arrow_back

Bilanciatore del carico HTTP con Cloud Armor

Accedi Partecipa
Metti alla prova le tue conoscenze e condividile con la nostra community.
done
Accedi a oltre 700 lab pratici, badge delle competenze e corsi

Bilanciatore del carico HTTP con Cloud Armor

Lab 1 ora universal_currency_alt 5 crediti show_chart Intermedio
info Questo lab potrebbe incorporare strumenti di AI a supporto del tuo apprendimento.
Metti alla prova le tue conoscenze e condividile con la nostra community.
done
Accedi a oltre 700 lab pratici, badge delle competenze e corsi

GSP215

Laboratori autogestiti Google Cloud

Panoramica

Il bilanciamento del carico HTTP(S) di Google Cloud è implementato sul perimetro della rete Google, nei punti di presenza (POP) Google in tutto il mondo. Il traffico utente indirizzato a un bilanciatore del carico HTTP(S) entra nella rete Google attraverso il POP più vicino all'utente. Quindi, il carico viene bilanciato sulla rete Google globale e indirizzato verso il backend più vicino con capacità disponibile sufficiente.

Le liste IP bloccate/consentite di Cloud Armor consentono di limitare o consentire l'accesso al bilanciatore del carico HTTP(S) sul perimetro di Google Cloud, nel punto più vicino all'utente e a potenziale traffico dannoso. In questo modo è possibile impedire a utenti malintenzionati di utilizzare una quantità eccessiva di risorse o di penetrare nelle reti VPC (Virtual Private Cloud).

In questo lab configurerai un bilanciatore del carico HTTP con backend globali, come illustrato dal diagramma riportato di seguito. Successivamente, sottoporrai il bilanciatore di carico a uno stress test e inserirai l'IP dello stress test in una lista bloccata utilizzando Cloud Armor.

Diagramma di rete che illustra il bilanciamento del carico

Obiettivi

In questo lab imparerai a eseguire le attività seguenti:

  • Creare regole firewall per HTTP e controllo di integrità
  • Configurare due modelli di istanza
  • Creare due gruppi di istanze gestite
  • Configurare un bilanciatore del carico HTTP con IPv4 e IPv6
  • Eseguire lo stress test di un bilanciatore del carico HTTP
  • Inserire un indirizzo IP in una lista bloccata per limitare l'accesso a un bilanciatore del carico HTTP

Configurazione e requisiti

Prima di fare clic sul pulsante Avvia lab

Leggi le seguenti istruzioni. I lab sono a tempo e non possono essere messi in pausa. Il timer si avvia quando fai clic su Avvia lab e ti mostra per quanto tempo avrai a disposizione le risorse Google Cloud.

Con questo lab pratico avrai la possibilità di completare le attività in prima persona, in un ambiente cloud reale e non di simulazione o demo. Riceverai delle nuove credenziali temporanee che potrai utilizzare per accedere a Google Cloud per la durata del lab.

Per completare il lab, avrai bisogno di:

  • Accesso a un browser internet standard (Chrome è il browser consigliato).
Nota: utilizza una finestra del browser in incognito o privata per eseguire questo lab. Ciò evita eventuali conflitti tra il tuo account personale e l'account Studente, che potrebbero causare addebiti aggiuntivi sul tuo account personale.
  • È ora di completare il lab: ricorda che, una volta iniziato, non puoi metterlo in pausa.
Nota: se hai già un account o un progetto Google Cloud personale, non utilizzarlo per questo lab per evitare addebiti aggiuntivi al tuo account.

Come avviare il lab e accedere alla console Google Cloud

  1. Fai clic sul pulsante Avvia lab. Se devi effettuare il pagamento per il lab, si apre una finestra popup per permetterti di selezionare il metodo di pagamento. A sinistra, trovi il riquadro Dettagli lab con le seguenti informazioni:

    • Il pulsante Apri console Google Cloud
    • Tempo rimanente
    • Credenziali temporanee da utilizzare per il lab
    • Altre informazioni per seguire questo lab, se necessario
  2. Fai clic su Apri console Google Cloud (o fai clic con il tasto destro del mouse e seleziona Apri link in finestra di navigazione in incognito se utilizzi il browser Chrome).

