Chargement...
Aucun résultat.

Mettez en pratique vos compétences dans la console Google Cloud

Google Cloud Next 2022 Hands-On Labs navigate_next Limitation du débit avec Cloud Armor
Accédez à plus de 700 ateliers et cours

Limitation du débit avec Cloud Armor

Atelier 1 heure 30 minutes universal_currency_alt 1 crédit show_chart Débutant
info Cet atelier peut intégrer des outils d'IA pour vous accompagner dans votre apprentissage.
Accédez à plus de 700 ateliers et cours

GSP975

Logo des ateliers d'auto-formation Google Cloud

Présentation

L'équilibrage de charge HTTP(S) Google Cloud est implémenté à la périphérie du réseau Google dans les points of presence (POP) de Google à travers le monde. Le trafic utilisateur dirigé vers un équilibreur de charge HTTP(S) entre dans le POP le plus proche de l'utilisateur. Ensuite, l'équilibrage de la charge sur le réseau mondial de Google permet d'acheminer le trafic jusqu'au backend le plus proche disposant d'une capacité suffisante.

Grâce aux listes d'autorisation/de blocage IP de Cloud Armor, vous pouvez limiter ou autoriser l'accès à votre équilibreur de charge HTTP(S) à la périphérie de Google Cloud, aussi près que possible de l'utilisateur et du trafic malveillant. Cela permet d'empêcher les utilisateurs non légitimes ou le trafic malveillant de consommer des ressources et d'entrer dans vos réseaux VPC (cloud privé virtuel).

Dans cet atelier, vous allez configurer un équilibreur de charge HTTP avec des backends à travers le monde, comme illustré dans le schéma ci-dessous. Vous effectuerez ensuite un test de contrainte sur l'équilibreur de charge et ajouterez une règle de limitation du débit Cloud Armor pour limiter le trafic en fonction de l'adresse IP.

Schéma réseau

Points abordés

Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :

  • Créer des règles de pare-feu HTTP et de vérification de l'état
  • Configurer deux modèles d'instance
  • Créer deux groupes d'instances gérés
  • Configurer un équilibreur de charge HTTP avec IPv4 et IPv6
  • Effectuer un test de contrainte sur un équilibreur de charge HTTP
  • Ajouter une règle de limitation du débit Cloud Armor pour restreindre l'accès en fonction de l'adresse IP
  • Vérifier que le trafic est bloqué lors de l'exécution d'un test de charge à partir d'une VM

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

  • Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).
Remarque : Ouvrez une fenêtre de navigateur en mode incognito (recommandé) ou de navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.
  • Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.
Remarque : Utilisez uniquement le compte de participant pour cet atelier. Si vous utilisez un autre compte Google Cloud, des frais peuvent être facturés à ce compte.

Démarrer l'atelier et se connecter à la console Google Cloud

  1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, une boîte de dialogue s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau "Détails concernant l'atelier", qui contient les éléments suivants :

    • Le bouton "Ouvrir la console Google Cloud"
    • Le temps restant
    • Les identifiants temporaires que vous devez utiliser pour cet atelier
    • Des informations complémentaires vous permettant d'effectuer l'atelier

  2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

    L'atelier lance les ressources, puis ouvre la page "Se connecter" dans un nouvel onglet.

    Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

    Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

  3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

    {{{user_0.username | "Username"}}}

    Vous trouverez également le nom d'utilisateur dans le panneau "Détails concernant l'atelier".

  4. Cliquez sur Suivant.

  5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

    {{{user_0.password | "Password"}}}

    Vous trouverez également le mot de passe dans le panneau "Détails concernant l'atelier".

  6. Cliquez sur Suivant.

    Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

  7. Accédez aux pages suivantes :

    • Acceptez les conditions d'utilisation.
    • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
    • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour accéder aux produits et services Google Cloud, cliquez sur le menu de navigation ou saisissez le nom du service ou du produit dans le champ Recherche. Icône du menu de navigation et champ de recherche

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

  1. Cliquez sur Activer Cloud Shell Icône Activer Cloud Shell en haut de la console Google Cloud.

  2. Passez les fenêtres suivantes :

    • Accédez à la fenêtre d'informations de Cloud Shell.
    • Autorisez Cloud Shell à utiliser vos identifiants pour effectuer des appels d'API Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET : . Le résultat contient une ligne qui déclare l'ID_PROJET pour cette session :

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

  1. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :
gcloud auth list
  1. Cliquez sur Autoriser.

