1. 簡介
Google Cloud 負載平衡服務會部署在 Google 遍布全球的網路邊緣連接點 (POP)。導向至 TCP Proxy 負載平衡器的使用者流量會進入離使用者最近的 POP,接著透過 Google 的全球網路進行負載平衡,再傳至有足夠容量且距離最近的後端。
Cloud Armor 是 Google 的分散式阻斷服務和網頁應用程式防火牆 (WAF) 偵測系統。Cloud Armor 與 Google Cloud TCP Proxy Load Balancer 緊密結合,可讓您針對不必要的要求,對入站流量進行查詢。這項服務的速率限制功能可讓您根據要求量限制後端資源的流量,並防止不受歡迎的流量消耗虛擬私有雲 (VPC) 網路的資源。
Google Cloud TCP/SSL Proxy 負載平衡器可讓您在後端服務之間代理 TCP/ SSL 類型流量。
在本研究室中,您將會使用後端服務建立 TCP/SSL 負載平衡器,並將負載平衡器的存取權限制在特定的使用者用戶端。
課程內容
- 如何建立 TCP/SSL Proxy 負載平衡器
- 如何建立 Cloud Armor 安全性政策
- 如何在 Cloud Armor 中為 TCP/SSL Proxy 負載平衡器建立 IP 拒絕清單規則
- 如何在 Cloud Armor 中為 TCP Proxy 負載平衡器建立速率限制規則
- 如何在 TCP/SSL 負載平衡後端服務中加入安全性政策
軟硬體需求
- Google Compute Engine 的基本知識 ( 程式碼研究室)
- 基本的網路和 TCP/IP 知識
- 基本的 Unix/Linux 指令列知識
- 建議您先完成 Google Cloud 中的網路,瞭解 GCP 網路的運作方式
2. 需求條件
自學環境設定
注意:只要記住 Cloud 控制台的網址 (console.cloud.google.com),就能輕鬆存取。
請記住專案 ID,這是所有 Google Cloud 專案的專屬名稱 (上述名稱已被使用,因此無法使用)。這個值會在本程式碼研究室的後續章節中稱為 PROJECT_ID。
注意:如果您使用的是 Gmail 帳戶,可以將預設位置設為「無機構」。如果你使用 Google Workspace 帳戶,請選擇貴機構適用的位置。
- 接著,您需要在 Cloud 控制台中啟用帳單功能,才能使用 Google Cloud 資源。
執行本程式碼研究室時,費用應該不會太高,甚至可能不收費。請務必按照「清除」一節中的操作說明,瞭解如何關閉資源,避免產生教學課程以外的帳單費用。Google Cloud 新使用者可享有 $300 美元的免費試用期。
啟動 Cloud Shell
雖然 Google Cloud 可透過筆記型電腦遠端操作,但在本程式碼研究室中,您將使用 Google Cloud Shell,這是在雲端運作的指令列環境。
在 GCP 主控台中,按一下右上方工具列的 Cloud Shell 圖示:
佈建並連線至環境的作業需要一些時間才能完成。完成後,您應該會看到如下的畫面:
這個虛擬機器會載入您需要的所有開發工具。提供永久的 5 GB 主目錄,而且在 Google Cloud 中運作,大幅提升網路效能和驗證功能。您只需使用瀏覽器,就能完成本研究室的所有作業。
事前準備
在 Cloud Shell 中,確認已設定專案 ID
gcloud config list project gcloud config set project [YOUR-PROJECT-NAME] PROJECT_ID=[YOUR-PROJECT-NAME] echo $PROJECT_ID
啟用 API
啟用所有必要的服務
gcloud services enable compute.googleapis.com gcloud services enable logging.googleapis.com gcloud services enable monitoring.googleapis.com
3. 建立後端服務
建立 2 個執行個體,如下所示:在 us-central1-b 區域中建立 instance1-b1
gcloud compute instances create vm-1-b1 \
--image-family debian-9 \
--image-project debian-cloud \
--tags tcp-lb \
--zone us-central1-b \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo sed -i '/Listen 80/c\Listen 110' /etc/apache2/ports.conf
sudo service apache2 restart
echo '<!doctype html><html><body><h1>This is VM1-b1 in central1-b</h1></body></html>' | tee /var/www/html/index.html
EOF"
在區域 us-central1-b 中建立 1-b2 執行個體
gcloud compute instances create vm-1-b2 \
--image-family debian-9 \
--image-project debian-cloud \
--tags tcp-lb \
--zone us-central1-b \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo sed -i '/Listen 80/c\Listen 110' /etc/apache2/ports.conf
sudo service apache2 restart
echo '<!doctype html><html><body><h1>This is VM1-b2 in central1-b</h1></body></html>' | tee /var/www/html/index.html
EOF"
建立執行個體群組 vm-ig1
gcloud compute instance-groups unmanaged create vm-ig1 --zone us-central1-b
為執行個體群組建立命名通訊埠。在本研究室中,我們將使用通訊埠 110
gcloud compute instance-groups set-named-ports vm-ig1 \ --named-ports tcp 110:110 --zone us-central1-b
將執行個體新增至執行個體群組
gcloud compute instance-groups unmanaged add-instances vm-ig1 \ --instances vm-1-b1,vm-1-b2 --zone us-central1-b
4. 設定負載平衡器
接下來,我們將建立健康狀態檢查。
gcloud compute health-checks create tcp my-tcp-health-check --port 110
建立後端服務
gcloud compute backend-services create my-tcp-lb --global-health-checks --global \ --protocol TCP --health-checks my-tcp-health-check --timeout 5m --port-name tcp110
將執行個體群組新增至後端服務
