Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

גישה לממשקי Google APIs גלובליים דרך בק-אנדים

בדף הזה מוסבר איך לגשת לממשקי Google APIs גלובליים באמצעות בק-אנדים של Private Service Connect שמבוססים על מאזני עומסים פנימיים של אפליקציות חוצי-אזורים.

ההגדרה הזו מאפשרת לכם לטרגט ממשקי Google APIs גלובליים ספציפיים, תוך שימוש בשליטה ובחשיפה שמסופקים על ידי בק-אנדים של Private Service Connect.

אתם יכולים להגדיר שמות מארחים מותאמים אישית, מקומיים לענן הווירטואלי הפרטי (VPC) ולרשתות המקומיות המחוברות, שמנתבים תעבורה לממשקי Google APIs הגלובליים שבחרתם.
אפשר לגשת לקצה העורפי מכל אזור, והקצה העורפי יכול לאזן עומסים של תעבורה לקבוצות של נקודות קצה ברשת (NEGs) מסוג Private Service Connect שנמצאות בכל אזור.
אפשר להפנות תנועה אל השרתים העורפיים מרשתות VPC שנוצרו באמצעות שיוך.

רשימה של ממשקי Google API גלובליים זמינים מופיעה במאמר יעדים גלובליים של Google API.

לפני שמתחילים

כדי לקבל את ההרשאות שדרושות להגדרת קצה עורפי לגישה ל-API גלובלי של Google, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים ב Google Cloud פרויקט:
- אדמין ב-Compute (roles/compute.admin)
- בעלים של Certificate Manager (roles/certificatemanager.owner)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
מפעילים את Compute Engine API בפרויקט.
מפעילים את Certificate Manager API בפרויקט.
יצירת מפתח פרטי ואישור חתום מרשות אישורים (CA). פועלים לפי ההוראות שבקטע שלב 1: יצירת מפתח פרטי ותעודה. כדי ליצור אישור SSL בניהול עצמי באמצעות Certificate Manager, צריך את המפתח הפרטי ואת האישור.
יוצרים משאב אישור למאזן עומסים של אפליקציות (ALB) פנימי בין אזורים באמצעות המפתח הפרטי והאישור החתום שיצרתם. כשמעלים את האישור, צריך להגדיר את ההיקף ל-all-regions. מידע נוסף זמין במאמר בנושא העלאת אישור בניהול עצמי אל Certificate Manager. משאב האישור נדרש להגדרת ה-proxy של יעד ה-HTTPS עבור מאזן העומסים.
אם אין לכם רשת משנה עם פרוקסי בלבד, צריך ליצור אחת. צריכה להיות תת-רשת אחת בלבד מסוג proxy-only ברשת ה-VPC ובאזור שבהם אתם מתכוונים ליצור את כלל ההעברה של מאזן העומסים הפנימי של האפליקציה בין אזורים. כל מאזני העומסים הפנימיים של אפליקציות ברשת ובאזור האלה משתמשים ברשת המשנה הזו.

יצירת NEG של Private Service Connect

לכל Google API גלובלי שרוצים לגשת אליו, יוצרים Private Service Connect NEG. קבוצות ה-NEG של Private Service Connect הן אזוריות, גם כשמשתמשים בהן כדי להתחבר ל-Google APIs גלובליים.

אי אפשר לעדכן Private Service Connect NEG אחרי שהוא נוצר.

המסוף

נכנסים לדף Create a network endpoint group במסוף Google Cloud .