Résultat :

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :
gcloud config list project

Résultat :

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.

Tâche 1 : Configurer des règles de pare-feu HTTP et de vérification de l'état

Configurez des règles de pare-feu pour autoriser le trafic HTTP vers les backends et le trafic TCP provenant du vérificateur de l'état Google Cloud.

Créer la règle de pare-feu HTTP

Créez une règle de pare-feu pour autoriser le trafic HTTP vers les backends.

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation) > Réseau VPC > Pare-feu.

  2. Notez la présence de règles de pare-feu ICMP, internes, RDP et SSH existantes.

    Chaque projet Google Cloud commence avec le réseau par défaut et ces règles de pare-feu.

  3. Cliquez sur Créer une règle de pare-feu.

  4. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom default-allow-http
    Réseau par défaut
    Cibles Tags cibles spécifiés
    Tags cibles http-server
    Filtre source Plages IPv4
    Plages d'adresses IP sources 0.0.0.0/0
    Protocoles et ports Protocoles et ports spécifiés, puis cochez tcp et saisissez : 80
    RemarquePensez à ajouter /0 dans les plages d'adresses IP sources pour indiquer tous les réseaux.

  5. Cliquez sur Créer.

Créer les règles de pare-feu de vérification de l'état

Les vérifications de l'état déterminent les instances d'un équilibreur de charge qui peuvent recevoir de nouvelles connexions. Pour l'équilibrage de charge HTTP, les vérifications de l'état portant sur vos instances à équilibrage de charge proviennent d'adresses situées dans les plages 130.211.0.0/22 et 35.191.0.0/16. Vos règles de pare-feu doivent autoriser ces connexions.

  1. Toujours depuis la page Règles de pare-feu, cliquez sur Créer une règle de pare-feu.

  2. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom default-allow-health-check
    Réseau par défaut
    Cibles Tags cibles spécifiés
    Tags cibles http-server
    Filtre source Plages IPv4
    Plages d'adresses IP sources 130.211.0.0/22, 35.191.0.0/16
    Protocoles et ports Protocoles et ports spécifiés, puis cochez tcp
    Remarque : Veillez à renseigner les deux propriétés Plages IPv4 sources individuellement et à appuyer sur la touche ESPACE entre chaque valeur.

  3. Cliquez sur Créer.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer des règles de pare-feu HTTP et de vérification de l'état

Tâche 2 : Configurer les modèles d'instance et créer les groupes d'instances

Un groupe d'instances géré crée un groupe d'instances identiques à l'aide d'un modèle d'instance. Utilisez ces instances pour créer les backends de l'équilibreur de charge HTTP.

Configurer les modèles d'instance

Un modèle d'instance est une ressource API qui vous permet de créer des instances de VM et des groupes d'instances gérés. Les modèles d'instance définissent le type de machine, l'image disque de démarrage, le sous-réseau, les étiquettes et d'autres propriétés d'instance. Créez un modèle d'instance pour et un autre pour .

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation) >Compute Engine > Modèles d'instance, puis cliquez sur Créer un modèle d'instance.
  2. Dans le champ Nom, saisissez -template.
  3. Dans le champ Emplacement, sélectionnez Mondial.
  4. Dans le champ Série, sélectionnez E2.
  5. Cliquez sur Mise en réseau, disques, sécurité, gestion, location unique.

Page "Identité et accès à l'API"

  1. Cliquez sur l'onglet Gestion.

Onglet "Gestion"

  1. Sous Métadonnées, cliquez sur + AJOUTER UN ÉLÉMENT et spécifiez les valeurs suivantes :

    Clé Valeur
    startup-script-url gs://cloud-training/gcpnet/httplb/startup.sh
Remarque : La clé startup-script-url spécifie un script qui s'exécute au démarrage des instances. Ce script installe Apache et modifie la page d'accueil pour y inclure l'adresse IP client et le nom, la région et la zone de l'instance de VM. Pour consulter ce script, cliquez ici.

  1. Cliquez sur Mise en réseau. Dans le champ Tags réseau, saisissez http-server.

  2. Pour Interfaces réseau, développez le réseau par défaut et définissez les valeurs suivantes :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Réseau par défaut
    Sous-réseau par défaut ()
Remarque : Le tag réseau http-server assure que les règles de pare-feu HTTP et Vérification de l'état s'appliquent à ces instances.
  1. Cliquez sur Créer.
  2. Attendez que le modèle d'instance soit créé.

