arrow_back

Konfigurowanie systemu równoważenia obciążenia HTTP przy użyciu Cloud Armor

Konfigurowanie systemu równoważenia obciążenia HTTP przy użyciu Cloud Armor

1 godz. Punkty: 5

GSP215

Moduły Google Cloud do samodzielnego ukończenia

Opis

Równoważenie obciążenia Google Cloud HTTP(S) jest wdrażane na brzegu sieci Google w punktach dostępowych Google na całym świecie. Ruch użytkowników kierowany do systemu równoważenia obciążenia HTTP(S) trafia do punktu dostępu najbliższego użytkownikowi, a następnie obciążenie jest równoważone w globalnej sieci Google do najbliższego backendu, który ma wystarczającą wydajność.

Listy dozwolonych i odrzuconych IP Cloud Armor pozwalają na ograniczanie lub umożliwianie dostępu do Twojego systemu równoważenia obciążenia HTTP(S) na brzegu Google Cloud – jak najbliżej użytkownika i szkodliwego ruchu. Dzięki temu szkodliwi użytkownicy lub szkodliwy ruch nie mogą zużywać zasobów ani dostawać się do Twoich sieci VPC (prywatnego środowiska wirtualnego w chmurze).

W tym module skonfigurujesz system równoważenia obciążenia HTTP z backendami globalnymi, tak jak to widać na schemacie poniżej. Następnie przetestujesz system równoważenia obciążenia w warunkach skrajnych i umieścisz na liście odrzuconych testowe IP przy użyciu Cloud Armor.

Schemat sieci przedstawiający równoważenie obciążenia

Cele

Z tego modułu nauczysz się, jak:

  • tworzyć reguły HTTP i reguły kontroli stanu zapory sieciowej,
  • skonfigurować 2 szablony instancji,
  • utworzyć 2 zarządzane grupy instancji,
  • skonfigurować system równoważenia obciążenia HTTP IPv4 i IPv6,
  • przetestować system równoważenia obciążenia w warunkach skrajnych,
  • umieścić adres IP na liście odrzuconych w celu ograniczenia dostępu do systemu równoważenia obciążenia HTTP.

Konfiguracja i wymagania

Zanim klikniesz przycisk Rozpocznij moduł

Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Gdy klikniesz Rozpocznij moduł, na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.

W tym praktycznym module możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.

Do ukończenia modułu potrzebne będą:

  • dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome).
Uwaga: uruchom ten moduł w oknie incognito lub przeglądania prywatnego. Dzięki temu unikniesz konfliktu między swoim kontem osobistym a kontem do nauki, co mogłoby spowodować naliczanie oddatkowych opłat na koncie osobistym.
  • Odpowiednia ilość czasu na ukończenie modułu – pamiętaj, że gdy rozpoczniesz, nie możesz go wstrzymać.
Uwaga: jeśli masz już osobiste konto lub projekt w Google Cloud, nie używaj go w tym module, aby uniknąć naliczania opłat na koncie.

Rozpoczynanie modułu i logowanie się w konsoli Google Cloud

  1. Kliknij przycisk Rozpocznij moduł. Jeśli moduł jest odpłatny, otworzy się wyskakujące okienko, w którym możesz wybrać formę płatności. Po lewej stronie znajduje się panel Szczegóły modułu z następującymi elementami:

    • przyciskiem Otwórz konsolę Google;
    • czasem, który Ci pozostał;
    • tymczasowymi danymi logowania, których musisz użyć w tym module;
    • innymi informacjami potrzebnymi do ukończenia modułu.
  2. Kliknij Otwórz konsolę Google. Moduł uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.

    Wskazówka: otwórz karty obok siebie w osobnych oknach.

    Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta.
  3. W razie potrzeby skopiuj nazwę użytkownika z panelu Szczegóły modułu i wklej ją w oknie logowania. Kliknij Dalej.

