1. مقدمة
يتم نشر موازنة حمولة Google Cloud على نطاق شبكة Google في نقاط تواجد Google (POP) حول العالم. تدخل حركة بيانات المستخدم الموجهة إلى جهاز موازنة حمل خادم وكيل TCP بروتوكول POP الأقرب إلى المستخدم ثم تتم موازنة الحمل عبر شبكة Google العالمية لأقرب واجهة خلفية تتوفر بها سعة كافية.
Cloud Armor هو نظام من Google لحجب الخدمة الموزعة ونظام رصد جدار الحماية لتطبيقات الويب (WAF). تقترن Cloud Armor بشكل وثيق مع جهاز موازنة الحمل لخادم وكيل بروتوكول التحكم في الإرسال (TCP) في Google Cloud وتسمح لك بالتحقّق من الزيارات الواردة للطلبات غير المرغوب فيها. تسمح لك ميزة تقييد المعدّل في هذه الخدمة بتقليل عدد الزيارات إلى العمليات الخلفية للموارد بناءً على حجم الطلبات، كما تمنع الزيارات غير المرغوب فيها من استهلاك الموارد على شبكة السحابة الإلكترونية الخاصة الافتراضية (VPC).
تسمح لك أجهزة موازنة حمل الخادم الوكيل لبروتوكول TCP/SSL من Google Cloud بتوكيل عدد الزيارات من نوع TCP/ SSL عبر خدمات الخلفية.
في هذا الدرس التطبيقي حول الترميز، ستنشئ جهاز موازنة حمل الخادم الوكيل لبروتوكول TCP/SSL من خلال خدمة خلفية وستستخدم Cloud Armor لتقييد الوصول إلى جهاز موازنة الحمل على مجموعة محدَّدة فقط من برامج المستخدمين.
ما ستتعرَّف عليه
- كيفية إنشاء جهاز موازنة حمل الخادم الوكيل لبروتوكول TCP/SSL
- طريقة إنشاء سياسة أمان Cloud Armor
- طريقة إنشاء قاعدة قائمة حظر عناوين IP لجهاز موازنة حمل خادم وكيل TCP/SSL في Cloud Armor
- طريقة إنشاء قاعدة لتحديد المعدّل لجهاز موازنة حمل خادم وكيل TCP في Cloud Armor
- كيفية إضافة سياسة الأمان إلى خدمة موازنة حمل TCP/SSL في الخلفية
المتطلبات
- معرفة أساسية بمحرّك Google Compute Engine ( درس تطبيقي حول الترميز)
- الشبكات الأساسية والمعرفة ببروتوكول TCP/IP
- معرفة سطر أوامر Unix/Linux الأساسي
- من المفيد استكمال جولة حول الشبكات في Google Cloud Platform باستخدام ميزة الاتصال بالشبكات في Google Cloud
2. المتطلبات
إعداد بيئة ذاتية
- سجِّل الدخول إلى Cloud Console وأنشِئ مشروعًا جديدًا أو أعِد استخدام مشروع حالي. إذا لم يكن لديك حساب على Gmail أو Google Workspace، عليك إنشاء حساب.
ملاحظة: يمكنك بسهولة الوصول إلى Cloud Console من خلال حفظ عنوان URL الخاص بها، وهو console.cloud.google.com.
يُرجى تذكُّر رقم تعريف المشروع، وهو اسم فريد في جميع مشاريع Google Cloud (سبق أن تم استخدام الاسم أعلاه ولن يكون مناسبًا لك). ستتم الإشارة إليه لاحقًا في هذا الدرس التطبيقي حول الترميز باسم PROJECT_ID.
ملاحظة: إذا كنت تستخدم حساب Gmail، يمكنك ترك الموقع الجغرافي التلقائي معيّنًا على "بدون مؤسسة". إذا كنت تستخدم حسابًا على Google Workspace، اختَر موقعًا جغرافيًا منطقيًا لمؤسستك.
- بعد ذلك، عليك تفعيل الفوترة في Cloud Console لاستخدام موارد Google Cloud.