    Il lab avvia le risorse e apre un'altra scheda con la pagina di accesso.

    Suggerimento: disponi le schede in finestre separate posizionate fianco a fianco.

    Nota: se visualizzi la finestra di dialogo Scegli un account, fai clic su Usa un altro account.
  3. Se necessario, copia il Nome utente di seguito e incollalo nella finestra di dialogo di accesso.

    {{{user_0.username | "Username"}}}

    Puoi trovare il Nome utente anche nel riquadro Dettagli lab.

  4. Fai clic su Avanti.

  5. Copia la Password di seguito e incollala nella finestra di dialogo di benvenuto.

    {{{user_0.password | "Password"}}}

    Puoi trovare la Password anche nel riquadro Dettagli lab.

  6. Fai clic su Avanti.

    Importante: devi utilizzare le credenziali fornite dal lab. Non utilizzare le credenziali del tuo account Google Cloud. Nota: utilizzare il tuo account Google Cloud per questo lab potrebbe comportare addebiti aggiuntivi.
  7. Fai clic nelle pagine successive:

    • Accetta i termini e le condizioni.
    • Non inserire opzioni di recupero o l'autenticazione a due fattori, perché si tratta di un account temporaneo.
    • Non registrarti per le prove gratuite.

Dopo qualche istante, la console Google Cloud si apre in questa scheda.

Nota: per visualizzare un menu con un elenco di prodotti e servizi Google Cloud, fai clic sul menu di navigazione in alto a sinistra. Icona menu di navigazione

Attività 1: configura le regole firewall per HTTP e controllo di integrità

Configura regole firewall per consentire il traffico HTTP nei backend e il traffico TCP proveniente dal controllo di integrità di Google Cloud.

Crea la regola firewall per HTTP

Crea una regola firewall per consentire il traffico HTTP verso i backend.

  1. Nella console Cloud, vai a Menu di navigazione (Icona menu di navigazione) > Rete VPC > Firewall.

  2. Osserva le regole firewall ICMP, interno, RDP ed SSH esistenti.

    Ogni progetto di Google Cloud viene avviato con la rete predefinita e queste regole firewall.

  3. Fai clic su Crea regola firewall.

  4. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome default-allow-http
    Rete predefinita
    Destinazioni Tag di destinazione specificati
    Tag di destinazione http-server
    Filtro di origine Intervalli IPv4
    Intervalli IPv4 di origine 0.0.0.0/0
    Protocolli e porte Protocolli e porte specificati, quindi seleziona TCP e digita: 80

Assicurati di includere la porzione /0 nel campo Intervalli IPv4 di origine per specificare tutte le reti.

  1. Fai clic su Crea.

Crea le regole firewall per il controllo di integrità

I controlli di integrità determinano quali istanze di un bilanciatore del carico possono ricevere nuove connessioni. Per il bilanciamento del carico HTTP, i probe di controllo dell'integrità che verificano le tue istanze con bilanciamento del carico provengono da indirizzi inclusi negli intervalli 130.211.0.0/22 e 35.191.0.0/16. Le regole firewall devono consentire queste connessioni.

  1. Sempre nella pagina Criteri firewall, fai clic su Crea regola firewall.

  2. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome default-allow-health-check
    Rete predefinita
    Destinazioni Tag di destinazione specificati
    Tag di destinazione http-server
    Filtro di origine Intervalli IPv4
    Intervalli IPv4 di origine 130.211.0.0/22, 35.191.0.0/16
    Protocolli e porte Protocolli e porte specificati, quindi seleziona TCP
    Nota: assicurati di inserire i due intervalli IPv4 di origine uno alla volta e di premere la barra spaziatrice tra l'uno e l'altro.
  3. Fai clic su Crea.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Configura le regole firewall per HTTP e controllo di integrità

Attività 2: configura i modelli di istanza e crea i gruppi di istanze

Un gruppo di istanze gestite utilizza un modello di istanza per creare un gruppo di istanze identiche, che puoi utilizzare per creare i backend del bilanciatore del carico HTTP.

