Cloud Armor 的頻率限制

1. 簡介

Google Cloud HTTP(S) 負載平衡服務會部署於全球 Google 服務點 (POP) 中的 Google 網路邊緣。導向至 HTTP(S) 負載平衡器的使用者流量會進入離使用者最近的 POP,接著透過 Google 的全球網路進行負載平衡,再傳至有足夠容量且距離最近的後端。

Cloud Armor 是 Google 的分散式阻斷服務和網頁應用程式防火牆 (WAF) 偵測系統。Cloud Armor 與 Google Cloud HTTP 負載平衡器緊密結合,可讓您針對不需要的要求處理連入流量。這項服務的頻率限制功能,可讓您依據要求數量減少後端資源的流量,並避免惡意的流量耗用虛擬私有雲 (VPC) 網路上的資源。

在本研究室中,您會設定具有全域後端的 HTTP 負載平衡器,如下圖所示。接著,您會對負載平衡器進行壓力測試,並新增 Cloud Armor 頻率限制政策,以限制傳送至後端資源的流量。

2e1b99d22f4f32a.png

課程內容

  • 如何設定具備適當健康狀態檢查的 HTTP 負載平衡器。
  • 如何建立 Cloud Armor 頻率限制政策。
  • 如何驗證頻率限制政策在從 VM 執行壓力測試時會封鎖流量。

軟硬體需求

  • 基本網路與 HTTP 知識
  • 基本的 Unix/Linux 指令列知識

2. 設定和需求

自修環境設定

  1. 登入 Google Cloud 控制台,建立新專案或重複使用現有專案。如果您還沒有 Gmail 或 Google Workspace 帳戶,請先建立帳戶

96a9c957bc475304.png

b9a10ebdf5b5a448.png

a1e3c01a38fa61c2.png

  • 「專案名稱」是這項專案參與者的顯示名稱。這是 Google API 不使用的字元字串,您可以隨時更新。
  • 所有 Google Cloud 專案的專案 ID 均不得重複,且設定後即無法變更。Cloud 控制台會自動產生一個不重複的字串。但通常是在乎它何在在大部分的程式碼研究室中,您必須參照專案 ID (通常稱為 PROJECT_ID),因此如果您不喜歡的話,請隨機產生一個,或者,您也可以自行嘗試看看是否可用。是「凍結」建立專案後
  • 還有第三個值,也就是部分 API 使用的專案編號。如要進一步瞭解這三個值,請參閱說明文件
  1. 接下來,您需要在 Cloud 控制台中啟用計費功能,才能使用 Cloud 資源/API。執行這個程式碼研究室並不會產生任何費用,如果有的話。如要關閉資源,以免產生本教學課程結束後產生的費用,請按照任「清除所用資源」操作請參閱本程式碼研究室結尾處的操作說明。Google Cloud 的新使用者符合 $300 美元免費試用計畫的資格。

啟動 Cloud Shell

雖然 Google Cloud 可以從筆記型電腦遠端操作,但在本程式碼研究室中,您將使用 Google Cloud Shell,這是一種在 Cloud 中執行的指令列環境。

在 GCP 控制台的右上方,按一下「Cloud Shell」圖示:

bce75f34b2c53987.png

佈建並連線至環境的作業只需幾分鐘的時間。完成後,您應該會看到類似下方的內容:

f6ef2b5f13479f3a.png

這部虛擬機器都裝載了您需要的所有開發工具。提供永久的 5 GB 主目錄,而且在 Google Cloud 中運作,大幅提高網路效能和驗證能力。這個研究室中的所有工作都可以透過瀏覽器完成。

事前準備

在 Cloud Shell 中,確認您已設定專案 ID

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
PROJECT_ID=[YOUR-PROJECT-NAME]
echo $PROJECT_ID

啟用 API

啟用所有必要服務

gcloud services enable compute.googleapis.com
gcloud services enable logging.googleapis.com
gcloud services enable monitoring.googleapis.com

3. 設定防火牆規則,允許 HTTP 流量傳送至後端

設定防火牆規則,允許從 Google Cloud 健康狀態檢查和負載平衡器傳出的 HTTP 流量到後端。

我們會使用您在專案中建立的 default 虛擬私有雲網路。建立防火牆規則,允許 HTTP 流量傳送至後端。健康狀態檢查會判斷負載平衡器的哪些執行個體能接收新的連線。以 HTTP 負載平衡來說,對達到負載平衡的執行個體所執行的健康狀態檢查探測,是從位址範圍 130.211.0.0/22 和 35.191.0.0/16 傳出。虛擬私有雲防火牆規則必須允許這類連線。此外,負載平衡器也會與相同 IP 範圍的後端通訊。

