GSP215

Opis

Równoważenie obciążenia aplikacji Google Cloud jest wdrażane na brzegu sieci Google w punktach dostępu Google na całym świecie. Ruch użytkowników kierowany do systemu równoważenia obciążenia aplikacji trafia do punktu dostępu najbliższego użytkownikowi, a następnie obciążenie jest równoważone w globalnej sieci Google do najbliższego backendu, który ma wystarczającą wydajność.

Listy dozwolonych i odrzuconych IP Cloud Armor pozwalają na ograniczanie lub umożliwianie dostępu do Twojego systemu równoważenia obciążenia aplikacji na brzegu Google Cloud – jak najbliżej użytkownika i szkodliwego ruchu. Dzięki temu szkodliwi użytkownicy lub szkodliwy ruch nie mogą zużywać zasobów ani dostawać się do Twoich sieci VPC (prywatnego środowiska wirtualnego w chmurze).

W tym module skonfigurujesz system równoważenia obciążenia aplikacji z backendami globalnymi, tak jak to widać na schemacie poniżej. Następnie przetestujesz system równoważenia obciążenia w warunkach skrajnych i umieścisz na liście odrzuconych testowe IP przy użyciu Cloud Armor.

Cele

Z tego modułu nauczysz się, jak:

• tworzyć reguły zapory sieciowej na potrzeby HTTP i kontroli stanu,
• skonfigurować 2 szablony instancji,
• utworzyć 2 zarządzane grupy instancji,
• skonfigurować system równoważenia obciążenia aplikacji z IPv4 i IPv6,
• przeprowadzić test obciążeniowy systemu równoważenia obciążenia aplikacji,
• umieścić adres IP na liście odrzuconych w celu ograniczenia dostępu do systemu równoważenia obciążenia aplikacji.

Konfiguracja i wymagania

Zanim klikniesz przycisk Rozpocznij moduł

Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Gdy klikniesz Rozpocznij moduł, na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.

W tym praktycznym module możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.

Do ukończenia modułu potrzebne będą:

• Dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome).

Uwaga: uruchom ten moduł w oknie incognito (zalecane) lub przeglądania prywatnego. Dzięki temu unikniesz konfliktu między swoim kontem osobistym a kontem do nauki, co mogłoby spowodować naliczanie dodatkowych opłat na koncie osobistym.

• Odpowiednia ilość czasu na ukończenie modułu – pamiętaj, że gdy rozpoczniesz, nie możesz go wstrzymać.

Uwaga: w tym module używaj tylko konta do nauki. Jeśli użyjesz innego konta Google Cloud, mogą na nim zostać naliczone opłaty.

Rozpoczynanie modułu i logowanie się w konsoli Google Cloud

1. Kliknij przycisk Rozpocznij moduł. Jeśli moduł jest odpłatny, otworzy się okno, w którym możesz wybrać formę płatności. Po lewej stronie znajduje się panel Szczegóły modułu z następującymi elementami:

   • przyciskiem Otwórz konsolę Google Cloud;
   • czasem, który Ci pozostał;
   • tymczasowymi danymi logowania, których musisz użyć w tym module;
   • innymi informacjami potrzebnymi do ukończenia modułu.

2. Kliknij Otwórz konsolę Google Cloud (lub kliknij prawym przyciskiem myszy i wybierz Otwórz link w oknie incognito, jeśli korzystasz z przeglądarki Chrome).

   Moduł uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.

   Wskazówka: otwórz karty obok siebie w osobnych oknach.

   Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta.

3. W razie potrzeby skopiuj nazwę użytkownika znajdującą się poniżej i wklej ją w oknie logowania.

   {{{user_0.username | "Username"}}}

   Nazwę użytkownika znajdziesz też w panelu Szczegóły modułu.

4. Kliknij Dalej.

5. Skopiuj podane niżej hasło i wklej je w oknie powitania.

   {{{user_0.password | "Password"}}}

   Hasło znajdziesz też w panelu Szczegóły modułu.

6. Kliknij Dalej.

   Ważne: musisz użyć danych logowania podanych w module. Nie używaj danych logowania na swoje konto Google Cloud. Uwaga: korzystanie z własnego konta Google Cloud w tym module może wiązać się z dodatkowymi opłatami.

