Codelab ของพร็อกซี TCP - การจำกัดอัตราและรายการการปฏิเสธ IP ที่มีตัวจัดสรรภาระงานพร็อกซี TCP

1. บทนำ

ระบบจัดสรรภาระงานของ Google Cloud ติดตั้งใช้งานที่ขอบเครือข่ายของ Google ในจุดเชื่อมต่อ (POP) ของ Google ทั่วโลก การรับส่งข้อมูลของผู้ใช้ที่ส่งไปยังตัวกระจายภาระของพร็อกซี TCP จะเข้าสู่ POP ที่ใกล้กับผู้ใช้มากที่สุด จากนั้นระบบจะกระจายภาระผ่านเครือข่ายทั่วโลกของ Google ไปยังแบ็กเอนด์ที่ใกล้ที่สุดซึ่งมีความสามารถเพียงพอ

Cloud Armor เป็นระบบตรวจจับการปฏิเสธการให้บริการแบบกระจายและไฟร์วอลล์สำหรับเว็บแอปพลิเคชัน (WAF) ของ Google Cloud Armor ทำงานร่วมกับ Google Cloud TCP Proxy Load Balancer อย่างใกล้ชิด และช่วยให้คุณตรวจสอบการเข้าชมขาเข้าเพื่อหาคำขอที่ไม่ต้องการได้ ฟีเจอร์การจำกัดอัตราการเข้าชมของบริการนี้ช่วยให้คุณจำกัดการเข้าชมทรัพยากรแบ็กเอนด์ตามปริมาณคำขอ และป้องกันไม่ให้การเข้าชมที่ไม่พึงประสงค์ใช้ทรัพยากรในเครือข่าย Virtual Private Cloud (VPC)

ตัวจัดสรรภาระงานพร็อกซี TCP/SSL ของ Google Cloud ช่วยให้คุณทำพร็อกซีการรับส่งข้อมูลประเภท TCP/ SSL ระหว่างบริการแบ็กเอนด์ได้

ในบทแนะนำนี้ คุณจะได้สร้างตัวจัดสรรภาระงาน TCP/SSL ที่มีบริการแบ็กเอนด์และจำกัดการเข้าถึงตัวจัดสรรภาระงานไว้เฉพาะไคลเอ็นต์ผู้ใช้บางกลุ่มเท่านั้น

be33dadf836374bb.png

สิ่งที่คุณจะได้เรียนรู้

  • วิธีสร้างตัวจัดสรรภาระงานพร็อกซี TCP/SSL
  • วิธีสร้างนโยบายความปลอดภัยของ Cloud Armor
  • วิธีสร้างกฎรายการที่ปฏิเสธ IP สำหรับตัวจัดสรรภาระงานพร็อกซี TCP/SSL ใน Cloud Armor
  • วิธีสร้างกฎการจำกัดอัตราสำหรับตัวจัดสรรภาระงานพร็อกซี TCP ใน Cloud Armor
  • วิธีเพิ่มนโยบายความปลอดภัยลงในบริการแบ็กเอนด์การจัดสรรภาระงาน TCP/SSL

สิ่งที่คุณต้องมี

  • ความรู้พื้นฐานเกี่ยวกับ Google Compute Engine ( codelab)
  • ความรู้พื้นฐานเกี่ยวกับเครือข่ายและ TCP/IP
  • ความรู้พื้นฐานเกี่ยวกับบรรทัดคำสั่ง Unix/Linux
  • คุณควรดูบทแนะนำเกี่ยวกับเครือข่ายใน GCP กับเครือข่ายใน Google Cloud จนจบ

2. ข้อกำหนด

การตั้งค่าสภาพแวดล้อมด้วยตนเอง

  1. ลงชื่อเข้าใช้ Cloud Console แล้วสร้างโปรเจ็กต์ใหม่หรือใช้โปรเจ็กต์ที่มีอยู่ซ้ำ หากยังไม่มีบัญชี Gmail หรือ Google Workspace คุณต้องสร้างบัญชี

หมายเหตุ: คุณเข้าถึง Cloud Console ได้โดยง่ายด้วยการจดจำ URL ซึ่งก็คือ console.cloud.google.com

96a9c957bc475304.png

b9a10ebdf5b5a448.png

a1e3c01a38fa61c2.png

โปรดจดจำรหัสโปรเจ็กต์ ซึ่งเป็นชื่อที่ไม่ซ้ำกันในโปรเจ็กต์ Google Cloud ทั้งหมด (ชื่อด้านบนมีผู้ใช้แล้วและจะใช้ไม่ได้ ขออภัย) ซึ่งจะเรียกว่า PROJECT_ID ในภายหลังในโค้ดแล็บนี้