  4. Skopiuj hasło z panelu Szczegóły modułu i wklej je w oknie powitania. Kliknij Dalej.

    Ważne: musisz użyć danych logowania z panelu po lewej stronie, a nie danych logowania Google Cloud Skills Boost. Uwaga: korzystanie z własnego konta Google Cloud w tym module może wiązać się z dodatkowymi opłatami.
  5. Na kolejnych stronach wykonaj następujące czynności:

    • Zaakceptuj Warunki korzystania z usługi.
    • Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
    • Nie rejestruj się w bezpłatnych wersjach próbnych.

Poczekaj, aż na karcie otworzy się konsola Google Cloud.

Uwaga: aby wyświetlić menu z listą produktów i usług Google Cloud Console, w lewym górnym rogu kliknij menu nawigacyjne. Ikona menu nawigacyjnego

Zadanie 1. Konfigurowanie reguł HTTP i reguł kontroli stanu zapory sieciowej

Skonfiguruj reguły zapory sieciowej tak, aby przepuszczała ruch HTTP do backendów oraz ruch TCP z kontroli stanu Google Cloud.

Tworzenie reguły zapory sieciowej dla HTTP

Utwórz regułę zapory sieciowej, która umożliwi ruch HTTP do backendów.

  1. W konsoli Google Cloud otwórz Menu nawigacyjne (Ikona menu nawigacyjnego) i kliknij Sieć VPC > Zapora sieciowa.

  2. Zwróć uwagę na istniejące reguły zapory sieciowej dotyczące ICMP, ruchu wewnętrznego, RDPSSH.

    Każdy projekt Google Cloud rozpoczyna się od sieci default (domyślnej) i tych reguł zapory sieciowej.

  3. Kliknij Utwórz regułę zapory sieciowej.

  4. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Nazwa default-allow-http
    Sieć default
    Cele Określone tagi docelowe
    Tagi docelowe http-server
    Filtr źródeł Zakresy adresów IPv4
    Zakresy źródłowych adresów IPv4 0.0.0.0/0
    Protokoły i porty Określone protokoły i porty, a następnie zaznacz TCP i wpisz: 80

Sprawdź, czy w Zakresach źródłowych adresów IPv4 masz uwzględnione /0, co pozwala określić wszystkie sieci.

  1. Kliknij Utwórz.

Tworzenie reguł zapory sieciowej do kontroli stanu

Kontrola stanu wskazuje instancje systemu równoważenia obciążenia, które mogą otrzymywać nowe połączenia. Do równoważenia obciążenia HTTP kontrola stanu sonduje Twoje instancje o zrównoważonym obciążeniu, które pochodzą z adresów w zakresach: 130.211.0.0/2235.191.0.0/16. Twoje reguły zapory sieciowej muszą przepuszczać te połączenia.

  1. Na stronie Zapora sieciowa kliknij Utwórz regułę zapory sieciowej.

  2. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Nazwa default-allow-health-check
    Sieć default
    Cele Określone tagi docelowe
    Tagi docelowe http-server
    Filtr źródeł Zakresy adresów IPv4
    Zakresy źródłowych adresów IPv4 130.211.0.0/22, 35.191.0.0/16
    Protokoły i porty Określone protokoły i porty, a następnie zaznacz TCP
    Uwaga: pamiętaj, aby podać 2 Zakresy źródłowych adresów IPv4 jeden po drugim, rozdzielając je SPACJĄ.
  3. Kliknij Utwórz.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło. Skonfigurowanie reguł HTTP i reguł kontroli stanu zapory sieciowej

Zadanie 2. Konfigurowanie szablonów instancji i tworzenie grup instancji

Zarządzana grupa instancji używa szablonu do utworzenia grupy jednakowych instancji. Korzystając z nich, utwórz backendy systemu równoważenia obciążenia HTTP.

Konfigurowanie szablonów instancji

Szablon instancji to zasób interfejsu API, którego możesz użyć do stworzenia instancji maszyny wirtualnej oraz zarządzanych grup instancji. Szablony instancji określają typ maszyny, obraz dysku rozruchowego, podsieć, etykiety i inne właściwości instancji.

Utwórz po 1 szablonie instancji dla regionów .

