1. Giới thiệu
Tính năng cân bằng tải của Google Cloud được triển khai ở rìa mạng của Google tại các điểm hiện diện (POP) của Google trên khắp thế giới. Lưu lượng truy cập của người dùng được chuyển đến một trình cân bằng tải Proxy TCP sẽ đi vào POP gần người dùng nhất, sau đó được cân bằng tải trên mạng lưới toàn cầu của Google đến phần phụ trợ gần nhất có đủ dung lượng.
Cloud Armor là hệ thống phát hiện tường lửa cho ứng dụng web (WAF) và tấn công từ chối dịch vụ phân tán (DDoS) của Google. Cloud Armor được liên kết chặt chẽ với Bộ cân bằng tải TCP của Google Cloud và cho phép bạn kiểm tra lưu lượng truy cập đến để phát hiện các yêu cầu không mong muốn. Tính năng giới hạn tốc độ của dịch vụ này cho phép bạn giảm lưu lượng truy cập vào các tài nguyên phụ trợ dựa trên số lượng yêu cầu và ngăn lưu lượng truy cập không mong muốn tiêu thụ tài nguyên trên mạng VPC.
Trình cân bằng tải proxy TCP/SSL của Google Cloud cho phép bạn uỷ quyền lưu lượng truy cập loại TCP/ SSL giữa các dịch vụ phụ trợ.
Trong lớp học lập trình này, bạn sẽ tạo một trình cân bằng tải proxy TCP/SSL có dịch vụ phụ trợ và sử dụng Cloud Armor để giới hạn quyền truy cập vào trình cân bằng tải chỉ cho một nhóm ứng dụng khách cụ thể của người dùng.
Kiến thức bạn sẽ học được
- Cách tạo trình cân bằng tải proxy TCP/SSL
- Cách tạo chính sách bảo mật Cloud Armor
- Cách tạo quy tắc danh sách từ chối IP cho trình cân bằng tải proxy TCP/SSL trong Cloud Armor
- Cách tạo quy tắc giới hạn tốc độ cho trình cân bằng tải proxy TCP trong Cloud Armor
- Cách thêm chính sách bảo mật vào dịch vụ phụ trợ cân bằng tải TCP/SSL
Bạn cần có
- Kiến thức cơ bản về Google Compute Engine ( lớp học lập trình)
- Kiến thức cơ bản về mạng và TCP/IP
- Kiến thức cơ bản về dòng lệnh Unix/Linux
- Bạn nên hoàn tất một chuyến tham quan về mạng trong GCP bằng Mạng trong Google Cloud
2. Yêu cầu
Thiết lập môi trường theo tốc độ của riêng bạn
- Đăng nhập vào Cloud Console rồi tạo một dự án mới hoặc sử dụng lại một dự án hiện có. Nếu chưa có tài khoản Gmail hoặc Google Workspace, bạn phải tạo một tài khoản.
Lưu ý: Bạn có thể dễ dàng truy cập vào bảng điều khiển Cloud bằng cách ghi nhớ URL của bảng điều khiển này (console.cloud.google.com).
Hãy nhớ mã dự án, một tên duy nhất trên tất cả các dự án trên Google Cloud (tên ở trên đã được sử dụng và sẽ không hoạt động đối với bạn, xin lỗi!). Sau này trong lớp học lập trình này, chúng ta sẽ gọi đó là PROJECT_ID.
Lưu ý: Nếu đang sử dụng Tài khoản Gmail, bạn có thể để vị trí mặc định là Không có tổ chức. Nếu bạn đang sử dụng tài khoản Google Workspace, hãy chọn một vị trí phù hợp với tổ chức của bạn.
- Tiếp theo, bạn cần bật tính năng thanh toán trong Cloud Console để sử dụng các tài nguyên của Google Cloud.
Việc thực hiện lớp học lập trình này sẽ không tốn nhiều chi phí, nếu có. Hãy nhớ làm theo mọi hướng dẫn trong phần "Dọn dẹp" để biết cách tắt các tài nguyên nhằm tránh bị tính phí ngoài phạm vi hướng dẫn này. Người dùng mới của Google Cloud đủ điều kiện tham gia chương trình Dùng thử miễn phí trị giá 300 USD.
Khởi động Cloud Shell
Mặc dù có thể vận hành Google Cloud từ xa trên máy tính xách tay, nhưng trong lớp học lập trình này, bạn sẽ sử dụng Google Cloud Shell, một môi trường dòng lệnh chạy trên Cloud.
Trên Bảng điều khiển GCP, hãy nhấp vào biểu tượng Cloud Shell trên thanh công cụ ở trên cùng bên phải:
Quá trình này chỉ mất vài phút để cung cấp và kết nối với môi trường. Khi quá trình này kết thúc, bạn sẽ thấy như sau:
Máy ảo này được trang bị tất cả các công cụ phát triển mà bạn cần. Nó cung cấp một thư mục chính có dung lượng 5 GB và chạy trên Google Cloud, giúp tăng cường đáng kể hiệu suất mạng và hoạt động xác thực. Bạn chỉ cần một trình duyệt là có thể thực hiện mọi thao tác trong phòng thí nghiệm này.
