Configuración de balanceadores de carga HTTP/HTTPS en Google Cloud

Clase 29 de 31 • Curso de Google Associate Cloud Engineer Certification

Contenido del curso

Introducción y Fundamentos de Google Cloud

Configuración de un Entorno de GCP

Gestión de Identidad y Acceso (IAM)

Aprovisionamiento y Gestión de Recursos de Computo

Trabajo con Kubernetes Engine (GKE)

Servicios de Almacenamiento y Bases de Datos

Redes en Google Cloud

Preparación para el Examen

31
Preparación para el examen Google Cloud Associate Engineer
05:02 min

Tomar examen

Resumen

Objetivo de la clase

El profesor buscaba que los estudiantes comprendieran cómo implementar y configurar balanceadores de carga en Google Cloud Platform, específicamente balanceadores HTTPS globales, incluyendo la configuración de certificados SSL automáticos, grupos de instancias, reglas de firewall y la integración completa con servicios web.

Habilidades desarrolladas

Configuración de balanceadores de carga: Creación y configuración de load balancers HTTPS globales
Gestión de certificados SSL: Implementación de certificados automáticos de Google Cloud
Administración de grupos de instancias: Creación de instance groups para asociar VMs a balanceadores
Configuración de reglas de firewall: Establecimiento de reglas para health checks
Integración DNS: Configuración de registros DNS para dominios personalizados
Instalación y configuración de servicios web: Despliegue de NGINX en máquinas virtuales

Conceptos clave

[0:18] Balanceadores globales vs regionales: Diferencias entre balanceadores que operan globalmente (HTTPS, SSL proxy, TCP proxy) y regionalmente (TCP/UDP)
[1:10] Componentes del balanceador: IP frontal, reglas de reenvío, servicios de backend y health checks
[2:08] Funcionalidades adicionales: WAF (Cloud Armor), certificados automáticos y redirección de dominios
[3:28] Instance Groups: Agrupación necesaria de VMs para balanceadores HTTPS
[5:20] Health checks: Verificaciones periódicas de salud de los servicios backend
[5:37] Rangos IP de Google: Segmentaciones de red específicas para health checks de Google Cloud
[8:43] Certificados SSL automáticos: Generación gratuita de certificados tipo Let's Encrypt por Google
[10:00] Cloud CDN: Servicio de red de distribución de contenido integrable
[11:02] Reglas de enrutamiento: Configuración de paths y dominios para diferentes backends

Palabras clave importantes

Load Balancer (Balanceador de carga)
HTTPS/SSL
Instance Group (Grupo de instancias)
Health Check (Verificación de estado)
Frontend/Backend
Firewall rules (Reglas de firewall)
SSL Certificate (Certificado SSL)
DNS records (Registros DNS)
NGINX
Cloud Armor (WAF)
Global vs Regional balancing

Hechos importantes

[0:32] Tipos de balanceadores: HTTPS es el más utilizado para tráfico web
[1:06] Puertos específicos: Puertos diferentes a 443, 80 u 8080 requieren balanceadores regionales TCP/UDP
[5:37] Rangos IP específicos: Google Cloud utiliza rangos IP públicos específicos para health checks
[8:43] Certificados gratuitos: Google Cloud ofrece certificados SSL gratuitos con validación automática
[12:36] Tiempo de aprovisionamiento: Los certificados pueden tomar hasta 24 horas, pero típicamente 15 minutos
[13:28] Última clase técnica: Esta fue la clase final del módulo técnico para Google Cloud Associate Engineer

Datos principales

[5:42] Rangos IP para health checks: Dos rangos específicos de IP que deben configurarse en firewall
[8:58] Dominio de ejemplo: web.platzi-training.com
[9:45] Puerto de servicio: Puerto 80 para NGINX
[11:51] IP del balanceador: IP pública generada automáticamente que debe configurarse en DNS

Comentarios

Boris Turcios

student•

================================================================================
⚖️ CONFIGURACIÓN DE BALANCEADORES DE CARGA HTTP/HTTPS - GOOGLE CLOUD
================================================================================

🎯 OBJETIVO DE LA CLASE
================================================================================
Implementar y configurar balanceadores de carga HTTPS globales en GCP,
incluyendo certificados SSL automáticos, grupos de instancias, reglas de
firewall, health checks e integración completa con servicios web.