  1. W konsoli Cloud wybierz Menu nawigacyjne (Ikona menu nawigacyjnego) > Compute Engine > Szablony instancji, a następnie kliknij Utwórz szablon instancji.
  2. W polu Nazwa wpisz -template.
UWAGA: nazwa szablonu instancji nie może zawierać spacji. W razie potrzeby usuń wszelkie dodatkowe spacje.
  1. Z listy Seria wybierz E2.

  2. Z listy Typ maszyny wybierz e2-micro.

  3. Kliknij Opcje zaawansowane.

  4. Kliknij Sieci. Ustaw tę wartość, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Tagi sieci http-server
  5. W sekcji Interfejsy sieci kliknij default. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Sieć default
    Podsieć default

    Kliknij Gotowe.

Tag sieci http-server sprawia, że reguły zapory sieciowej dla HTTPkontroli stanu obejmują te instancje.

  1. Kliknij kartę Zarządzanie.

  2. W sekcji Metadane kliknij + DODAJ ELEMENT i podaj:

    Klucz Wartość
    startup-script-url gs://cloud-training/gcpnet/httplb/startup.sh

Klucz startup-script-url definiuje skrypt, który zostanie wykonany wraz z uruchomieniem instancji. Skrypt instaluje serwer Apache i zmienia stronę powitalną tak, aby zawierała adres IP klienta oraz nazwę, region i strefę instancji maszyny wirtualnej. Tutaj możesz przyjrzeć się temu skryptowi.

  1. Kliknij Utwórz.
  2. Poczekaj, aż szablon instancji zostanie utworzony.

Teraz utwórz kolejny szablon instancji dla subnet-b, kopiując -template:

  1. Kliknij -template i u góry wybierz opcję +UTWÓRZ PODOBNĄ.
  2. W polu Nazwa wpisz -template.
  3. Kliknij Opcje zaawansowane.
  4. Kliknij Sieci.
  5. Pamiętaj, żeby jako tag sieci wpisać http-server.
  6. W sekcji Interfejsy sieci jako Podsieć wybierz default ().
  7. Kliknij Gotowe.
  8. Kliknij Utwórz.

Tworzenie zarządzanych grup instancji

Utwórz po 1 zarządzanej grupie instancji w regionach .

  1. Będąc na stronie Compute Engine, w menu po lewej stronie kliknij Grupy instancji.

  2. Kliknij Utwórz grupę instancji.

  3. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Nazwa -mig (w razie potrzeby usuń dodatkową spację z nazwy)
    Lokalizacja Wiele stref
    Region
    Szablon instancji -template
    Minimalna liczba instancji 1
    Maksymalna liczba instancji 2
    Sygnały autoskalowania > kliknij menu > Typ sygnału Wykorzystanie procesora
    Docelowe wykorzystanie procesora 80, kliknij Gotowe.
    Okres inicjowania 45

Zarządzane grupy instancji oferują możliwość autoskalowania, co pozwala na automatyczne dodawanie lub usuwanie instancji z zarządzanej grupy instancji zależnie od wzrostu lub spadku obciążenia. Autoskalowanie pomaga aplikacjom płynnie obsługiwać zwiększony ruch, a ponadto obniża koszty, gdy zapotrzebowanie na zasoby jest niższe. Wystarczy zdefiniować zasadę autoskalowania, by odpowiedni mechanizm zaczął je przeprowadzać na podstawie pomiaru obciążenia.

  1. Kliknij Utwórz.

Teraz powtórz te kroki, by utworzyć drugą grupę instancji dla -mig:

  1. Kliknij Utwórz grupę instancji.

  2. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Nazwa -mig
    Lokalizacja Wiele stref
    Region
    Szablon instancji -template
    Minimalna liczba instancji 1
    Maksymalna liczba instancji 2
    Sygnały autoskalowania > kliknij menu > Typ sygnału Wykorzystanie procesora
    Docelowe wykorzystanie procesora 80, kliknij Gotowe.
    Okres inicjowania 45
  3. Kliknij Utwórz.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło. Skonfigurowanie szablonów instancji i utworzenie grup instancji

Sprawdzanie backendów

Sprawdź, czy instancje maszyn wirtualnych są tworzone w obu regionach i otwórz ich strony HTTP.

