返回列表

GCP API开户 GCP谷歌云负载均衡配置

谷歌云GCP / 2026-04-14 23:01:54

你有没有过这种经历？

凌晨两点，线上服务突然502，你手抖着打开GCP控制台，点进「Network Services」→「Load Balancing」，盯着那张密密麻麻的拓扑图发呆：这Backend Service为啥标红？Health Check明明写了/health，为啥一直显示UNHEALTHY？URL map里那个defaultService到底管谁？……最后咬牙删了重配，结果——连删都删不干净，残留的Target Proxy还在默默收流量。

GCP API开户 别慌。这不是你一个人的深夜噩梦。GCP的负载均衡（LB）不是开关一按就亮的电灯泡，它是一套精密组装的瑞士钟表——齿轮咬合对了，滴答走十年；错一颗螺丝，整机停摆还带异响。

今天咱不讲PPT式定义，不列八股文参数表，就当坐你工位对面，泡杯浓咖啡，把GCP LB从“选型→搭骨架→填血肉→调心跳→上线验证”全链路，掰开揉碎讲清楚。顺便，把那些文档里轻描淡写、但能让你跪着改三小时的坑，一个不落塞进你脑子里。

一、先别急着点「Create Load Balancer」——选对类型，等于成功一半

GCP LB不是单一款产品，而是三套独立系统共用一个控制台入口：

HTTP(S) LB：七层，支持基于Host、Path、Query的路由，自动HTTPS卸载，全球任播IP。适合Web应用、API网关、需要CDN加速的静态资源。
TCP/SSL LB：四层，只看IP+端口，不解析HTTP头。适合数据库代理、游戏服务器、自建TLS终结的场景（比如你的Node.js自己做HTTPS）。
Internal HTTP(S) LB：专为VPC内网设计，仅限同区域实例组访问，不暴露公网。微服务网格、K8s Ingress后端、避免公网绕行的高吞吐内部服务，闭眼选它。

⚠️ 血泪教训：曾有兄弟把Redis集群挂到HTTP(S) LB下——结果健康检查发GET /，Redis直接回个"-ERR unknown command 'GET'"，LB判定不健康，全量剔除。后来换成TCP LB，秒通。记住：协议匹配是底线，不是可选项。

二、HTTP(S) LB实操：从零搭出能扛住百万并发的入口

我们以最常用的Web服务为例，假设你有3台Compute Engine实例（instance-group），运行Nginx，监听80端口。

Step 1：先造“后端”——Backend Service才是流量终点

别被名字骗！Backend Service不是后端服务器本身，而是一个抽象容器，装着健康检查规则、超时设置、会话亲和性策略。创建时关键三步：

关联实例组：必须是“managed instance group”，非managed的单台VM不支持自动扩缩容下的LB绑定；
健康检查（Health Check）：GCP默认用HTTP，但注意：
• Path必须是后端真实存在的路径（/health，不是/healthz，更不是/）；
• Port填后端服务监听端口（80），不是LB前端端口（443）；
• Interval设30秒，Timeout别低于5秒——太短易误判，太长故障恢复慢；
• 最关键：勾选「Use serving port from backend service」，否则GCP会傻乎乎用默认80去探你HTTPS后端，必挂。
连接 draining时间：设60秒。实例缩容时，LB会等60秒让现存请求跑完再踢人，避免正在转账的用户被中断。

Step 2：定义“前端”——Target HTTP Proxy & URL Map

这里最容易混淆：

URL Map：就是你的路由大脑。比如host=api.example.com → 转发到backend-service-api；path=/static/* → 转到backend-service-cdn。注意：defaultService必须指定！哪怕你写了10条匹配规则，没default就像没写main函数，所有不匹配的请求直接404。
Target HTTP Proxy：它不处理路由，只负责把原始HTTP请求“转交”给URL Map。一个Proxy只能绑一个URL Map，但一个URL Map可被多个Proxy复用（比如HTTP+HTTPS两个Proxy共用同一套路由）。

Step 3：搞定“门面”——Global Forwarding Rule

这是你对外的IP和端口。关键点：

IP地址类型选Global（不是Regional），否则无法享受Anycast全球加速；
Port range填80,443——别写80-443，GCP不认这种范围写法；
Target必须指向你刚创建的Target HTTP Proxy。

✅ 配置完成？别急！立刻打开Cloud Shell，敲一行命令验证：

gcloud compute backend-services get-health YOUR_BACKEND_NAME --global

看到一堆HEALTHY才敢喝口水。

三、TCP/SSL LB：当你需要原样透传TLS或玩转长连接

场景：你用Spring Boot做了个gRPC服务，监听443端口，TLS由应用自己管理。这时HTTP(S) LB的HTTPS卸载反而成阻碍。

操作差异点：

健康检查必须用TCP类型（不是HTTP），只检测端口是否通；
Backend Service里禁用「Connection Draining」**（TCP长连接不适用）；

Target SSL Proxy要绑定SSL证书——注意！GCP要求证书必须是PEM格式，且私钥不能加密（openssl rsa -in key.enc.pem -out key.pem）；

Forwarding Rule的Protocol选TCP，Port range写443，Target指向Target SSL Proxy。

💡 小技巧：想用同一个IP同时跑HTTP+HTTPS+gRPC？可以！建3个Forwarding Rule（80/443/9090），分别指向不同的Target Proxy，共享同一套Backend Service——GCP允许“一对多”映射。

四、避坑清单：那些文档里不会写的真相

「Backend Service」删除不了？检查是否还有Forwarding Rule在引用它。GCP不提示依赖关系，只会静默失败。用gcloud compute forwarding-rules list --global扫一遍；

健康检查永远UNHEALTHY？先确认防火墙规则：默认安全组default-allow-internal只放行内部流量，但GCP健康检查源IP是130.211.0.0/22和35.191.0.0/16，必须手动加两条Ingress规则；

URL Map改了不生效？不是缓存问题，是Target Proxy没更新。修改URL Map后，必须重新执行gcloud compute target-http-proxies update ... --url-map=NEW_MAP；

内部LB测试不通？确保客户端实例和Backend实例在同一VPC、同一区域，且客户端实例的网络标签（network tags）已添加到Backend Service的“Network”字段中（旧版UI藏得深，新版在Backend Service > Edit > Network）。

五、最后送你一句真经

GCP LB不是配置出来的，是验证出来的。

上线前，务必做三件事：

用curl -v http://YOUR_GLOBAL_IP看响应头是否有X-Cloud-Trace-Context（证明走LB）；

故意停掉一台后端实例，等2分钟，观察健康检查状态和流量分布（GCP Console > Backend Service > Health）；

用gcloud compute backend-services describe导出当前配置，存Git——下次救火时，你比GCP文档还快。

好了，现在你可以关掉这篇，打开控制台，深呼吸，点下「Create」。这次，你心里有底。

毕竟，真正的云原生工程师，不是背熟参数的人，而是知道为什么必须这么配的人。