Configura i modelli di istanza

Un modello di istanza è una risorsa API che puoi utilizzare per creare istanze VM e gruppi di istanze gestite. I modelli di istanza definiscono il tipo di macchina, l'immagine del disco di avvio, la subnet, le etichette e altre proprietà dell'istanza.

Crea un modello di istanza per e uno per .

  1. Nella console Cloud, vai a Menu di navigazione (Icona menu di navigazione) > Compute Engine > Modelli di istanza e fai clic su Crea modello istanza.

  2. Per Nome, digita -template.

  3. Per Località, seleziona Globale.

  4. In corrispondenza di Serie, seleziona E2.

  5. Per Tipo di macchina, seleziona e2-micro.

  6. Fai clic su Opzioni avanzate.

  7. Fai clic su Networking. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Tag di rete http-server
  8. Fai clic su valore predefinito in Interfacce di rete. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Rete predefinita
    Subnet predefinita

    Fai clic su Fine.

Il tag di rete http-server assicura che a queste istanze vengano applicate le regole firewall per HTTP e Controllo di integrità.

  1. Fai clic sulla scheda Gestione.

  2. In Metadati, fai clic su + AGGIUNGI ELEMENTO e specifica quanto segue:

    Chiave Valore
    startup-script-url gs://cloud-training/gcpnet/httplb/startup.sh

L'opzione startup-script-url indica uno script che viene eseguito quando vengono avviate le istanze. Questo script installa Apache e modifica la pagina di benvenuto per includere l'indirizzo IP del client e il nome, la regione e la zona dell'istanza VM. Puoi esaminare il codice dello script qui.

  1. Fai clic su Crea.
  2. Attendi il completamento della creazione del modello di istanza.

Ora crea un altro modello di istanza per subnet-b copiando -template:

  1. Fai clic su -template e poi sull'opzione +CREA SIMILE in alto.
  2. Per Nome, digita -template.
  3. Assicurati che per Località sia selezionato Globale.
  4. Fai clic su Opzioni avanzate.
  5. Fai clic su Networking.
  6. Assicurati che http-server sia aggiunto come tag di rete.
  7. In Interfacce di rete, per Subnet, seleziona predefinita ().
  8. Fai clic su Fine.
  9. Fai clic su Crea.

Crea i gruppi di istanze gestite

Crea un gruppo di istanze gestite in e uno in .

  1. Sempre in Compute Engine, fai clic su Gruppi di istanze nel menu a sinistra.

  2. Fai clic su Crea gruppo di istanze.

  3. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome -mig (se necessario, rimuovi eventuali spazi aggiuntivi dal nome)
    Modello di istanza -template
    Località Più zone
    Regione
    Numero minimo di istanze 1
    Numero massimo di istanze 2
    Indicatori di scalabilità automatica > Clic sul menu a discesa > Tipo di indicatore Utilizzo CPU
    Utilizzo CPU target 80, fai clic su Fine.
    Periodo di inizializzazione 45

I gruppi di istanze gestite offrono funzionalità di scalabilità automatica che permettono di aggiungere o rimuovere automaticamente le istanze da un gruppo di istanze gestite in base agli incrementi o alle riduzioni del carico. La scalabilità automatica consente alle applicazioni di gestire agevolmente l'aumento del traffico e riduce i costi quando il fabbisogno di risorse è inferiore. È sufficiente definire i criteri di scalabilità automatica e il gestore della scalabilità automatica eseguirà il ridimensionamento in base al carico misurato.

  1. Fai clic su Crea.

Ora ripeti la stessa procedura per creare un secondo gruppo di istanze per -mig in :

  1. Fai clic su Crea gruppo di istanze.

  2. Imposta i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome -mig
    Modello di istanza -template
    Località Più zone
    Regione
    Numero minimo di istanze 1
    Numero massimo di istanze 2
    Indicatori di scalabilità automatica > Clic sul menu a discesa > Tipo di indicatore Utilizzo CPU
    Utilizzo CPU target 80, fai clic su Fine.
    Periodo di inizializzazione 45
  3. Fai clic su Crea.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Configura i modelli di istanza e crea i gruppi di istanze

Verifica i backend

Verifica che le istanze VM vengano create in entrambe le regioni e che siano in grado di accedere ai propri siti HTTP.