7. Na kolejnych stronach wykonaj następujące czynności:

   • Zaakceptuj Warunki korzystania z usługi.
   • Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
   • Nie rejestruj się w bezpłatnych wersjach próbnych.

Poczekaj, aż na karcie otworzy się konsola Google Cloud.

Uwaga: aby uzyskać dostęp do produktów i usług Google Cloud, kliknij Menu nawigacyjne lub wpisz nazwę usługi albo produktu w polu Szukaj.

Zadanie 1. Konfigurowanie reguł zapory sieciowej na potrzeby HTTP i kontroli stanu

Skonfiguruj reguły zapory sieciowej tak, aby przepuszczała ruch HTTP do backendów oraz ruch TCP z kontroli stanu Google Cloud.

Tworzenie reguły zapory sieciowej dla HTTP

Utwórz regułę zapory sieciowej, która umożliwi ruch HTTP do backendów.

1. W konsoli Cloud otwórz Menu nawigacyjne () i kliknij Sieć VPC > Zapora sieciowa.

2. Zwróć uwagę na istniejące reguły zapory sieciowej dotyczące ICMP, ruchu wewnętrznego, RDP i SSH.

   Każdy projekt Google Cloud rozpoczyna się od sieci default (domyślnej) i tych reguł zapory sieciowej.

3. Kliknij Utwórz regułę zapory sieciowej.

4. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Nazwa	default-allow-http
   Sieć	default
   Cele	Określone tagi docelowe
   Tagi docelowe	http-server
   Filtr źródeł	Zakresy adresów IPv4
   Zakresy źródłowych adresów IPv4	0.0.0.0/0
   Protokoły i porty	Określone protokoły i porty, a następnie zaznacz TCP i wpisz: 80

Sprawdź, czy w Zakresach źródłowych adresów IPv4 masz uwzględnione /0, co pozwala określić wszystkie sieci.

5. Kliknij Utwórz.

Tworzenie reguł zapory sieciowej do kontroli stanu

Kontrola stanu wskazuje instancje systemu równoważenia obciążenia, które mogą otrzymywać nowe połączenia. Do równoważenia obciążenia aplikacji kontrola stanu sonduje Twoje instancje o zrównoważonym obciążeniu, które pochodzą z adresów w zakresach: 130.211.0.0/22 i 35.191.0.0/16. Twoje reguły zapory sieciowej muszą przepuszczać te połączenia.

1. Na stronie Zasady zapora sieciowej kliknij Utwórz regułę zapory sieciowej.

2. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Nazwa	default-allow-health-check
   Sieć	default
   Cele	Określone tagi docelowe
   Tagi docelowe	http-server
   Filtr źródeł	Zakresy adresów IPv4
   Zakresy źródłowych adresów IPv4	130.211.0.0/22, 35.191.0.0/16
   Protokoły i porty	Określone protokoły i porty, a następnie zaznacz TCP

   Uwaga: pamiętaj, aby podać 2 Zakresy źródłowych adresów IPv4 jeden po drugim, rozdzielając je SPACJĄ.

3. Kliknij Utwórz.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło. Skonfigurowanie reguł zapory sieciowej na potrzeby HTTP i kontroli stanu

Zadanie 2. Konfigurowanie szablonów instancji i tworzenie grup instancji

Zarządzana grupa instancji używa szablonu do utworzenia grupy jednakowych instancji. Korzystając z nich, utwórz backendy systemu równoważenia obciążenia aplikacji.

Konfigurowanie szablonów instancji

Szablon instancji to zasób interfejsu API, którego możesz użyć do utworzenia instancji maszyny wirtualnej oraz zarządzanych grup instancji. Szablony instancji określają typ maszyny, obraz dysku rozruchowego, podsieć, etykiety i inne właściwości instancji.

Utwórz po 1 szablonie instancji dla regionów i .

1. W konsoli Cloud wybierz Menu nawigacyjne () > Compute Engine > Szablony instancji, a następnie kliknij Utwórz szablon instancji.

