Contenido del curso
Balanceador HTTPS con certificado en Google Cloud
Configurar un balanceador de carga en Google Cloud es la forma recomendada para exponer tráfico hacia Internet siguiendo buenas prácticas. Aquí descubrirás qué tipos existen, qué componentes necesitas y cómo desplegar uno HTTPS funcional con certificado gestionado por Google, ideal si te preparas para la certificación Google Cloud Associate Engineer.
Qué tipos de balanceadores de carga existen en Google Cloud
Google Cloud divide sus balanceadores en dos grandes grupos según el alcance del tráfico que manejan.
En el grupo de balanceo global encontrarás el más utilizado de todos: el HTTPS, donde puedes configurar certificados SSL. También están el proxy SSL y el proxy TCP, pensados para escenarios específicos de tráfico cifrado o de capa de transporte.
En el grupo de balanceadores regionales el tráfico solo se distribuye dentro de una misma región. Aquí entran los balanceadores TCP y UDP, que suelen usarse cuando el tráfico va por puertos distintos a 443 o 8080.
¿Cuándo uso un balanceador regional en lugar de uno global? Cuando tu tráfico se dirige a puertos específicos no estándar (distintos de 443 u 8080) y no necesitas distribuir carga entre regiones, como ocurre con servicios TCP o UDP.
Qué componentes debes configurar al crear un balanceador
Antes de armar el balanceador conviene tener claros sus cuatro pilares, porque cada uno cumple un rol distinto en el flujo del tráfico.
Además de balancear, estos servicios centralizan configuraciones clave como el WAF Cloud Armor, la generación automática de certificados y la redirección de dominios sin tocar el ingress de Kubernetes [01:50].
Cómo preparar el backend con Nginx y un instance group
El camino más sencillo para probar un balanceador es desplegar un servidor Nginx sobre una máquina virtual existente.
Desde Compute Engine entras a tu máquina por SSH e instalas el servidor con sudo apt install nginx. Una vez verificado que responde, necesitas agruparla, porque un balanceador HTTPS no acepta máquinas virtuales sueltas: deben pertenecer a un instance group [03:30].
Por qué elegir un Unmanaged Instance Group
Los grupos administrados crean y eliminan máquinas a partir de una imagen, comportamiento que aquí no necesitas. Selecciona New Unmanaged Instance Group, define la zona donde vive tu VM, escoge la red Platzi VPC, su subred y agrega la instancia Platzi.
Cómo abrir el firewall para los health checks
Los balanceadores de Google usan rangos de IP públicos específicos para validar la salud del backend. Sin esa regla, tu health check fallará aunque Nginx esté funcionando.
Crea una regla de firewall llamada Allow Google Health Check, dirección de entrada, tráfico permitido a todas las instancias de la red, y agrega los dos rangos de IP de origen que Google publica en su documentación. Define el puerto 80, que es por donde responde Nginx.
Cómo configurar un balanceador HTTPS con certificado gestionado
En la barra de búsqueda escribe load balancer y elige Crear balanceador de cargas de tipo HTTP/HTTPS, público, global y de aplicaciones. Llámalo Platzi Load Balancer.
Cómo configurar el frontend con HTTPS y certificado de Google
Nombra el frontend como Platzi-frontend y selecciona protocolo HTTPS con dirección IP efímera y puerto 443. Al crear un nuevo certificado llamado Platzi Cert, Google te ofrece su propia entidad certificadora de forma gratuita, similar a Let's Encrypt pero gestionada por Google [06:50].
Define el dominio, por ejemplo web.platzi-training.com. El certificado validará automáticamente contra la IP que el balanceador genere, así que ese registro DNS deberá apuntar correctamente para que la emisión funcione.
Cómo enlazar el backend y la verificación de estado
Crea un servicio de backend llamado simplemente Backend sobre un grupo de instancias con protocolo HTTP en el puerto 80. Cloud CDN puede quedar deshabilitado por ahora.
Agrega una verificación de estado healthcheck-tcp-80, que enviará solicitudes periódicas para confirmar que Nginx responde. Si el nombre de la política de seguridad da error, recórtalo: tiene un límite de longitud.