  1. Będąc w Compute Engine, w menu po lewej stronie kliknij Instancje maszyn wirtualnych.

  2. Zobaczysz tam instancje zaczynające się od -mig i -mig.

    Są one częścią zarządzanych grup instancji.

  3. Kliknij Zewnętrzny adres IP instancji -mig.

    Powinny się wyświetlić Adres IP klienta (Twój adres IP), Nazwa hosta (zaczynająca się od -mig) oraz Lokalizacja serwera (strefa w regionie ).

  4. Kliknij Zewnętrzny adres IP instancji -mig.

    Powinny się wyświetlić Adres IP klienta (Twój adres IP), Nazwa hosta (zaczynająca się od -mig) oraz Lokalizacja serwera (strefa w regionie ).

Uwaga: Nazwa serweraLokalizacja serwera wskazują, dokąd system równoważenia obciążenia HTTP kieruje ruch.

Zadanie 3. Konfigurowanie systemu równoważenia obciążenia HTTP

Skonfiguruj system równoważenia obciążenia HTTP, aby zrównoważyć ruch między dwoma backendami (-mig-mig), tak jak na tym schemacie sieci:

Schemat sieci przedstawiający równoważenie obciążenia

Rozpoczynanie konfiguracji

  1. W konsoli Cloud kliknij Menu nawigacyjne (Ikona menu nawigacyjnego) > Usługi sieciowe > Równoważenie obciążenia, a następnie Utwórz system równoważenia obciążenia.
  2. W sekcji System równoważenia obciążenia aplikacji (HTTP/S) kliknij Rozpocznij konfigurację.
  3. Wybierz Z internetu do moich maszyn wirtualnych lub usług bezserwerowych i kliknij Dalej.
  4. Ustaw http-lb jako nazwę nowego systemu równoważenia obciążenia HTTP(S).

Konfigurowanie frontendu

Reguły hostów i ścieżek określają, w jaki sposób będzie kierowany ruch. Możesz na przykład skierować ruch wideo do jednego backendu, a ruch statyczny do innego. W tym module nie konfigurujesz jednak reguł hostów i ścieżek.

  1. Kliknij Konfiguracja frontendu.

  2. Określ te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Protokół HTTP
    Wersja IP IPv4
    Adres IP Efemeryczny
    Port 80
  3. Kliknij Gotowe.

  4. Kliknij Dodaj adres IP i port frontendu.

  5. Określ te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Protokół HTTP
    Wersja IP IPv6
    Adres IP Automatyczne przydzielanie
    Port 80
  6. Kliknij Gotowe.

W przypadku ruchu klienta równoważenie obciążenia HTTP(S) obsługuje zarówno adresy IPv4, jak i IPv6. Żądania IP klienta w wersji IPv6 są zatrzymywane w warstwie globalnej systemu równoważenia obciążenia, a następnie przesyłane przez IPv4 do Twoich backendów.

Konfigurowanie backendu

Usługi backendu kierują ruch przychodzący do co najmniej jednego z podłączonych backendów. Każdy backend składa się z grupy instancji i metadanych dotyczących dodatkowej obsługiwanej przepustowości.

  1. Kliknij Konfiguracja backendu.

  2. W obszarze Usługi backendu i zasobniki backendu kliknij Utwórz usługę backendu.

  3. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wybierz podaną opcję)
    Nazwa http-backend
    Grupa instancji -mig
    Numery portów 80
    Tryb równoważenia Częstotliwość żądań
    Maksymalna liczba żądań/s 50
    Rozmiar 100

Ta konfiguracja oznacza, że system równoważenia obciążenia próbuje utrzymać każdą instancję w -mig na poziomie maksymalnie 50 żądań na sekundę (RPS).

  1. Kliknij Gotowe.

  2. Kliknij Dodaj backend.

  3. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wybierz podaną opcję)
    Grupa instancji -mig
    Numery portów 80
    Tryb równoważenia Wykorzystanie
    Maksymalne wykorzystanie backendu 80
    Rozmiar 100

Ta konfiguracja oznacza, że system równoważenia obciążenia próbuje utrzymać każdą instancję w -mig na poziomie wykorzystania procesora w wysokości maksymalnie 80%.