כניסה לדף Create a network endpoint group
בדף Create network endpoint group, מזינים Name לקבוצת נקודות הקצה ברשת.
בקטע Network endpoint group type (סוג קבוצת נקודות קצה ברשת), בוחרים באפשרות Private Service Connect NEG (Regional) (קבוצה של נקודות קצה ברשת מסוג Private Service Connect (אזורי)).
בקטע Target (יעד), בוחרים באפשרות Global Google APIs (ממשקי Google APIs גלובליים).
בוחרים את האזור של קבוצת נקודות הקצה ברשת.
בוחרים את שירות היעד לקבוצה של נקודות קצה ברשת.
לוחצים על יצירה.

gcloud

משתמשים בפקודה network-endpoint-groups create.

gcloud compute network-endpoint-groups create NEG_NAME \
    --network-endpoint-type=private-service-connect \
    --psc-target-service=TARGET_SERVICE \
    --region=REGION

מחליפים את מה שכתוב בשדות הבאים:

‫NEG_NAME: שם לקבוצת נקודות הקצה ברשת.
‫TARGET_SERVICE: יעד ה-API הגלובלי של Google שאליו רוצים להתחבר – לדוגמה, pubsub.googleapis.com. כאן אפשר לעיין ברשימת היעדים הנתמכים של Google API ברחבי העולם.
‫REGION: האזור שבו רוצים ליצור את קבוצת נקודות הקצה ברשת.

API

שולחים בקשת POST אל ה-method‏ regionNetworkEndpointGroups.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkEndpointGroups
{
  "name": "NEG_NAME",
  "networkEndpointType": "PRIVATE_SERVICE_CONNECT",
  "pscTargetService": "TARGET_SERVICE"
}

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט של קבוצת נקודות הקצה ברשת.
‫REGION: האזור שבו רוצים ליצור את קבוצת נקודות הקצה ברשת.
‫NEG_NAME: שם לקבוצת נקודות הקצה ברשת.
‫TARGET_SERVICE: יעד ה-API הגלובלי של Google שאליו רוצים להתחבר – לדוגמה, pubsub.googleapis.com. כאן אפשר לעיין ברשימת היעדים הנתמכים של Google API ברחבי העולם.

הגדרת מאזן העומסים

כדי לגשת לממשקי Google API גלובליים, צריך להגדיר מאזן עומסים של אפליקציות (ALB) פנימי בין אזורים.

המסוף

בחירת סוג מאזן העומסים

נכנסים לדף Load balancing במסוף Google Cloud .

כניסה לדף Load balancing
לוחצים על Create load balancer (יצירת מאזן עומסים).
בקטע Type of load balancer, בוחרים באפשרות Application Load Balancer (HTTP/HTTPS) ולוחצים על Next.
בקטע Public facing or internal (פנימי או גלוי לכולם), בוחרים באפשרות Internal (פנימי) ולוחצים על Next (הבא).
בקטע פריסה חוצה אזורים או פריסה באזור יחיד, בוחרים באפשרות הכי טוב לעומסי עבודה חוצי אזורים ולוחצים על הבא.
לוחצים על Configure (הגדרה).

הגדרה בסיסית

מזינים שם למאזן העומסים.
בוחרים רשת למאזן העומסים.

הרשת צריכה להכיל תת-רשת של שרת proxy בלבד באזור שבו יוצרים את מאזן העומסים.

הגדרות הקצה הקדמי

לוחצים על Frontend configuration.
מזינים שם לכלל ההעברה של מאזן העומסים.
בשדה Protocol, בוחרים באפשרות HTTPS (includes HTTP/2 and HTTP/3).
בוחרים אזור של רשת משנה לרשת המשנה של מאזן העומסים.
בוחרים Subnetwork למאזן העומסים.
לוחצים על כתובת IP ואז מבצעים אחת מהפעולות הבאות:
- כדי להקצות כתובת IP זמנית באופן אוטומטי, בוחרים באפשרות זמנית (אוטומטית).
- כדי לבחור כתובת IP ארעית, בוחרים באפשרות ארעית (מותאמת אישית), ואז מזינים כתובת IP ארעית מותאמת אישית מתוך טווח כתובות ה-IP של תת-הרשת של איזון העומסים.
- כדי לשמור כתובת IP פנימית סטטית ולהשתמש בה, לוחצים על Create IP address (יצירת כתובת IP) ומבצעים את הפעולות הבאות:
  1. מזינים שם לכתובת ה-IP.
  2. לוחצים על כתובת IP סטטית, ואז מבצעים אחת מהפעולות הבאות:
    - כדי להקצות אוטומטית כתובת IP סטטית, בוחרים באפשרות הקצאה אוטומטית.
    - כדי להגדיר כתובת IP ספציפית, בוחרים באפשרות אני רוצה לבחור ואז מזינים כתובת IP מותאמת אישית מתוך טווח כתובות ה-IP של רשת המשנה של מאזן העומסים.
  3. לוחצים על Reserve.
מוודאים שהשדה Port מוגדר לערך 443 כדי לאפשר תנועת HTTPS.
לוחצים על רשימת האישורים ואז בוחרים את האישור בניהול עצמי.
לוחצים על סיום.