¿Para qué sirve un health check en un balanceador? Comprueba periódicamente que cada backend responde correctamente, retirando del balanceo cualquier instancia que falle hasta que vuelva a estar saludable.
Cómo apuntar tu dominio y validar el certificado
Una vez creado el balanceador, copia la IP pública que se generó y crea un registro tipo A en tu proveedor DNS, por ejemplo GoDaddy, con el subdominio Web apuntando a esa IP.
El certificado aparecerá en estado Aprovisionando mientras Google verifica que el dominio resuelve a la IP del balanceador. El proceso puede tardar hasta 24 horas, aunque el promedio ronda los 15 minutos [10:30]. Cuando pase a estado activo, abre el dominio por HTTPS y verás Nginx respondiendo con tráfico cifrado.
¿Por qué tarda tanto en activarse el certificado de Google? Porque la entidad certificadora valida que tu dominio realmente apunte a la IP del balanceador, y la propagación DNS más la verificación pueden demorar entre 15 minutos y 24 horas.
Si ves errores al inicio, ten paciencia: la replicación del DNS y la emisión del certificado no son inmediatas. ¿Ya configuraste tu primer balanceador HTTPS? Cuéntame en los comentarios qué backend conectaste.
Boris Turcios
Estudiante
William Schnaider Torres Bermon
EstudianteWilliam Schnaider Torres Bermon
EstudianteWilliam Schnaider Torres Bermon
EstudianteWilliam Schnaider Torres Bermon
Estudiante================================================================================ ⚖️ CONFIGURACIÓN DE BALANCEADORES DE CARGA HTTP/HTTPS - GOOGLE CLOUD ================================================================================ 🎯 OBJETIVO DE LA CLASE ================================================================================ Implementar y configurar balanceadores de carga HTTPS globales en GCP, incluyendo certificados SSL automáticos, grupos de instancias, reglas de firewall, health checks e integración completa con servicios web. 🧠 CONCEPTOS CLAVE CON MNEMOTECNIA ================================================================================ ⚖️ LOAD BALANCER (Balanceador de Carga) -------------------------------------------------------------------------------- Mnemotecnia: "LB = Libertad de Balancear" 🌍 Distribuye tráfico entre múltiples servidores 🎯 Asegura alta disponibilidad y escalabilidad 🏋️ "Reparte el peso" entre varias VMs para que ninguna se sobrecargue 🔄 Si una VM falla, redirige el tráfico automáticamente 💡 REGLA DE ORO: HTTPS = GLOBAL (para tráfico web estándar) TCP/UDP = REGIONAL (para puertos no estándar) 🌐 TIPOS DE BALANCEADORES -------------------------------------------------------------------------------- Mnemotecnia: "HTTPS = Hiper Tráfico Terrestre Para Sitios" GLOBALES (🌍 Alcanzan todo el mundo): ✅ HTTP/HTTPS Load Balancer (EL MÁS USADO para web) ✅ SSL Proxy ✅ TCP Proxy REGIONALES (🏘️ Solo en una región): ✅ Network Load Balancer (TCP/UDP) ⚠️ Úsalo solo si necesitas puertos diferentes a 80, 443 u 8080 🏗️ ARQUITECTURA DEL BALANCEADOR -------------------------------------------------------------------------------- Mnemotecnia: "FPRB = Flujo Por Ruta de Backend" Flujo de tráfico: 👤 Usuario ⬇️ 🌍 IP Frontal (IP Anycast pública) ⬇️ 📋 Reglas de Reenvío (Forwarding Rules) ⬇️ 🔄 Proxy (enruta según reglas) ⬇️ 📦 Servicios de Backend (Backend Services) ⬇️ 👥 Grupos de Instancias (Instance Groups) ⬇️ 💻 VMs individuales 🏥 HEALTH CHECKS (Verificaciones de Salud) -------------------------------------------------------------------------------- Mnemotecnia: "HC = Hospital Constante" 🔍 Google envía "sondas" periódicas a tus VMs ✅ Si responde HTTP 200 OK → HEALTHY (recibe tráfico) ❌ Si falla → UNHEALTHY (NO recibe tráfico) 📊 RANGOS IP CRÍTICOS (¡MUY IMPORTANTE PARA EXAMEN!): 35.191.0.0/16 130.211.0.0/22 ⚠️ DEBES permitir estos rangos en firewall o tus VMs aparecerán como "no saludables" aunque funcionen bien 🎛️ CONFIGURACIÓN DE HEALTH CHECK: ⏱️ Intervalo: Cada cuánto se prueba (ej: 5 seg) ⏳ Timeout: Tiempo máximo de espera ✅ Healthy Threshold: Éxitos necesarios para "revivir" (ej: 2) ❌ Unhealthy Threshold: Fallos para marcar como "caída" (ej: 2) 🔒 CERTIFICADOS SSL AUTOMÁTICOS -------------------------------------------------------------------------------- Mnemotecnia: "SSL = Seguridad Sin Lío" 🆓 GRATIS (como Let's Encrypt) 🔄 Se renuevan AUTOMÁTICAMENTE ⏱️ Primera emisión: 15 min a 24 horas (típicamente 15 min) 🌐 Necesitas un dominio apuntando a la IP del balanceador ✅ Google valida automáticamente que controlas el dominio 🛡️ CLOUD ARMOR (WAF) -------------------------------------------------------------------------------- Mnemotecnia: "Armor = Armadura contra Ataques" 🔥 Web Application Firewall integrable 🚫 Bloquea IPs maliciosas 🛡️ Protege contra ataques comunes (SQL injection, XSS) 📊 Se puede integrar directamente al balanceador 👥 INSTANCE GROUPS (Grupos de Instancias) -------------------------------------------------------------------------------- Mnemotecnia: "IG = Instancias Grupales" 📦 Agrupación OBLIGATORIA de VMs para balanceadores HTTPS 🔧 Tipos: - Managed: Google gestiona automáticamente - Unmanaged: Control manual ⚠️ NO puedes apuntar un balanceador global a una VM suelta 🔑 PALABRAS CLAVE IMPORTANTES ================================================================================ Load Balancer ⚖️ Distribuidor de tráfico entre servidores HTTPS 🔒 Protocolo seguro web (puerto 443) Instance Group 👥 Agrupación de VMs Health Check 🏥 Verificación de estado de VMs Frontend 🌍 Parte que recibe tráfico del usuario Backend 📦 Servidores que procesan las peticiones Firewall Rules 🔥 Reglas de acceso de red SSL Certificate 🔐 Certificado de seguridad HTTPS DNS Records 📝 Registros que apuntan dominio a IP NGINX 🌐 Servidor web popular Cloud Armor 🛡️ WAF de Google Cloud Anycast IP 🌍 IP que redirige al servidor más cercano Proxy 🔄 Intermediario que enruta tráfico ⏱️ LÍNEA DE TIEMPO DEL VIDEO ================================================================================ 00:00 - 00:17 🎬 Introducción a balanceadores de carga 00:18 - 00:31 🌍 Balanceadores globales vs regionales 00:32 - 01:05 📊 Tipos de balanceadores (HTTPS más usado) 01:06 - 01:09 ⚠️ Cuándo usar balanceadores regionales 01:10 - 02:07 🏗️ Componentes del balanceador (arquitectura) 02:08 - 03:27 🛡️ Funcionalidades: WAF, CDN, certificados 03:28 - 04:30 👥 Instance Groups (requisito obligatorio) 04:31 - 05:19 💻 Demo: Instalación de NGINX 05:20 - 05:36 🏥 Concepto de Health Checks 05:37 - 05:41 📊 Rangos IP de Google para health checks 05:42 - 06:30 🔥 Configuración de reglas de firewall 06:31 - 07:45 🔧 Creación de Instance Group 07:46 - 08:42 ⚙️ Configuración del balanceador (paso a paso) 08:43 - 08:57 🔒 Certificados SSL gratuitos de Google 08:58 - 09:44 🌐 Configuración de dominio 09:45 - 10:59 📦 Configuración de Backend Service 10:00 - 11:01 🌐 Cloud CDN (opcional) 11:02 - 11:50 📋 Reglas de enrutamiento (paths y dominios) 11:51 - 12:35 📝 IP del balanceador y configuración DNS 12:36 - 13:27 ⏳ Tiempo de aprovisionamiento (certificados) 13:28 - FIN ✅ Última clase técnica del curso 📊 DATOS IMPORTANTES A RECORDAR ================================================================================ 🔢 NÚMEROS CLAVE -------------------------------------------------------------------------------- 80, 443, 8080 Puertos