  1. 前往 Cloud 控制台中的「導覽選單」 ( mainmenu.png) >「虛擬私有雲網路」>防火牆

dbdf491e6d7863f3.png

  1. 請留意現有的 ICMPinternalRDPSSH 防火牆規則。每個 Google Cloud 專案的開頭都是 default 網路和這些防火牆規則。
  2. 按一下「建立防火牆規則」
  3. 設定下方的值,其他屬性均保留預設值:

屬性

值 (依指示輸入值或選取選項)

名稱

default-allow-health-check

網路

預設

目標

指定的目標標記

目標標記

http-server

來源篩選器

IP 範圍

來源 IP 範圍

130.211.0.0/22、35.191.0.0/16

通訊協定和通訊埠

指定的通訊協定和通訊埠:勾選「TCP」

  1. 按一下「建立」

或者,如果您使用的是 gcloud 指令列,指令如下:

gcloud compute firewall-rules create default-allow-health-check --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp --source-ranges=130.211.0.0/22,35.191.0.0/16 --target-tags=http-server

4. 設定執行個體範本和建立代管執行個體群組

代管執行個體群組會使用執行個體範本,以建立相同執行個體的群組。請運用這些範本建立 HTTP 負載平衡器的後端。

設定執行個體範本

執行個體範本是一種 API 資源,可用來建立 VM 執行個體和代管執行個體群組。執行個體範本會定義機器類型、開機磁碟映像檔、子網路、標籤和其他執行個體屬性。為 us-east1europe-west1 各建立一個執行個體範本。

  1. 前往 Cloud 控制台中的「導覽選單」 ( mainmenu.png) >Compute Engine >執行個體範本,然後點選「建立執行個體範本」
  2. 在「名稱」部分,輸入 us-east1-template
  3. 為「系列」選取 N1
  4. 點選「網路、磁碟、安全性、管理、單一用戶群」

b60e2a44c3e4d50e.png

  1. 前往「管理」部分:

ee57f20ce55298fd.png

  1. 在「中繼資料」下方,點選「新增項目」並指定下列設定:

金鑰

startup-script-url

gs://cloud-training/gcpnet/httplb/startup.sh

  1. 點選「網路」
  2. 依據下方的值進行設定,其他設定均保留預設值:

屬性

值 (依指示輸入值或選取選項)

網路 (在「網路介面」下方)

預設

子網路 (在「網路介面」下方)

預設 (us-east1)

網路標記

http-server

  1. 按一下「建立」
  2. 等待執行個體範本建立完成。

現在,複製 us-east1-template,為 subnet-b 建立另一個執行個體範本:

  1. 點選「us-east1-template」,然後點選頂端的「複製」選項。
  2. 在「名稱」部分,輸入 europe-west1-template
  3. 點選「網路、磁碟、安全性、管理、單一用戶群」
  4. 點選「網路」
  5. 在「Network Interfaces」(網路介面) 下方,編輯預設介面。在「子網路」部分,選取「預設 (europe-west1)」
  6. 按一下「建立」

建立代管執行個體群組

us-east1europe-west1 中分別建立一個代管執行個體群組。

  1. 一樣在「Compute Engine」頁面,點選左選單中的「執行個體群組」

72319de055de3942.png

  1. 按一下「建立執行個體群組」。選取「新增代管執行個體群組 (無狀態)」
  2. 設定下方的值,其他屬性均保留預設值:

屬性

值 (依指示輸入值或選取選項)

名稱

us-east1-mig

位置

多可用區

區域

us-east1

執行個體範本

us-east1-template

自動調度資源 >自動調度資源政策 >按一下鉛筆圖示 >指標類型

CPU 使用率

目標 CPU 使用率

80,按一下「完成」。

等待期

45

執行個體數量下限

1

執行個體數量上限

5

  1. 按一下「建立」

現在,重複相同的程序為 europe-west1 中的 europe-west1-mig 建立第二個執行個體群組:

  1. 點選「建立執行個體群組」
  2. 設定下方的值,其他屬性均保留預設值:

屬性

值 (依指示輸入值或選取選項)