  1. Kliknij Gotowe.

  2. W obszarze Kontrola stanu wybierz Utwórz kontrolę stanu.

  3. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wybierz podaną opcję)
    Nazwa http-health-check
    Protokół TCP
    Port 80

Kontrola stanu wskazuje instancje, które mogą otrzymywać nowe połączenia. Kontrola stanu HTTP zbiera wyniki z instancji co 5 sekund, czeka na odpowiedź do 5 sekund i traktuje 2 sukcesy jako stan prawidłowy, 2 niepowodzenia – jako nieprawidłowy.

  1. Kliknij Zapisz.
  2. Zaznacz pole Włącz logowanie.
  3. Ustaw Częstotliwość próbkowania na 1.
  4. Kliknij Utwórz, aby utworzyć usługę backendu.
  5. Kliknij OK.

Przeglądanie i tworzenie systemu równoważenia obciążenia HTTP

  1. Kliknij Przejrzyj i zakończ.
  2. Przejrzyj usługi backendufrontendu.
  3. Kliknij Utwórz.
  4. Poczekaj, aż system równoważenia obciążenia zostanie utworzony.
  5. Kliknij nazwę systemu równoważenia obciążenia (http-lb).
  6. Zapisz adresy IPv4 i IPv6 systemu równoważenia obciążenia – przydadzą się do następnego zadania. Będą oznaczone odpowiednio jako [LB_IP_v4][LB_IP_v6].
Uwaga: adres IPv6 to ten w formacie szesnastkowym.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło. Skonfigurowanie systemu równoważenia obciążenia HTTP

Zadanie 4. Testowanie systemu równoważenia obciążenia HTTP

Masz już system równoważenia obciążenia HTTP dla swoich backendów. Sprawdź teraz, czy ruch jest przekierowywany do usługi backendu.

Uzyskiwanie dostępu do systemu równoważenia obciążenia HTTP

Aby przetestować dostęp adresu IPv4 do systemu równoważenia obciążenia, otwórz nową kartę w przeglądarce i wejdź na stronę http://[LB_IP_v4]. Pamiętaj, aby zastąpić [LB_IP_v4] adresem IPv4 systemu równoważenia obciążenia.

Uwaga: uzyskanie dostępu do systemu równoważenia obciążenia HTTP może zająć do 5 minut. W tym czasie może wyświetlać się błąd 404 lub 502. Ponawiaj próby, aż wyświetli się strona któregoś z backendów. Uwaga: zależnie od odległości między miejscem, w którym się znajdujesz, a regionami , Twój ruch jest przekierowywany do instancji -mig lub -mig.

Jeśli masz lokalny adres IPv6, wypróbuj adres IPv6 systemu równoważenia obciążenia, wchodząc na stronę http://[LB_IP_v6]. Pamiętaj, by zastąpić część [LB_IP_v6] adresem IPv6 systemu równoważenia obciążenia.

Testowanie systemu równoważenia obciążenia HTTP w warunkach skrajnych

Utwórz nową maszynę wirtualną, by symulować obciążenie systemu równoważenia obciążenia HTTP przy użyciu siege. Następnie, gdy obciążenie będzie wysokie, sprawdź, czy ruch pomiędzy oboma backendami jest zrównoważony.

  1. W konsoli Cloud wybierz Menu nawigacyjne (Ikona menu nawigacyjnego) > Compute Engine > Instancje maszyn wirtualnych.

  2. Kliknij Utwórz instancję.

  3. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Nazwa siege-vm
    Region
    Strefa
    Seria E2

Ponieważ jest w mniejszej odległości od niż od , ruch powinien być przekierowywany wyłącznie do -mig (chyba że obciążenie jest zbyt duże).