🧠 CONCEPTOS CLAVE CON MNEMOTECNIA
================================================================================

⚖️ LOAD BALANCER (Balanceador de Carga)
--------------------------------------------------------------------------------
Mnemotecnia: "LB = Libertad de Balancear"

🌍 Distribuye tráfico entre múltiples servidores
🎯 Asegura alta disponibilidad y escalabilidad
🏋️ "Reparte el peso" entre varias VMs para que ninguna se sobrecargue
🔄 Si una VM falla, redirige el tráfico automáticamente

💡 REGLA DE ORO:
   HTTPS = GLOBAL (para tráfico web estándar)
   TCP/UDP = REGIONAL (para puertos no estándar)


🌐 TIPOS DE BALANCEADORES
--------------------------------------------------------------------------------
Mnemotecnia: "HTTPS = Hiper Tráfico Terrestre Para Sitios"

GLOBALES (🌍 Alcanzan todo el mundo):
   ✅ HTTP/HTTPS Load Balancer (EL MÁS USADO para web)
   ✅ SSL Proxy
   ✅ TCP Proxy
   
REGIONALES (🏘️ Solo en una región):
   ✅ Network Load Balancer (TCP/UDP)
   ⚠️ Úsalo solo si necesitas puertos diferentes a 80, 443 u 8080


🏗️ ARQUITECTURA DEL BALANCEADOR
--------------------------------------------------------------------------------
Mnemotecnia: "FPRB = Flujo Por Ruta de Backend"

Flujo de tráfico:
   👤 Usuario
      ⬇️
   🌍 IP Frontal (IP Anycast pública)
      ⬇️
   📋 Reglas de Reenvío (Forwarding Rules)
      ⬇️
   🔄 Proxy (enruta según reglas)
      ⬇️
   📦 Servicios de Backend (Backend Services)
      ⬇️
   👥 Grupos de Instancias (Instance Groups)
      ⬇️
   💻 VMs individuales


🏥 HEALTH CHECKS (Verificaciones de Salud)
--------------------------------------------------------------------------------
Mnemotecnia: "HC = Hospital Constante"

🔍 Google envía "sondas" periódicas a tus VMs
✅ Si responde HTTP 200 OK → HEALTHY (recibe tráfico)
❌ Si falla → UNHEALTHY (NO recibe tráfico)

📊 RANGOS IP CRÍTICOS (¡MUY IMPORTANTE PARA EXAMEN!):
   35.191.0.0/16
   130.211.0.0/22
   
   ⚠️ DEBES permitir estos rangos en firewall o tus VMs aparecerán como
      "no saludables" aunque funcionen bien

🎛️ CONFIGURACIÓN DE HEALTH CHECK:
   ⏱️ Intervalo: Cada cuánto se prueba (ej: 5 seg)
   ⏳ Timeout: Tiempo máximo de espera
   ✅ Healthy Threshold: Éxitos necesarios para "revivir" (ej: 2)
   ❌ Unhealthy Threshold: Fallos para marcar como "caída" (ej: 2)


🔒 CERTIFICADOS SSL AUTOMÁTICOS
--------------------------------------------------------------------------------
Mnemotecnia: "SSL = Seguridad Sin Lío"

🆓 GRATIS (como Let's Encrypt)
🔄 Se renuevan AUTOMÁTICAMENTE
⏱️ Primera emisión: 15 min a 24 horas (típicamente 15 min)
🌐 Necesitas un dominio apuntando a la IP del balanceador
✅ Google valida automáticamente que controlas el dominio


🛡️ CLOUD ARMOR (WAF)
--------------------------------------------------------------------------------
Mnemotecnia: "Armor = Armadura contra Ataques"

🔥 Web Application Firewall integrable
🚫 Bloquea IPs maliciosas
🛡️ Protege contra ataques comunes (SQL injection, XSS)
📊 Se puede integrar directamente al balanceador


👥 INSTANCE GROUPS (Grupos de Instancias)
--------------------------------------------------------------------------------
Mnemotecnia: "IG = Instancias Grupales"

📦 Agrupación OBLIGATORIA de VMs para balanceadores HTTPS
🔧 Tipos:
   - Managed: Google gestiona automáticamente
   - Unmanaged: Control manual

⚠️ NO puedes apuntar un balanceador global a una VM suelta


🔑 PALABRAS CLAVE IMPORTANTES
================================================================================

Load Balancer ⚖️        Distribuidor de tráfico entre servidores
HTTPS 🔒                 Protocolo seguro web (puerto 443)
Instance Group 👥       Agrupación de VMs
Health Check 🏥         Verificación de estado de VMs
Frontend 🌍             Parte que recibe tráfico del usuario
Backend 📦              Servidores que procesan las peticiones
Firewall Rules 🔥       Reglas de acceso de red
SSL Certificate 🔐      Certificado de seguridad HTTPS
DNS Records 📝          Registros que apuntan dominio a IP
NGINX 🌐                Servidor web popular
Cloud Armor 🛡️         WAF de Google Cloud
Anycast IP 🌍           IP que redirige al servidor más cercano
Proxy 🔄                Intermediario que enruta tráfico