名稱

europe-west1-mig

位置

多可用區

區域

europe-west1

執行個體範本

europe-west1-template

自動調度資源 >自動調度資源政策 >按一下鉛筆圖示 >指標類型

CPU 使用率

目標 CPU 使用率

80,按一下「完成」。

等待期

45

執行個體數量下限

1

執行個體數量上限

5

  1. 按一下「建立」

5. 設定 HTTP 負載平衡器

設定 HTTP 負載平衡器,平衡兩個後端 (us-east1 中的 us-east1-mig 和 europe-west1 中的 europe-west1-mig) 之間的流量,如以下網路圖表所示:

2e1b99d22f4f32a.png

開始設定

  1. 在 Cloud 控制台中,按一下「導覽選單」圖示 ( mainmenu.png) >按一下「網路服務」>負載平衡,然後點選「建立負載平衡器」
  2. 在「HTTP(S) Load Balancing」(HTTP(S) 負載平衡) 下方,按一下「Start configuration」(啟動設定)

8197d8f041e8eafd.png

  1. 選取「從網際網路到我的 VM」、「傳統 HTTP(S) 負載平衡器」,然後按一下「繼續」
  2. 將「Name」(名稱) 設為 http-lb。

設定後端

後端服務會將傳入流量導向至一或多個連接的後端。每個後端都含有執行個體群組,以及其他負載能力中繼資料。

  1. 點選「後端設定」
  2. 在「後端服務和後端值區」部分,點選「建立後端服務」
  3. 設定下方的值,其他屬性均保留預設值:

屬性

值 (依指示選取選項)

名稱

http-backend

執行個體群組

us-east1-mig

通訊埠編號

80

平衡模式

速率

每秒要求數上限

每個執行個體 50 個

容量

100

  1. 按一下 [完成]。
  2. 點選「Add backend」
  3. 設定下方的值,其他屬性均保留預設值:

屬性

值 (依指示選取選項)

執行個體群組

europe-west1-mig

通訊埠編號

80

平衡模式

使用率

後端使用率上限

80

頻寬

100

  1. 按一下 [完成]。
  2. 在「健康狀態檢查」部分,選取「建立健康狀態檢查」

199239806577ceac.png

  1. 設定下方的值,其他屬性均保留預設值:

屬性

值 (依指示選取選項)

名稱

http-health-check

通訊協定

TCP

通訊埠

80

20f7af9fce140475.png

  1. 按一下 [儲存]
  2. 勾選「啟用記錄功能」方塊。
  3. 將「取樣率」設為 1:

dab4b15c13917786.png

  1. 點選「建立」即可建立後端服務。

2db64614f855f239.png

設定前端

主機與路徑規則會決定流量的導向方式。舉例來說,您可以將影片流量導向至其中一個後端,並將靜態內容流量導向至另一個後端。不過,您不會在本研究室中設定主機和路徑規則。

  1. 點選「前端設定」
  2. 指定下方的值,其他屬性均保留預設值:

屬性

值 (依指示輸入值或選取選項)

通訊協定

HTTP

IP 版本

IPv4

IP 位址

臨時

通訊埠

80

  1. 點選「完成」
  2. 點選「新增前端 IP 和通訊埠」
  3. 指定下方的值,其他屬性均保留預設值:

屬性

值 (依指示輸入值或選取選項)

通訊協定

HTTP

IP 版本

IPv6

IP 位址

臨時

通訊埠

80

  1. 點選「完成」

檢查並建立 HTTP 負載平衡器

  1. 點選「檢查並完成」

2c88715aa5f22800.png

  1. 檢查「後端服務」和「前端」

b2fffef90be309f0.png

  1. 點選「建立」
  2. 等待負載平衡器建立完成。
  3. 按一下負載平衡器的名稱 (http-lb)。
  4. 請注意負載平衡器的 IPv4 和 IPv6 位址,您會在下一個工作中用到。這兩個 IP 位址分別稱為 [LB_IP_v4] 和 [LB_IP_v6]。

6. 測試 HTTP 負載平衡器

為後端建立 HTTP 負載平衡器後,接著確認流量是否轉送至後端服務。

存取 HTTP 負載平衡器

在瀏覽器中開啟新分頁並前往 http://[LB_IP_v4],測試能否透過 IPv4 存取 HTTP 負載平衡器。請務必以負載平衡器的 IPv4 位址取代 [LB_IP_v4]。

如果您有本機 IPv6 位址,請前往 http://[LB_IP_v6],嘗試使用 HTTP 負載平衡器的 IPv6 位址。請務必以負載平衡器的 IPv6 位址取代 [LB_IP_v6]。

