1. Introduzione
Il bilanciamento del carico di Google Cloud viene implementato sul perimetro della rete Google nei punti di presenza (POP) Google in tutto il mondo. Il traffico utente indirizzato a un bilanciatore del carico proxy TCP entra nella rete Google attraverso il POP più vicino all'utente. Quindi, il carico viene bilanciato sulla rete Google globale e indirizzato verso il backend più vicino con capacità disponibile sufficiente.
Cloud Armor è il sistema di rilevamento Distributed Denial of Service e WAF (Web Application Firewall) di Google. Cloud Armor è strettamente accoppiato al bilanciatore del carico proxy TCP di Google Cloud e ti consente di esaminare il traffico in entrata per individuare richieste indesiderate. La funzionalità di limitazione della frequenza di questo servizio ti consente di ridurre il traffico verso le risorse di backend in base al volume delle richieste e impedisce al traffico indesiderato di utilizzare risorse sulla tua rete Virtual Private Cloud (VPC).
I bilanciatori del carico proxy TCP/SSL di Google Cloud ti consentono di eseguire il proxy del traffico di tipo TCP/ SSL tra i servizi di backend.
In questo codelab creerai un bilanciatore del carico proxy TCP/SSL con un servizio di backend e utilizzerai Cloud Armor per limitare l'accesso al bilanciatore del carico solo a un insieme specifico di client utente.
Obiettivi didattici
- Come creare un bilanciatore del carico del proxy TCP/SSL
- Come creare una policy di sicurezza di Cloud Armor
- Come creare una regola di elenco di negazione degli indirizzi IP per il bilanciatore del carico del proxy TCP/SSL in Cloud Armor
- Come creare una regola di limitazione della frequenza per il bilanciatore del carico del proxy TCP in Cloud Armor
- Come aggiungere la policy di sicurezza a un servizio di backend di bilanciamento del carico TCP/SSL
Che cosa ti serve
- Conoscenza di base di Google Compute Engine ( codelab)
- Conoscenza di base del networking e di TCP/IP
- Conoscenza di base della riga di comando Unix/Linux
- È utile aver completato un tour del networking in GCP con Networking in the Google Cloud.
2. Requisiti
Configurazione dell'ambiente autonomo
- Accedi alla console Cloud e crea un nuovo progetto o riutilizzane uno esistente. Se non hai ancora un account Gmail o Google Workspace, devi crearne uno.
Nota: puoi accedere facilmente alla console Cloud memorizzando il relativo URL, ovvero console.cloud.google.com.
Ricorda l'ID progetto, un nome univoco tra tutti i progetti Google Cloud (il nome sopra è già stato utilizzato e non funzionerà per te, mi dispiace). In questo codelab verrà indicato come PROJECT_ID.
Nota: se utilizzi un account Gmail, puoi lasciare la posizione predefinita impostata su Nessuna organizzazione. Se utilizzi un account Google Workspace, scegli una posizione adatta alla tua organizzazione.
- Successivamente, dovrai abilitare la fatturazione in Cloud Console per utilizzare le risorse Google Cloud.
L'esecuzione di questo codelab non dovrebbe costare molto, se non nulla. Assicurati di seguire le istruzioni riportate nella sezione "Pulizia", che ti consiglia come arrestare le risorse in modo da non incorrere in addebiti oltre questo tutorial. I nuovi utenti di Google Cloud possono beneficiare del programma prova senza costi di 300$.
Avvia Cloud Shell
Sebbene Google Cloud possa essere gestito da remoto dal tuo laptop, in questo codelab utilizzerai Google Cloud Shell, un ambiente a riga di comando in esecuzione nel cloud.
Nella console GCP, fai clic sull'icona di Cloud Shell nella barra degli strumenti in alto a destra:
Bastano pochi istanti per eseguire il provisioning e connettersi all'ambiente. Al termine, dovresti vedere un risultato simile a questo:
Questa macchina virtuale è caricata con tutti gli strumenti per sviluppatori di cui avrai bisogno. Offre una home directory permanente da 5 GB e viene eseguita su Google Cloud, migliorando notevolmente le prestazioni e l'autenticazione della rete. Tutto il lavoro di questo lab può essere svolto semplicemente con un browser.