⏱️ LÍNEA DE TIEMPO DEL VIDEO
================================================================================

00:00 - 00:17  🎬 Introducción a balanceadores de carga
00:18 - 00:31  🌍 Balanceadores globales vs regionales
00:32 - 01:05  📊 Tipos de balanceadores (HTTPS más usado)
01:06 - 01:09  ⚠️ Cuándo usar balanceadores regionales
01:10 - 02:07  🏗️ Componentes del balanceador (arquitectura)
02:08 - 03:27  🛡️ Funcionalidades: WAF, CDN, certificados
03:28 - 04:30  👥 Instance Groups (requisito obligatorio)
04:31 - 05:19  💻 Demo: Instalación de NGINX
05:20 - 05:36  🏥 Concepto de Health Checks
05:37 - 05:41  📊 Rangos IP de Google para health checks
05:42 - 06:30  🔥 Configuración de reglas de firewall
06:31 - 07:45  🔧 Creación de Instance Group
07:46 - 08:42  ⚙️ Configuración del balanceador (paso a paso)
08:43 - 08:57  🔒 Certificados SSL gratuitos de Google
08:58 - 09:44  🌐 Configuración de dominio
09:45 - 10:59  📦 Configuración de Backend Service
10:00 - 11:01  🌐 Cloud CDN (opcional)
11:02 - 11:50  📋 Reglas de enrutamiento (paths y dominios)
11:51 - 12:35  📝 IP del balanceador y configuración DNS
12:36 - 13:27  ⏳ Tiempo de aprovisionamiento (certificados)
13:28 - FIN    ✅ Última clase técnica del curso


📊 DATOS IMPORTANTES A RECORDAR
================================================================================

🔢 NÚMEROS CLAVE
--------------------------------------------------------------------------------
80, 443, 8080     Puertos estándar para balanceadores HTTPS
35.191.0.0/16     Primer rango IP para health checks
130.211.0.0/22    Segundo rango IP para health checks
15 minutos        Tiempo típico emisión certificado SSL (máx 24h)
Puerto 80         Puerto de NGINX en el ejemplo


⚠️ HECHOS CRÍTICOS
--------------------------------------------------------------------------------
✅ HTTPS es el balanceador MÁS USADO para tráfico web
✅ Los certificados SSL de Google son GRATUITOS
✅ Health checks requieren rangos IP específicos en firewall
✅ Instance Groups son OBLIGATORIOS para balanceadores globales
✅ Los certificados pueden tardar hasta 24h (típicamente 15 min)
✅ Esta fue la ÚLTIMA clase técnica del curso


🎯 HABILIDADES DESARROLLADAS
================================================================================

✅ Configurar balanceadores de carga HTTPS globales
✅ Gestionar certificados SSL automáticos
✅ Crear y administrar Instance Groups
✅ Configurar reglas de firewall para health checks
✅ Integrar DNS con balanceadores
✅ Instalar y configurar servicios web (NGINX)


🧩 MAPA MENTAL PARA REPASO
================================================================================

                    ⚖️ LOAD BALANCER HTTPS
                           |
        ┌──────────────────┼──────────────────┐
        |                  |                  |
    🌍 FRONTEND      📦 BACKEND          🔒 SEGURIDAD
        |                  |                  |
   IP Anycast       Instance Groups      SSL Certs
   Reglas FW        Health Checks        Cloud Armor
   DNS Config       NGINX/Servicios      Rangos IP
        |                  |                  |
    🌐 Global        🏥 Monitoreado       🆓 Gratis


🎓 RESUMEN EN 3 PUNTOS
================================================================================

1. Balanceadores HTTPS 🌍
   Globales para tráfico web, distribuyen carga entre múltiples VMs

2. Health Checks 🏥
   Verifican estado de VMs usando rangos IP específicos de Google
   (35.191.0.0/16 y 130.211.0.0/22)

3. SSL Automático 🔒
   Certificados gratuitos con renovación automática, similar a Let's Encrypt


💭 REPASO RÁPIDO - PREGÚNTATE
================================================================================

❓ ¿Cuáles son los rangos IP para health checks?
   → 35.191.0.0/16 y 130.211.0.0/22

❓ ¿Cuánto tiempo puede tardar un certificado SSL?
   → 15 minutos típicamente, máximo 24 horas

❓ ¿Qué tipo de balanceador es más usado para web?
   → HTTPS Load Balancer (Global)

❓ ¿Puedo apuntar un balanceador HTTPS directamente a una VM?
   → NO, necesitas un Instance Group

❓ ¿Los certificados SSL de Google son gratis?
   → SÍ, y se renuevan automáticamente

❓ ¿Cuándo uso un balanceador regional?
   → Para puertos diferentes a 80, 443 u 8080


🎯 COMPONENTES PRINCIPALES DEL BALANCEADOR
================================================================================

1. IP FRONTAL 🌍
   - IP pública Anycast
   - Recibe todo el tráfico de usuarios
   - Se configura en DNS

2. REGLAS DE REENVÍO 📋
   - Determinan cómo dirigir el tráfico
   - Configurables por path o dominio
   - Ejemplo: /api → Backend API, /web → Backend Web

3. BACKEND SERVICES 📦
   - Grupos de instancias que procesan peticiones
   - Tienen health checks asociados
   - Configuran balance de carga