  1. Sempre in Compute Engine, nel menu a sinistra, fai clic su Istanze VM.

  2. Nota le istanze che iniziano con -mig e -mig.

    Queste istanze fanno parte dei gruppi di istanze gestite.

  3. Fai clic sull'IP esterno di un'istanza di -mig.

    Dovresti vedere l'indirizzo IP client (il tuo indirizzo IP), il Nome host (che inizia con -mig) e la Posizione del server (una zona in ).

  4. Fai clic sull'IP esterno di un'istanza di -mig.

    Dovresti vedere l'indirizzo IP client (il tuo indirizzo IP), il Nome host (che inizia con -mig) e la Posizione del server (una zona in ).

Nota: il Nome host e la Posizione del server identificano la posizione verso cui il bilanciatore del carico HTTP indirizza il traffico.

Attività 3: configura il bilanciatore del carico HTTP

Configura il bilanciatore del carico HTTP per bilanciare il traffico tra i due backend (-mig in e -mig in ), come illustrato in questo diagramma di rete:

Diagramma di rete che illustra il bilanciamento del carico

Avvia la configurazione

  1. Nella console Cloud, fai clic sul menu di navigazione (Icona menu di navigazione) > fai clic su Servizi di rete > Bilanciamento del carico.

  2. Fai clic su Crea bilanciatore del carico.

  3. In Bilanciatore del carico delle applicazioni (HTTP/S), fai clic su Avanti.

  4. In Pubblico o interno, seleziona Pubblico (esterno) e fai clic su Avanti.

  5. In Deployment globale o in una regione singola, seleziona Ideale per carichi di lavoro globali e fai clic su Avanti.

  6. In Crea bilanciatore del carico, fai clic su Configura.

  7. Imposta il Nome del Nuovo bilanciatore del carico HTTP(S) su http-lb.

Configura il frontend

Le regole relative a host e percorso determinano come sarà indirizzato il traffico. Ad esempio, potresti decidere di indirizzare il traffico video a un backend e il traffico statico a un altro. Tuttavia, non configurerai le regole relative a host e percorso in questo lab.

  1. Fai clic su Configurazione frontend.

  2. Specifica quanto segue, lasciando le impostazioni predefinite per tutti gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Protocollo HTTP
    Versione IP IPv4
    Indirizzo IP Temporaneo
    Porta 80
  3. Fai clic su Fine.

  4. Fai clic su Aggiungi IP e porta frontend.

  5. Specifica quanto segue, lasciando le impostazioni predefinite per tutti gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Protocollo HTTP
    Versione IP IPv6
    Indirizzo IP Allocazione automatica
    Porta 80
  6. Fai clic su Fine.

Il bilanciamento del carico HTTP(S) supporta sia indirizzi IPv4 sia indirizzi IPv6 per il traffico client. Le richieste client da indirizzi IPv6 vengono terminate al livello del bilanciamento del carico globale e, successivamente, vengono inviate tramite proxy ai tuoi backend su IPv4.

Configura il backend

I servizi di backend indirizzano il traffico in ingresso a uno o più backend collegati. Ciascun backend è composto da un gruppo di istanze e da metadati aggiuntivi relativi alla capacità di distribuzione.

  1. Fai clic su Configurazione backend.

  2. In Servizi e bucket di backend, fai clic su Crea un servizio di backend.

  3. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (seleziona l'opzione come specificato)
    Nome http-backend
    Gruppo di istanze -mig
    Numeri di porta 80
    Modalità di bilanciamento Frequenza
    Massimo RPS 50
    Capacità 100

Questa configurazione fa sì che il bilanciatore del carico tenti di mantenere il numero di richieste al secondo inviate a ciascuna istanza di -mig su un massimo di 50.

  1. Fai clic su Fine.

  2. Fai clic su Aggiungi un backend.

  3. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (seleziona l'opzione come specificato)
    Gruppo di istanze -mig
    Numeri di porta 80
    Modalità di bilanciamento Utilizzo
    Utilizzo backend massimo 80
    Capacità 100

Con questa configurazione, il bilanciatore del carico tenta di mantenere l'utilizzo della CPU entro l'80% per ciascuna istanza di -mig.