Créez ensuite un autre modèle d'instance pour le sous-réseau subnet-b en copiant -template :

  1. Cliquez sur -template, puis sur l'option CRÉER UNE INSTANCE SIMILAIRE en haut.
  2. Dans le champ Nom, saisissez -template.
  3. Dans le champ Emplacement, sélectionnez Mondial.
  4. Cliquez sur Mise en réseau, disques, sécurité, gestion, location unique.
  5. Cliquez sur Réseau, puis développez le réseau par défaut.
  6. Pour Sous-réseau, sélectionnez par défaut ().
  7. Cliquez sur Créer.

Créer des groupes d'instances gérés

Créez un groupe d'instances géré dans et un autre dans .

  1. Dans le menu de navigation (Icône du menu de navigation), cliquez sur Compute Engine > Groupes d'instances dans le menu de gauche.

  2. Cliquez sur Créer un groupe d'instances.

  3. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom -mig
    Emplacement Plusieurs zones
    Région
    Modèle d'instance -template
    Autoscaling > Signaux d'autoscaling (cliquez sur la flèche déroulante afin d'effectuer vos modifications) > Type de signal Utilisation du CPU
    Objectif d'utilisation du processeur 80, cliquez sur OK
    Période d'initialisation 45
    Nombre minimal d'instances 1
    Nombre maximal d'instances 5
    Remarque : Les groupes d'instances gérés proposent des capacités d'autoscaling qui vous permettent d'ajouter ou de supprimer automatiquement des instances dans un groupe géré en fonction de l'augmentation ou de la réduction de la charge. Avec l'autoscaling, vos applications peuvent gérer de façon optimale les hausses de trafic et réduire vos coûts lorsque les besoins en ressources sont moins importants. Il vous suffit de définir les règles d'autoscaling pour que l'autoscaler effectue le scaling automatique en fonction de la charge mesurée.

  4. Cliquez sur Créer.

Effectuez ensuite la même procédure pour créer un second groupe d'instances pour -mig dans  :

  1. Cliquez sur Créer un groupe d'instances.

  2. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom -mig
    Emplacement Plusieurs zones
    Région
    Modèle d'instance -template
    Autoscaling > Signaux d'autoscaling (cliquez sur la flèche déroulante afin d'effectuer vos modifications) > Type de signal Utilisation du CPU
    Objectif d'utilisation du processeur 80, cliquez sur OK
    Période d'initialisation 45
    Nombre minimal d'instances 1
    Nombre maximal d'instances 5

  3. Cliquez sur Créer.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer les modèles d'instances et les groupes d'instances

Vérifier les backends

Vérifiez que les instances de VM sont créées dans les deux régions et accédez à leurs sites HTTP.

  1. Toujours dans Compute Engine, accédez au menu de gauche et cliquez sur Instances de VM.

  2. Examinez les instances qui commencent par -mig et -mig.

    Ces instances appartiennent aux groupes d'instances gérés.

  3. Cliquez sur l'adresse IP externe d'une instance de -mig.

    Vous devriez voir les informations suivantes : Adresse IP client (votre adresse IP), Nom d'hôte (commence par -mig) et Emplacement du serveur (une zone dans ).

  4. Cliquez sur l'adresse IP externe d'une instance de -mig.

    Vous devriez voir les informations suivantes : Adresse IP client (votre adresse IP), Nom d'hôte (commence par -mig) et Emplacement du serveur (une zone dans ).

Remarque : Les valeurs Nom d'hôte et Emplacement du serveur indiquent où l'équilibreur de charge HTTP envoie le trafic.

Tâche 3 : Configurer l'équilibreur de charge HTTP

Configurez l'équilibreur de charge HTTP pour qu'il équilibre le trafic entre les deux backends (-mig dans et -mig dans ), comme illustré dans le schéma réseau suivant :

Schéma réseau

Démarrer la configuration

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation) > Services réseau > Équilibrage de charge, puis cliquez sur Créer un équilibreur de charge.
  2. Sous Équilibreur de charge d'application (HTTP/S), cliquez sur Suivant.
  3. Sous Public ou interne, sélectionnez Public (externe), puis cliquez sur Suivant.
  4. Sous Déploiement mondial ou dans une seule région, sélectionnez Recommandé pour les charges de travail à l'échelle mondiale, puis cliquez sur Suivant.
  5. Sous Génération de l'équilibreur de charge, sélectionnez Équilibreur de charge d'application externe global, puis cliquez sur Suivant.
  6. Cliquez sur Configurer.
  7. Dans le champ Nom de l'équilibreur de charge, saisissez http-lb.