הגדרת הקצה העורפי

לוחצים על Backend configuration.
לכל Google API גלובלי שרוצים לגשת אליו, יוצרים שירות לקצה העורפי גלובלי. כדי ליצור שירות לקצה עורפי גלובלי:
1. בתפריט Create or select backend services (יצירה או בחירה של שירותי קצה עורפי), בוחרים באפשרות Create a backend service (יצירת שירות קצה עורפי).
2. מזינים שם לשירות לקצה העורפי.
3. מגדירים את סוג הקצה העורפי לקבוצה של נקודות קצה ברשת מסוג Private Service Connect.
4. מגדירים את סוג היעד של Private Service Connect לGlobal Google API.
5. בוחרים באפשרות HTTPS בשדה 'פרוטוקול'.
6. בקטע Backends לוחצים על התפריט New backend ובוחרים קבוצה של נקודות קצה ברשת מסוג Private Service Connect.
  
  אם אתם צריכים ליצור קבוצה חדשה של נקודות קצה ברשת מסוג Private Service Connect, לוחצים על יצירת PSC NEG.
7. לוחצים על סיום.
8. לוחצים על יצירה.
מוודאים שכל שירות קצה עורפי שרוצים להוסיף מסומן בתפריט Create or select backend services (יצירה או בחירה של שירותי קצה עורפיים), ואז לוחצים על OK (אישור).

כללי ניתוב

קבוצת הכללים לניתוב בקשות HTTPS נכנסות לשירותי בק-אנד ספציפיים נקראת מפת כתובות URL. מידע נוסף על מפות של כתובות URL זמין במאמר סקירה כללית על מפות של כתובות URL.

אם מגדירים רק שירות לקצה העורפי אחד למאזן העומסים, כלל הניתוב שמוגדר כברירת מחדל מספיק, ואפשר לדלג אל בדיקה וסיום.

אם אתם מגדירים כמה שירותים לקצה העורפי, אתם צריכים ליצור התאמת נתיבים לכל שירות לקצה העורפי. כל כלל מארח יכול להפנות רק להתאמת נתיב אחת, אבל שני כללי מארח או יותר יכולים להפנות לאותה התאמת נתיב.

אם יש לכם יותר משירות קצה עורפי אחד, לוחצים על כללי ניתוב.
בוחרים באפשרות כלל פשוט של מארח ונתיב.
לכל קצה עורפי, מבצעים את הפעולות הבאות:
1. לוחצים על הוספת כלל של מארח ונתיב.
2. בשדה מארח, מזינים את שם המארח שישמש לשליחת בקשות לשירות הזה – לדוגמה, pubsub.example.com.
3. בקטע נתיבים, מזינים את הנתיב. לדוגמה, /*.
4. בקטע Backends (קצה עורפי), בוחרים את שירות הקצה העורפי.