4. INSTANCE GROUPS 👥
   - Conjuntos de VMs que ejecutan el servicio
   - Managed o Unmanaged
   - Escalan según demanda

5. HEALTH CHECKS 🏥
   - Verifican estado de cada instancia
   - Usan rangos IP 35.191.0.0/16 y 130.211.0.0/22
   - Determinan si VM recibe tráfico


🔧 CONFIGURACIÓN PRÁCTICA PASO A PASO
================================================================================

PASO 1: Preparar VMs
   1. Crear VMs con NGINX instalado
   2. Verificar que NGINX responde en puerto 80
   3. sudo systemctl start nginx

PASO 2: Configurar Firewall
   1. Crear regla permitiendo rangos health check
   2. Permitir tráfico desde 35.191.0.0/16
   3. Permitir tráfico desde 130.211.0.0/22

PASO 3: Crear Instance Group
   1. Agrupar VMs (managed o unmanaged)
   2. Especificar región/zona
   3. Definir puerto del servicio (80)

PASO 4: Configurar Backend Service
   1. Crear backend service
   2. Asociar instance group
   3. Configurar health check

PASO 5: Configurar Frontend
   1. Reservar IP pública
   2. Crear regla de reenvío
   3. Solicitar certificado SSL (automático)

PASO 6: Configurar DNS
   1. Apuntar dominio a IP del balanceador
   2. Tipo A: dominio.com → IP_BALANCEADOR
   3. Esperar propagación DNS

PASO 7: Verificar
   1. Esperar emisión de certificado (15 min - 24h)
   2. Probar acceso HTTPS
   3. Verificar health checks


🌟 FUNCIONALIDADES ADICIONALES
================================================================================

📡 CLOUD CDN
   - Red de distribución de contenido
   - Cachea contenido cerca de usuarios
   - Reduce latencia y costos

🛡️ CLOUD ARMOR (WAF)
   - Protección contra ataques web
   - Bloqueo de IPs maliciosas
   - Reglas personalizables

📊 REGLAS DE ENRUTAMIENTO
   - Por path: /api, /web, /admin
   - Por dominio: api.ejemplo.com, web.ejemplo.com
   - Múltiples backends posibles


🔄 FLUJO COMPLETO DE UNA PETICIÓN
================================================================================

1. 👤 Usuario escribe: https://web.platzi-training.com

2. 🌐 DNS resuelve a IP del balanceador (ej: 34.120.45.67)

3. 🌍 Tráfico llega a IP Anycast frontal del balanceador

4. 📋 Reglas de reenvío examinan la petición

5. 🔄 Proxy analiza path y dominio

6. 📦 Envía a Backend Service correspondiente

7. 🏥 Health Check verifica qué VMs están saludables

8. ⚖️ Algoritmo de balance elige una VM específica

9. 💻 VM procesa la petición

10. ⬅️ Respuesta vuelve al usuario por mismo camino


✨ TIPS FINALES
================================================================================

"El balanceador es como un director de tráfico: decide a qué servidor
enviar cada usuario para que ninguno se sature" 🚦⚖️

"Health checks son el corazón del balanceador: sin ellos, podría enviar
tráfico a servidores caídos" 💓🏥

"Certificados SSL automáticos = seguridad gratis, pero necesitas paciencia
para la primera emisión" 🔒⏱️


💡 PREGUNTAS DE EXAMEN COMUNES
================================================================================

P: ¿Qué rangos IP debo permitir para health checks?
R: 35.191.0.0/16 y 130.211.0.0/22

P: ¿Puedo usar un balanceador HTTPS sin Instance Group?
R: NO, los instance groups son obligatorios

P: ¿Los certificados SSL de Google caducan?
R: NO, se renuevan automáticamente

P: ¿Cuándo debo usar un balanceador regional?
R: Para puertos no estándar (≠ 80, 443, 8080) o tráfico UDP puro

P: ¿Qué es Cloud Armor?
R: Un WAF (Web Application Firewall) para proteger contra ataques web


================================================================================
FIN DEL RESUMEN - Clase 29 de 31
Curso: Google Associate Cloud Engineer Certification
Tema: Configuración de balanceadores de carga HTTP/HTTPS
ÚLTIMA CLASE TÉCNICA DEL CURSO ✅
================================================================================

William Schnaider Torres Bermon

student•

Seguridad y Certificados SSL

Certificados Gestionados: Google ofrece certificados SSL gratuitos (similares a Let's Encrypt). Se renuevan automáticamente, pero la primera emisión puede tardar desde 15 minutos hasta 24 horas.
Cloud Armor: Funciona como un WAF (Web Application Firewall) que se puede integrar al balanceador para bloquear ataques comunes o IPs maliciosas.

William Schnaider Torres Bermon

student•

Health Checks (Profundización Técnica)

Basado en la clase y complementado con la documentación oficial de Google Cloud.