gcloud compute backend-services add-backend my-tcp-lb --global --instance-group \ vm-ig1 --instance-group-zone us-central1-b --balancing-mode UTILIZATION \ --max-utilization 0.8
設定目標 TCP Proxy
gcloud compute target-tcp-proxies create my-tcp-lb-target-proxy --backend-service \ my-tcp-lb --proxy-header NONE
保留全域靜態 IPv4 位址
您將使用這個 IP 位址存取負載平衡服務。
gcloud compute addresses create tcp-lb-static-ipv4 --ip-version=IPV4 --global
設定負載均衡器 IP 位址的通用轉送規則。
gcloud compute forwarding-rules create my-tcp-lb-ipv4-forwarding-rule \
--global --target-tcp-proxy my-tcp-lb-target-proxy --address LB_STATIC_IPV4 \ --ports 110
5. 為 TCP Proxy 負載平衡器建立防火牆規則
gcloud compute firewall-rules create allow-tcplb-and-health \ --source-ranges 130.211.0.0/22,35.191.0.0/16 \ --target-tags tcp-lb \ --allow tcp:110
負載平衡器建立完成後,請使用下列指令進行測試
Curl LB_IP:110
接下來,建立 VM 來驗證對 LB 的存取權遭拒
您應建立 2 個執行個體,每個執行個體都具有公開 IP 位址,並分別命名為 test-server1 和 test-server2
6. 在 Cloud Armor 中建立安全性政策
在本節中,您將在 Cloud Armor 中建立後端安全性政策和 2 個規則。
第一個規則會設定安全性政策來拒絕特定 IP 存取 TCP 負載平衡器,第二個規則則會執行頻率限制。
- 在 Cloud Shell 中(如需瞭解如何使用 Cloud Shell,請參閱「設定和需求」下方的「啟動 Cloud Shell」),建立名為「rate-limit-and-deny-tcp」的後端服務安全政策,如下所示
gcloud compute security-policies create rate-limit-and-deny-tcp \
--description "policy for tcp proxy rate limiting and IP deny"
在安全性政策中新增規則
接下來,請為 Cloud Armor 政策「rate-limit-and-deny-tcp」新增拒絕清單規則。
gcloud compute security-policies rules create 1000 --action deny --security-policy \ rate-limit-and-deny-tcp --description "deny test-server1" --src-ip-ranges \ "enter-test-server-1ip-here"
在 Cloud Armor 安全性政策「rate-limit-and-deny-tcp」中新增速率限制規則
gcloud compute security-policies rules create 3000 \ --security-policy=rate-limit-and-deny-tcp \ --expression="true" --action=rate-based-ban --rate-limit-threshold-count=5 \ --rate-limit-threshold-interval-sec=60 --ban-duration-sec=300 \ --conform-action=allow --exceed-action=deny-404 --enforce-on-key=IP
將政策附加至 TCP Proxy 後端服務:
執行下列指令,確保安全性政策已附加至 TCP Proxy 後端服務。
gcloud compute backend-services update my-tcp-lb --security-policy \ rate-limit-and-deny-tcp
在 TCP Proxy 負載平衡器上啟用記錄功能
gcloud beta compute backend-services update my-tcp-lb \ --enable-logging --logging-sample-rate=1
7. 驗證拒絕清單規則
驗證拒絕清單規則,方法是登入拒絕清單規則中指定 IP 的測試伺服器,然後執行下列指令
Curl LB_IP:110
即時要求可能會提供負載平衡器的回應,但會等到 curl 要求遭到拒絕或捨棄,然後查看 Cloud Logging 中的記錄,以驗證觸發 IP 拒絕規則的記錄項目。
前往 Cloud Logging,然後在「資源」下方選取「tcp_ssl_proxy_rule」做為資源類型,並將後端目標設為「my-tcp-lb」。
有了用於篩選的資源,我們可以驗證 IP 拒絕規則是否有效,因為記錄項目中的 PRIORITY 值為 1000,而設定的動作 "DENY" 有效,因為兩者都是從拒絕規則和遭拒絕的 IP 取得指示,如下所示
8. 驗證頻率限制規則
在短時間內傳送超過所定門檻 (每分鐘 5 個要求) 的大量要求,驗證頻率限制規則是否生效。
完成後,請按一下 Cloud Armor 服務中的「View Logs」(查看記錄檔),系統會帶您前往 Cloud Logging,您可以在其中依負載平衡器篩選記錄檔,查看 Cloud Armor 記錄檔。
速率限制項目應如下螢幕截圖所示。我們可以根據記錄項目中的 PRIORITY 值 3000 和設定的動作,驗證速率限制規則是否生效,而根據速率限制規則的規定,「RATE BASED BAN」 動作會生效。
9. 環境清理
請務必清除已建立的基礎架構,以免為未使用的基礎架構支付執行費用。
最快的方法是刪除 GCP 中的整個專案,確保沒有未受控的懸而未決的資源。不過,請使用下列指令刪除個別資源
TCP Proxy 負載平衡器
gcloud compute target-tcp-proxies delete my-tcp-lb
執行個體群組
gcloud compute instance-groups unmanaged delete vm-ig1
已建立的 2 個測試 VM 執行個體
gcloud compute instances delete Instance_name --zone=instance_zone
後端服務
gcloud compute backend-services delete BACKEND_SERVICE_NAME
政策中的 Cloud Armor 規則
gcloud compute security-policies rules delete 1000 \ --security-policy=rate-limit-and-deny-tcp && gcloud compute security-policies rules delete 3000 \ --security-policy=rate-limit-and-deny-tcp
Cloud Armor 安全性政策
gcloud compute security-policies delete rate-limit-and-deny-tcp