  1. Fai clic su Fine.

  2. In Controllo di integrità, seleziona Crea un controllo di integrità.

  3. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (seleziona l'opzione come specificato)
    Nome http-health-check
    Protocollo TCP
    Porta 80

I controlli di integrità determinano quali istanze ricevono nuove connessioni. Questo controllo di integrità HTTP esegue il polling delle istanze ogni 5 secondi, attende fino a 5 secondi una risposta e considera 2 tentativi riusciti o 2 tentativi non riusciti rispettivamente come stato integro o non integro.

  1. Fai clic su Salva.
  2. Seleziona la casella Abilita il logging.
  3. Imposta Frequenza di campionamento su 1.
  4. Fai clic su Crea per creare il servizio di backend.
  5. Fai clic su Ok.

Esamina e crea il bilanciatore del carico HTTP

  1. Fai clic su Esamina e finalizza.
  2. Esamina i servizi Backend e Frontend.
  3. Fai clic su Crea.
  4. Attendi che la creazione del bilanciatore del carico sia completa.
  5. Fai clic sul nome del bilanciatore del carico (http-lb).
  6. Prendi nota degli indirizzi IPv4 e IPv6 del bilanciatore del carico, che utilizzerai nella prossima attività. Ci riferiremo a questi indirizzi rispettivamente come [LB_IP_v4] e [LB_IP_v6].
Nota: l'indirizzo IPv6 è quello in formato esadecimale.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Configura il bilanciatore del carico HTTP

Attività 4: verifica il bilanciatore del carico HTTP

Ora che hai creato il bilanciatore del carico HTTP per i tuoi backend, verifica che il traffico sia inoltrato al servizio di backend.

Accedi al bilanciatore del carico HTTP

Per testare l'accesso al bilanciatore del carico HTTP su IPv4, apri una nuova scheda del browser e vai all'indirizzo http://[LB_IP_v4]. Accertati di sostituire [LB_IP_v4] con l'indirizzo IPv4 del bilanciatore del carico.

Nota: potresti dover attendere fino a 5 minuti prima che sia possibile accedere al bilanciatore del carico HTTP. Nel frattempo, è possibile che sia visualizzato un errore 404 o 502. Continua a provare fino a quando vedi la pagina di uno dei backend. Nota: a seconda della tua vicinanza a e , il tuo traffico viene inoltrato a un'istanza di -mig o -mig.

Se hai un indirizzo IPv6 locale, prova a utilizzare l'indirizzo IPv6 del bilanciatore del carico HTTP andando all'indirizzo http://[LB_IP_v6]. Accertati di sostituire [LB_IP_v6] con l'indirizzo IPv6 del bilanciatore del carico.

Esegui lo stress test del bilanciatore del carico HTTP

Crea una nuova macchina virtuale per simulare un carico sul bilanciatore del carico HTTP utilizzando siege. Quindi, determina se il carico viene bilanciato su entrambi i backend in condizioni di carico elevato.

  1. Nella console, vai a Menu di navigazione (Icona menu di navigazione) > Compute Engine > Istanze VM.

  2. Fai clic su Crea istanza.

  3. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome siege-vm
    Regione
    Zona
    Serie E2

Dato che è più vicino a che a , il traffico dovrebbe essere inoltrato solo a -mig (a meno che il carico non sia troppo elevato).

  1. Fai clic su Crea.
  2. Attendi che la creazione dell'istanza siege-vm sia completa.
  3. In siege-vm, fai clic su SSH per avviare un terminale e stabilire una connessione.
  4. Esegui questo comando per installare siege:
sudo apt-get -y install siege
  1. Per salvare l'indirizzo IPv4 del bilanciatore del carico HTTP in una variabile di ambiente, esegui il seguente comando, sostituendo [LB_IP_v4] con l'indirizzo IPv4.
export LB_IP=[LB_IP_v4]
  1. Per simulare un carico, esegui questo comando:
siege -c 150 -t120s http://$LB_IP
  1. Nel Menu di navigazione (Icona menu di navigazione) della console Cloud, fai clic su Servizi di rete > Bilanciamento del carico.
  2. Fai clic su Backend.
  3. Fai clic su http-backend.
  4. Vai a http-lb.
  5. Fai clic sulla scheda Monitoring.
  6. In Ubicazione frontend (Traffico totale in entrata), osserva per 2 o 3 minuti il traffico tra il Nord America e i due backend.