El Health Check (verificación de estado) es el mecanismo que decide si una instancia puede recibir tráfico. Si falla, el balanceador deja de enviarle usuarios.

¿Cómo funciona? Google Cloud envía "sondas" (probes) periódicas a tus instancias. Si la instancia responde con éxito (ej. HTTP 200 OK), se marca como HEALTHY.
Rangos de IP Críticos (Pregunta de Examen): El tráfico de estas sondas no viene de la IP del balanceador ni de tu propia red, viene de rangos reservados de Google. Debes crear una regla de firewall que permita el tráfico de entrada ("Ingress") desde:
- 35.191.0.0/16
- 130.211.0.0/22
- Nota: Si bloqueas estas IPs, tus instancias aparecerán como "Unhealthy" aunque funcionen bien.
Criterios de Éxito y Fracaso:
- Intervalo: Cada cuánto tiempo se hace la prueba (ej. 5 seg).
- Timeout: Tiempo máximo de espera para recibir respuesta.
- Healthy Threshold: Cuántos éxitos seguidos se necesitan para considerar que la instancia "revivió" (ej. 2 éxitos).
- Unhealthy Threshold: Cuántos fallos seguidos se necesitan para marcar la instancia como caída (ej. 2 fallos).

William Schnaider Torres Bermon

student•

Requisitos de Configuración

Para que un balanceador HTTPS funcione correctamente, se necesita una estructura específica:

Instance Groups (Grupos de Instancias): No puedes apuntar un balanceador global a una VM suelta; las VMs deben estar agrupadas (Managed o Unmanaged).
Servicios Web: En el ejemplo práctico se utiliza NGINX escuchando en el puerto 80.

William Schnaider Torres Bermon

student•

Tipos de Balanceadores y Arquitectura

Es fundamental distinguir el alcance del balanceador según el protocolo:

Globales (HTTP/HTTPS, SSL Proxy, TCP Proxy): Distribuyen el tráfico a la región más cercana al usuario. Son los más usados para web.
Regionales (Network TCP/UDP): Se utilizan cuando se requiere pasar tráfico en puertos no estándar (diferentes a 80, 443 o 8080) o para tráfico UDP puro.

Componentes clave del flujo: Usuario -> IP Frontal (Anycast) -> Reglas de Reenvío -> Proxy -> Servicios de Backend -> Grupos de Instancias

================================================================================
⚖️ CONFIGURACIÓN DE BALANCEADORES DE CARGA HTTP/HTTPS - GOOGLE CLOUD
================================================================================

🎯 OBJETIVO DE LA CLASE
================================================================================
Implementar y configurar balanceadores de carga HTTPS globales en GCP,
incluyendo certificados SSL automáticos, grupos de instancias, reglas de
firewall, health checks e integración completa con servicios web.


🧠 CONCEPTOS CLAVE CON MNEMOTECNIA
================================================================================

⚖️ LOAD BALANCER (Balanceador de Carga)
--------------------------------------------------------------------------------
Mnemotecnia: "LB = Libertad de Balancear"

🌍 Distribuye tráfico entre múltiples servidores
🎯 Asegura alta disponibilidad y escalabilidad
🏋️ "Reparte el peso" entre varias VMs para que ninguna se sobrecargue
🔄 Si una VM falla, redirige el tráfico automáticamente

💡 REGLA DE ORO:
   HTTPS = GLOBAL (para tráfico web estándar)
   TCP/UDP = REGIONAL (para puertos no estándar)


🌐 TIPOS DE BALANCEADORES
--------------------------------------------------------------------------------
Mnemotecnia: "HTTPS = Hiper Tráfico Terrestre Para Sitios"

GLOBALES (🌍 Alcanzan todo el mundo):
   ✅ HTTP/HTTPS Load Balancer (EL MÁS USADO para web)
   ✅ SSL Proxy
   ✅ TCP Proxy
   
REGIONALES (🏘️ Solo en una región):
   ✅ Network Load Balancer (TCP/UDP)
   ⚠️ Úsalo solo si necesitas puertos diferentes a 80, 443 u 8080


🏗️ ARQUITECTURA DEL BALANCEADOR
--------------------------------------------------------------------------------
Mnemotecnia: "FPRB = Flujo Por Ruta de Backend"

Flujo de tráfico:
   👤 Usuario
      ⬇️
   🌍 IP Frontal (IP Anycast pública)
      ⬇️
   📋 Reglas de Reenvío (Forwarding Rules)
      ⬇️
   🔄 Proxy (enruta según reglas)
      ⬇️
   📦 Servicios de Backend (Backend Services)
      ⬇️
   👥 Grupos de Instancias (Instance Groups)
      ⬇️
   💻 VMs individuales


🏥 HEALTH CHECKS (Verificaciones de Salud)
--------------------------------------------------------------------------------
Mnemotecnia: "HC = Hospital Constante"

🔍 Google envía "sondas" periódicas a tus VMs
✅ Si responde HTTP 200 OK → HEALTHY (recibe tráfico)
❌ Si falla → UNHEALTHY (NO recibe tráfico)

