arrow_back

Équilibreur de charge HTTP avec Cloud Armor

Rejoindre Se connecter

Équilibreur de charge HTTP avec Cloud Armor

1 heure 1 crédit

GSP215

Google Cloud – Ateliers adaptés au rythme de chacun

Présentation

L'équilibrage de charge HTTP(S) Google Cloud est implémenté à la périphérie du réseau Google dans les points of presence (POP) de Google à travers le monde. Le trafic utilisateur dirigé vers un équilibreur de charge HTTP(S) entre dans le POP le plus proche de l'utilisateur. Ensuite, l'équilibrage de la charge sur le réseau mondial de Google permet d'acheminer le trafic jusqu'au backend le plus proche disposant d'une capacité suffisante.

Les listes d'autorisation/de blocage IP de Cloud Armor vous permettent de limiter ou d'autoriser l'accès à votre équilibreur de charge HTTP(S) à la périphérie de Google Cloud, aussi près que possible de l'utilisateur et du trafic malveillant. Cela permet d'empêcher les utilisateurs non légitimes ou le trafic malveillant de consommer des ressources et d'entrer dans vos réseaux VPC (cloud privé virtuel).

Dans cet atelier, vous allez configurer un équilibreur de charge HTTP avec des backends à travers le monde, comme illustré dans le schéma ci-dessous. Vous effectuerez ensuite un test de contrainte sur l'équilibreur de charge et ajouterez l'adresse IP associée à ce test à la liste de blocage Cloud Armor.

Schéma réseau illustrant l'équilibrage de charge

Objectifs

Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :

  • Créer des règles de pare-feu HTTP et de vérification d'état

  • Configurer deux modèles d'instance

  • Créer deux groupes d'instances gérés

  • Configurer un équilibreur de charge HTTP avec IPv4 et IPv6

  • Effectuer un test de contrainte sur un équilibreur de charge HTTP

  • Ajouter une adresse IP à la liste de blocage pour limiter l'accès à un équilibreur de charge HTTP

Prérequis

Avant de cliquer sur le bouton Start Lab (Démarrer l'atelier)

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Start Lab (Démarrer l'atelier), indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique Qwiklabs vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.

Conditions requises

Pour réaliser cet atelier, vous devez :

  • avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome) ;
  • disposer de suffisamment de temps pour réaliser l'atelier en une fois.

Remarque : Si vous possédez déjà votre propre compte ou projet Google Cloud, veillez à ne pas l'utiliser pour réaliser cet atelier.

Remarque : Si vous utilisez un appareil Chrome OS, exécutez cet atelier dans une fenêtre de navigation privée.

Démarrer l'atelier et se connecter à la console Google Cloud

  1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :

    • Le bouton Ouvrir la console Google
    • Le temps restant
    • Les identifiants temporaires que vous devez utiliser pour cet atelier
    • Des informations complémentaires vous permettant d'effectuer l'atelier

  2. Cliquez sur Ouvrir la console Google. L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.

    Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

    Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

  3. Si nécessaire, copiez le nom d'utilisateur inclus dans le panneau Détails concernant l'atelier et collez-le dans la boîte de dialogue Se connecter. Cliquez sur Suivant.

  4. Copiez le mot de passe inclus dans le panneau Détails concernant l'atelier et collez-le dans la boîte de dialogue de bienvenue. Cliquez sur Suivant.

    Important : Vous devez utiliser les identifiants fournis dans le panneau de gauche. Ne saisissez pas vos identifiants Google Cloud Skills Boost. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

  5. Accédez aux pages suivantes :

    • Acceptez les conditions d'utilisation.
    • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
    • Ne vous inscrivez pas aux essais offerts.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Vous pouvez afficher le menu qui contient la liste des produits et services Google Cloud en cliquant sur le menu de navigation en haut à gauche. Icône du menu de navigation

Tâche 1 : Configurer des règles de pare-feu HTTP et de vérification de l'état

Configurez des règles de pare-feu pour autoriser le trafic HTTP vers les backends et le trafic TCP à partir du vérificateur d'état Google Cloud.

Créer la règle de pare-feu HTTP

Créez une règle de pare-feu pour autoriser le trafic HTTP vers les backends.

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation) > Réseau VPC > Pare-feu.

  2. Examinez les règles de pare-feu ICMP, internes, RDP et SSH existantes.

    Chaque projet Google Cloud commence avec le réseau par défaut et ces règles de pare-feu.

