הגבלת הקצב של יצירת הבקשות באמצעות Cloud Armor

1. מבוא

איזון העומסים מסוג HTTP(S) של Google Cloud פרוס בקצה הרשת של Google בנקודות נוכחות (POP) של Google ברחבי העולם. תנועת משתמשים המופנית למאזן עומסים מסוג HTTP(S) מזינים את ה-POP שהכי קרוב למשתמש, ולאחר מכן מאוזנת על פני הרשת הגלובלית של Google לקצה העורפי הקרוב ביותר שיש לו קיבולת זמינה מספקת.

Cloud Armor היא מערכת הזיהוי המבוזרת של Google מסוג מניעת שירות (DoS) וחומת אש של אפליקציות אינטרנט (WAF). Cloud Armor משולב בצורה הדוקה עם מאזן העומסים של Google Cloud HTTP, ומאפשר לכם לבדוק תעבורת נתונים נכנסת לאיתור בקשות לא רצויות. התכונה של הגבלת הקצב של יצירת הבקשות בשירות הזה מאפשרת להגביל את תעבורת הנתונים למשאבים בקצה העורפי על סמך נפח הבקשות, ומונעת מתנועה לא רצויה לצרוך משאבים ברשת של הענן הווירטואלי הפרטי (VPC).

בשיעור ה-Lab הזה תגדירו מאזן עומסים של HTTP עם קצוות עורפיים גלובליים, כפי שמוצג בתרשים הבא. לאחר מכן צריך לבדוק את מאזן העומסים ולהוסיף מדיניות להגבלת קצב השליחה של Cloud Armor כדי להגביל את תעבורת הנתונים שמגיעה למשאבי הקצה העורפי שלכם.

מה תלמדו

• איך להגדיר מאזן עומסים של HTTP עם בדיקות תקינות מתאימות.
• איך יוצרים מדיניות להגבלת קצב של Cloud Armor.
• איך מוודאים שהמדיניות להגבלת קצב של יצירת הבקשות חוסמת את התנועה כשמריצים בדיקת עומסים ממכונה וירטואלית.

מה צריך להכין

• רשתות בסיסיות וידע על HTTP
• ידע בסיסי בשורת הפקודה Unix/Linux

2. הגדרה ודרישות

הגדרת סביבה בקצב עצמאי

1. נכנסים למסוף Google Cloud ויוצרים פרויקט חדש או עושים שימוש חוזר בפרויקט קיים. אם אין לכם עדיין חשבון Gmail או חשבון Google Workspace, עליכם ליצור חשבון.

• Project name הוא השם המוצג של המשתתפים בפרויקט. זו מחרוזת תווים שלא נעשה בה שימוש ב-Google APIs, ואפשר לעדכן אותה בכל שלב.
• Project ID חייב להיות ייחודי בכל הפרויקטים ב-Google Cloud ואי אפשר לשנות אותו (אי אפשר לשנות אותו אחרי שמגדירים אותו). מסוף Cloud יוצר מחרוזת ייחודית באופן אוטומטי; בדרך כלל לא מעניין אותך מה זה. ברוב ה-Codelabs תצטרכו להפנות אל מזהה הפרויקט (ובדרך כלל הוא מזוהה כ-PROJECT_ID), כך שאם הוא לא מוצא חן בעיניכם, תוכלו ליצור פרויקט אקראי אחר או לנסות בעצמכם ולבדוק אם הוא זמין. ואז המכשיר 'קפוא' לאחר יצירת הפרויקט.
• יש ערך שלישי, Project Number, שחלק מממשקי ה-API משתמשים בו. מידע נוסף על כל שלושת הערכים האלה זמין במסמכי התיעוד.

2. בשלב הבא צריך להפעיל את החיוב במסוף Cloud כדי להשתמש במשאבים או בממשקי API של Cloud. מעבר ב-Codelab הזה לא אמור לעלות הרבה, אם בכלל. כדי להשבית את המשאבים ולא לצבור חיובים מעבר למדריך הזה, פועלים לפי ההנחיות למחיקת המשאבים. בסוף ה-Codelab. משתמשים חדשים ב-Google Cloud זכאים להצטרף לתוכנית תקופת ניסיון בחינם בשווי 1,200 ש"ח.