📊 RANGOS IP CRÍTICOS (¡MUY IMPORTANTE PARA EXAMEN!):
   35.191.0.0/16
   130.211.0.0/22
   
   ⚠️ DEBES permitir estos rangos en firewall o tus VMs aparecerán como
      "no saludables" aunque funcionen bien

🎛️ CONFIGURACIÓN DE HEALTH CHECK:
   ⏱️ Intervalo: Cada cuánto se prueba (ej: 5 seg)
   ⏳ Timeout: Tiempo máximo de espera
   ✅ Healthy Threshold: Éxitos necesarios para "revivir" (ej: 2)
   ❌ Unhealthy Threshold: Fallos para marcar como "caída" (ej: 2)


🔒 CERTIFICADOS SSL AUTOMÁTICOS
--------------------------------------------------------------------------------
Mnemotecnia: "SSL = Seguridad Sin Lío"

🆓 GRATIS (como Let's Encrypt)
🔄 Se renuevan AUTOMÁTICAMENTE
⏱️ Primera emisión: 15 min a 24 horas (típicamente 15 min)
🌐 Necesitas un dominio apuntando a la IP del balanceador
✅ Google valida automáticamente que controlas el dominio


🛡️ CLOUD ARMOR (WAF)
--------------------------------------------------------------------------------
Mnemotecnia: "Armor = Armadura contra Ataques"

🔥 Web Application Firewall integrable
🚫 Bloquea IPs maliciosas
🛡️ Protege contra ataques comunes (SQL injection, XSS)
📊 Se puede integrar directamente al balanceador


👥 INSTANCE GROUPS (Grupos de Instancias)
--------------------------------------------------------------------------------
Mnemotecnia: "IG = Instancias Grupales"

📦 Agrupación OBLIGATORIA de VMs para balanceadores HTTPS
🔧 Tipos:
   - Managed: Google gestiona automáticamente
   - Unmanaged: Control manual

⚠️ NO puedes apuntar un balanceador global a una VM suelta


🔑 PALABRAS CLAVE IMPORTANTES
================================================================================

Load Balancer ⚖️        Distribuidor de tráfico entre servidores
HTTPS 🔒                 Protocolo seguro web (puerto 443)
Instance Group 👥       Agrupación de VMs
Health Check 🏥         Verificación de estado de VMs
Frontend 🌍             Parte que recibe tráfico del usuario
Backend 📦              Servidores que procesan las peticiones
Firewall Rules 🔥       Reglas de acceso de red
SSL Certificate 🔐      Certificado de seguridad HTTPS
DNS Records 📝          Registros que apuntan dominio a IP
NGINX 🌐                Servidor web popular
Cloud Armor 🛡️         WAF de Google Cloud
Anycast IP 🌍           IP que redirige al servidor más cercano
Proxy 🔄                Intermediario que enruta tráfico


⏱️ LÍNEA DE TIEMPO DEL VIDEO
================================================================================

00:00 - 00:17  🎬 Introducción a balanceadores de carga
00:18 - 00:31  🌍 Balanceadores globales vs regionales
00:32 - 01:05  📊 Tipos de balanceadores (HTTPS más usado)
01:06 - 01:09  ⚠️ Cuándo usar balanceadores regionales
01:10 - 02:07  🏗️ Componentes del balanceador (arquitectura)
02:08 - 03:27  🛡️ Funcionalidades: WAF, CDN, certificados
03:28 - 04:30  👥 Instance Groups (requisito obligatorio)
04:31 - 05:19  💻 Demo: Instalación de NGINX
05:20 - 05:36  🏥 Concepto de Health Checks
05:37 - 05:41  📊 Rangos IP de Google para health checks
05:42 - 06:30  🔥 Configuración de reglas de firewall
06:31 - 07:45  🔧 Creación de Instance Group
07:46 - 08:42  ⚙️ Configuración del balanceador (paso a paso)
08:43 - 08:57  🔒 Certificados SSL gratuitos de Google
08:58 - 09:44  🌐 Configuración de dominio
09:45 - 10:59  📦 Configuración de Backend Service
10:00 - 11:01  🌐 Cloud CDN (opcional)
11:02 - 11:50  📋 Reglas de enrutamiento (paths y dominios)
11:51 - 12:35  📝 IP del balanceador y configuración DNS
12:36 - 13:27  ⏳ Tiempo de aprovisionamiento (certificados)
13:28 - FIN    ✅ Última clase técnica del curso


📊 DATOS IMPORTANTES A RECORDAR
================================================================================

🔢 NÚMEROS CLAVE
--------------------------------------------------------------------------------
80, 443, 8080     Puertos estándar para balanceadores HTTPS
35.191.0.0/16     Primer rango IP para health checks
130.211.0.0/22    Segundo rango IP para health checks
15 minutos        Tiempo típico emisión certificado SSL (máx 24h)
Puerto 80         Puerto de NGINX en el ejemplo