إنّ تنفيذ هذا الدرس التطبيقي حول الترميز لن يكون مكلفًا أو مكلفًا على الإطلاق. احرص على اتّباع أي تعليمات في قسم "الحذف سريعًا". الذي يقدم لك نصائح حول كيفية إيقاف تشغيل الموارد حتى لا تتكبّد أي فواتير خارج نطاق هذا البرنامج التعليمي. يكون مستخدمو Google Cloud الجدد مؤهَّلون للانضمام إلى برنامج فترة تجريبية مجانية بقيمة 300 دولار أمريكي.
بدء Cloud Shell
مع أنّه يمكن إدارة Google Cloud عن بُعد من الكمبيوتر المحمول، ستستخدم في هذا الدرس التطبيقي Google Cloud Shell، وهي بيئة سطر أوامر يتم تشغيلها في السحابة الإلكترونية.
من وحدة تحكّم Google Cloud Platform، انقر على رمز Cloud Shell في شريط الأدوات العلوي الأيسر:
من المفترَض أن تستغرق عملية إدارة الحسابات والاتصال بالبيئة بضع لحظات فقط. عند الانتهاء، من المفترض أن يظهر لك شيء مثل هذا:
يتم تحميل هذه الآلة الافتراضية مزوّدة بكل أدوات التطوير التي ستحتاج إليها. وتوفّر هذه الشبكة دليلاً رئيسيًا دائمًا بسعة 5 غيغابايت وتعمل على Google Cloud، ما يحسّن بشكل كبير من أداء الشبكة والمصادقة. يمكنك تنفيذ جميع أعمالك في هذا التمرين من خلال متصفح.
قبل البدء
داخل Cloud Shell، تأكَّد من إعداد رقم تعريف مشروعك.
gcloud config list project gcloud config set project [YOUR-PROJECT-NAME] PROJECT_ID=[YOUR-PROJECT-NAME] echo $PROJECT_ID
تفعيل واجهات برمجة التطبيقات
تفعيل جميع الخدمات اللازمة
gcloud services enable compute.googleapis.com gcloud services enable logging.googleapis.com gcloud services enable monitoring.googleapis.com
3- إنشاء خدمات الخلفية
أنشئ مثيلين على النحو التالي - أنشئ Example1-b1 في المنطقة us-central1-b
gcloud compute instances create vm-1-b1 \
--image-family debian-9 \
--image-project debian-cloud \
--tags tcp-lb \
--zone us-central1-b \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo sed -i '/Listen 80/c\Listen 110' /etc/apache2/ports.conf
sudo service apache2 restart
echo '<!doctype html><html><body><h1>This is VM1-b1 in central1-b</h1></body></html>' | tee /var/www/html/index.html
EOF"
إنشاء مثيل 1-b2 في المنطقة us-central1-b
gcloud compute instances create vm-1-b2 \
--image-family debian-9 \
--image-project debian-cloud \
--tags tcp-lb \
--zone us-central1-b \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo sed -i '/Listen 80/c\Listen 110' /etc/apache2/ports.conf
sudo service apache2 restart
echo '<!doctype html><html><body><h1>This is VM1-b2 in central1-b</h1></body></html>' | tee /var/www/html/index.html
EOF"
إنشاء مجموعة مثيلات vm-ig1
gcloud compute instance-groups unmanaged create vm-ig1 --zone us-central1-b
أنشئ منفذًا مُسمّى لمجموعة المثيلات. سنستخدم المنفذ 110 في هذا التمرين المعملي
gcloud compute instance-groups set-named-ports vm-ig1 \ --named-ports tcp 110:110 --zone us-central1-b
إضافة المثيلات إلى مجموعة المثيلات
gcloud compute instance-groups unmanaged add-instances vm-ig1 \ --instances vm-1-b1,vm-1-b2 --zone us-central1-b
4. ضبط جهاز موازنة الحمل
بعد ذلك، سننشئ فحصًا للتحقق من الصحة.