Configurer le backend

Les services de backend dirigent le trafic entrant vers un ou plusieurs backends associés. Chaque backend est composé d'un groupe d'instances et de métadonnées sur sa capacité de livraison supplémentaire.

  1. Cliquez sur Configuration du backend.

  2. Cliquez sur le menu déroulant Services de backend et buckets backend, puis sur Créer un service de backend.

  3. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (sélectionnez l'option spécifiée)
    Nom http-backend
    Groupe d'instances -mig
    Numéros de ports 80
    Mode d'équilibrage Fréquence
    Nombre maximal de RPS 50
    Capacité 100
    Remarque : Cette configuration signifie que l'équilibreur de charge tente de maintenir chaque instance de -mig à 50 requêtes par seconde (RPS) ou moins.

  4. Cliquez sur OK.

  5. Cliquez sur Ajouter un backend.

  6. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (sélectionnez l'option spécifiée)
    Groupe d'instances -mig
    Numéros de ports 80
    Mode d'équilibrage Utilisation
    Utilisation maximale du backend 80
    Capacité 100
    : Cette configuration signifie que l'équilibreur de charge tente de maintenir chaque instance de -mig à 80 % d'utilisation du processeur ou moins.

  7. Cliquez sur OK.

  8. Dans le champ Vérification d'état, sélectionnez Créer une vérification d'état.

  9. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (sélectionnez l'option spécifiée)
    Nom http-health-check
    Protocole TCP
    Port 80
    Remarque : Les vérifications de l'état déterminent les instances qui peuvent recevoir de nouvelles connexions. Cette vérification de l'état HTTP sonde les instances toutes les cinq secondes, attend une réponse pendant cinq secondes, puis considère deux tentatives ayant réussi ou ayant échoué comme un état opérationnel ou non opérationnel, respectivement.

  10. Cliquez sur Enregistrer.

  11. Cochez la case Activer la journalisation.

  12. Définissez le taux d'échantillonnage sur 1 :

  13. Cliquez sur Créer pour créer le service de backend, puis sur OK.

Configurer l'interface

Les règles d'hôte et de chemin d'accès déterminent la manière dont le trafic est dirigé. Par exemple, vous pouvez diriger le trafic vidéo vers un backend et le trafic statique vers un autre backend. Toutefois, vous n'apprendrez pas à configurer les règles d'hôte et de chemin d'accès dans cet atelier.

  1. Cliquez sur Configuration de l'interface.

  2. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Protocole HTTP
    Version IP IPv4
    Adresse IP Éphémère
    Port 80

  3. Cliquez sur OK.

  4. Cliquez sur Ajouter un IP et port frontend.

  5. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Protocole HTTP
    Version IP IPv6
    Adresse IP Attribuer automatiquement
    Port 80

  6. Cliquez sur OK.

Remarque : L'équilibrage de charge HTTP(S) accepte le trafic client provenant d'adresses IPv4 et IPv6. Les requêtes client IPv6 sont interrompues lors de l'équilibrage de charge mondial, puis transmises par serveur proxy, en IPv4, à vos backends.

Examiner et créer l'équilibreur de charge HTTP

  1. Cliquez sur Vérifier et finaliser.

    Vérifier et finaliser

  2. Vérifiez les services de backend et l'interface.

    Sections "Interface" et "Backend"

  3. Cliquez sur Créer.

  4. Attendez jusqu'à ce que l'équilibreur de charge soit créé.

  5. Cliquez sur le nom de l'équilibreur de charge (http-lb).

  6. Notez les adresses IPv4 et IPv6 de l'équilibreur de charge pour la prochaine tâche. Elles seront appelées respectivement [LB_IP_v4] et [LB_IP_v6].

Remarque : L'adresse IPv6 est au format hexadécimal.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer l'équilibreur de charge HTTP

Tâche 4 : Tester l'équilibreur de charge HTTP

Maintenant que vous avez créé l'équilibreur de charge HTTP pour vos backends, vérifiez que le trafic est transféré au service backend.