  3. Cliquez sur Créer une règle de pare-feu.

  4. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom default-allow-http
    Réseau Par défaut
    Cibles Tags cibles spécifiés
    Tags cibles http-server
    Filtre source Plages IPv4
    Plages IPv4 sources 0.0.0.0/0
    Protocoles et ports Protocoles et ports spécifiés, puis cochez tcp et saisissez : 80

Pensez à ajouter /0 dans les plages IPv4 sources pour indiquer tous les réseaux.

  1. Cliquez sur Créer.

Créer les règles de pare-feu de vérification d'état

Les vérifications d'état déterminent les instances d'un équilibreur de charge qui peuvent recevoir de nouvelles connexions. Pour l'équilibrage de charge HTTP, les vérifications d'état portant sur vos instances à équilibrage de charge proviennent d'adresses situées dans les plages 130.211.0.0/22 et 35.191.0.0/16. Vos règles de pare-feu doivent autoriser ces connexions.

  1. Toujours depuis la page Pare-feu, cliquez sur Créer une règle de pare-feu.

  2. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom default-allow-health-check
    Réseau Par défaut
    Cibles Tags cibles spécifiés
    Tags cibles http-server
    Filtre source Plages IPv4
    Plages IPv4 sources 130.211.0.0/22, 35.191.0.0/16
    Protocoles et ports Protocoles et ports spécifiés, puis cochez tcp
    Remarque : Veillez à renseigner les deux propriétés Plages IPv4 sources individuellement et à appuyer sur la touche ESPACE entre chaque valeur.

  3. Cliquez sur Créer.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer des règles de pare-feu HTTP et de vérification d'état

Tâche 2 : Configurer les modèles d'instance et créer les groupes d'instances

Un groupe d'instances géré crée un groupe d'instances identiques à l'aide d'un modèle d'instance. Utilisez ces instances pour créer les backends de l'équilibreur de charge HTTP.

Configurer les modèles d'instance

Un modèle d'instance est une ressource API qui vous permet de créer des instances de VM et des groupes d'instances gérés. Les modèles d'instance définissent le type de machine, l'image disque de démarrage, le sous-réseau, les libellés et d'autres propriétés d'instance. Créez un modèle d'instance pour et un autre pour europe-west1.

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation) >Compute Engine > Modèles d'instance, puis cliquez sur Créer un modèle d'instance.

  2. Dans le champ Nom, saisissez -template.

  3. Dans le champ Série, sélectionnez E2.

  4. Dans le champ Type de machine, sélectionnez e2-micro.

  5. Cliquez sur Options avancées.

  6. Cliquez sur l'onglet Gestion.

  7. Sous Métadonnées, cliquez sur + AJOUTER UN ÉLÉMENT et spécifiez les valeurs suivantes :

    Clé Valeur
    startup-script-url gs://cloud-training/gcpnet/httplb/startup.sh

La clé startup-script-url spécifie un script qui s'exécute au démarrage des instances. Ce script installe Apache et modifie la page d'accueil pour y inclure l'adresse IP client et le nom, la région et la zone de l'instance de VM. Pour consulter ce script, cliquez ici.

  1. Cliquez sur Mise en réseau.

  2. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Tags réseau http-server
    Réseau Par défaut
    Sous-réseau Par défaut ()

    Cliquez sur OK.

Le tag réseau http-server garantit que les règles de pare-feu HTTP et Vérification d'état s'appliquent à ces instances.

  1. Cliquez sur Créer.
  2. Attendez que le modèle d'instance soit créé.

Créez ensuite un autre modèle d'instance pour le sous-réseau subnet-b en copiant -template :

  1. Cliquez sur -template, puis sur l'option + CRÉER UNE INSTANCE SIMILAIRE en haut.

  2. Dans le champ Nom, saisissez europe-west1-template.

  3. Cliquez sur Options avancées.

  4. Cliquez sur Mise en réseau.

  5. Vérifiez que http-server est ajouté en tant que tag de réseau.

  6. Dans le champ Sous-réseau, sélectionnez Par défaut (europe-west1).

  7. Cliquez sur OK.

  8. Cliquez sur Créer.

Créer des groupes d'instances gérés

Créez un groupe d'instances géré dans la région et un autre dans la région europe-west1.