הפעלת Cloud Shell

אומנם אפשר להפעיל את Google Cloud מרחוק מהמחשב הנייד, אבל ב-Codelab הזה משתמשים ב-Google Cloud Shell, סביבת שורת הפקודה שפועלת ב-Cloud.

ממסוף GCP, לוחצים על הסמל של Cloud Shell בסרגל הכלים שבפינה השמאלית העליונה:

נדרשים רק כמה דקות כדי להקצות את הסביבה ולהתחבר אליה. בסיום התהליך, אתם אמורים לראות משהו כזה:

למכונה הווירטואלית הזו נטען כל כלי הפיתוח הדרושים. יש בה ספריית בית בנפח מתמיד של 5GB והיא פועלת ב-Google Cloud, מה שמשפר משמעותית את ביצועי הרשת והאימות. כל העבודה בשיעור ה-Lab הזה יכולה להתבצע באמצעות דפדפן בלבד.

לפני שמתחילים

ב-Inside Cloud Shell, מוודאים שמזהה הפרויקט מוגדר

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
PROJECT_ID=[YOUR-PROJECT-NAME]
echo $PROJECT_ID

הפעלת ממשקי API

הפעלת כל השירותים הנחוצים

gcloud services enable compute.googleapis.com
gcloud services enable logging.googleapis.com
gcloud services enable monitoring.googleapis.com

3. צריך להגדיר כללי חומת אש כדי לאפשר תנועת HTTP לקצוות עורפיים

הגדרת כללי חומת אש כדי לאפשר תעבורת HTTP לקצה העורפי מבדיקות התקינות של Google Cloud וממאזן העומסים.

אנחנו נשתמש ברשת ה-VPC ברירת המחדל שנוצרה בפרויקט שלכם. יוצרים כלל של חומת אש כדי לאפשר תנועת HTTP לקצה העורפי. בדיקות תקינות קובעות אילו מופעים של מאזן עומסים יכולים לקבל חיבורים חדשים. בשביל איזון עומסים ב-HTTP, הגשות בדיקת התקינות למכונות עם איזון עומסים מגיעות מכתובות בטווחים 130.211.0.0/22 ו-35.191.0.0/16. כללי חומת האש של VPC חייבים לאפשר את החיבורים האלה. כמו כן, מאזני העומסים מתקשרים לקצה העורפי באותו טווח IP.

1. במסוף Cloud, נכנסים לתפריט הניווט ( ) > רשת VPC > חומת אש.

2. שימו לב לכללים הקיימים של חומת האש ICMP, פנימי, RDP ו-SSH.כל פרויקט ב-Google Cloud מתחיל ברשת ברירת המחדל ובכללי חומת האש האלה.
3. לוחצים על יצירת כלל חומת אש.
4. מגדירים את הערכים הבאים ומשאירים את הערכים האחרים בברירת המחדל:

5. לוחצים על יצירה.

לחלופין, אם משתמשים בשורת הפקודה של gcloud. בהמשך מופיעה הפקודה:

gcloud compute firewall-rules create default-allow-health-check --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp --source-ranges=130.211.0.0/22,35.191.0.0/16 --target-tags=http-server

4. הגדרת תבניות של מכונות ויצירת קבוצות של מופעי מכונה מנוהלים

בקבוצת מופעי מכונה מנוהלים נעשה שימוש בתבנית של מכונה כדי ליצור קבוצה של מכונות זהות. יש להשתמש באלה כדי ליצור את הקצוות העורפיים של מאזן העומסים של HTTP.

הגדרת התבניות של המכונה

תבנית של מכונה היא משאב API שבו משתמשים כדי ליצור מכונות וירטואליות וקבוצות של מכונות מנוהלות. תבניות של מכונות מגדירות את סוג המכונה, קובץ אימג' של דיסק אתחול, רשת משנה, תוויות ומאפייני מכונות אחרים. יוצרים תבנית אחת של מכונה בשביל us-east1 ותבנית אחת בשביל europe-west1.

1. במסוף Cloud, נכנסים לתפריט הניווט ( ) > Compute Engine > Instance templates (תבניות של מכונות) ואז לוחצים על Create instance template (יצירת תבנית למופע).
2. בשדה Name, מקלידים us-east1-template.
3. בשביל סדרות, בוחרים באפשרות N1.
4. לוחצים על Networking, Disks, Security, Management , Sole-Tenancy.

