید و سرویسهای $FRONTEND و $BACKEND را که در این لبه کد ایجاد کردهاید حذف کنید.
اگر تصمیم به حذف کل پروژه دارید، میتوانید به https://console.cloud.google.com/cloud-resource-manager بروید، پروژهای را که در مرحله ۲ ایجاد کردهاید انتخاب کنید و حذف را انتخاب کنید. اگر پروژه را حذف کنید، باید پروژه ها را در Cloud SDK خود تغییر دهید. با اجرای gcloud projects list
می توانید لیست تمام پروژه های موجود را مشاهده کنید.