หมายเหตุ: หากคุณใช้บัญชี Gmail คุณสามารถตั้งค่าตำแหน่งเริ่มต้นเป็น "ไม่มีองค์กร" ได้ หากคุณใช้บัญชี Google Workspace ให้เลือกตำแหน่งที่เหมาะกับองค์กร

  1. ถัดไป คุณจะต้องเปิดใช้การเรียกเก็บเงินใน Cloud Console เพื่อใช้ทรัพยากร Google Cloud

การทำตามโค้ดแล็บนี้ไม่น่าจะเสียค่าใช้จ่ายมากนัก โปรดทําตามวิธีการในส่วน "การล้างข้อมูล" ซึ่งจะแนะนําวิธีปิดใช้ทรัพยากรเพื่อไม่ให้มีการเรียกเก็บเงินหลังจากบทแนะนํานี้ ผู้ใช้ใหม่ของ Google Cloud มีสิทธิ์เข้าร่วมโปรแกรมช่วงทดลองใช้ฟรีมูลค่า$300 USD

เริ่มต้น Cloud Shell

แม้ว่า Google Cloud จะทำงานจากระยะไกลจากแล็ปท็อปได้ แต่ในโค้ดแล็บนี้ คุณจะใช้ Google Cloud Shell ซึ่งเป็นสภาพแวดล้อมบรรทัดคำสั่งที่ทำงานในระบบคลาวด์

จากคอนโซล GCP ให้คลิกไอคอน Cloud Shell ในแถบเครื่องมือด้านขวาบน

bce75f34b2c53987.png

การจัดสรรและเชื่อมต่อกับสภาพแวดล้อมจะใช้เวลาเพียงไม่กี่นาที เมื่อดำเนินการเสร็จแล้ว คุณควรเห็นข้อมูลดังต่อไปนี้

f6ef2b5f13479f3a.png

เครื่องเสมือนนี้โหลดเครื่องมือการพัฒนาทั้งหมดที่คุณต้องการ ซึ่งจะมีไดเรกทอรีหลักขนาด 5 GB ถาวรและทำงานบน Google Cloud ซึ่งจะช่วยเพิ่มประสิทธิภาพเครือข่ายและการรับรองได้อย่างมีประสิทธิภาพ คุณทํางานทั้งหมดในแท็บนี้ได้โดยใช้เพียงเบราว์เซอร์

ก่อนเริ่มต้น

ใน Cloud Shell ให้ตรวจสอบว่าได้ตั้งค่ารหัสโปรเจ็กต์แล้ว

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
PROJECT_ID=[YOUR-PROJECT-NAME]
echo $PROJECT_ID

เปิดใช้ API

เปิดใช้บริการที่จำเป็นทั้งหมด

gcloud services enable compute.googleapis.com
gcloud services enable logging.googleapis.com        
gcloud services enable monitoring.googleapis.com

3. สร้างบริการแบ็กเอนด์

สร้างอินสแตนซ์ 2 รายการดังนี้ - สร้าง instance1-b1 ในโซน us-central1-b

gcloud compute instances create vm-1-b1 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --tags tcp-lb \
    --zone us-central1-b \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install apache2 -y
      sudo sed -i '/Listen 80/c\Listen 110' /etc/apache2/ports.conf
      sudo service apache2 restart
      echo '<!doctype html><html><body><h1>This is VM1-b1 in central1-b</h1></body></html>' | tee /var/www/html/index.html
      EOF"

สร้างอินสแตนซ์ 1-b2 ในโซน us-central1-b

gcloud compute instances create vm-1-b2 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --tags tcp-lb \
    --zone us-central1-b \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install apache2 -y
      sudo sed -i '/Listen 80/c\Listen 110' /etc/apache2/ports.conf
      sudo service apache2 restart
      echo '<!doctype html><html><body><h1>This is VM1-b2 in central1-b</h1></body></html>' | tee /var/www/html/index.html
      EOF"

สร้างกลุ่มอินสแตนซ์ vm-ig1

gcloud compute instance-groups unmanaged create vm-ig1  --zone us-central1-b

สร้างพอร์ตที่มีชื่อสําหรับกลุ่มอินสแตนซ์ เราจะใช้พอร์ต 110 ในการทดสอบนี้

    gcloud compute instance-groups set-named-ports vm-ig1 \
--named-ports tcp 110:110 --zone us-central1-b

เพิ่มอินสแตนซ์ลงในกลุ่มอินสแตนซ์

gcloud compute instance-groups unmanaged add-instances vm-ig1 \
   --instances vm-1-b1,vm-1-b2 --zone us-central1-b