812d1fc75d9dfb3c.png

對 HTTP 負載平衡器進行壓力測試

建立新的 VM,以使用 Siege 模擬 HTTP 負載平衡器的負載。接著在負載偏高時,判斷兩個後端的流量是否達到平衡。

  1. 在控制台中前往「導覽選單」 ( mainmenu.png) >Compute Engine >VM 執行個體
  2. 點選「建立執行個體」
  3. 設定下方的值,其他屬性均保留預設值:

屬性

值 (依指示輸入值或選取選項)

名稱

siege-vm

區域

us-west1

可用區

us-west1-c

系列

N1

  1. 按一下「建立」
  2. 等待 siege-vm 執行個體建立完成。
  3. 在「siege-vm」部分,點選「SSH」來啟動終端機並連線。
  4. 執行下列指令來安裝 siege:
sudo apt-get -y install siege
  1. 如要將 HTTP 負載平衡器的 IPv4 位址儲存在環境變數中,請執行下列指令,並將 [LB_IP_v4] 替換為 IPv4 位址:
export LB_IP=[LB_IP_v4]
  1. 執行下列指令來模擬負載:
siege -c 250 http://$LB_IP

輸出內容應如下所示 (請勿複製下方的輸出內容示例):

New configuration template added to /home/student/.siege
Run siege -C to view the current settings in that file
** SIEGE 4.0.4
** Preparing 250 concurrent users for battle.
The server is now under siege...
  1. 在 Cloud 控制台中,依序點選「導覽選單」圖示 mainmenu.png 和「網路服務」>負載平衡
  2. 按一下「http-lb」
  3. 按一下「監控」分頁標籤。監控北美洲和兩個後端之間的流量,持續 2 到 3 分鐘。

流量一開始應該只會導向至 us-east1-mig,但隨著每秒要求數增加,流量也會導向至 europe-west1-mig

ead1e6d5c1f4cc4b.png

這證明瞭在預設情況下,流量只會導向至距離最近的後端,但如果負載過高,流量也可能會分配至其他後端。

e5c6a657706c832c.png

  1. 返回 siege-vmSSH 終端機。
  2. 按下 CTRL+C 即可停止圍欄。

7. 建立 Cloud Armor 頻率限制政策

在本節中,您將設定頻率限制政策,使用 Cloud Armor 拒絕 siege-vm 存取 HTTP 負載平衡器,

  1. 開啟 Cloud Shell(請參閱「設定與需求」下方的「啟動 Cloud Shell」一節,瞭解如何使用 Cloud Shell),然後透過 gcloud 建立安全性政策:
gcloud compute security-policies create rate-limit-siege \
    --description "policy for rate limiting"
  1. 接著,請新增頻率限制規則:
gcloud beta compute security-policies rules create 100 \
    --security-policy=rate-limit-siege     \
    --expression="true" \
    --action=rate-based-ban                   \
    --rate-limit-threshold-count=50           \
    --rate-limit-threshold-interval-sec=120   \
    --ban-duration-sec=300           \
    --conform-action=allow           \
    --exceed-action=deny-404         \
    --enforce-on-key=IP
  1. 將安全性政策附加至後端服務 http-backend:
gcloud compute backend-services update http-backend \
    --security-policy rate-limit-siege –-global
  1. 在控制台中前往「導覽選單」>「Network Security」(網路安全性) >Cloud Armor
  2. 點擊 rate-limit-siege。政策應會如下所示:

8be87aa31c2ed74e.png

驗證安全性政策

  1. 返回 siege-vm 的 SSH 終端機。
  2. 對 LB IP 執行 curl 指令,確認仍可連線,且會收到 200 回應。
curl http://$LB_IP
  1. 在 siege-vm 的 SSH 終端機中,執行下列指令,以模擬負載:
siege -c 250 http://$LB_IP

輸出內容應如下所示 (請勿複製,下方是輸出內容示例):

