GCPUG.TW Meetup #8 - CP100A Training

作者: -

 


本次非常感謝來自新加坡的Kris特地與台灣地區的朋友們分享CP100A的課程,有許多新的觀念從這次的教育訓練後有更清楚了唷!不過由於時間比較有限,BigQuery, Cloud Storage, BigQuery等等服務還沒辦法介紹給大家,再找機會跟大家分享 :D

另外,Kris有介紹到他的新書:http://goo.gl/10Bq1v,想深入Google Cloud Platform的朋友,可以參考一下 :D


這個網誌中的熱門文章

[how-to] 在 GCP 上設定 HTTPS Load Balancer

作者: -
圖片
GCP 推出 HTTP Load Balancer 也已經一陣子了,其中類似 anycast 的特性讓後端的 backend server 可以跨不同 region 之外,也可以根據流量的來源跑到最適合的 backend group 上。

但是好用的東西總是缺一味,就是 SSL 的支援。Google 雖然有實作了 HTTPS Load Balancer 但一直都在 alpha stage,僅開放邀請測試,所以也都是一整個看的到吃不到的情況 ..

日前終於收到 Google 的邀請,終於來試看看到底怎麼設定 HTTPS Load Balancer .. 其實非常簡單 .....


首先請選擇 HTTP Load Balancing 功能,選擇 New load balancer,輸入名稱


完成輸入之後,我們來增加新的 forwarding rule


重點在這裡,如果您的帳號/專案有被加入到這個功能的白名單 (whitelisted) 內,你就可以在 Protocol 那邊看到「HTTPS」,而當你選擇「HTTPS」後,你會看到下方多了一個「Certificate」的下拉式選單,然後選擇「Create a new certificate」


這邊就是新增憑證資訊的頁面,你可以選擇上傳或是貼上憑證的內容。
其中「Public key certificate」是 CA 所簽發給你的憑證,Certificate chain 就是 CA 給你的中繼憑證 (Intermediate certificate),然後 Private Key 不意外的就是貼入你申請這個憑證所使用的私鑰。

一旦你的填入憑證是有效的,右方將會出現這個憑證的相關資訊,例如 hostname,有效期限 ... 等等。


 建立完 forwarding rule 之後,這個 Load Balancer 就完成一半了!這時候你可以直接點那個連結,或是用 curl 檢查 SSL 是否順利掛上你剛剛上傳的憑證。

但因為你現在是用 IP 連,如果用 chrome 連線會得到憑證無效的訊息,因為 IP 跟 hostname 對不上的關係。


或是你也可以進到 advanced view,看剛剛建立的 lb 跟 forwarding rules



您也可以到 Certificate 頁籤看看剛剛上傳的憑證相關資訊


接下來 HTT…
閱讀完整內容

GCE上實作Bastion Gateway的HA架構

作者: -
圖片
概念NAT(或稱Bastion主機)的架構在自建機房中常常可以見到,我們也可以將該架構在雲端環境上建置來使用... 而Google雲端的環境中,可以透過network與routing的方式搭配來建置一個具有HA(High Availability)的NAT環境,讓NAT不是單點提供服務... 下面是架構的簡單描述:


建置過程設定網路與防火牆基本規則首先,建議使用自建Network,好處是可以自訂內部的路由與相關防火牆規則,且可以避免影響其他主機。
gcloud compute networks create kankan-ha-nat \
--mode legacy \
--range 10.10.10.0/24 為了可以測試狀態,我們允許port 22的ssh連線,因此建立允許 tcp 22 port 連線的防火牆規則...
gcloud compute firewall-rules create kankan-ha-nat-allow-ssh \
--allow tcp:22 --network kankan-ha-nat
在NAT server的建置上,我們需要讓內外部連線可以透通,因此將tcp:1-65535, udp:1-65535, icmp等協定打開,讓內部的網段(10.10.10.0/24)可以透過NAT server來連線外部網路。
gcloud compute firewall-rules create kankan-ha-nat-allow-internal \
--allow tcp:1-65535,udp:1-65535,icmp \
--source-ranges 10.10.10.0/24 --network kankan-ha-nat
建立NAT server然後我們將NAT server建立起來:
gcloud compute instances create nat-gateway-asia-east1-a --network kankan-ha-nat --can-ip-forward \
--zone asia-east1-a \
--image-family debian-8 \
--image-project debian-cloud \
--tags nat
閱讀完整內容

資料庫搬到Cloud SQL - 使用AWS DMS服務

作者: -
圖片
Google CloudSQL提供高品質的資料服務,但在使用之前,一般大家會問到該怎麼把資料庫搬到CloudSQL的環境,CloudSQL提供透過 Cloud Storage來做 import/export,如果再資料量不是很大的狀況下,直接針對資料庫做 export 然後存放到 Cloud Storage後,再 import 到 CloudSQL 的速度還滿快的... 但是如果需要做到持續同步資料,則我們會需要一些規劃與工具來持續同步您的資料。

AWS DMS在資料轉移上是一個不錯的選擇,透過簡單的設定流程,可以快速的備份你的資料從一個Database到另一個Database,這裡以MySQL與CloudSQL為例,給大家參考:

建立步驟如下:

Step1 建立Replication Instances

Step2 Replication Instances建好之後會給一組IP address,將這組IP加入你的DB network DMS:   

另外,GCE需要加入DMS的IP:

Cloud SQL 加入DMS的IP:

Step3 建立source、target的Endpoints

Step 4 建立Tasks 指定從哪一個source到哪一個target,要migrate哪個database哪些table。

建立完成後,若沒有錯誤資料就會開始備份... 情境測試:
閱讀完整內容