4. การกำหนดค่าตัวจัดสรรภาระงาน

ต่อไป เราจะสร้างการตรวจสอบประสิทธิภาพการทำงาน

gcloud compute health-checks create tcp my-tcp-health-check --port 110

สร้างบริการแบ็กเอนด์

gcloud compute backend-services create my-tcp-lb  --global-health-checks --global \
--protocol TCP --health-checks my-tcp-health-check --timeout 5m --port-name tcp110

เพิ่มกลุ่มอินสแตนซ์ไปยังบริการแบ็กเอนด์

gcloud compute backend-services add-backend my-tcp-lb --global --instance-group \ vm-ig1 --instance-group-zone us-central1-b --balancing-mode UTILIZATION \ --max-utilization 0.8

กำหนดค่าพร็อกซี TCP เป้าหมาย

gcloud compute target-tcp-proxies create my-tcp-lb-target-proxy --backend-service \ my-tcp-lb --proxy-header NONE

สำรองที่อยู่ IPv4 แบบคงที่ทั่วโลก

คุณจะใช้ที่อยู่ IP นี้เพื่อเข้าถึงบริการที่จัดสรรภาระงาน

gcloud compute addresses create tcp-lb-static-ipv4  --ip-version=IPV4   --global

กําหนดค่ากฎการส่งต่อร่วมสําหรับที่อยู่ IP ของ LB

gcloud compute forwarding-rules create my-tcp-lb-ipv4-forwarding-rule \
    --global --target-tcp-proxy my-tcp-lb-target-proxy --address LB_STATIC_IPV4 \ --ports 110

5. การสร้างกฎไฟร์วอลล์สําหรับตัวจัดสรรภาระงานพร็อกซี TCP 

gcloud compute firewall-rules create allow-tcplb-and-health \
   --source-ranges 130.211.0.0/22,35.191.0.0/16 \
   --target-tags tcp-lb \
   --allow tcp:110

เมื่อสร้างตัวจัดสรรภาระงานแล้ว ให้ทดสอบด้วยคำสั่งต่อไปนี้

Curl LB_IP:110

ถัดไป ให้สร้าง VM เพื่อตรวจสอบการปฏิเสธการเข้าถึง LB

คุณควรสร้างอินสแตนซ์ 2 รายการ โดยแต่ละรายการมีที่อยู่ IP สาธารณะและตั้งชื่อว่า test-server1 และ test-server2

6. สร้างนโยบายความปลอดภัยใน Cloud Armor

ในส่วนนี้ คุณจะต้องสร้างนโยบายความปลอดภัยแบ็กเอนด์และกฎ 2 ข้อในนโยบายใน Cloud Armor

กฎแรกจะปฏิเสธชุด IP จํากัดไม่ให้เข้าถึง TCP Load Balancer โดยการตั้งค่านโยบายความปลอดภัยเพื่อปฏิเสธ IP บางรายการ และกฎที่ 2 จะจำกัดอัตราการเข้าชม

  1. ใน Cloud Shell(ดูวิธีการใช้ Cloud Shell ได้ที่ "เริ่มใช้ Cloud Shell" ในส่วน "การตั้งค่าและข้อกําหนด") ให้สร้างนโยบายความปลอดภัยของบริการแบ็กเอนด์ชื่อ rate-limit-and-deny-tcp ดังนี้
gcloud compute security-policies create rate-limit-and-deny-tcp \
    --description "policy for tcp proxy rate limiting and IP deny"

เพิ่มกฎลงในนโยบายความปลอดภัย

ถัดไป ให้เพิ่มกฎรายการที่ปฏิเสธลงในนโยบาย Cloud Armor "rate-limit-and-deny-tcp"

gcloud compute security-policies rules create 1000 --action deny --security-policy \ rate-limit-and-deny-tcp --description "deny test-server1" --src-ip-ranges \ "enter-test-server-1ip-here"

เพิ่มกฎการจำกัดอัตราการเข้าชมไปยังนโยบายความปลอดภัยของ Cloud Armor "rate-limit-and-deny-tcp"

gcloud compute security-policies rules create 3000   \ --security-policy=rate-limit-and-deny-tcp  \       
--expression="true"  --action=rate-based-ban  --rate-limit-threshold-count=5  \          
--rate-limit-threshold-interval-sec=60  --ban-duration-sec=300      \         
--conform-action=allow  --exceed-action=deny-404  --enforce-on-key=IP

แนบนโยบายกับบริการแบ็กเอนด์ของพร็อกซี TCP

เรียกใช้คําสั่งต่อไปนี้เพื่อให้แน่ใจว่านโยบายความปลอดภัยแนบอยู่กับบริการแบ็กเอนด์ของพร็อกซี TCP

gcloud compute backend-services update my-tcp-lb --security-policy \ rate-limit-and-deny-tcp