  1. Toujours dans Compute Engine, cliquez sur Groupes d'instances dans le menu de gauche.

  2. Cliquez sur Créer un groupe d'instances.

  3. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom -mig
    Emplacement Plusieurs zones
    Région
    Modèle d'instance -template
    Autoscaling > Métriques d'autoscaling > Cliquez sur le menu déroulant > Type de métrique Utilisation du processeur
    Objectif d'utilisation du processeur 80, cliquez sur OK
    Intervalle entre chaque autoscaling 45
    Nombre minimal d'instances 1
    Nombre maximal d'instances 2

Les groupes d'instances gérés proposent des fonctionnalités d'autoscaling qui vous permettent d'ajouter ou de supprimer automatiquement des instances dans un groupe géré en fonction de l'augmentation ou de la réduction de la charge. Avec l'autoscaling, vos applications peuvent gérer de façon optimale les hausses de trafic et réduire vos coûts lorsque les besoins en ressources sont moins importants. Il vous suffit de définir les règles d'autoscaling pour que l'autoscaler effectue le scaling automatique en fonction de la charge mesurée.

  1. Cliquez sur Créer.

Effectuez ensuite la même procédure pour créer un second groupe d'instances pour europe-west1-mig dans europe-west1 :

  1. Cliquez sur Créer un groupe d'instances.

  2. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom europe-west1-mig
    Emplacement Plusieurs zones
    Région europe-west1
    Modèle d'instance europe-west1-template
    Autoscaling > Métriques d'autoscaling > Cliquez sur le menu déroulant > Type de métrique Utilisation du processeur
    Objectif d'utilisation du processeur 80, cliquez sur OK
    Intervalle entre chaque autoscaling 45
    Nombre minimal d'instances 1
    Nombre maximal d'instances 2

  3. Cliquez sur Créer.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer les modèles d'instances et les groupes d'instances

Vérifier les backends

Vérifiez que les instances de VM sont créées dans les deux régions et accédez à leurs sites HTTP.

  1. Toujours dans Compute Engine, cliquez sur Instances de VM dans le menu de gauche.

  2. Examinez les instances qui commencent par -mig et europe-west1-mig.

    Ces instances appartiennent aux groupes d'instances gérés.

  3. Cliquez sur l'adresse IP externe d'une instance de -mig.

    Vous devriez voir les informations suivantes : Adresse IP client (votre adresse IP), Nom d'hôte (commence par -mig) et Emplacement du serveur (une zone dans ).

  4. Cliquez sur l'adresse IP externe d'une instance d'europe-west1-mig.

    Vous devriez voir les informations suivantes : Adresse IP client (votre adresse IP), Nom d'hôte (commence par europe-west1-mig) et Emplacement du serveur (une zone dans europe-west1).

Remarque : Les valeurs Nom d'hôte et Emplacement du serveur indiquent où l'équilibreur de charge HTTP envoie le trafic.

Tâche 3 : Configurer l'équilibreur de charge HTTP

Configurez l'équilibreur de charge HTTP pour équilibrer le trafic entre les deux backends (us-east1-mig dans us-east1 et europe-west1-mig dans europe-west1), comme illustré dans le schéma réseau suivant :

Schéma réseau illustrant l'équilibrage de charge

Démarrer la configuration

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation) > Services réseau > Équilibrage de charge, puis cliquez sur Créer un équilibreur de charge.

  2. Sous Équilibrage de charge HTTP(S), cliquez sur Démarrer la configuration.

  3. Sélectionnez D'Internet vers mes VM ou mes services sans serveur, puis cliquez sur Continuer.

  4. Définissez Nom sur http-lb.

Configurer le backend

Les services de backend dirigent le trafic entrant vers un ou plusieurs backends associés. Chaque backend est composé d'un groupe d'instances et de métadonnées sur sa capacité de livraison supplémentaire.

  1. Cliquez sur Configuration des backends.

  2. Pour Services de backend et buckets backend, cliquez sur Créer un service de backend.

  3. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (sélectionnez l'option spécifiée)
    Nom http-backend
    Groupe d'instances -mig
    Numéros de ports 80
    Mode d'équilibrage Fréquence
    Nombre maximal de RPS 50
    Capacité 100

Cette configuration signifie que l'équilibreur de charge tente de maintenir chaque instance de us-east1-mig à 50 requêtes par seconde (RPS) ou moins.