** SIEGE 4.0.4
** Preparing 250 concurrent users for battle.
The server is now under siege...
  1. 查看安全性政策記錄檔,確認流量是否也遭到封鎖。
  2. 在控制台中前往「導覽選單」Network Security >Cloud Armor
  3. 按一下「rate-limit-siege」
  4. 按一下「Logs」(記錄檔)

f8be7c01c3d7c8f5.png

  1. 點選「查看政策記錄檔」
  2. 在「Logging」(記錄) 頁面中,請務必清除查詢預覽中的所有文字。
  3. 選取資源做為 Cloud HTTP 負載平衡器 >http-lb-forwarding-rule >http-lb然後按一下新增。或者,下方為 MQL(monitoring 查詢語言) 查詢,您可以複製並貼到查詢編輯工具中:
resource.type="http_load_balancer" resource.labels.forwarding_rule_name="http-lb-forwarding-rule" resource.labels.url_map_name="http-lb"
  1. 現在點選「執行查詢」
  2. 展開查詢結果中的記錄項目。
  3. 展開 httpRequest。要求應來自 siege-vm IP 位址。如果不是,請展開另一個記錄項目。
  4. 展開 jsonPayload。
  5. 展開 forceSecurityPolicy。

151f575ba7b3bde9.png

請注意,ConfigureAction 設為 RATE_BASED_BAN,名稱為 rate-limit-siege

  1. 如要額外檢查,請前往「導覽選單」 ( mainmenu.png) 並點選「網路服務」>負載平衡。按一下「http-lb」http-lb。按一下「監控」分頁標籤。

ab9a8a66573a5ebd.png

您可以在圖表中查看斷層流量。可能也會注意到,頻率受限的流量未送達後端,並遭到 Cloud Armor 政策封鎖。

恭喜!您已完成 Cloud Armor 頻率限制研究室

©2020 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。

8. 清理研究室

  1. 瀏覽至 [網路安全性] >>。Cloud Armor >>%POLICY NAME%並選取「刪除」-

eeafa7cafa11c4c7.png

  1. 前往「網路」>「>」網路服務 >>負載平衡選取您建立的負載平衡器,然後按一下「刪除」。

3886458f25cfbd36.png

選擇後端服務和健康狀態檢查做為其他資源:

a0193e91b2f4cb6f.png

  1. 前往「導覽選單」 ( mainmenu.png) >Compute Engine >執行個體群組。同時選取代管執行個體群組,然後按一下「刪除」

5027d56977997f70.png

如要確認刪除,請輸入「delete」文字框中。

等待代管執行個體群組刪除完成。這麼做會一併刪除群組中的執行個體。您必須先刪除執行個體群組,才能刪除範本。

  1. 前往左側窗格**的「執行個體範本」。**選取兩個執行個體範本,然後按一下「刪除」:

8d88abacd32c11ce.png

  1. 前往左側窗格**的「VM instances」(VM 執行個體)。**選取 siege-vm 執行個體旁的刪節號,然後按一下「刪除」。

2b58ab43695836e9.png

  1. 前往「導覽選單」 ( mainmenu.png) >「虛擬私有雲網路」>防火牆。選取 default-allow-health-check,然後按一下「刪除」:

561d5e771d36d85.png

9. 恭喜!

您已成功使用 Cloud Armor 實施頻率限制。您設定了後端位於 us-east1 和 europe-west1 的 HTTP 負載平衡器。接著進行壓力測試,使用 VM 測試負載平衡器,並透過 Cloud Armor 以頻率限制拒絕 IP 位址。您成功探索安全性政策記錄檔,識別流量遭封鎖的原因。

涵蓋內容

  • 如何設定執行個體範本和建立代管執行個體群組。
  • 如何設定 HTTP 負載平衡器。
  • 如何建立 Cloud Armor 頻率限制政策。
  • 如何確認頻率限制政策正常運作。

後續步驟

  • 請嘗試根據來源 IP 範圍設定頻率限制政策。範例指令如下:
gcloud alpha compute security-policies rules create 105 \
    --security-policy sec-policy     \
    --src-ip-ranges "1.2.3.0/24"     \
    --action throttle                \
    --rate-limit-threshold-count 100 \
    --rate-limit-threshold-interval-sec 60 \
    --conform-action allow           \
    --exceed-action deny-429         \
    --enforce-on-key IP
  • 請嘗試根據區碼設定頻率限制政策。範例指令如下:
gcloud alpha compute security-policies rules create 101 \
    --security-policy sec-policy     \
    --expression "origin.region_code == 'US'" \
    --action rate-based-ban                 \
    --rate-limit-threshold-count 10         \
    --rate-limit-threshold-interval-sec 60  \
    --ban-duration-sec 300           \
    --ban-threshold-count 1000       \
    --ban-threshold-interval-sec 600 \
    --conform-action allow           \
    --exceed-action deny-403         \
    --enforce-on-key IP