5. מעבר לקטע ניהול -

6. בקטע מטא-נתונים, לוחצים על הוספת פריט ומציינים את הפרטים הבאים:

7. לוחצים על Networking.
8. מגדירים את הערכים הבאים ומשאירים את כל שאר הערכים בברירת המחדל –

9. לוחצים על יצירה.
10. ממתינים עד שתבנית המכונה תיווצר.

עכשיו יוצרים תבנית של מכונה נוספת בשביל subnet-b על ידי העתקת הקוד us-east1-template:

1. לוחצים על us-east1-template ואז לוחצים על האפשרות Copy (העתקה) בחלק העליון.
2. בשדה Name, כותבים europe-west1-template.
3. לוחצים על Networking, Disks, Security, Management , Sole-Tenancy.
4. לוחצים על Networking.
5. בקטע Network Interfaces,עורכים את ממשק ברירת המחדל. בשביל Subnet, בוחרים באפשרות default (europe-west1).
6. לוחצים על יצירה.

יצירת קבוצות של מופעי מכונה מנוהלים

יוצרים קבוצת מופעי מכונה מנוהלים ב-us-east1 וקבוצה אחת ב-europe-west1.

1. עדיין ב-Compute Engine, לוחצים על Instance groups בתפריט השמאלי.

2. לוחצים על Create instance group. בוחרים באפשרות קבוצת מופעי מכונה מנוהלים חדשה (ללא מצב).
3. מגדירים את הערכים הבאים ומשאירים את הערכים האחרים בברירת המחדל:

4. לוחצים על יצירה.

עכשיו חוזרים על אותו תהליך כדי ליצור קבוצת מכונה שנייה עבור europe-west1-mig ב-europe-west1:

1. לוחצים על Create Instance group.
2. מגדירים את הערכים הבאים ומשאירים את הערכים האחרים בברירת המחדל:

3. לוחצים על יצירה.

5. הגדרת מאזן עומסים של HTTP

מגדירים את מאזן העומסים של HTTP כדי לאזן את התנועה בין שני הקצוות העורפיים (us-east1-mig ב-us-east1 ו-europe-west1-mig ב-europe-west1), כפי שמוצג בתרשים הרשת:

התחלת ההגדרה

1. במסוף Cloud, לוחצים על תפריט הניווט ( ) > לוחצים על שירותי רשת > Load balancing (איזון עומסים) ואז לוחצים על Create load balancer).
2. בקטע HTTP(S) Load Balancing, לוחצים על Start configuration.

3. בוחרים את From Internet to my VMs (מהאינטרנט אל ה-VMs שלי), Classic HTTP(S) Load Balancer ולוחצים על Continue (המשך).
4. מגדירים את Name כ-http-lb.

הגדרת הקצה העורפי

שירותים לקצה העורפי מפנים את התנועה הנכנסת לקצה עורפי אחד או יותר. כל קצה עורפי מורכב מקבוצת מכונות וממטא-נתונים נוספים של קיבולת מילוי הבקשות.

1. לוחצים על Backend configuration.
2. עבור שירותים לקצה העורפי קטגוריות קצה עורפי, לוחצים על Create a backend service.
3. מגדירים את הערכים הבאים ומשאירים את הערכים האחרים בברירת המחדל:

4. לוחצים על סיום.
5. לוחצים על הוספת קצה עורפי.
6. מגדירים את הערכים הבאים ומשאירים את הערכים האחרים בברירת המחדל:

7. לוחצים על סיום.
8. בקטע בדיקת תקינות, בוחרים באפשרות יצירה של בדיקת תקינות.

9. מגדירים את הערכים הבאים ומשאירים את הערכים האחרים בברירת המחדל:

10. לוחצים על שמירה.
11. מסמנים את התיבה Enable Logging.
12. מגדירים את תדירות הדגימה ל-1:

13. לוחצים על Create כדי ליצור את השירות לקצה העורפי.