Trước khi bắt đầu
Trong Cloud Shell, hãy đảm bảo rằng bạn đã thiết lập mã dự án
gcloud config list project gcloud config set project [YOUR-PROJECT-NAME] PROJECT_ID=[YOUR-PROJECT-NAME] echo $PROJECT_ID
Bật API
Bật tất cả các dịch vụ cần thiết
gcloud services enable compute.googleapis.com gcloud services enable logging.googleapis.com gcloud services enable monitoring.googleapis.com
3. Tạo dịch vụ phụ trợ
Tạo 2 phiên bản như sau: Tạo instance1-b1 trong vùng us-central1-b
gcloud compute instances create vm-1-b1 \
--image-family debian-9 \
--image-project debian-cloud \
--tags tcp-lb \
--zone us-central1-b \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo sed -i '/Listen 80/c\Listen 110' /etc/apache2/ports.conf
sudo service apache2 restart
echo '<!doctype html><html><body><h1>This is VM1-b1 in central1-b</h1></body></html>' | tee /var/www/html/index.html
EOF"
Tạo phiên bản 1-b2 trong vùng us-central1-b
gcloud compute instances create vm-1-b2 \
--image-family debian-9 \
--image-project debian-cloud \
--tags tcp-lb \
--zone us-central1-b \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo sed -i '/Listen 80/c\Listen 110' /etc/apache2/ports.conf
sudo service apache2 restart
echo '<!doctype html><html><body><h1>This is VM1-b2 in central1-b</h1></body></html>' | tee /var/www/html/index.html
EOF"
Tạo một nhóm thực thể vm-ig1
gcloud compute instance-groups unmanaged create vm-ig1 --zone us-central1-b
Tạo một cổng được đặt tên cho nhóm phiên bản. Trong lớp học lập trình này, chúng ta sẽ sử dụng cổng 110
gcloud compute instance-groups set-named-ports vm-ig1 \ --named-ports tcp 110:110 --zone us-central1-b
Thêm các thực thể vào nhóm thực thể
gcloud compute instance-groups unmanaged add-instances vm-ig1 \ --instances vm-1-b1,vm-1-b2 --zone us-central1-b
4. Định cấu hình trình cân bằng tải
Tiếp theo, chúng ta sẽ tạo một quy trình kiểm tra tình trạng.
gcloud compute health-checks create tcp my-tcp-health-check --port 110
Tạo dịch vụ phụ trợ
gcloud compute backend-services create my-tcp-lb --global-health-checks --global \ --protocol TCP --health-checks my-tcp-health-check --timeout 5m --port-name tcp110
Thêm nhóm phiên bản vào dịch vụ phụ trợ
gcloud compute backend-services add-backend my-tcp-lb --global --instance-group \ vm-ig1 --instance-group-zone us-central1-b --balancing-mode UTILIZATION \ --max-utilization 0.8
Định cấu hình một proxy TCP mục tiêu
gcloud compute target-tcp-proxies create my-tcp-lb-target-proxy --backend-service \ my-tcp-lb --proxy-header NONE
Đặt trước địa chỉ IPv4 tĩnh toàn cầu
Bạn sẽ dùng địa chỉ IP này để truy cập vào dịch vụ cân bằng tải.
gcloud compute addresses create tcp-lb-static-ipv4 --ip-version=IPV4 --global
Định cấu hình quy tắc chuyển tiếp chung cho địa chỉ IP của LB.
gcloud compute forwarding-rules create my-tcp-lb-ipv4-forwarding-rule \
--global --target-tcp-proxy my-tcp-lb-target-proxy --address LB_STATIC_IPV4 \ --ports 110
5. Tạo quy tắc tường lửa cho trình cân bằng tải proxy TCP
gcloud compute firewall-rules create allow-tcplb-and-health \ --source-ranges 130.211.0.0/22,35.191.0.0/16 \ --target-tags tcp-lb \ --allow tcp:110
Sau khi bạn tạo bộ cân bằng tải, hãy kiểm thử bằng lệnh sau
Curl LB_IP:110
Tiếp theo, hãy tạo các máy ảo để xác thực việc từ chối quyền truy cập vào LB
Bạn nên tạo 2 phiên bản, mỗi phiên bản có một địa chỉ IP công khai và được đặt tên là test-server1 và test-server2
6. Tạo Chính sách bảo mật trong Cloud Armor
Trong phần này, bạn sẽ tạo một chính sách bảo mật phụ trợ và 2 quy tắc trong chính sách đó trong Cloud Armor.
Quy tắc đầu tiên sẽ từ chối một số IP truy cập vào Bộ cân bằng tải TCP bằng cách đặt chính sách bảo mật để từ chối một số IP và quy tắc thứ hai sẽ thực hiện việc giới hạn tốc độ.