  1. Cliquez sur OK.

  2. Cliquez sur Ajouter un backend.

  3. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (sélectionnez l'option spécifiée)
    Groupe d'instances europe-west1-mig
    Numéros de ports 80
    Mode d'équilibrage Utilisation
    Utilisation maximale du backend 80
    Capacité 100

Cette configuration signifie que l'équilibreur de charge tente de maintenir chaque instance de europe-west1-mig à 80 % d'utilisation du processeur ou moins.

  1. Cliquez sur OK.

  2. Dans le champ Vérification d'état, sélectionnez Créer une vérification d'état.

  3. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (sélectionnez l'option spécifiée)
    Nom http-health-check
    Protocole TCP
    Port 80

Les vérifications de l'état déterminent quelles instances reçoivent de nouvelles connexions. Cette vérification d'état HTTP sonde les instances toutes les cinq secondes, attend une réponse pendant cinq secondes, puis considère deux tentatives ayant réussi ou ayant échoué comme un état opérationnel ou non opérationnel, respectivement.

  1. Cliquez sur Enregistrer.

  2. Cochez la case Activer la journalisation.

  3. Définissez le taux d'échantillonnage sur 1.

  4. Cliquez sur Créer pour créer le service de backend.

Configurer l'interface

Les règles d'hôte et de chemin d'accès déterminent la manière dont le trafic est dirigé. Par exemple, vous pouvez diriger le trafic vidéo vers un backend et le trafic statique vers un autre backend. Toutefois, vous n'apprendrez pas à configurer les règles d'hôte et de chemin d'accès dans cet atelier.

  1. Cliquez sur Configuration de l'interface.

  2. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Protocole HTTP
    Version IP IPv4
    Adresse IP Éphémère
    Port 80

  3. Cliquez sur OK.

  4. Cliquez sur Ajouter une adresse IP et un port d'interface.

  5. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Protocole HTTP
    Version IP IPv6
    Adresse IP Éphémère
    Port 80

  6. Cliquez sur OK.

L'équilibrage de charge HTTP(S) accepte le trafic client provenant d'adresses IPv4 et IPv6. Les requêtes client IPv6 sont interrompues lors de l'équilibrage de charge global, puis transmises par serveur proxy, en IPv4, à vos backends.

Examiner et créer l'équilibreur de charge HTTP

  1. Cliquez sur Vérifier et finaliser.
  2. Vérifiez les services de backend et l'interface.
  3. Cliquez sur Créer.
  4. Attendez jusqu'à ce que l'équilibreur de charge soit créé.
  5. Cliquez sur le nom de l'équilibreur de charge (http-lb).
  6. Notez les adresses IPv4 et IPv6 de l'équilibreur de charge pour la prochaine tâche. Elles seront appelées respectivement [LB_IP_v4] et [LB_IP_v6].
Remarque : L'adresse IPv6 est au format hexadécimal.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer l'équilibreur de charge HTTP

Tâche 4 : Tester l'équilibreur de charge HTTP

Maintenant que vous avez créé l'équilibreur de charge HTTP pour vos backends, vérifiez que le trafic est transféré au service backend.

Accéder à l'équilibreur de charge HTTP

Pour tester l'accès IPv4 à l'équilibreur de charge HTTP, ouvrez un nouvel onglet dans votre navigateur et accédez à http://[LB_IP_v4]. Veillez à remplacer [LB_IP_v4] par l'adresse IPv4 de l'équilibreur de charge.

Remarque : L'accès à l'équilibreur de charge HTTP peut prendre jusqu'à cinq minutes. Il se peut que des erreurs 404 ou 502 apparaissent. Réessayez jusqu'à ce que la page de l'un des backends s'affiche. Remarque : Selon votre proximité avec us-east1 et europe-west1, votre trafic est transmis à une instance de us-east1-mig ou europe-west1-mig.

Si vous disposez d'une adresse IPv6 locale, testez l'adresse IPv6 de l'équilibreur de charge HTTP en accédant à http://[LB_IP_v6]. Veillez à remplacer [LB_IP_v6] par l'adresse IPv6 de l'équilibreur de charge.

Effectuer un test de contrainte sur l'équilibreur de charge HTTP

Créez une instance de VM pour simuler une charge sur l'équilibreur de charge HTTP à l'aide de siege. Déterminez ensuite si le trafic est équilibré sur les deux backends lorsque la charge est élevée.