הגדרת הקצה הקדמי

כללי המארח וכללי הנתיב קובעים את האופן שבו התנועה תופנה. לדוגמה, תוכלו להפנות את התנועה בסרטונים לקצה עורפי אחד ותנועה סטטית לקצה עורפי אחר. עם זאת, לא תגדירו את כללי המארח והנתיב בשיעור ה-Lab הזה.

1. לוחצים על Frontend configuration.
2. מציינים את הערכים הבאים, ומשאירים את ברירות המחדל של כל שאר הערכים:

3. לוחצים על סיום.
4. לוחצים על הוספת כתובת IP ויציאה של Frontend.
5. מציינים את הערכים הבאים, ומשאירים את ברירות המחדל של כל שאר הערכים:

6. לוחצים על סיום.

בדיקה ויצירה של מאזן העומסים של HTTP

1. לוחצים על Review and finalize.

2. בודקים את השירותים לקצה העורפי ואת הקצה הקדמי.

3. לוחצים על Create.
4. ממתינים ליצירת מאזן העומסים.
5. לוחצים על השם של מאזן העומסים (http-lb).
6. שימו לב לכתובות IPv4 ו-IPv6 של מאזן העומסים במשימה הבאה. הם ייקראו [LB_IP_v4] ו-[LB_IP_v6], בהתאמה.

6. בדיקת מאזן העומסים של HTTP

לאחר יצירת מאזן העומסים של HTTP לקצה העורפי, צריך לוודא שהתנועה מועברת לשירות לקצה העורפי.

גישה למאזן העומסים של HTTP

כדי לבדוק את הגישה של IPv4 למאזן העומסים של HTTP, פותחים כרטיסייה חדשה בדפדפן ועוברים אל http://[LB_IP_v4]. חשוב להחליף את [LB_IP_v4] בכתובת IPv4 של מאזן העומסים.

אם יש לכם כתובת IPv6 מקומית, נסו להשתמש בכתובת IPv6 של מאזן העומסים של HTTP על ידי מעבר אל http://[LB_IP_v6]. חשוב להחליף את [LB_IP_v6] בכתובת IPv6 של מאזן העומסים.

בדיקת מאמץ של מאזן העומסים של HTTP

יצירת מכונה וירטואלית (VM) חדשה כדי לדמות עומס על מאזן העומסים של HTTP באמצעות מצור. לאחר מכן, קובעים אם תעבורת הנתונים מאוזנת בין שני הקצוות העורפיים כאשר העומס גבוה.

1. במסוף, נכנסים לתפריט הניווט ( ) > Compute Engine > מכונות וירטואליות.
2. לוחצים על Create instance.
3. מגדירים את הערכים הבאים ומשאירים את הערכים האחרים בברירת המחדל:

4. לוחצים על יצירה.
5. ממתינים ליצירת המכונה siege-vm.
6. בשביל siege-vm, לוחצים על SSH כדי להפעיל טרמינל ולהתחבר.
7. מריצים את הפקודה הבאה כדי להתקין את siege:

sudo apt-get -y install siege

8. כדי לאחסן את כתובת ה-IPv4 של מאזן העומסים של HTTP במשתנה סביבה, מריצים את הפקודה הבאה ומחליפים את [LB_IP_v4] בכתובת ה-IPv4:

export LB_IP=[LB_IP_v4]

9. כדי לדמות טעינה, מריצים את הפקודה הבאה:

siege -c 250 http://$LB_IP

הפלט אמור להיראות כך (אל תעתיקו, זהו פלט לדוגמה):

New configuration template added to /home/student/.siege
Run siege -C to view the current settings in that file
** SIEGE 4.0.4
** Preparing 250 concurrent users for battle.
The server is now under siege...

10. במסוף Cloud, לוחצים על תפריט הניווט ( ), לוחצים על Network Services > איזון עומסים.
11. לוחצים על http-lb.
12. לוחצים על הכרטיסייה Monitoring. עוקבים אחרי התנועה בין צפון אמריקה לשני הקצוות העורפיים במשך 2 עד 3 דקות.

בהתחלה, התנועה צריכה להיות רק אל us-east1-mig, אבל ככל שה-RPS גדל, התנועה מופנית גם אל europe-west1-mig.

דוגמה לכך שכברירת מחדל, התנועה מועברת לקצה העורפי הקרוב ביותר, אבל אם העומס גבוה מאוד, התנועה יכולה להתחלק בין הקצוות העורפיים.