2. W polu Nazwa wpisz -template.

3. W polu Lokalizacja wybierz Globalna.

4. Z listy Seria wybierz E2.

5. Z listy Typ maszyny wybierz e2-micro.

6. Kliknij Opcje zaawansowane.

7. Kliknij Sieci. Ustaw tę wartość, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Tagi sieci	http-server

8. W sekcji Interfejsy sieci kliknij default. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Sieć	default
   Podsieć	default

   Kliknij Gotowe.

Tag sieci http-server sprawia, że reguły zapory sieciowej dla HTTP i kontroli stanu obejmują te instancje.

9. Kliknij kartę Zarządzanie.

10. W sekcji Metadane kliknij + DODAJ ELEMENT i podaj:

    Klucz	Wartość
    startup-script-url	gs://cloud-training/gcpnet/httplb/startup.sh

Klucz startup-script-url definiuje skrypt, który zostanie wykonany wraz z uruchomieniem instancji. Skrypt instaluje serwer Apache i zmienia stronę powitalną tak, aby zawierała adres IP klienta oraz nazwę, region i strefę instancji maszyny wirtualnej. Tutaj możesz przyjrzeć się temu skryptowi.

11. Kliknij Utwórz.
12. Poczekaj, aż szablon instancji zostanie utworzony.

Teraz utwórz kolejny szablon instancji dla subnet-b, kopiując -template:

1. Kliknij -template i u góry wybierz opcję +UTWÓRZ PODOBNĄ.
2. W polu Nazwa wpisz -template.
3. W polu Lokalizacja wybierz Globalna.
4. Kliknij Opcje zaawansowane.
5. Kliknij Sieci.
6. Pamiętaj, żeby jako tag sieci wpisać http-server.
7. W sekcji Interfejsy sieci jako Podsieć wybierz default ().
8. Kliknij Gotowe.
9. Kliknij Utwórz.

Tworzenie zarządzanych grup instancji

Utwórz po 1 zarządzanej grupie instancji w regionach i .

1. Będąc na stronie Compute Engine, w menu po lewej stronie kliknij Grupy instancji.

2. Kliknij Utwórz grupę instancji.

3. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Nazwa	-mig (w razie potrzeby usuń dodatkową spację z nazwy)
   Szablon instancji	-template
   Lokalizacja	Wiele stref
   Region
   Minimalna liczba instancji	1
   Maksymalna liczba instancji	2
   Sygnały autoskalowania > kliknij menu > Typ sygnału	Wykorzystanie procesora
   Docelowe wykorzystanie procesora	80, kliknij Gotowe.
   Okres inicjowania	45

Zarządzane grupy instancji oferują możliwość autoskalowania, co pozwala na automatyczne dodawanie lub usuwanie instancji z zarządzanej grupy instancji zależnie od wzrostu lub spadku obciążenia. Autoskalowanie pomaga aplikacjom płynnie obsługiwać zwiększony ruch, a ponadto obniża koszty, gdy zapotrzebowanie na zasoby jest niższe. Wystarczy zdefiniować zasadę autoskalowania, by odpowiedni mechanizm zaczął je przeprowadzać na podstawie pomiaru obciążenia.

4. Kliknij Utwórz.

Teraz powtórz te kroki, by utworzyć drugą grupę instancji dla -mig w :

1. Kliknij Utwórz grupę instancji.

2. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Nazwa	-mig
   Szablon instancji	-template
   Lokalizacja	Wiele stref
   Region
   Minimalna liczba instancji	1
   Maksymalna liczba instancji	2
   Sygnały autoskalowania > kliknij menu > Typ sygnału	Wykorzystanie procesora
   Docelowe wykorzystanie procesora	80, kliknij Gotowe.
   Okres inicjowania	45

3. Kliknij Utwórz.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło. Skonfigurowanie szablonów instancji i utworzenie grup instancji

Sprawdzanie backendów

Sprawdź, czy instancje maszyn wirtualnych są tworzone w obu regionach, i otwórz ich strony HTTP.

1. Będąc w Compute Engine, w menu po lewej stronie kliknij Instancje maszyn wirtualnych.

2. Zobaczysz tam instancje zaczynające się od -mig i -mig.

   Są one częścią zarządzanych grup instancji.

3. Kliknij Zewnętrzny adres IP instancji -mig.

   Powinny się wyświetlić Adres IP klienta (Twój adres IP), Nazwa hosta (zaczynająca się od -mig) oraz Lokalizacja serwera (strefa w regionie ).