Prima di iniziare
In Cloud Shell, assicurati che l'ID progetto sia configurato.
gcloud config list project gcloud config set project [YOUR-PROJECT-NAME] PROJECT_ID=[YOUR-PROJECT-NAME] echo $PROJECT_ID
Abilita API
Attiva tutti i servizi necessari
gcloud services enable compute.googleapis.com gcloud services enable logging.googleapis.com gcloud services enable monitoring.googleapis.com
3. Crea servizi di backend
Crea due istanze come segue: crea instance1-b1 nella zona us-central1-b
gcloud compute instances create vm-1-b1 \
--image-family debian-9 \
--image-project debian-cloud \
--tags tcp-lb \
--zone us-central1-b \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo sed -i '/Listen 80/c\Listen 110' /etc/apache2/ports.conf
sudo service apache2 restart
echo '<!doctype html><html><body><h1>This is VM1-b1 in central1-b</h1></body></html>' | tee /var/www/html/index.html
EOF"
Crea l'istanza 1-b2 nella zona us-central1-b
gcloud compute instances create vm-1-b2 \
--image-family debian-9 \
--image-project debian-cloud \
--tags tcp-lb \
--zone us-central1-b \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo sed -i '/Listen 80/c\Listen 110' /etc/apache2/ports.conf
sudo service apache2 restart
echo '<!doctype html><html><body><h1>This is VM1-b2 in central1-b</h1></body></html>' | tee /var/www/html/index.html
EOF"
Crea un gruppo di istanze vm-ig1
gcloud compute instance-groups unmanaged create vm-ig1 --zone us-central1-b
Crea una porta denominata per il gruppo di istanze. Per questo lab, utilizzeremo la porta 110
gcloud compute instance-groups set-named-ports vm-ig1 \ --named-ports tcp 110:110 --zone us-central1-b
Aggiungi le istanze al gruppo di istanze
gcloud compute instance-groups unmanaged add-instances vm-ig1 \ --instances vm-1-b1,vm-1-b2 --zone us-central1-b
4. Configurazione del bilanciatore del carico
Successivamente, creeremo un controllo di integrità.
gcloud compute health-checks create tcp my-tcp-health-check --port 110
Crea un servizio di backend
gcloud compute backend-services create my-tcp-lb --global-health-checks --global \ --protocol TCP --health-checks my-tcp-health-check --timeout 5m --port-name tcp110
Aggiungi il gruppo di istanze al nuovo servizio di backend
gcloud compute backend-services add-backend my-tcp-lb --global --instance-group \ vm-ig1 --instance-group-zone us-central1-b --balancing-mode UTILIZATION \ --max-utilization 0.8
Configura un proxy TCP di destinazione
gcloud compute target-tcp-proxies create my-tcp-lb-target-proxy --backend-service \ my-tcp-lb --proxy-header NONE
Prenota indirizzi IPv4 statici globali
Utilizzerai questo indirizzo IP per raggiungere il servizio con bilanciamento del carico.
gcloud compute addresses create tcp-lb-static-ipv4 --ip-version=IPV4 --global
Configura le regole di forwarding globale per l'indirizzo IP del bilanciatore del carico.
gcloud compute forwarding-rules create my-tcp-lb-ipv4-forwarding-rule \
--global --target-tcp-proxy my-tcp-lb-target-proxy --address LB_STATIC_IPV4 \ --ports 110
5. Creazione di una regola firewall per il bilanciatore del carico del proxy TCP
gcloud compute firewall-rules create allow-tcplb-and-health \ --source-ranges 130.211.0.0/22,35.191.0.0/16 \ --target-tags tcp-lb \ --allow tcp:110
Una volta creato il bilanciatore del carico, testalo con il seguente comando
Curl LB_IP:110
Successivamente, crea le VM per la convalida del rifiuto di accesso al bilanciamento del carico.
Devi creare due istanze, ognuna con un indirizzo IP pubblico e denominate test-server1 e test-server2
6. Crea una policy di sicurezza in Cloud Armor
In questa sezione, creerai una policy di sicurezza del backend e due regole nella policy in Cloud Armor.
La prima regola negherà a un insieme limitato di IP l'accesso al bilanciatore del carico TCP impostando una policy di sicurezza per negare l'accesso a determinati IP, mentre la seconda eseguirà la limitazione di frequenza.