13. חוזרים למסוף SSH של siege-vm.
14. מקישים על CTRL+C כדי להפסיק את המצור.

7. יצירת מדיניות בנושא הגבלת קצב של Cloud Armor

בקטע הזה, תשתמשו ב-Cloud Armor כדי למנוע מ-siege-vm לגשת למאזן העומסים של HTTP על ידי הגדרת מדיניות להגבלת קצב של יצירת בקשות.

1. ב-Cloud Shell (הוראות לשימוש ב-Cloud Shell), אפשר ליצור מדיניות אבטחה דרך gcloud בקטע Setup and Restrictions (הגדרה ודרישות) במאמר Start Cloud Shell.

gcloud compute security-policies create rate-limit-siege \
    --description "policy for rate limiting"

2. בשלב הבא, מוסיפים כלל להגבלת קצב של יצירת בקשות:

gcloud beta compute security-policies rules create 100 \
    --security-policy=rate-limit-siege     \
    --expression="true" \
    --action=rate-based-ban                   \
    --rate-limit-threshold-count=50           \
    --rate-limit-threshold-interval-sec=120   \
    --ban-duration-sec=300           \
    --conform-action=allow           \
    --exceed-action=deny-404         \
    --enforce-on-key=IP

3. מצרפים את מדיניות האבטחה לקצה העורפי http של שירות הקצה העורפי:

gcloud compute backend-services update http-backend \
    --security-policy rate-limit-siege –-global

4. במסוף, מנווטים אל תפריט הניווט > אבטחת רשת > Cloud Armor
5. קליקים – הגבלת קצב של יצירת בקשות. המדיניות אמורה להיראות כך:

אימות מדיניות האבטחה

1. חוזרים למסוף SSH של siege-vm.
2. מריצים curl על ה-IP של LB כדי לוודא שעדיין אפשר להתחבר אליו, אמורים לקבל תגובה 200.

curl http://$LB_IP

3. בטרמינל SSH של siege-vm, כדי לדמות עומס, מריצים את הפקודה הבאה:

siege -c 250 http://$LB_IP

הפלט אמור להיראות כך (אל תעתיקו, זהו פלט לדוגמה):

** SIEGE 4.0.4
** Preparing 250 concurrent users for battle.
The server is now under siege...

4. כדאי לעיין ביומנים של מדיניות האבטחה כדי לבדוק אם גם התנועה הזו חסומה.
5. במסוף, מנווטים אל תפריט הניווט > אבטחת רשת > Cloud Armor.
6. לוחצים על rate-limit-siege.
7. לוחצים על יומנים.

8. לוחצים על צפייה ביומני המדיניות.
9. בדף Logging, חשוב למחוק את כל הטקסט בתצוגה המקדימה של השאילתה.
10. בחירת משאב בתור Cloud HTTP Load Balancer > http-lb- forwarding-rule > http-lb ולאחר מכן לוחצים על הוספה. לחלופין, בהמשך מופיעה שאילתת ה-MQL(מעקב אחרי שפת השאילתה), אפשר להעתיק ולהדביק אותה בכלי לעריכת שאילתות:

resource.type="http_load_balancer" resource.labels.forwarding_rule_name="http-lb-forwarding-rule" resource.labels.url_map_name="http-lb"

11. עכשיו לוחצים על Run Query.
12. הרחבת רשומה ביומן בתוצאות השאילתה.
13. מרחיבים את httpRequest. הבקשה צריכה להיות מכתובת ה-IP מסוג siege-vm. אם לא, מרחיבים רשומה אחרת ביומן.
14. צריך להרחיב את jsonPayload.
15. הרחבה של EnforcementSecurityPolicy.

חשוב לשים לב שה-definedAction מוגדרת ל-RATE_BASED_BAN בשם rate-limit-siege.

16. כדי לבצע בדיקה נוספת, עוברים אל תפריט הניווט ( ), לוחצים על Network Services > איזון עומסים. לוחצים על http-lb. לוחצים על הכרטיסייה Monitoring.