4. Kliknij Zewnętrzny adres IP instancji -mig.

   Powinny się wyświetlić Adres IP klienta (Twój adres IP), Nazwa hosta (zaczynająca się od -mig) oraz Lokalizacja serwera (strefa w regionie ).

Uwaga: Nazwa hosta i Lokalizacja serwera wskazują, dokąd system równoważenia obciążenia aplikacji kieruje ruch.

Zadanie 3. Konfigurowanie systemu równoważenia obciążenia aplikacji

Skonfiguruj system równoważenia obciążenia aplikacji, aby zrównoważyć ruch między 2 backendami (-mig w  i -mig w ), tak jak na tym schemacie sieci:

Rozpoczynanie konfiguracji

1. W konsoli Cloud kliknij Menu nawigacyjne () > WYŚWIETL WSZYSTKIE USŁUGI > Sieć > Usługi sieciowe > Równoważenie obciążenia.

2. Kliknij Utwórz system równoważenia obciążenia.

3. W sekcji System równoważenia obciążenia aplikacji (HTTP/S) kliknij Dalej.

4. W polu Publiczny czy wewnętrzny wybierz Publiczny (zewnętrzny) i kliknij Dalej.

5. W polu Wdrożenie globalne czy w jednym regionie wybierz Najlepszy w przypadku zadań globalnych i kliknij Dalej.

6. W polu Generacja systemu równoważenia obciążenia wybierz Globalny zewnętrzny system równoważenia obciążenia aplikacji i kliknij Dalej.

7. W polu Utwórz system równoważenia obciążenia kliknij Skonfiguruj.

8. W polu Nazwa systemu równoważenia obciążenia ustaw http-lb.

Konfigurowanie frontendu

Reguły hostów i ścieżek określają, w jaki sposób będzie kierowany ruch. Możesz na przykład skierować ruch wideo do jednego backendu, a ruch statyczny do innego. W tym module nie konfigurujesz jednak reguł hostów i ścieżek.

1. Kliknij Konfiguracja frontendu.

2. Określ te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Protokół	HTTP
   Wersja IP	IPv4
   Adres IP	Efemeryczny
   Port	80

3. Kliknij Gotowe.

4. Kliknij Dodaj adres IP i port frontendu.

5. Określ te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Protokół	HTTP
   Wersja IP	IPv6
   Adres IP	Automatyczne przydzielanie
   Port	80

6. Kliknij Gotowe.

W przypadku ruchu klienta równoważenie obciążenia aplikacji obsługuje zarówno adresy IPv4, jak i IPv6. Żądania IP klienta w wersji IPv6 są zatrzymywane w warstwie globalnej systemu równoważenia obciążenia, a następnie przesyłane przez IPv4 do Twoich backendów.

Konfigurowanie backendu

Usługi backendu kierują ruch przychodzący do co najmniej jednego z podłączonych backendów. Każdy backend składa się z grupy instancji i metadanych dotyczących dodatkowej obsługiwanej przepustowości.

1. Kliknij Konfiguracja backendu.

2. W obszarze Usługi backendu i zasobniki backendu kliknij Utwórz usługę backendu.

3. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wybierz podaną opcję)
   Nazwa	http-backend
   Grupa instancji	-mig
   Numery portów	80
   Tryb równoważenia	Częstotliwość żądań
   Maksymalna liczba żądań/s	50
   Rozmiar	100

Ta konfiguracja oznacza, że system równoważenia obciążenia próbuje utrzymać każdą instancję w -mig na poziomie maksymalnie 50 żądań na sekundę (RPS).

4. Kliknij Gotowe.

5. Kliknij Dodaj backend.

6. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wybierz podaną opcję)
   Grupa instancji	-mig
   Numery portów	80
   Tryb równoważenia	Wykorzystanie
   Maksymalne wykorzystanie backendu	80
   Rozmiar	100

Ta konfiguracja oznacza, że system równoważenia obciążenia próbuje utrzymać każdą instancję w -mig na poziomie wykorzystania procesora w wysokości maksymalnie 80%.