בדיקה וסיום

לוחצים על בדיקה וסיום כדי לבדוק את ההגדרה.
לוחצים על יצירה.

gcloud

לכל Google API גלובלי שרוצים לגשת אליו, מבצעים את הפעולות הבאות:
1. כדי ליצור שירות עורפי גלובלי, משתמשים בפקודה gcloud compute backend-services create.
```
gcloud compute backend-services create BACKEND_SERVICE_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --protocol=HTTPS \
    --global
```
  מחליפים את BACKEND_SERVICE_NAME בשם של שירות ה-Backend.
2. כדי להוסיף NEG לשירות העורפי המתאים, משתמשים בפקודה gcloud compute backend-services add-backend.
```
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
    --network-endpoint-group=NEG_NAME \
    --network-endpoint-group-region=REGION \
    --global
```
  מחליפים את מה שכתוב בשדות הבאים:
  - ‫NEG_NAME: השם של ה-NEG של Private Service Connect.
  - ‫REGION: האזור של ה-NEG של Private Service Connect.
כדי ליצור מיפוי כתובות URL גלובלי למאזן העומסים, משתמשים בפקודה gcloud compute url-maps create.

מפת URL חייבת להפנות לשירות לקצה העורפי שמוגדר כברירת מחדל. אם אתם מגדירים את מאזן העומסים עם שירות לקצה העורפי אחד, הגדירו את שירות לקצה העורפי הזה כברירת מחדל. אם אתם מגדירים את מאזן העומסים לשימוש בכמה שירותים לקצה העורפי, אתם צריכים לבחור אחד מהשירותים לקצה העורפי שיהיה ברירת המחדל של מפת ה-URL.
```
gcloud compute url-maps create URL_MAP_NAME \
    --default-service=DEFAULT_BACKEND_SERVICE_NAME
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫URL_MAP_NAME: שם למפת URL.
- ‫DEFAULT_BACKEND_SERVICE_NAME: השם של שירות קצה עורפי שמוגדר כברירת מחדל במאזן העומסים. ברירת המחדל משמשת כשאין כלל מארח שמתאים לשם המארח המבוקש.
אופציונלי: אם מגדירים את מאזן העומסים לשימוש בכמה שירותי קצה עורפי, צריך לבצע את השלב הזה. אם מיפוי כתובות ה-URL שלכם מפנה רק לשירות קצה עורפי אחד, דלגו על השלב הזה.

כדי להוסיף עוד שירותי קצה עורפי למפת כתובות ה-URL, משתמשים בפקודה gcloud compute url-maps add-path-matcher.

לכל שירות קצה עורפי, מוסיפים התאמת נתיבים וכלל אחד או יותר של מארחים. צריך ליצור התאמה לנתיב אחד לכל שירות קצה עורפי. כל כלל של מארח יכול להפנות רק להתאמת נתיב אחת, אבל שני כללים או יותר של מארח יכולים להפנות לאותה התאמת נתיב.
```
gcloud compute url-maps add-path-matcher URL_MAP_NAME \
    --path-matcher-name=PATH_MATCHER \
    --default-service=BACKEND_SERVICE_NAME \
    --new-hosts=HOSTNAMES
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PATH_MATCHER: שם להתאמת הנתיב.
- ‫BACKEND_SERVICE_NAME: השם של השירות לקצה העורפי.
- ‫HOSTNAMES: שם מארח אחד או יותר לשליחת בקשות לשירות לקצה העורפי, לדוגמה, pubsub.example.com. אפשר להזין כמה שמות מארחים ברשימה מופרדת בפסיקים.
כדי ליצור proxy יעד מסוג HTTPS, משתמשים בפקודה gcloud compute target-https-proxies create.
```
gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PROXY_NAME: שם לשרת ה-proxy ל-HTTPS.
- ‫URL_MAP_NAME: השם של מפת URL.
- ‫CERTIFICATE_NAME: השם של משאב האישור.
כדי ליצור כלל העברה גלובלי למאזן העומסים, משתמשים בפקודה gcloud compute forwarding-rules create.
```
gcloud compute forwarding-rules create RULE_NAME \
    --load-balancing-scheme=INTERNAL_MANAGED \
    --network=NETWORK \
    --address=IP_ADDRESS \
    --ports=443 \
    --target-https-proxy=PROXY_NAME \
    --subnet=SUBNET \
    --subnet-region=SUBNET_REGION \
    --global
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫RULE_NAME: השם של כלל ההעברה.
- ‫NETWORK: רשת ה-VPC של כלל ההעברה. הרשת הזו צריכה להכיל תת-רשת של שרת proxy בלבד באזור שבו יוצרים את מאזן העומסים.
- ‫IP_ADDRESS: כתובת ה-IP הפנימית של כלל ההעברה, שחייבת להיות בטווח כתובות ה-IP של רשת המשנה של כלל ההעברה. כדי להשתמש בכתובת IP ספציפית וזמנית, מזינים את כתובת ה-IP – לדוגמה, 10.0.0.5. כדי להשתמש בכתובת IP פנימית סטטית, מזינים את השם של כתובת ה-IP. כדי לאפשר ל- Google Cloud לבחור כתובת IP זמנית, לא מציינים את הדגל הזה.
- ‫SUBNET: תת-הרשת של כלל ההעברה.
- ‫SUBNET_REGION: האזור של רשת המשנה של כלל ההעברה.