⚠️ HECHOS CRÍTICOS
--------------------------------------------------------------------------------
✅ HTTPS es el balanceador MÁS USADO para tráfico web
✅ Los certificados SSL de Google son GRATUITOS
✅ Health checks requieren rangos IP específicos en firewall
✅ Instance Groups son OBLIGATORIOS para balanceadores globales
✅ Los certificados pueden tardar hasta 24h (típicamente 15 min)
✅ Esta fue la ÚLTIMA clase técnica del curso


🎯 HABILIDADES DESARROLLADAS
================================================================================

✅ Configurar balanceadores de carga HTTPS globales
✅ Gestionar certificados SSL automáticos
✅ Crear y administrar Instance Groups
✅ Configurar reglas de firewall para health checks
✅ Integrar DNS con balanceadores
✅ Instalar y configurar servicios web (NGINX)


🧩 MAPA MENTAL PARA REPASO
================================================================================

                    ⚖️ LOAD BALANCER HTTPS
                           |
        ┌──────────────────┼──────────────────┐
        |                  |                  |
    🌍 FRONTEND      📦 BACKEND          🔒 SEGURIDAD
        |                  |                  |
   IP Anycast       Instance Groups      SSL Certs
   Reglas FW        Health Checks        Cloud Armor
   DNS Config       NGINX/Servicios      Rangos IP
        |                  |                  |
    🌐 Global        🏥 Monitoreado       🆓 Gratis


🎓 RESUMEN EN 3 PUNTOS
================================================================================

1. Balanceadores HTTPS 🌍
   Globales para tráfico web, distribuyen carga entre múltiples VMs

2. Health Checks 🏥
   Verifican estado de VMs usando rangos IP específicos de Google
   (35.191.0.0/16 y 130.211.0.0/22)

3. SSL Automático 🔒
   Certificados gratuitos con renovación automática, similar a Let's Encrypt


💭 REPASO RÁPIDO - PREGÚNTATE
================================================================================

❓ ¿Cuáles son los rangos IP para health checks?
   → 35.191.0.0/16 y 130.211.0.0/22

❓ ¿Cuánto tiempo puede tardar un certificado SSL?
   → 15 minutos típicamente, máximo 24 horas

❓ ¿Qué tipo de balanceador es más usado para web?
   → HTTPS Load Balancer (Global)

❓ ¿Puedo apuntar un balanceador HTTPS directamente a una VM?
   → NO, necesitas un Instance Group

❓ ¿Los certificados SSL de Google son gratis?
   → SÍ, y se renuevan automáticamente

❓ ¿Cuándo uso un balanceador regional?
   → Para puertos diferentes a 80, 443 u 8080


🎯 COMPONENTES PRINCIPALES DEL BALANCEADOR
================================================================================

1. IP FRONTAL 🌍
   - IP pública Anycast
   - Recibe todo el tráfico de usuarios
   - Se configura en DNS

2. REGLAS DE REENVÍO 📋
   - Determinan cómo dirigir el tráfico
   - Configurables por path o dominio
   - Ejemplo: /api → Backend API, /web → Backend Web

3. BACKEND SERVICES 📦
   - Grupos de instancias que procesan peticiones
   - Tienen health checks asociados
   - Configuran balance de carga

4. INSTANCE GROUPS 👥
   - Conjuntos de VMs que ejecutan el servicio
   - Managed o Unmanaged
   - Escalan según demanda

5. HEALTH CHECKS 🏥
   - Verifican estado de cada instancia
   - Usan rangos IP 35.191.0.0/16 y 130.211.0.0/22
   - Determinan si VM recibe tráfico


🔧 CONFIGURACIÓN PRÁCTICA PASO A PASO
================================================================================

PASO 1: Preparar VMs
   1. Crear VMs con NGINX instalado
   2. Verificar que NGINX responde en puerto 80
   3. sudo systemctl start nginx

PASO 2: Configurar Firewall
   1. Crear regla permitiendo rangos health check
   2. Permitir tráfico desde 35.191.0.0/16
   3. Permitir tráfico desde 130.211.0.0/22

PASO 3: Crear Instance Group
   1. Agrupar VMs (managed o unmanaged)
   2. Especificar región/zona
   3. Definir puerto del servicio (80)

PASO 4: Configurar Backend Service
   1. Crear backend service
   2. Asociar instance group
   3. Configurar health check

PASO 5: Configurar Frontend
   1. Reservar IP pública
   2. Crear regla de reenvío
   3. Solicitar certificado SSL (automático)

PASO 6: Configurar DNS
   1. Apuntar dominio a IP del balanceador
   2. Tipo A: dominio.com → IP_BALANCEADOR
   3. Esperar propagación DNS

PASO 7: Verificar
   1. Esperar emisión de certificado (15 min - 24h)
   2. Probar acceso HTTPS
   3. Verificar health checks