estándar para balanceadores HTTPS 35.191.0.0/16 Primer rango IP para health checks 130.211.0.0/22 Segundo rango IP para health checks 15 minutos Tiempo típico emisión certificado SSL (máx 24h) Puerto 80 Puerto de NGINX en el ejemplo ⚠️ HECHOS CRÍTICOS -------------------------------------------------------------------------------- ✅ HTTPS es el balanceador MÁS USADO para tráfico web ✅ Los certificados SSL de Google son GRATUITOS ✅ Health checks requieren rangos IP específicos en firewall ✅ Instance Groups son OBLIGATORIOS para balanceadores globales ✅ Los certificados pueden tardar hasta 24h (típicamente 15 min) ✅ Esta fue la ÚLTIMA clase técnica del curso 🎯 HABILIDADES DESARROLLADAS ================================================================================ ✅ Configurar balanceadores de carga HTTPS globales ✅ Gestionar certificados SSL automáticos ✅ Crear y administrar Instance Groups ✅ Configurar reglas de firewall para health checks ✅ Integrar DNS con balanceadores ✅ Instalar y configurar servicios web (NGINX) 🧩 MAPA MENTAL PARA REPASO ================================================================================ ⚖️ LOAD BALANCER HTTPS | ┌──────────────────┼──────────────────┐ | | | 🌍 FRONTEND 📦 BACKEND 🔒 SEGURIDAD | | | IP Anycast Instance Groups SSL Certs Reglas FW Health Checks Cloud Armor DNS Config NGINX/Servicios Rangos IP | | | 🌐 Global 🏥 Monitoreado 🆓 Gratis 🎓 RESUMEN EN 3 PUNTOS ================================================================================ 1. Balanceadores HTTPS 🌍 Globales para tráfico web, distribuyen carga entre múltiples VMs 2. Health Checks 🏥 Verifican estado de VMs usando rangos IP específicos de Google (35.191.0.0/16 y 130.211.0.0/22) 3. SSL Automático 🔒 Certificados gratuitos con renovación automática, similar a Let's Encrypt 💭 REPASO RÁPIDO - PREGÚNTATE ================================================================================ ❓ ¿Cuáles son los rangos IP para health checks? → 35.191.0.0/16 y 130.211.0.0/22 ❓ ¿Cuánto tiempo puede tardar un certificado SSL? → 15 minutos típicamente, máximo 24 horas ❓ ¿Qué tipo de balanceador es más usado para web? → HTTPS Load Balancer (Global) ❓ ¿Puedo apuntar un balanceador HTTPS directamente a una VM? → NO, necesitas un Instance Group ❓ ¿Los certificados SSL de Google son gratis? → SÍ, y se renuevan automáticamente ❓ ¿Cuándo uso un balanceador regional? → Para puertos diferentes a 80, 443 u 8080 🎯 COMPONENTES PRINCIPALES DEL BALANCEADOR ================================================================================ 1. IP FRONTAL 🌍 - IP pública Anycast - Recibe todo el tráfico de usuarios - Se configura en DNS 2. REGLAS DE REENVÍO 📋 - Determinan cómo dirigir el tráfico - Configurables por path o dominio - Ejemplo: /api → Backend API, /web → Backend Web 3. BACKEND SERVICES 📦 - Grupos de instancias que procesan peticiones - Tienen health checks asociados - Configuran balance de carga 4. INSTANCE GROUPS 👥 - Conjuntos de VMs que ejecutan el servicio - Managed o Unmanaged - Escalan según demanda 5. HEALTH CHECKS 🏥 - Verifican estado de cada instancia - Usan rangos IP 35.191.0.0/16 y 130.211.0.0/22 - Determinan si VM recibe tráfico 🔧 CONFIGURACIÓN PRÁCTICA PASO A PASO ================================================================================ PASO 1: Preparar VMs 1. Crear VMs con NGINX instalado 2. Verificar que NGINX responde en puerto 80 3. sudo systemctl start nginx PASO 2: Configurar Firewall 1. Crear regla permitiendo rangos health check 2. Permitir tráfico desde 35.191.0.0/16 3. Permitir tráfico desde 130.211.0.0/22 PASO 3: Crear Instance Group 1. Agrupar VMs (managed o