API

לכל Google API גלובלי שרוצים לגשת אליו, מבצעים את הפעולות הבאות:
1. כדי ליצור שירות backend גלובלי, שולחים בקשת POST אל ה-method‏ backendServices.insert.
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices
{
  "loadBalancingScheme": "INTERNAL_MANAGED",
  "name": "BACKEND_SERVICE_NAME",
  "protocol": "HTTPS"
}
```
  מחליפים את מה שכתוב בשדות הבאים:
  - ‫PROJECT_ID: מזהה הפרויקט.
  - ‫BACKEND_SERVICE_NAME: השם של שירות ה-Backend.
2. כדי להוסיף NEG לשירות הקצה העורפי המתאים, שולחים בקשת PATCH ל-method‏ backendServices.patch.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME
{
  "backends": [
    {
      "group": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkEndpointGroups/NEG_NAME"
    }
  ]
}
```
  מחליפים את מה שכתוב בשדות הבאים:
  - ‫REGION: האזור של ה-NEG.
  - ‫NEG_NAME: השם של קבוצת נקודות הקצה ברשת שרוצים להוסיף.
כדי ליצור מיפוי כתובות URL גלובלי למאזן העומסים, שולחים בקשת POST אל ה-method‏ urlMaps.insert.

מפת URL חייבת להפנות לשירות לקצה העורפי שמוגדר כברירת מחדל. אם אתם מגדירים את מאזן העומסים עם שירות לקצה העורפי אחד, הגדירו את שירות לקצה העורפי הזה כברירת מחדל. אם אתם מגדירים את מאזן העומסים לשימוש בכמה שירותים לקצה העורפי, אתם צריכים לבחור אחד מהשירותים לקצה העורפי שיהיה ברירת המחדל של מיפוי כתובות ה-URL.
```
 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/urlMaps
 {
   "defaultService": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/DEFAULT_BACKEND_SERVICE_NAME",
   "name": "URL_MAP_NAME"
 }
 
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫DEFAULT_BACKEND_SERVICE_NAME: השם של ברירת המחדל של מאזן העומסים. ברירת המחדל משמשת כשאין כלל מארח שתואם לשם המארח המבוקש.
- ‫URL_MAP_NAME: שם למפת URL.
אם אתם מגדירים את מאזן העומסים לשימוש בכמה שירותי קצה עורפי, אתם צריכים להשלים את השלב הזה. אם מיפוי כתובות ה-URL שלכם מפנה רק לשירות קצה עורפי אחד, דלגו על השלב הזה.

כדי להוסיף עוד שירותי קצה עורפי למיפוי כתובות ה-URL, שולחים PATCHבקשה לשיטה urlMaps.patch.

לכל שירות קצה עורפי, מוסיפים התאמת נתיבים וכלל אחד או יותר של מארחים. צריך ליצור התאמה לנתיב אחד לכל שירות קצה עורפי. כל כלל של מארח יכול להפנות רק להתאמת נתיב אחת, אבל שני כללים או יותר של מארח יכולים להפנות לאותה התאמת נתיב.

אפשר להוסיף כמה כללים להתאמת נתיבים וכללי מארחים באמצעות בקשת API אחת.
```
 PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/urlMaps/URL_MAP_NAME
 {
   "pathMatchers": [
     {
       "name": "PATH_MATCHER_NAME_1",
       "defaultService": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME_1"
     },
     {
       "name": "PATH_MATCHER_NAME_2",
       "defaultService": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE_NAME_2"
     }
   ],
   "hostRules": [
     {
       "hosts": ["HOSTNAME_1"],
       "pathMatcher": "PATH_MATCHER_NAME_1"
     },
     {
       "hosts": ["HOSTNAME_2"],
       "pathMatcher": "PATH_MATCHER_NAME_2"
     }
   ]
 }
 