- In Cloud Shell(fai riferimento a "Avvia Cloud Shell" in "Configurazione e requisiti" per istruzioni su come utilizzare Cloud Shell), crea una policy di sicurezza del servizio di backend denominata rate-limit-and-deny-tcp come segue
gcloud compute security-policies create rate-limit-and-deny-tcp \
--description "policy for tcp proxy rate limiting and IP deny"
Aggiungi regole alla policy di sicurezza
Aggiungi poi una regola di lista di negazione alla policy Cloud Armor "rate-limit-and-deny-tcp".
gcloud compute security-policies rules create 1000 --action deny --security-policy \ rate-limit-and-deny-tcp --description "deny test-server1" --src-ip-ranges \ "enter-test-server-1ip-here"
Aggiungi una regola di limitazione di frequenza alla policy di sicurezza di Cloud Armor "rate-limit-and-deny-tcp"
gcloud compute security-policies rules create 3000 \ --security-policy=rate-limit-and-deny-tcp \ --expression="true" --action=rate-based-ban --rate-limit-threshold-count=5 \ --rate-limit-threshold-interval-sec=60 --ban-duration-sec=300 \ --conform-action=allow --exceed-action=deny-404 --enforce-on-key=IP
Collega la policy al servizio di backend del proxy TCP:
Esegui questo comando per assicurarti che la policy di sicurezza sia collegata al servizio di backend del proxy TCP.
gcloud compute backend-services update my-tcp-lb --security-policy \ rate-limit-and-deny-tcp
Abilita la registrazione sul bilanciatore del carico del proxy TCP
gcloud beta compute backend-services update my-tcp-lb \ --enable-logging --logging-sample-rate=1
7. Convalida la regola dell'elenco valori non consentiti
Convalida la regola della lista di negazione accedendo al server di test il cui IP è stato specificato nella regola della lista di negazione ed esegui questo comando
Curl LB_IP:110
Le richieste immediate potrebbero fornire una risposta dal bilanciamento del carico, ma attendi che la richiesta curl venga rifiutata o eliminata, quindi esamina i log in Cloud Logging per verificare che la voce di log per la regola di negazione IP sia stata attivata.
Vai a Cloud Logging e, in Risorse, seleziona il tipo di risorsa "tcp_ssl_proxy_rule" e imposta la destinazione di backend su "my-tcp-lb".
Con le risorse definite per il filtraggio, possiamo verificare che la regola di negazione dell'IP sia in vigore dal valore PRIORITY di 1000 nella voce di log e che l'azione configurata "DENY" sia in vigore, in quanto entrambe sono state istruite dalla regola di negazione e l'IP viene negato come mostrato di seguito
8. Convalida la regola di limitazione di frequenza
Verifica che la regola di limite di frequenza sia attiva inviando molte richieste in un breve periodo di tempo che superi la soglia definita (5 richieste al minuto).
Una volta fatto, fai clic su Visualizza log nel servizio Cloud Armor. Si aprirà Cloud Logging, dove potrai filtrare i log in base al bilanciatore del carico per visualizzare i log di Cloud Armor man mano che vengono generati.
Una voce di limitazione della frequenza deve essere come nello screenshot riportato di seguito. Possiamo verificare che la regola di limitazione della frequenza sia in vigore dal valore PRIORITY di 3000 nella voce di log e dall'azione configurata, l'azione "RATE BASED BAN" è in vigore come indicato dalla regola di limitazione della frequenza.
9. Pulizia dell'ambiente
Assicurati di eseguire la pulizia dell'infrastruttura creata per evitare i costi di gestione dell'infrastruttura inutilizzata.
Il modo più rapido è eliminare l'intero progetto in GCP per assicurarsi che non rimangano risorse orfane senza gestione.Tuttavia, elimina le singole risorse con i seguenti comandi
Il bilanciatore del carico del proxy TCP
gcloud compute target-tcp-proxies delete my-tcp-lb
Il gruppo di istanze
gcloud compute instance-groups unmanaged delete vm-ig1
Le due istanze VM di test create
gcloud compute instances delete Instance_name --zone=instance_zone
Il servizio di backend
gcloud compute backend-services delete BACKEND_SERVICE_NAME
Le regole di Cloud Armor all'interno del criterio
gcloud compute security-policies rules delete 1000 \ --security-policy=rate-limit-and-deny-tcp && gcloud compute security-policies rules delete 3000 \ --security-policy=rate-limit-and-deny-tcp
Policy di sicurezza di Cloud Armor
gcloud compute security-policies delete rate-limit-and-deny-tcp