-在尝试内部 https LB 之前,我已经对后端存储桶直接暴露给互联网的外部 HTTPS LB 进行了测试。
在这种情况下,我已经在 GCP 中创建了所有必要的资源
(google_compute_global_forwarding_rule, google_compute_target_https_proxy, google_compute_global_address, google_dns_managed_zone, google_dns_record_set, google_compute_ssl_certificate, google_compute_url_map, google_compute_backend_bucket, google_storage_bucket with storage_class "MULTI_REGIONAL")
我已激活存储桶的公共访问权限。
最后,bucket 的静态网站直接暴露给互联网,并且在这种情况下可以正常工作。
目标:在测试环境中,存储桶的静态网站不会直接暴露给互联网。
-SO 我已经尝试了内部 https LB:我已经创建了所有必要的资源(google_compute_forwarding_rule、google_compute_region_target_https_proxy、使用私有 DNS 的 google_compute_address、google_compute_region_url_map、google_compute_backend_bucket、区域存储桶……)。
创建资源 google_compute_region_url_map 时失败,其中 default_service 指向后端存储桶。消息错误表明同一区域没有后端。
问题在于 google_compute_backend_bucket,它是全局的而不是区域性的(GCP 中没有区域后端存储桶)。
我还注意到,GCP 中内部 https LB 的所有示例都带有后端服务,而不是后端存储桶。
-我对使用内部 https LB 连接的私人服务进行了一些研究(https://cloud.google.com/load-balancing/docs/l7-internal)。但我认为它也不会起作用,原因也一样:它必须是区域性的,而我们没有区域后端存储桶。
您觉得如何?您有什么建议吗?在 GCP 中可以实现这一目标吗?