unmanaged) 2. Especificar región/zona 3. Definir puerto del servicio (80) PASO 4: Configurar Backend Service 1. Crear backend service 2. Asociar instance group 3. Configurar health check PASO 5: Configurar Frontend 1. Reservar IP pública 2. Crear regla de reenvío 3. Solicitar certificado SSL (automático) PASO 6: Configurar DNS 1. Apuntar dominio a IP del balanceador 2. Tipo A: dominio.com → IP_BALANCEADOR 3. Esperar propagación DNS PASO 7: Verificar 1. Esperar emisión de certificado (15 min - 24h) 2. Probar acceso HTTPS 3. Verificar health checks 🌟 FUNCIONALIDADES ADICIONALES ================================================================================ 📡 CLOUD CDN - Red de distribución de contenido - Cachea contenido cerca de usuarios - Reduce latencia y costos 🛡️ CLOUD ARMOR (WAF) - Protección contra ataques web - Bloqueo de IPs maliciosas - Reglas personalizables 📊 REGLAS DE ENRUTAMIENTO - Por path: /api, /web, /admin - Por dominio: api.ejemplo.com, web.ejemplo.com - Múltiples backends posibles 🔄 FLUJO COMPLETO DE UNA PETICIÓN ================================================================================ 1. 👤 Usuario escribe: https://web.platzi-training.com 2. 🌐 DNS resuelve a IP del balanceador (ej: 34.120.45.67) 3. 🌍 Tráfico llega a IP Anycast frontal del balanceador 4. 📋 Reglas de reenvío examinan la petición 5. 🔄 Proxy analiza path y dominio 6. 📦 Envía a Backend Service correspondiente 7. 🏥 Health Check verifica qué VMs están saludables 8. ⚖️ Algoritmo de balance elige una VM específica 9. 💻 VM procesa la petición 10. ⬅️ Respuesta vuelve al usuario por mismo camino ✨ TIPS FINALES ================================================================================ "El balanceador es como un director de tráfico: decide a qué servidor enviar cada usuario para que ninguno se sature" 🚦⚖️ "Health checks son el corazón del balanceador: sin ellos, podría enviar tráfico a servidores caídos" 💓🏥 "Certificados SSL automáticos = seguridad gratis, pero necesitas paciencia para la primera emisión" 🔒⏱️ 💡 PREGUNTAS DE EXAMEN COMUNES ================================================================================ P: ¿Qué rangos IP debo permitir para health checks? R: 35.191.0.0/16 y 130.211.0.0/22 P: ¿Puedo usar un balanceador HTTPS sin Instance Group? R: NO, los instance groups son obligatorios P: ¿Los certificados SSL de Google caducan? R: NO, se renuevan automáticamente P: ¿Cuándo debo usar un balanceador regional? R: Para puertos no estándar (≠ 80, 443, 8080) o tráfico UDP puro P: ¿Qué es Cloud Armor? R: Un WAF (Web Application Firewall) para proteger contra ataques web ================================================================================ FIN DEL RESUMEN - Clase 29 de 31 Curso: Google Associate Cloud Engineer Certification Tema: Configuración de balanceadores de carga HTTP/HTTPS ÚLTIMA CLASE TÉCNICA DEL CURSO ✅ ================================================================================
Seguridad y Certificados SSL
Health Checks (Profundización Técnica)
Basado en la clase y complementado con la documentación oficial de Google Cloud.
El Health Check (verificación de estado) es el mecanismo que decide si una instancia puede recibir tráfico. Si falla, el balanceador deja de enviarle usuarios.
Requisitos de Configuración
Para que un balanceador HTTPS funcione correctamente, se necesita una estructura específica:
Tipos de Balanceadores y Arquitectura
Es fundamental distinguir el alcance del balanceador según el protocolo:
Componentes clave del flujo: Usuario -> IP Frontal (Anycast) -> Reglas de Reenvío -> Proxy -> Servicios de Backend -> Grupos de Instancias