7. Kliknij Gotowe.

8. W obszarze Kontrola stanu wybierz Utwórz kontrolę stanu.

9. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wybierz podaną opcję)
   Nazwa	http-health-check
   Protokół	TCP
   Port	80

Kontrola stanu wskazuje instancje, które mogą otrzymywać nowe połączenia. Kontrola stanu HTTP zbiera wyniki z instancji co 5 sekund, czeka na odpowiedź do 5 sekund i traktuje 2 sukcesy jako stan prawidłowy, 2 niepowodzenia – jako nieprawidłowy.

10. Kliknij Zapisz.
11. Zaznacz pole Włącz logowanie.
12. Ustaw Częstotliwość próbkowania na 1.
13. Kliknij Utwórz, aby utworzyć usługę backendu.
14. Kliknij OK.

Przeglądanie i tworzenie systemu równoważenia obciążenia aplikacji

1. Kliknij Przejrzyj i zakończ.
2. Przejrzyj usługi backendu i frontendu.
3. Kliknij Utwórz.
4. Poczekaj, aż system równoważenia obciążenia zostanie utworzony.
5. Kliknij nazwę systemu równoważenia obciążenia (http-lb).
6. Zapisz adresy IPv4 i IPv6 systemu równoważenia obciążenia – przydadzą się do następnego zadania. Będą oznaczone odpowiednio jako [LB_IP_v4] i [LB_IP_v6].

Uwaga: adres IPv6 to ten w formacie szesnastkowym.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło. Skonfigurowanie systemu równoważenia obciążenia aplikacji

Zadanie 4. Testowanie systemu równoważenia obciążenia aplikacji

Masz już system równoważenia obciążenia aplikacji dla swoich backendów. Sprawdź teraz, czy ruch jest przekierowywany do usługi backendu.

Dostęp do systemu równoważenia obciążenia aplikacji

Aby przetestować dostęp adresu IPv4 do systemu równoważenia obciążenia aplikacji, otwórz nową kartę w przeglądarce i wejdź na stronę http://[LB_IP_v4]. Pamiętaj, aby zastąpić [LB_IP_v4] adresem IPv4 systemu równoważenia obciążenia.

Uwaga: uzyskanie dostępu do systemu równoważenia obciążenia aplikacji może zająć do 5 minut. W tym czasie może wyświetlać się błąd 404 lub 502. Ponawiaj próby, aż wyświetli się strona któregoś z backendów. Uwaga: zależnie od odległości między miejscem, w którym się znajdujesz, a regionami i , Twój ruch jest przekierowywany do instancji -mig lub -mig.

Jeśli masz lokalny adres IPv6, wypróbuj adres IPv6 systemu równoważenia obciążenia aplikacji, wchodząc na stronę http://[LB_IP_v6]. Pamiętaj, by zastąpić część [LB_IP_v6] adresem IPv6 systemu równoważenia obciążenia.

Test obciążeniowy systemu równoważenia obciążenia aplikacji

Utwórz nową maszynę wirtualną, by symulować obciążenie systemu równoważenia obciążenia aplikacji przy użyciu siege. Następnie, gdy obciążenie będzie wysokie, sprawdź, czy ruch pomiędzy oboma backendami jest zrównoważony.

1. W konsoli Cloud wybierz Menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.

2. Kliknij Utwórz instancję.

3. W sekcji Konfiguracja maszyny:

   Wybierz te wartości:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Nazwa	siege-vm
   Region
   Strefa
   Seria	E2

Ponieważ jest w mniejszej odległości od niż od , ruch powinien być przekierowywany wyłącznie do -mig (chyba że obciążenie jest zbyt duże).

4. Kliknij Utwórz.
5. Poczekaj na utworzenie instancji siege-vm.
6. Dla siege-vm kliknij SSH, aby włączyć terminal i się połączyć.
7. Uruchom następujące polecenie, aby zainstalować siege:

sudo apt-get -y install siege

8. Aby przechowywać adres IPv4 systemu równoważenia obciążenia aplikacji w zmiennej środowiskowej, uruchom następujące polecenie, zastępując [LB_IP_v4] adresem IPv4:

export LB_IP=[LB_IP_v4]

9. Aby przeprowadzić symulację obciążenia, uruchom następujące polecenie:

siege -c 150 -t120s http://$LB_IP

10. W konsoli Cloud kliknij Menu nawigacyjne () > WYŚWIETL WSZYSTKIE USŁUGI > Sieć > Usługi sieciowe > Równoważenie obciążenia.