เปิดใช้การบันทึกใน TCP Proxy Load Balancer

gcloud beta compute backend-services update my-tcp-lb \ 
--enable-logging --logging-sample-rate=1

7. ตรวจสอบกฎรายการที่ปฏิเสธ

ตรวจสอบกฎรายการที่ปฏิเสธโดยเข้าสู่ระบบเซิร์ฟเวอร์ทดสอบที่ระบุ IP ในกฎรายการที่ปฏิเสธ แล้วเรียกใช้คําสั่งต่อไปนี้

Curl LB_IP:110

คำขอทันทีอาจได้รับการตอบกลับจาก LB แต่ให้รอจนกว่าคำขอ curl จะถูกปฏิเสธหรือถูกทิ้ง จากนั้นดูบันทึกใน Cloud Logging เพื่อยืนยันรายการบันทึกสำหรับกฎการปฏิเสธ IP ที่ทริกเกอร์

ไปที่การบันทึกในระบบคลาวด์ และในส่วนทรัพยากร ให้เลือกประเภททรัพยากรเป็น "tcp_ssl_proxy_rule" และตั้งค่าเป้าหมายแบ็กเอนด์เป็น "my-tcp-lb"

เมื่อกำหนดทรัพยากรสำหรับการกรองแล้ว เราตรวจสอบได้ว่ากฎการปฏิเสธ IP มีผลอยู่จากค่าลําดับความสําคัญ 1000 ในรายการบันทึก และการดำเนินการที่กําหนดค่าไว้ "DENY" มีผลอยู่เนื่องจากทั้ง 2 รายการได้รับคำสั่งจากกฎการปฏิเสธและ IP ที่ถูกปฏิเสธดังที่แสดงด้านล่าง

db9b835e0360dcaf.png

8. ตรวจสอบกฎการจำกัดอัตรา

ตรวจสอบว่ากฎการจำกัดอัตรามีการใช้งานอยู่โดยการส่งคำขอหลายรายการในกรอบเวลาสั้นๆ ที่เกินเกณฑ์ที่กำหนด (5 คำขอต่อนาที)

เมื่อดำเนินการเสร็จแล้ว ให้คลิกดูบันทึกในบริการ Cloud Armor ซึ่งจะนำคุณไปยังการบันทึกระบบคลาวด์ที่คุณสามารถกรองบันทึกตามตัวจัดสรรภาระงานเพื่อดูบันทึก Cloud Armor เมื่อเข้ามา

รายการการจำกัดอัตราการเข้าชมควรมีลักษณะตามภาพหน้าจอด้านล่าง เราตรวจสอบได้ว่ากฎการจำกัดอัตรามีผลบังคับใช้จากค่า PRIORITY เท่ากับ 3000 ในรายการบันทึก และจากการดำเนินการที่กำหนดค่าไว้ การดำเนินการ "RATE BASED BAN" มีผลบังคับใช้ตามที่ระบุไว้ในกฎการจำกัดอัตรา

37c76e5d7532623.png

9. ล้างข้อมูลสภาพแวดล้อม

อย่าลืมล้างข้อมูลโครงสร้างพื้นฐานที่สร้างไว้เพื่อหลีกเลี่ยงค่าใช้จ่ายในการเรียกใช้โครงสร้างพื้นฐานที่ไม่ได้ใช้งาน

วิธีที่เร็วที่สุดคือการลบโปรเจ็กต์ทั้งหมดใน GCP เพื่อให้แน่ใจว่าไม่มีทรัพยากรที่ยังไม่ได้จัดการอยู่ อย่างไรก็ตาม ให้ลบทรัพยากรแต่ละรายการด้วยคำสั่งต่อไปนี้

ตัวจัดสรรภาระงานพร็อกซี TCP

gcloud compute target-tcp-proxies delete my-tcp-lb

กลุ่มอินสแตนซ์

gcloud compute instance-groups unmanaged delete vm-ig1

อินสแตนซ์ VM ทดสอบ 2 รายการที่สร้าง

gcloud compute instances delete Instance_name --zone=instance_zone

บริการแบ็กเอนด์

gcloud compute backend-services delete BACKEND_SERVICE_NAME

กฎ Cloud Armor ภายในนโยบาย

gcloud compute security-policies rules delete 1000  \ --security-policy=rate-limit-and-deny-tcp && 
gcloud compute security-policies rules delete 3000  \ --security-policy=rate-limit-and-deny-tcp

นโยบายความปลอดภัยของ Cloud Armor

gcloud compute security-policies delete rate-limit-and-deny-tcp