  1. Kliknij Utwórz.
  2. Poczekaj na utworzenie instancji siege-vm.
  3. Dla siege-vm kliknij SSH, aby włączyć terminal i się połączyć.
  4. Uruchom następujące polecenie, aby zainstalować siege:
sudo apt-get -y install siege
  1. Aby przechowywać adres IPv4 systemu równoważenia obciążenia HTTP w zmiennej środowiskowej, uruchom następujące polecenie, zastępując [LB_IP_v4] adresem IPv4:
export LB_IP=[LB_IP_v4]
  1. Aby przeprowadzić symulację obciążenia, uruchom następujące polecenie:
siege -c 150 -t120s http://$LB_IP
  1. menu nawigacyjnym konsoli Cloud (Ikona menu nawigacyjnego) kliknij Usługi sieciowe > Równoważenie obciążenia.
  2. Kliknij Backendy.
  3. Kliknij http-backend.
  4. Przejdź do http-lb.
  5. Kliknij kartę Monitorowanie.
  6. Przez 2–3 minuty monitoruj obszar Lokalizacja frontendu (Całkowity ruch przychodzący) pokazujący ruch między Ameryką Północną a dwoma backendami.

Najpierw ruch powinien zostać skierowany do -mig, ale przy wzroście liczby żądań na sekundę jest kierowany również do .

Pokazuje to, że domyślnie ruch jest przekierowywany do najbliższego backendu, ale jeśli obciążenie jest bardzo wysokie, może być rozprowadzany między backendami.

  1. Wróć do terminala SSH instancji siege-vm.
  2. Naciśnij CTRL+C, aby zatrzymać siege, jeśli nadal działa.

Dane wyjściowe powinny wyglądać tak:

New configuration template added to /home/student-02-dd02c94b8808/.siege Run siege -C to view the current settings in that file { "transactions": 24729, "availability": 100.00, "elapsed_time": 119.07, "data_transferred": 3.77, "response_time": 0.66, "transaction_rate": 207.68, "throughput": 0.03, "concurrency": 137.64, "successful_transactions": 24729, "failed_transactions": 0, "longest_transaction": 10.45, "shortest_transaction": 0.03 }

Zadanie 5. Umieszczanie siege-vm na liście odrzuconych

Użyj Cloud Armor do umieszczenia siege-vm na liście odrzuconych, by uniemożliwić tej instancji dostęp do systemu równoważenia obciążenia HTTP.

Tworzenie zasady zabezpieczeń

Utwórz zasadę zabezpieczeń Cloud Armor z regułą listy odrzuconych dla siege-vm.

  1. W konsoli Cloud wybierz Menu nawigacyjne (Ikona menu nawigacyjnego) > Compute Engine > Instancje maszyn wirtualnych.
  2. Zapisz sobie Zewnętrzny adres IP instancji siege-vm. Będzie oznaczony jako [SIEGE_IP].
Uwaga: istnieją sposoby na rozpoznanie zewnętrznego adresu IP klienta próbującego uzyskać dostęp do Twojego systemu równoważenia obciążenia. Możesz na przykład sprawdzić ruch przechwycony przez logi przepływu VPC w BigQuery, aby określić, czy liczba przychodzących żądań jest duża.
  1. W konsoli Cloud otwórz Menu nawigacyjne > Bezpieczeństwo sieciowe > Zasady Cloud Armor.

  2. Kliknij Utwórz zasadę.

  3. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Nazwa denylist-siege
    Domyślne działanie reguły Zezwalaj
  4. Kliknij Następny krok.

  5. Kliknij Dodaj regułę.

  6. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Warunek > Dopasowanie Wpisz SIEGE_IP
    Działanie Odmów
    Kod odpowiedzi 403 (brak dostępu)
    Priorytet 1000
  7. Kliknij Gotowe.

  8. Kliknij Następny krok.

  9. Kliknij Dodaj cel.

  10. Jako Typ wybierz Usługa backendu systemu równoważenia obciążenia.

  11. Jako Cel wybierz http-backend.

  12. Kliknij Utwórz zasadę.

Uwaga: można też ustawić zasadę domyślną Odrzucaj i zezwalać jedynie na ruch od autoryzowanych użytkowników lub adresów bądź umieszczać tych użytkowników i adresy na liście dozwolonych.
  1. Poczekaj na utworzenie zasady, zanim przejdziesz do kolejnego kroku.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło. Umieszczenie siege-vm na liście odrzuconych

Sprawdzanie zasady zabezpieczeń

Upewnij się, że siege-vm nie może uzyskać dostępu do systemu równoważenia obciążenia HTTP.