11. Kliknij Backendy.

12. Kliknij http-backend.

13. Przejdź do http-lb.

14. Kliknij kartę Monitorowanie.

15. Przez 2–3 minuty monitoruj obszar Lokalizacja frontendu (Całkowity ruch przychodzący) pokazujący ruch między Ameryką Północną a dwoma backendami.

Najpierw ruch powinien zostać skierowany do -mig, ale przy wzroście liczby żądań na sekundę jest kierowany również do .

Pokazuje to, że domyślnie ruch jest przekierowywany do najbliższego backendu, ale jeśli obciążenie jest bardzo wysokie, może być rozprowadzany między backendami.

16. Wróć do terminala SSH instancji siege-vm.
17. Naciśnij CTRL+C, aby zatrzymać siege, jeśli nadal działa.

Dane wyjściowe powinny wyglądać tak:

New configuration template added to /home/student-02-dd02c94b8808/.siege Run siege -C to view the current settings in that file { "transactions": 24729, "availability": 100.00, "elapsed_time": 119.07, "data_transferred": 3.77, "response_time": 0.66, "transaction_rate": 207.68, "throughput": 0.03, "concurrency": 137.64, "successful_transactions": 24729, "failed_transactions": 0, "longest_transaction": 10.45, "shortest_transaction": 0.03 }

Zadanie 5. Umieszczanie siege-vm na liście odrzuconych

Użyj Cloud Armor do umieszczenia siege-vm na liście odrzuconych, by uniemożliwić tej instancji dostęp do systemu równoważenia obciążenia aplikacji.

Tworzenie zasady zabezpieczeń

Utwórz zasadę zabezpieczeń Cloud Armor z regułą listy odrzuconych dla siege-vm.

1. W konsoli wybierz Menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.
2. Zapisz sobie Zewnętrzny adres IP instancji siege-vm. Będzie oznaczony jako [SIEGE_IP].

Uwaga: istnieją sposoby na rozpoznanie zewnętrznego adresu IP klienta próbującego uzyskać dostęp do Twojego systemu równoważenia obciążenia aplikacji. Możesz na przykład sprawdzić ruch przechwycony przez logi przepływu VPC w BigQuery, aby określić, czy liczba przychodzących żądań jest duża.

3. W konsoli Cloud kliknij Menu nawigacyjne () > WYŚWIETL WSZYSTKIE USŁUGI > Sieć > Bezpieczeństwo sieciowe > Zasady Cloud Armor.

4. Kliknij Utwórz zasadę.

5. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Nazwa	denylist-siege
   Domyślne działanie reguły	Zezwalaj

6. Kliknij Następny krok.

7. Kliknij Dodaj regułę.

8. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Warunek > Dopasowanie	Wpisz SIEGE_IP
   Działanie	Odmów
   Kod odpowiedzi	403 (brak dostępu)
   Priorytet	1000

9. Kliknij Zapisz zmianę reguły.

10. Kliknij Następny krok.

11. Kliknij Dodaj cel.

12. W polu Typ wybierz Usługa backendu (zewnętrzny system równoważenia obciążenia aplikacji).

13. Jako Cel wybierz http-backend i w razie potrzeby potwierdź Zastąp.

14. Kliknij Utwórz zasadę.

Uwaga: można też ustawić zasadę domyślną Odrzucaj i zezwalać jedynie na ruch od autoryzowanych użytkowników lub adresów bądź umieszczać tych użytkowników i adresy na liście dozwolonych.

15. Poczekaj na utworzenie zasady, zanim przejdziesz do kolejnego kroku.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło. Umieszczenie siege-vm na liście odrzuconych

Sprawdzanie zasady zabezpieczeń

Upewnij się, że siege-vm nie może uzyskać dostępu do systemu równoważenia obciążenia aplikacji.