תוכלו לראות את התנועה במצור בתרשימים. כמו כן, חשוב לשים לב שהתנועה שמוגבלת בקצב הלב לא מגיעה לקצה העורפי וחסומה על ידי המדיניות של Cloud Armor.

מזל טוב! השלמת את שיעור ה-Lab הזה בנושא הגבלת קצב של יצירת בקשות באמצעות Cloud Armor

. ©2020 Google LLC כל הזכויות שמורות. Google והלוגו של Google הם סימנים מסחריים רשומים של Google LLC. שמות של חברות ומוצרים אחרים עשויים להיות סימנים מסחריים של החברות, בהתאמה, שאליהן הם משויכים.

8. ניקוי שיעור Lab

1. מנווטים אל אבטחת רשת >> Cloud Armor >> %POLICY NAME% ובחר באפשרות 'מחיקה' -

2. עוברים אל Networking >>. שירותי רשת >> איזון עומסים. בוחרים את מאזן העומסים שיצרתם ולוחצים על Delete.

יש לבחור את השירות לקצה העורפי ובדיקת התקינות כמשאבים נוספים למחיקה -

3. ניווט אל תפריט הניווט ( ) > Compute Engine > קבוצות של מכונות צריך לבחור את שתי קבוצות המופעים המנוהלים וללחוץ על 'מחיקה' -

מאשרים את המחיקה על ידי הקלדת המילה 'מחיקה' לתיבת הטקסט.

ממתינים עד שקבוצות המכונות המנוהלות יימחקו. הפעולה הזו תמחק גם את המכונות בקבוצה. אפשר למחוק את התבניות רק אחרי שקבוצת המופעים נמחקה.

4. עוברים אל Instance templates (תבניות של מכונות) מהחלונית בצד שמאל**.** בוחרים את שתי תבניות המופעים ולוחצים על 'מחיקה' -

5. עוברים אל VM instances מהחלונית בצד שמאל**.** בוחרים את שלוש הנקודות שלצד המופע של siege-vm ולוחצים על Delete.

6. ניווט אל תפריט הניווט ( ) > רשת VPC > חומת אש. בוחרים את בדיקת ברירת המחדל--אישור-תקינות ולוחצים על 'מחיקה' -

9. מעולה!

הטמעת בהצלחה הגבלת קצב עם Cloud Armor. הגדרתם מאזן עומסים של HTTP עם קצוות עורפיים ב-us-east1 וב-europe-west1. לאחר מכן, בדקתם את מאזן העומסים באמצעות VM, וביצעתם את הרישום של כתובת ה-IP באמצעות הגבלת קצב של Cloud Armor. הצלחת לעיין ביומנים של מדיניות האבטחה כדי להבין למה התנועה נחסמה.

אילו נושאים דיברנו?

• איך מגדירים תבניות של מכונות ויוצרים קבוצות של מופעי מכונה מנוהלים.
• איך להגדיר מאזן עומסים של HTTP.
• איך יוצרים מדיניות להגבלת קצב של Cloud Armor.
• איך לוודא שמדיניות הגבלת הקצב של יצירת הבקשות פועלת כמצופה.

השלבים הבאים

• כדאי לנסות להגדיר מדיניות להגבלת קצב של יצירת בקשות על סמך טווח כתובות IP של המקור. פקודה לדוגמה שלמטה -

gcloud alpha compute security-policies rules create 105 \
    --security-policy sec-policy     \
    --src-ip-ranges "1.2.3.0/24"     \
    --action throttle                \
    --rate-limit-threshold-count 100 \
    --rate-limit-threshold-interval-sec 60 \
    --conform-action allow           \
    --exceed-action deny-429         \
    --enforce-on-key IP

• כדאי לנסות להגדיר מדיניות להגבלת קצב של יצירת בקשות לפי קוד אזור. פקודה לדוגמה שלמטה -

gcloud alpha compute security-policies rules create 101 \
    --security-policy sec-policy     \
    --expression "origin.region_code == 'US'" \
    --action rate-based-ban                 \
    --rate-limit-threshold-count 10         \
    --rate-limit-threshold-interval-sec 60  \
    --ban-duration-sec 300           \
    --ban-threshold-count 1000       \
    --ban-threshold-interval-sec 600 \
    --conform-action allow           \
    --exceed-action deny-403         \
    --enforce-on-key IP