gcloud compute health-checks create tcp my-tcp-health-check --port 110
إنشاء خدمة خلفية
gcloud compute backend-services create my-tcp-lb --global-health-checks --global \ --protocol TCP --health-checks my-tcp-health-check --timeout 5m --port-name tcp110
إضافة مجموعة المثيل إلى خدمة الخلفية
gcloud compute backend-services add-backend my-tcp-lb --global --instance-group \ vm-ig1 --instance-group-zone us-central1-b --balancing-mode UTILIZATION \ --max-utilization 0.8
إعداد خادم وكيل TCP المستهدف
gcloud compute target-tcp-proxies create my-tcp-lb-target-proxy --backend-service \ my-tcp-lb --proxy-header NONE
حجز عناوين IPv4 ثابتة عالمية
ستستخدم عنوان IP هذا للوصول إلى خدمة موازنة الحمل.
gcloud compute addresses create tcp-lb-static-ipv4 --ip-version=IPV4 --global
يمكنك إعداد قواعد إعادة التوجيه العامة لعنوان IP LB.
gcloud compute forwarding-rules create my-tcp-lb-ipv4-forwarding-rule \
--global --target-tcp-proxy my-tcp-lb-target-proxy --address LB_STATIC_IPV4 \ --ports 110
5- إنشاء قاعدة جدار حماية لجهاز موازنة حمل خادم وكيل TCP
gcloud compute firewall-rules create allow-tcplb-and-health \ --source-ranges 130.211.0.0/22,35.191.0.0/16 \ --target-tags tcp-lb \ --allow tcp:110
بعد إنشاء جهاز موازنة الحمل، اختبِره باستخدام الأمر التالي
Curl LB_IP:110
ثانيًا، عليك إنشاء أجهزة افتراضية للتحقُّق من رفض الوصول إلى جهاز LB.
يجب عليك إنشاء مثيلين، لكل منهما عنوان IP عام باسم test-server1 وtest-server2
6- إنشاء سياسة أمان في Cloud Armor
في هذا القسم، عليك إنشاء سياسة أمان للخلفية وقاعدتَين في السياسة في Cloud Armor.
ستمنع القاعدة الأولى مجموعة محدودة من عناوين IP من الوصول إلى جهاز موازنة حمل TCP من خلال تعيين سياسة أمان لرفض عناوين IP معينة وستعمل القاعدة الثانية على تقييد المعدل.
- في Cloud Shell(يُرجى الرجوع إلى "Start Cloud Shell" ضِمن "الإعداد والمتطلبات" للحصول على تعليمات حول كيفية استخدام Cloud Shell)، أنشئ سياسة أمان خدمة خلفية تُسمَّى "معدل الحد الأقصى ورفض المعدَّل" على النحو التالي:
gcloud compute security-policies create rate-limit-and-deny-tcp \
--description "policy for tcp proxy rate limiting and IP deny"
إضافة قواعد إلى سياسة الأمان
بعد ذلك، يمكنك إضافة قاعدة قائمة حظر إلى سياسة Cloud Armor "rate-limit-and-deny-tcp".
gcloud compute security-policies rules create 1000 --action deny --security-policy \ rate-limit-and-deny-tcp --description "deny test-server1" --src-ip-ranges \ "enter-test-server-1ip-here"
إضافة قاعدة تحديد معدّل الزحف إلى سياسة الأمان في Cloud Armor وهي "rate-limit-and-deny-tcp"
gcloud compute security-policies rules create 3000 \ --security-policy=rate-limit-and-deny-tcp \ --expression="true" --action=rate-based-ban --rate-limit-threshold-count=5 \ --rate-limit-threshold-interval-sec=60 --ban-duration-sec=300 \ --conform-action=allow --exceed-action=deny-404 --enforce-on-key=IP
إرفاق السياسة بخدمة الواجهة الخلفية لخادم وكيل TCP:
شغّل الأمر التالي للتأكد من إرفاق سياسة الأمان بخدمة الواجهة الخلفية لخادم وكيل TCP.
gcloud compute backend-services update my-tcp-lb --security-policy \ rate-limit-and-deny-tcp
تفعيل تسجيل الدخول إلى جهاز موازنة حمل خادم وكيل TCP
gcloud beta compute backend-services update my-tcp-lb \ --enable-logging --logging-sample-rate=1
7. التحقّق من صحة قاعدة قائمة الحظر
تحقَّق من صحة قاعدة قائمة الحظر عن طريق تسجيل الدخول إلى خادم الاختبار الذي تم تحديد عنوان IP الخاص به في قاعدة القائمة المحظورة وشغِّل الأمر التالي.