  1. Dans la console, accédez au menu de navigation (Icône du menu de navigation) > Compute Engine > Instances de VM.

  2. Cliquez sur Créer une instance.

  3. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom siege-vm
    Région us-central1
    Zone us-central1-a
    Série E2

La région us-central1 étant plus proche de que de europe-west1, le trafic devrait uniquement être dirigé vers -mig (sauf si la charge est trop élevée).

  1. Cliquez sur Créer.

  2. Attendez que l'instance siege-vm soit créée.

  3. Dans le champ siege-vm, cliquez sur SSH pour lancer un terminal et vous y connecter.

  4. Exécutez la commande suivante pour installer siege :

sudo apt-get -y install siege

  1. Pour stocker l'adresse IPv4 de l'équilibreur de charge HTTP dans une variable d'environnement, exécutez la commande suivante en remplaçant [LB_IP_v4] par l'adresse IPv4 :

export LB_IP=[LB_IP_v4]

  1. Pour simuler une charge, exécutez la commande suivante :

siege -c 150 -t120s http://$LB_IP

Le résultat doit se présenter comme suit :

New configuration template added to /home/student-02-dd02c94b8808/.siege Run siege -C to view the current settings in that file { "transactions": 24729, "availability": 100.00, "elapsed_time": 119.07, "data_transferred": 3.77, "response_time": 0.66, "transaction_rate": 207.68, "throughput": 0.03, "concurrency": 137.64, "successful_transactions": 24729, "failed_transactions": 0, "longest_transaction": 10.45, "shortest_transaction": 0.03 }
  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation), puis cliquez sur Services réseau > Équilibrage de charge.
  2. Cliquez sur Backends.
  3. Cliquez sur http-backend.
  4. Accédez à http-lb.
  5. Cliquez sur l'onglet Surveillance.
  6. Observez le champ Emplacement de l'interface (Total du trafic entrant) entre l'Amérique du Nord et les deux backends pendant quelques minutes.

Dans un premier temps, le trafic devrait être dirigé vers -mig, mais, à mesure que le RPS augmente, il sera aussi dirigé vers europe-west1-mig.

Cela démontre que le trafic est transmis par défaut au backend le plus proche, mais qu'il peut être réparti entre les backends si la charge est très élevée.

  1. Revenez au terminal SSH de siege-vm.

  2. Appuyez sur les touches CTRL+C pour arrêter siege s'il est toujours en cours d'exécution.

Tâche 5 : Ajouter siege-vm à la liste de blocage

Utilisez Cloud Armor pour ajouter siege-vm à la liste de blocage et l'empêcher d'accéder à l'équilibreur de charge HTTP.

Créer la stratégie de sécurité

Créez une stratégie de sécurité Cloud Armor avec une règle de blocage pour siege-vm.

  1. Dans la console, accédez au menu de navigation (Icône du menu de navigation) > Compute Engine > Instances de VM.
  2. Notez l'adresse IP externe pour siege-vm. Elle est appelée [SIEGE_IP].
Remarque : Il existe des moyens d'identifier l'adresse IP externe d'un client essayant d'accéder à votre équilibreur de charge HTTP. Par exemple, vous pouvez examiner le trafic capturé par les journaux de flux VPC dans BigQuery pour déterminer un nombre élevé de requêtes entrantes.

  1. Dans la console Cloud, accédez au menu de navigation > Sécurité du réseau > Cloud Armor.

  2. Cliquez sur Créer une stratégie.

  3. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom denylist-siege
    Action de règle par défaut Autoriser

  4. Cliquez sur Étape suivante.

  5. Cliquez sur Ajouter une règle.

  6. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Condition > Correspondance Saisissez l'adresse IP SIEGE_IP
    Action Refuser
    État de refus 403 (Accès interdit)
    Priorité 1000

  7. Cliquez sur OK.

  8. Cliquez sur Étape suivante.

  9. Cliquez sur Ajouter une cible.

  10. Dans Type, sélectionnez Service de backend d'équilibreur de charges.

  11. Dans Cible, sélectionnez http-backend.

  12. Cliquez sur Créer une stratégie.

Remarque : Sinon, vous pouvez définir la règle par défaut sur Refuser et n'ajouter à la liste d'autorisation que le trafic provenant d'utilisateurs ou d'adresses IP autorisés.
  1. Attendez que la stratégie soit créée avant de passer à l'étape suivante.