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PATH_MATCHER_NAME_1: שם של התאמת הנתיב הראשונה.
- ‫BACKEND_SERVICE_NAME_1: השם של שירות הקצה העורפי הראשון.
- ‫PATH_MATCHER_NAME_2: שם להתאמת הנתיב השני.
- ‫BACKEND_SERVICE_NAME_2: השם של שירות ה-Backend השני.
- ‫HOSTNAME_1: שם המארח שאליו נשלחות בקשות לשירות הראשון, לדוגמה pubsub.example.com.
- ‫HOSTNAME_2: שם המארח שאליו יש לשלוח בקשות עבור השירות השני.

כדי ליצור proxy של HTTPS לטירגוט, שולחים בקשת POST אל ה-method‏ targetHttpsProxies.insert.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetHttpsProxies
 {
   "name": "PROXY_NAME",
   "sslCertificates": [
     "https://certificatemanager.googleapis.com/v1/projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"
   ],
   "urlMap": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/urlMaps/URL_MAP_NAME"
 }

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫PROXY_NAME: שם לשרת ה-proxy ל-HTTPS.
‫CERTIFICATE_NAME: השם של משאב האישור.
‫URL_MAP_NAME: השם של מפת URL.

כדי ליצור כלל העברה גלובלי למאזן העומסים, שולחים בקשת POST אל ה-method‏ globalForwardingRules.insert. הרשת של כלל ההעברה צריכה להכיל תת-רשת של שרת proxy בלבד בתת-הרשת של האזור של כלל ההעברה.
```
 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/forwardingRules
 {
   "IPAddress": "IP_ADDRESS",
   "loadBalancingScheme": "INTERNAL_MANAGED",
   "name": "FORWARDING_RULE_NAME",
   "network": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME",
   "portRange": "443",
   "subnetwork": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/SUBNET_REGION/subnetworks/SUBNET_NAME",
   "target": "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME"
 }
 
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫IP_ADDRESS: כתובת ה-IP הפנימית של כלל ההעברה, שחייבת להיות בטווח כתובות ה-IP של רשת המשנה של כלל ההעברה. כדי להשתמש בכתובת IP ארעית ספציפית, צריך לספק את כתובת ה-IP – לדוגמה, 10.0.0.5. כדי להשתמש בכתובת IP פנימית סטטית, צריך לציין את השם של כתובת ה-IP. כדי לאפשר ל-Google Cloud לבחור כתובת IP זמנית, משמיטים את השדה הזה.
- ‫FORWARDING_RULE_NAME: השם של כלל ההעברה.
- ‫NETWORK_NAME: השם של רשת ה-VPC של כלל ההעברה. הרשת הזו צריכה לכלול תת-רשת של שרת proxy בלבד באזור שבו יוצרים את מאזן העומסים.
- ‫SUBNET_REGION: האזור של רשת המשנה של כלל ההעברה.
- ‫SUBNET_NAME: השם של רשת המשנה של כלל ההעברה.

אימות ההגדרה

כדי לבדוק את החיבור של ה-backend לממשקי Google API גלובליים, מבצעים את הפעולות הבאות:

אם אין לכם מכונה וירטואלית, אתם צריכים ליצור מכונה וירטואלית (VM) ברשת ה-VPC שבה הגדרתם את ה-Backend.
מוודאים שלא יצרתם כללי חומת אש או מדיניות חומת אש שדורסים את כלל ברירת המחדל של חומת האש שמאפשר תעבורת נתונים יוצאת (egress) ב-IPv4.
מתחברים ל-VM.
מתוך ה-VM, משתמשים בפקודה curl כדי לוודא שאפשר לשלוח שאילתות לכל API. הפקודה הזו מגדירה את הכותרת Host ומדלגת על פענוח DNS על ידי ציון כתובת IP שהוגדרה על ידי המשתמש.

אפשר לדלג על אימות האישור באמצעות הדגל -k. יכול להיות שתצטרכו לדלג על האימות אם השתמשתם באישור בחתימה עצמית כדי להגדיר את שרת ה-proxy של יעד ה-HTTPS, או אם למכונה הווירטואלית אין את האישור של רשות האישורים שחתמה על האישור שלכם.
```
curl -iv --resolve HOSTNAME:443:IP_ADDRESS \
   'https://HOSTNAME/RESOURCE_URI'
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫HOSTNAME: שם המארח שהגדרתם במיפוי כתובות ה-URL, לדוגמה pubsub.example.com.
- ‫IP_ADDRESS: כתובת ה-IP של כלל ההעברה של מאזן העומסים.
- ‫RESOURCE_URI: שאר ה-URI של המשאב שרוצים להשתמש בו לאימות. לדוגמה, אם מאזן העומסים מעביר בקשות לנקודת קצה אזורית של Pub/Sub, אפשר להשתמש ב-$discovery/rest?version=v1.