Curl LB_IP:110
قد تتلقّى الطلبات الفورية ردًا من "مركز التحكّم" (LB) ولكن عليك الانتظار إلى أن يتم رفض طلب التجعّد أو حذفه، ثم الاطّلاع على السجلات في "تسجيل الدخول إلى السحابة الإلكترونية" للتحقّق من إدخال السجلّ الخاص بقاعدة منع عنوان IP التي يتم تشغيلها.
انتقِل إلى "تسجيل الدخول في السحابة الإلكترونية" وضمن الموارد، اختَر نوع المورد باعتباره "tcp_ssl_proxy_rule". وضبط هدف الخلفية على "my-tcp-lb".
باستخدام الموارد المحددة للفلترة، يمكننا التحقق من أنّ قاعدة منع IP سارية من قيمة PRIORITY التي تبلغ 1000 في إدخال السجلّ وسيكون الإجراء الذي تم ضبطه "DENY" ساري المفعول حيث تم إصدار أمرين من قاعدة الرفض وتم رفض عنوان IP كما هو موضّح أدناه.
8. التحقّق من صحة قاعدة الحدّ من المعدّل
تحقَّق من تطبيق قاعدة الحدّ الأقصى لمعدّل الاستخدام من خلال إرسال العديد من الطلبات في إطار زمني قصير يتجاوز الحدّ الأقصى المحدّد (5 طلبات في الدقيقة).
بعد إجراء ذلك، انقر على سجلات "العرض" في خدمة Cloud Armor، ما ينقلك إلى التسجيل في السحابة الإلكترونية، حيث يمكنك فلترة السجلّات باستخدام جهاز موازنة الحمل للاطّلاع على سجلات Cloud Shield فور وصولها.
يجب أن يكون الإدخال المحدَّد لمعدّل الزحف كما هو موضّح في لقطة الشاشة أدناه. يمكننا التحقّق من سريان قاعدة الحدّ الأقصى لمعدّل الاستخدام من خلال قيمة PRIORITY التي تبلغ 3, 000 في إدخال السجلّ ومن الإجراء الذي تم ضبطه، يكون إجراء "حساب معدّل الإحالات الناجحة" (BAN) ساري المفعول وفقًا للتعليمات الواردة من قاعدة تقييد المعدّل.
9. نظافة البيئة
تأكد من تنظيف البنية الأساسية التي تم إنشاؤها لتجنب تشغيل البنية التحتية غير المستخدمة.
الطريقة الأسرع هي حذف المشروع بالكامل في Google Cloud Platform لضمان عدم ترك أي موارد معقدة، ولكن يمكنك حذف الموارد الفردية باستخدام الأوامر التالية
جهاز موازنة حمل خادم وكيل TCP
gcloud compute target-tcp-proxies delete my-tcp-lb
مجموعة المثيلات
gcloud compute instance-groups unmanaged delete vm-ig1
نسختا الجهاز الافتراضي (VM) التجريبيتان اللتان تم إنشاؤهما
gcloud compute instances delete Instance_name --zone=instance_zone
خدمة الخلفية
gcloud compute backend-services delete BACKEND_SERVICE_NAME
قواعد Cloud Armor ضمن السياسة
gcloud compute security-policies rules delete 1000 \ --security-policy=rate-limit-and-deny-tcp && gcloud compute security-policies rules delete 3000 \ --security-policy=rate-limit-and-deny-tcp
سياسة أمان Cloud Armor
gcloud compute security-policies delete rate-limit-and-deny-tcp