1. Wróć do terminala SSH instancji siege-vm.
2. Aby uzyskać dostęp do systemu równoważenia obciążenia, uruchom to polecenie:

curl http://$LB_IP

Dane wyjściowe powinny wyglądać tak:

<!doctype html><meta charset="utf-8"><meta name=viewport content="width=device-width, initial-scale=1"><title>403</title>403 Forbidden Uwaga: wdrożenie zasady zabezpieczeń może zająć kilka minut. Jeśli masz dostęp do backendów, ponawiaj próby aż do wystąpienia błędu 403 (brak dostępu).

3. Otwórz nową kartę w przeglądarce i wejdź na stronę http://[LB_IP_v4]. Pamiętaj, aby zastąpić [LB_IP_v4] adresem IPv4 systemu równoważenia obciążenia.

Uwaga: możesz uzyskać dostęp do systemu równoważenia obciążenia aplikacji w swojej przeglądarce z powodu domyślnej reguły zezwalającej na ruch. Nie możesz jednak uzyskać do niego dostępu z poziomu siege-vm w związku z wprowadzoną przez Ciebie regułą odrzucającą.

4. Aby przeprowadzić symulację obciążenia, wróć do terminala SSH instancji siege-vm i uruchom następujące polecenie:

siege -c 150 -t120s http://$LB_IP

Polecenie nie wygeneruje żadnych danych wyjściowych.

Sprawdź logi zasad zabezpieczeń, by określić, czy ruch również jest blokowany.

5. W konsoli otwórz Menu nawigacyjne > Bezpieczeństwo sieciowe > Zasady Cloud Armor.
6. Kliknij denylist-siege.
7. Kliknij Logi.
8. Kliknij Wyświetl logi zasad.
9. Na stronie Logowanie usuń cały tekst w polu Podgląd zapytań. Ustaw zasób na System równoważenia obciążenia aplikacji > http-lb-forwarding-rule > http-lb i kliknij Zastosuj.
10. Teraz kliknij Uruchom.
11. Rozwiń wpis logu w sekcji Wyniki zapytania.
12. Rozwiń httpRequest.

Żądanie powinno pochodzić z adresu IP instancji siege-vm. Jeśli tak nie jest, rozwiń kolejny wpis logu.

13. Rozwiń jsonPayload.
14. Rozwiń enforcedSecurityPolicy.
15. Zauważ, że configuredAction (skonfigurowane działanie) to DENY (odrzucanie) nazwy denylist-siege.

Do zadań zasad zabezpieczeń Cloud Armor należy tworzenie logów, które można sprawdzać, aby określić źródło ruchu oraz aby zaobserwować, kiedy jest on odrzucany, a kiedy dozwolony.

Gratulacje!

Skonfigurowaliśmy system równoważenia obciążenia aplikacji z backendami w regionach i . Następnie przetestowaliśmy system równoważenia obciążenia w warunkach skrajnych przy użyciu maszyny wirtualnej i umieściliśmy na liście odrzuconych adres IP tej maszyny wirtualnej za pomocą Cloud Armor. Udało Ci się też sprawdzić logi zasad zabezpieczeń, aby określić, dlaczego ruch był blokowany.

Kolejne kroki / Więcej informacji

• Informacje na temat podstawowych zagadnień dotyczących Cloud Armor znajdziesz w dokumentacji Cloud Armor (w języku angielskim).

• Informacje o równoważeniu obciążenia znajdziesz na stronie dokumentacji równoważenia obciążenia Google Cloud.

Szkolenia i certyfikaty Google Cloud

…pomogą Ci wykorzystać wszystkie możliwości technologii Google Cloud. Nasze zajęcia obejmują umiejętności techniczne oraz sprawdzone metody, które ułatwią Ci szybką naukę i umożliwią jej kontynuację. Oferujemy szkolenia na poziomach od podstawowego po zaawansowany prowadzone w trybach wirtualnym, na żądanie i na żywo, dzięki czemu możesz dopasować program szkoleń do swojego napiętego harmonogramu. Certyfikaty umożliwią udokumentowanie i potwierdzenie Twoich umiejętności oraz doświadczenia w zakresie technologii Google Cloud.

Ostatnia aktualizacja instrukcji: 15 kwietnia 2025 r.

Ostatni test modułu: 15 kwietnia 2025 r.

Copyright 2025 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.