Accéder à l'équilibreur de charge HTTP

  • Pour tester l'accès IPv4 à l'équilibreur de charge HTTP, ouvrez un nouvel onglet dans votre navigateur et accédez à http://[LB_IP_v4]. Veillez à remplacer [LB_IP_v4] par l'adresse IPv4 de l'équilibreur de charge.
Remarque : L'accès à l'équilibreur de charge HTTP peut prendre jusqu'à cinq minutes. En attendant, il se peut que des erreurs 404 ou 502 apparaissent. Réessayez jusqu'à ce que la page de l'un des backends s'affiche. Remarque : Selon votre proximité avec et , votre trafic est transmis à une instance de -mig ou -mig.

Si vous disposez d'une adresse IPv6 locale, testez l'adresse IPv6 de l'équilibreur de charge HTTP en accédant à http://[LB_IP_v6]. Veillez à remplacer [LB_IP_v6] par l'adresse IPv6 de l'équilibreur de charge.

Effectuer un test de contrainte sur l'équilibreur de charge HTTP

Créez une instance de VM pour simuler une charge sur l'équilibreur de charge HTTP à l'aide de siege. Déterminez ensuite si le trafic est équilibré sur les deux backends lorsque la charge est élevée.

  1. Dans la console, accédez au menu de navigation (Icône du menu de navigation) > Compute Engine > Instances de VM.

  2. Cliquez sur Créer une instance.

  3. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom siege-vm
    Région
    Zone
    Série E2
Remarque : La région étant plus proche de que de, le trafic devrait uniquement être dirigé vers -mig (sauf si la charge est trop élevée).
  1. Cliquez sur Créer.
  2. Attendez que l'instance siege-vm soit créée.
  3. Dans le champ siege-vm, cliquez sur SSH pour lancer un terminal et vous y connecter.
  4. Exécutez la commande suivante pour installer siege :
sudo apt-get -y install siege

Cliquez sur Vérifier ma progression pour valider l'objectif. Tester l'équilibreur de charge HTTP

  1. Pour stocker l'adresse IPv4 de l'équilibreur de charge HTTP dans une variable d'environnement, exécutez la commande suivante en remplaçant [LB_IP_v4] par l'adresse IPv4 :
export LB_IP=[LB_IP_v4]
  1. Pour simuler une charge, exécutez la commande suivante :
siege -c 250 http://$LB_IP

Le résultat doit se présenter comme suit :

New configuration template added to /home/cloudcurriculumdeveloper/.siege Run siege -C to view the current settings in that file
  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation) et cliquez sur Services réseau > Équilibrage de charge.
  2. Cliquez sur Backends.
  3. Cliquez sur http-backend.
  4. Accédez à http-lb.
  5. Cliquez sur l'onglet Surveillance.
  6. Observez le champ Emplacement de l'interface (Total du trafic entrant) entre l'Amérique du Nord et les deux backends pendant quelques minutes.

Dans un premier temps, le trafic devrait être dirigé vers -mig, mais, à mesure que les RPS augmenteront, il sera aussi dirigé vers -mig.

Graphique de surveillance

Cela démontre que le trafic est transmis par défaut au backend le plus proche, mais qu'il peut être réparti entre les backends si la charge est très élevée.

  1. Revenez au terminal SSH de siege-vm.
  2. Appuyez sur CTRL+C pour arrêter siege.

Tâche 5 : Créer une règle de limitation du débit Cloud Armor

Dans cette section, vous allez utiliser Cloud Armor pour ajouter siege-vm à la liste de blocage et l'empêcher d'accéder à l'équilibreur de charge HTTP en définissant une règle de limitation du débit.

  1. Dans Cloud Shell, créez une stratégie de sécurité à l'aide de gcloud :
gcloud compute security-policies create rate-limit-siege \ --description "policy for rate limiting"
  1. Ensuite, ajoutez une règle de limitation du débit :
gcloud beta compute security-policies rules create 100 \ --security-policy=rate-limit-siege \ --expression="true" \ --action=rate-based-ban \ --rate-limit-threshold-count=50 \ --rate-limit-threshold-interval-sec=120 \ --ban-duration-sec=300 \ --conform-action=allow \ --exceed-action=deny-404 \ --enforce-on-key=IP
  1. Associez la stratégie de sécurité au service de backend "http-backend" :
gcloud compute backend-services update http-backend \ --security-policy rate-limit-siege --global