- Trong Cloud Shell(xem phần "Bắt đầu Cloud Shell" trong mục "Thiết lập và yêu cầu" để biết hướng dẫn về cách sử dụng Cloud Shell), hãy tạo một chính sách bảo mật dịch vụ phụ trợ có tên là rate-limit-and-deny-tcp như sau
gcloud compute security-policies create rate-limit-and-deny-tcp \
--description "policy for tcp proxy rate limiting and IP deny"
Thêm quy tắc vào chính sách bảo mật
Tiếp theo, hãy thêm một quy tắc danh sách từ chối vào chính sách Cloud Armor "rate-limit-and-deny-tcp".
gcloud compute security-policies rules create 1000 --action deny --security-policy \ rate-limit-and-deny-tcp --description "deny test-server1" --src-ip-ranges \ "enter-test-server-1ip-here"
Thêm một quy tắc giới hạn tốc độ vào chính sách bảo mật "rate-limit-and-deny-tcp" của Cloud Armor
gcloud compute security-policies rules create 3000 \ --security-policy=rate-limit-and-deny-tcp \ --expression="true" --action=rate-based-ban --rate-limit-threshold-count=5 \ --rate-limit-threshold-interval-sec=60 --ban-duration-sec=300 \ --conform-action=allow --exceed-action=deny-404 --enforce-on-key=IP
Đính kèm chính sách vào dịch vụ phụ trợ TCP Proxy:
Chạy lệnh sau để đảm bảo chính sách bảo mật được đính kèm vào dịch vụ phụ trợ TCP Proxy.
gcloud compute backend-services update my-tcp-lb --security-policy \ rate-limit-and-deny-tcp
Bật tính năng ghi nhật ký trên Trình cân bằng tải proxy TCP
gcloud beta compute backend-services update my-tcp-lb \ --enable-logging --logging-sample-rate=1
7. Xác thực quy tắc danh sách từ chối
Xác thực quy tắc danh sách từ chối bằng cách đăng nhập vào máy chủ kiểm thử có IP được chỉ định trong quy tắc danh sách từ chối và chạy lệnh sau
Curl LB_IP:110
Các yêu cầu tức thì có thể nhận được phản hồi từ LB nhưng hãy đợi cho đến khi yêu cầu curl bị từ chối hoặc bị loại bỏ, sau đó xem xét nhật ký trong Cloud Logging để xác minh mục nhập nhật ký cho quy tắc từ chối IP đang được kích hoạt.
Chuyển đến Cloud Logging rồi chọn loại tài nguyên là "tcp_ssl_proxy_rule" trong phần tài nguyên và đặt mục tiêu phụ trợ là "my-tcp-lb".
Với các tài nguyên được xác định để lọc, chúng ta có thể xác thực quy tắc từ chối IP có hiệu lực từ giá trị MỨC ĐỘ ƯU TIÊN là 1000 trong mục nhập nhật ký và hành động "DENY" đã định cấu hình có hiệu lực vì cả hai đều được hướng dẫn từ quy tắc từ chối và IP bị từ chối như minh hoạ bên dưới
8. Xác thực quy tắc giới hạn tốc độ
Xác thực quy tắc giới hạn tốc độ có hiệu lực bằng cách gửi nhiều yêu cầu trong một khung thời gian ngắn vượt quá ngưỡng xác định (5 yêu cầu mỗi phút).
Sau khi hoàn tất, hãy nhấp vào xem nhật ký trong dịch vụ Cloud Armor. Thao tác này sẽ đưa bạn đến nhật ký trên đám mây, nơi bạn có thể lọc nhật ký theo trình cân bằng tải để xem nhật ký Cloud Armor khi nhật ký xuất hiện.
Mục giới hạn tốc độ phải theo ảnh chụp màn hình bên dưới. Chúng ta có thể xác thực quy tắc giới hạn tốc độ có hiệu lực từ giá trị PRIORITY là 3000 trong mục nhập nhật ký và từ hành động đã định cấu hình, hành động "RATE BASED BAN" có hiệu lực theo hướng dẫn từ quy tắc giới hạn tốc độ.
9. Dọn dẹp môi trường
Hãy nhớ dọn dẹp cơ sở hạ tầng đã tạo để tránh phát sinh chi phí vận hành cho cơ sở hạ tầng không dùng đến.
Cách nhanh nhất là xoá toàn bộ Dự án trong GCP để đảm bảo không còn tài nguyên nào bị bỏ quên.Tuy nhiên, hãy xoá từng tài nguyên bằng các lệnh sau
Trình cân bằng tải Proxy TCP
gcloud compute target-tcp-proxies delete my-tcp-lb
Nhóm phiên bản
gcloud compute instance-groups unmanaged delete vm-ig1
Đã tạo 2 phiên bản máy ảo thử nghiệm
gcloud compute instances delete Instance_name --zone=instance_zone
Dịch vụ phụ trợ
gcloud compute backend-services delete BACKEND_SERVICE_NAME
Các quy tắc Cloud Armor trong chính sách
gcloud compute security-policies rules delete 1000 \ --security-policy=rate-limit-and-deny-tcp && gcloud compute security-policies rules delete 3000 \ --security-policy=rate-limit-and-deny-tcp
Chính sách bảo mật Cloud Armor
gcloud compute security-policies delete rate-limit-and-deny-tcp