Cliquez sur Vérifier ma progression pour valider l'objectif. Ajouter siege-vm à la liste de blocage

Vérifier la stratégie de sécurité

Vérifiez que siege-vm ne peut pas accéder à l'équilibreur de charge HTTP.

  1. Revenez au terminal SSH de siege-vm.

  2. Pour accéder à l'équilibreur de charge, exécutez le code suivant :

curl http://$LB_IP

Le résultat doit se présenter comme suit :

403</ title>403 Forbidden Remarque : Quelques minutes peuvent être nécessaires pour que la stratégie de sécurité soit prise en compte. Si vous pouvez accéder aux backends, réessayez jusqu'à obtenir l'erreur 403 (Accès interdit).
  1. Ouvrez un nouvel onglet dans votre navigateur et accédez à http://[LB_IP_v4]. Veillez à remplacer [LB_IP_v4] par l'adresse IPv4 de l'équilibreur de charge.
Remarque : Vous pouvez accéder à l'équilibreur de charge HTTP depuis votre navigateur, car la règle par défaut autorise le trafic. En revanche, vous ne pouvez pas y accéder à partir de siege-vm, car vous avez implémenté la règle de refus.

  1. Revenez dans le terminal SSH de siege-vm et simulez une charge en exécutant la commande suivante :

siege -c 150 -t120s http://$LB_IP

La commande ne génère aucun résultat.

Explorez les journaux de la stratégie de sécurité pour déterminer si ce trafic est également bloqué.

  1. Dans la console, accédez au menu de navigation > Sécurité du réseau > Cloud Armor.
  2. Cliquez sur denylist-siege.
  3. Cliquez sur Journaux.
  4. Cliquez sur Afficher les journaux de stratégie.
  5. Sur la page "Journalisation", assurez-vous d'effacer tout le texte dans le champ Aperçu de la requête. Sélectionnez une ressource pour l'équilibreur de charge HTTP Cloud > http-lb-forwarding-rule > http-lb, puis cliquez sur Appliquer.
  6. À présent, cliquez sur Exécuter la requête.
  7. Développez une entrée de journal dans Résultats de la requête.
  8. Développez httpRequest.

La requête devrait provenir de l'adresse IP siege-vm. Si ce n'est pas le cas, développez une autre entrée de journal.

  1. Développez jsonPayload.
  2. Développez enforcedSecurityPolicy.
  3. Notez que configuredAction est défini sur DENY et que name indique denylist-siege.

Page &quot;Résultats de la requête&quot;

Les stratégies de sécurité Cloud Armor créent des journaux que vous pouvez explorer pour déterminer quand le trafic est refusé, quand il est autorisé, ainsi que la source du trafic.

Félicitations !

Vous avez configuré un équilibreur de charge HTTP avec des backends dans les régions et europe-west1. Vous avez ensuite effectué un test de contrainte sur l'équilibreur de charge avec une VM et ajouté à la liste de blocage l'adresse IP de cette VM avec Cloud Armor. Vous avez appris comment explorer les journaux d'une stratégie de sécurité pour déterminer la cause du blocage du trafic.

Terminer votre quête

Cet atelier d'auto-formation fait partie de la quête Networking Fundamentals in Google Cloud. Une quête est une série d'ateliers associés qui constituent un parcours de formation. Si vous terminez cette quête, vous obtenez un badge attestant de votre réussite. Vous pouvez rendre publics les badges que vous recevez et ajouter leur lien dans votre CV en ligne ou sur vos comptes de réseaux sociaux. Inscrivez-vous à cette quête ou à une autre quête contenant cet atelier pour obtenir immédiatement les crédits associés. Découvrez toutes les quêtes disponibles dans le catalogue Google Cloud Skills Boost.

Atelier suivant

Continuez sur votre lancée en suivant l'atelier Créer un équilibreur de charge interne ou consultez ces suggestions :

Étapes suivantes et informations supplémentaires

Pour en savoir plus sur les concepts de base de Cloud Armor, consultez la documentation sur Cloud Armor.

Pour en savoir plus sur l'équilibrage de charge, consultez la page Documentation Cloud Load Balancing.

Dernière mise à jour du manuel : 30 novembre 2022

Dernier test de l'atelier : 30 novembre 2022

Copyright 2020 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.