  1. Wróć do terminala SSH instancji siege-vm.
  2. Aby uzyskać dostęp do systemu równoważenia obciążenia, uruchom to polecenie:
curl http://$LB_IP

Dane wyjściowe powinny wyglądać tak:

<!doctype html><meta charset="utf-8"><meta name=viewport content="width=device-width, initial-scale=1"><title>403</title>403 Forbidden Uwaga: wdrożenie zasady zabezpieczeń może zająć kilka minut. Jeśli masz dostęp do backendów, ponawiaj próby aż do wystąpienia błędu 403 (brak dostępu).
  1. Otwórz nową kartę w przeglądarce i wejdź na stronę http://[LB_IP_v4]. Pamiętaj, aby zastąpić [LB_IP_v4] adresem IPv4 systemu równoważenia obciążenia.
Uwaga: możesz uzyskać dostęp do systemu równoważenia obciążenia w swojej przeglądarce z powodu domyślnej reguły zezwalającej na ruch. Nie możesz jednak uzyskać do niego dostępu z poziomu siege-vm w związku z wprowadzoną przez Ciebie regułą odrzucającą.
  1. Aby przeprowadzić symulację obciążenia, wróć do terminala SSH instancji siege-vm i uruchom następujące polecenie:
siege -c 150 -t120s http://$LB_IP

Polecenie nie wygeneruje żadnych danych wyjściowych.

Sprawdź logi zasad zabezpieczeń, by określić, czy ruch również jest blokowany.

  1. W konsoli otwórz Menu nawigacyjne > Bezpieczeństwo sieciowe > Zasady Cloud Armor.
  2. Kliknij denylist-siege.
  3. Kliknij Logi.
  4. Kliknij Wyświetl logi zasad.
  5. Na stronie Logowanie usuń cały tekst w polu Podgląd zapytań. Ustaw zasób na System równoważenia obciążenia aplikacji > http-lb-forwarding-rule > http-lb i kliknij Zastosuj.
  6. Teraz kliknij Uruchom.
  7. Rozwiń wpis logu w sekcji Wyniki zapytania.
  8. Rozwiń httpRequest.

Żądanie powinno pochodzić z adresu IP instancji siege-vm. Jeśli tak nie jest, rozwiń kolejny wpis logu.

  1. Rozwiń jsonPayload.
  2. Rozwiń enforcedSecurityPolicy.
  3. Zauważ, że configuredAction (skonfigurowane działanie) to DENY (odrzucanie) nazwy denylist-siege.

Strona wyników zapytania

Do zadań zasad zabezpieczeń Cloud Armor należy tworzenie logów, które można sprawdzać, aby określić źródło ruchu oraz aby zaobserwować, kiedy jest on odrzucany, a kiedy dozwolony.

Gratulacje!

Masz już skonfigurowany system równoważenia obciążenia HTTP z backendami w regionach . Następnie przetestowałeś(-aś) system równoważenia obciążenia w warunkach skrajnych przy użyciu maszyny wirtualnej i umieściłeś(-aś) na liście odrzuconych adres IP tej maszyny wirtualnej za pomocą Cloud Armor. Udało Ci się też sprawdzić logi zasad zabezpieczeń, aby określić, dlaczego ruch był blokowany.

Kolejne kroki / Więcej informacji

Szkolenia i certyfikaty Google Cloud

…pomogą Ci wykorzystać wszystkie możliwości technologii Google Cloud. Nasze zajęcia obejmują umiejętności techniczne oraz sprawdzone metody, które ułatwią Ci szybką naukę i umożliwią jej kontynuację. Oferujemy szkolenia na poziomach od podstawowego po zaawansowany prowadzone w trybach wirtualnym, na żądanie i na żywo, dzięki czemu możesz dopasować program szkoleń do swojego napiętego harmonogramu. Certyfikaty umożliwią udokumentowanie i potwierdzenie Twoich umiejętności oraz doświadczenia w zakresie technologii Google Cloud.

Ostatnia aktualizacja instrukcji: 2 lutego 2024 r.

Ostatni test modułu: 30 stycznia 2024 r.

Copyright 2024 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.