  1. Dans la console, accédez au menu de navigation > Sécurité du réseau > Cloud Armor.

  2. Cliquez sur rate-limit-siege. Votre règle doit se présenter comme suit :

page "Règle de sécurité de la limitation du débit"

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer une règle de limitation du débit Cloud Armor

Tâche 6 : Vérifier la stratégie de sécurité

  1. Revenez au terminal SSH de siege-vm.

  2. Exécutez une commande curl sur l'adresse IP de l'équilibreur de charge pour vérifier que vous pouvez toujours vous y connecter. Vous devriez recevoir une réponse 200 :

curl http://$LB_IP
  1. Revenez dans le terminal SSH de siege-vm et simulez une charge en exécutant la commande suivante :
siege -c 250 http://$LB_IP

La commande ne génère aucun résultat.

  1. Explorez les journaux de la stratégie de sécurité pour déterminer si ce trafic est également bloqué.

  2. Dans la console, accédez à menu de navigation > Sécurité du réseau > Règles Cloud Armor.

  3. Cliquez sur rate-limit-siege.

  4. Cliquez sur Journaux.

  5. Cliquez sur Afficher les journaux de stratégie.

  6. Sur la page "Journalisation", assurez-vous d'effacer tout le texte dans le champ Aperçu de la requête.

  7. Sélectionnez une ressource pour l'équilibreur de charge d'application > http-lb-forwarding-rule > http-lb, puis cliquez sur Appliquer.

  8. À présent, cliquez sur Exécuter la requête.

  9. Développez une entrée de journal dans Résultats de la requête.

    Page "Résultats de la requête"

  10. Développez httpRequest.

La requête devrait provenir de l'adresse IP siege-vm. Si ce n'est pas le cas, développez une autre entrée de journal.

  1. Développez jsonPayload.

  2. Développez enforcedSecurityPolicy.

    Page "Résultats de la requête"

Notez que configuredAction est défini sur DENY et que le nom est rate-limit-siege.

Remarque : Les stratégies de sécurité Cloud Armor créent des journaux que vous pouvez explorer pour déterminer quand le trafic est refusé et quand il est autorisé, ainsi que la source du trafic.

Félicitations !

Vous avez configuré un équilibreur de charge HTTP avec des backends dans et . Vous avez ensuite effectué un test de contrainte sur l'équilibreur de charge avec une VM et ajouté à la liste de blocage l'adresse IP de cette VM en limitant le débit avec Cloud Armor. Vous avez appris comment explorer les journaux d'une stratégie de sécurité pour déterminer la cause du blocage du trafic.

Étapes suivantes et informations supplémentaires

Pour en savoir plus sur les concepts de base de Cloud Armor, consultez la documentation sur Cloud Armor.

Pour en savoir plus sur l'équilibrage de charge, consultez la page Documentation Cloud Load Balancing.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 14 mai 2024

Dernier test de l'atelier : 14 mai 2024

Copyright 2025 Google LLC. Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.

Avant de commencer

  1. Les ateliers créent un projet Google Cloud et des ressources pour une durée déterminée.
  2. Les ateliers doivent être effectués dans le délai imparti et ne peuvent pas être mis en pause. Si vous quittez l'atelier, vous devrez le recommencer depuis le début.
  3. En haut à gauche de l'écran, cliquez sur Démarrer l'atelier pour commencer.

Utilisez la navigation privée

  1. Copiez le nom d'utilisateur et le mot de passe fournis pour l'atelier
  2. Cliquez sur Ouvrir la console en navigation privée

Connectez-vous à la console

  1. Connectez-vous à l'aide des identifiants qui vous ont été attribués pour l'atelier. L'utilisation d'autres identifiants peut entraîner des erreurs ou des frais.
  2. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.
  3. Ne cliquez pas sur Terminer l'atelier, à moins que vous n'ayez terminé l'atelier ou que vous ne vouliez le recommencer, car cela effacera votre travail et supprimera le projet.

Ce contenu n'est pas disponible pour le moment

Nous vous préviendrons par e-mail lorsqu'il sera disponible

Parfait !

Nous vous contacterons par e-mail s'il devient disponible

Un atelier à la fois

Confirmez pour mettre fin à tous les ateliers existants et démarrer celui-ci

Utilisez la navigation privée pour effectuer l'atelier

Ouvrez une fenêtre de navigateur en mode navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.