הגדרת רשומות DNS

מגדירים רשומות DNS לכל מארח שהוספתם למפת ה-URL, כך שהן יפנו לכתובת ה-IP של כלל ההעברה. אם אתם משתמשים ב-Cloud DNS כדי לנהל את ה-DNS, כדאי לעיין במאמר בנושא הוספה, שינוי ומחיקה של רשומות. אחרת, צריך להגדיר רשומות DNS בשרת ה-DNS.

לדוגמה, נניח שיצרתם את ההגדרות הבאות:

‫NEG של Private Service Connect שמשתמש בשירות היעד pubsub.googleapis.com.
מאזן עומסים פנימי של אפליקציות (ALB) בכמה אזורים שמשתמש ב-NEG של Private Service Connect כקצה עורפי.
מפת URL שמגדירה כלל מארח ל-pubsub.example.com.

כדי שההגדרה הזו תפעל בצורה תקינה, צריך ליצור רשומת DNS שמפנה pubsub.example.com לכתובת ה-IP של כלל ההעברה.

בהגדרה הזו, כל בקשה שנשלחת אל pubsub.example.com מועברת למאזן העומסים, שמעביר את הבקשה אל pubsub.googleapis.com.

הגדרת לקוחות לשליחת בקשות לקצה העורפי

כדי לשלוח בקשות דרך העורף במקום דרך נקודות הקצה של השירות הציבורי, צריך להגדיר את הלקוחות לשליחת בקשות לשם המארח שהגדרתם במפת כתובות ה-URL של מאזן העומסים – לדוגמה, pubsub.example.com. במסמכים של הלקוח או של ספריית הלקוח שלכם מוסבר איך להגדיר אותם לשימוש בנקודות קצה מותאמות אישית. בדפים הבאים מפורטים שלבי ההגדרה של כמה לקוחות נפוצים:

‫Python: אפשר להגדיר את api_endpoint באפשרויות הלקוח.
Go: אפשר להגדיר את WithEndpoint ב-ClientOptions.
‫‎.NET: אפשר להגדיר את Endpoint במחלקה של בונה הלקוח.
‫Java: אפשר להגדיר את setEndpoint בכיתת ההגדרות של הלקוח.
‫gcloud: אפשר להגדיר את api_endpoint_overrides ב- ה-CLI של gcloud.