🌟 FUNCIONALIDADES ADICIONALES
================================================================================

📡 CLOUD CDN
   - Red de distribución de contenido
   - Cachea contenido cerca de usuarios
   - Reduce latencia y costos

🛡️ CLOUD ARMOR (WAF)
   - Protección contra ataques web
   - Bloqueo de IPs maliciosas
   - Reglas personalizables

📊 REGLAS DE ENRUTAMIENTO
   - Por path: /api, /web, /admin
   - Por dominio: api.ejemplo.com, web.ejemplo.com
   - Múltiples backends posibles


🔄 FLUJO COMPLETO DE UNA PETICIÓN
================================================================================

1. 👤 Usuario escribe: https://web.platzi-training.com

2. 🌐 DNS resuelve a IP del balanceador (ej: 34.120.45.67)

3. 🌍 Tráfico llega a IP Anycast frontal del balanceador

4. 📋 Reglas de reenvío examinan la petición

5. 🔄 Proxy analiza path y dominio

6. 📦 Envía a Backend Service correspondiente

7. 🏥 Health Check verifica qué VMs están saludables

8. ⚖️ Algoritmo de balance elige una VM específica

9. 💻 VM procesa la petición

10. ⬅️ Respuesta vuelve al usuario por mismo camino


✨ TIPS FINALES
================================================================================

"El balanceador es como un director de tráfico: decide a qué servidor
enviar cada usuario para que ninguno se sature" 🚦⚖️

"Health checks son el corazón del balanceador: sin ellos, podría enviar
tráfico a servidores caídos" 💓🏥

"Certificados SSL automáticos = seguridad gratis, pero necesitas paciencia
para la primera emisión" 🔒⏱️


💡 PREGUNTAS DE EXAMEN COMUNES
================================================================================

P: ¿Qué rangos IP debo permitir para health checks?
R: 35.191.0.0/16 y 130.211.0.0/22

P: ¿Puedo usar un balanceador HTTPS sin Instance Group?
R: NO, los instance groups son obligatorios

P: ¿Los certificados SSL de Google caducan?
R: NO, se renuevan automáticamente

P: ¿Cuándo debo usar un balanceador regional?
R: Para puertos no estándar (≠ 80, 443, 8080) o tráfico UDP puro

P: ¿Qué es Cloud Armor?
R: Un WAF (Web Application Firewall) para proteger contra ataques web


================================================================================
FIN DEL RESUMEN - Clase 29 de 31
Curso: Google Associate Cloud Engineer Certification
Tema: Configuración de balanceadores de carga HTTP/HTTPS
ÚLTIMA CLASE TÉCNICA DEL CURSO ✅
================================================================================

Configuración de balanceadores de carga HTTP/HTTPS en Google Cloud

Introducción y Fundamentos de Google Cloud

Certificación Google Cloud Associate Engineer

Introducción a Google Cloud Platform y su consola de administración

Regiones y zonas de disponibilidad en Google Cloud

Tipos de cuentas de facturación en Google Cloud

Herramientas para interactuar con Google Cloud Platform

Estructura y herramientas básicas de Google Cloud Platform

Configuración de un Entorno de GCP

Configuración de organizaciones en Google Cloud con Cloud Identity

Creación de carpetas y permisos en Google Cloud Platform

Creación de proyectos y cuentas de facturación en Google Cloud

Instalación y configuración de Google Cloud CLI en Windows

Configuración inicial de Google Cloud y G Cloud CLI

Gestión de Identidad y Acceso (IAM)

Creación de cuentas de servicio y grupos en Google Cloud IAM

Tipos de roles y permisos en Google Cloud Platform

Cuentas de servicio en Google Cloud: creación y autenticación

Miembros, roles y permisos en Google Cloud Platform

Aprovisionamiento y Gestión de Recursos de Computo

Creación de máquinas virtuales con Google Compute Engine

Tipos de discos persistentes y snapshots en Google Cloud

Creación y configuración de máquinas virtuales en la nube

Trabajo con Kubernetes Engine (GKE)

Diferencias entre contenedores y máquinas virtuales

Creación y configuración de clusters en Google Kubernetes Engine

Comandos de kubectl para administrar clusters de Kubernetes

Kubernetes en Google Cloud: comandos básicos y tipos de cluster

Servicios de Almacenamiento y Bases de Datos

Configuración de buckets en Google Cloud Storage

Creación de instancia MySQL en Cloud SQL de Google Cloud

Resumen de Cloud Storage y Cloud SQL en Google Cloud

Redes en Google Cloud

Redes VPC y subredes regionales en Google Cloud Platform

Configuración de reglas de firewall y rutas en Google Cloud VPC

Conectividad segura de redes VPC con Cloud NAT en Google Cloud

Configuración de balanceadores de carga HTTP/HTTPS en Google Cloud

Configuración completa de redes VPC en Google Cloud

Preparación para el Examen

Preparación para el examen Google Cloud Associate Engineer