All'inizio, il traffico dovrebbe essere indirizzato soltanto verso -mig ma appena le richieste al secondo aumentano, il traffico verrà indirizzato anche verso .

Questo dimostra che, per impostazione predefinita, il traffico viene inoltrato al backend più vicino, ma non appena il carico diventa eccessivo, il traffico può essere distribuito tra i due backend.

  1. Torna al terminale SSH di siege-vm.
  2. Premi CTRL+C per fermare la macchina virtuale siege se è ancora in esecuzione.

L'output dovrebbe essere simile al seguente:

New configuration template added to /home/student-02-dd02c94b8808/.siege Run siege -C to view the current settings in that file { "transactions": 24729, "availability": 100.00, "elapsed_time": 119.07, "data_transferred": 3.77, "response_time": 0.66, "transaction_rate": 207.68, "throughput": 0.03, "concurrency": 137.64, "successful_transactions": 24729, "failed_transactions": 0, "longest_transaction": 10.45, "shortest_transaction": 0.03 }

Attività 5: inserisci siege-vm nella lista bloccata

Utilizzando Cloud Armor inserisci siege-vm nella lista bloccata in modo che non acceda al bilanciatore del carico HTTP.

Crea il criterio di sicurezza

Crea un criterio di sicurezza di Cloud Armor con una regola di lista bloccata per siege-vm.

  1. Nella console, vai a Menu di navigazione (Icona Menu di navigazione) > Compute Engine > Istanze VM.
  2. Prendi nota dell'indirizzo IP esterno di siege-vm. Ci riferiremo a questo indirizzo come [SIEGE_IP].
Nota: esistono diversi modi per identificare l'indirizzo IP esterno di un client che tenta di accedere a un bilanciatore del carico HTTP. Ad esempio, potresti esaminare il traffico acquisito dai log di flusso VPC in BigQuery per individuare volumi elevati di richieste in entrata.
  1. Nella console Cloud, vai a Menu di navigazione > Sicurezza della rete > Criteri di Cloud Armor.

  2. Fai clic su Crea criterio.

  3. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome denylist-siege
    Azione regola predefinita Consenti
  4. Fai clic su Passaggio successivo.

  5. Fai clic su Aggiungi una regola.

  6. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Condizione > Corrispondenza Inserisci SIEGE_IP
    Azione Nega
    Codice risposta 403 (Forbidden)
    Priorità 1000
  7. Fai clic su Fine.

  8. Fai clic su Passaggio successivo.

  9. Fai clic su Aggiungi target.

  10. In Tipo, seleziona Servizio di backend (bilanciatore del carico delle applicazioni esterno).

  11. In Destinazione, seleziona http-backend.

  12. Fai clic su Crea criterio.

Nota: in alternativa, puoi impostare la regola predefinita su Rifiuta e autorizzare o consentire solo il traffico proveniente da utenti/indirizzi IP autorizzati.
  1. Attendi che la creazione del criterio sia completa prima di andare al passaggio successivo.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Inserisci siege-vm nella lista bloccata

Verifica il criterio di sicurezza

Verifica che siege-vm non sia in grado di accedere al bilanciatore del carico HTTP.

  1. Torna al terminale SSH di siege-vm.
  2. Per accedere al bilanciatore del carico, esegui questo comando:
curl http://$LB_IP

L'output dovrebbe essere simile al seguente:

<!doctype html><meta charset="utf-8"><meta name=viewport content="width=device-width, initial-scale=1"><title>403</title>403 Forbidden Nota: l'applicazione del criterio di sicurezza potrebbe richiedere qualche minuto. Se sei in grado di accedere ai backend, continua a provare fino a quando non visualizzi l'errore 403 Forbidden.
  1. Apri una nuova scheda nel browser e vai all'indirizzo http://[LB_IP_v4]. Accertati di sostituire [LB_IP_v4] con l'indirizzo IPv4 del bilanciatore del carico.
Nota: sei in grado di accedere al bilanciatore del carico HTTP dal browser perché la regola predefinita consente il traffico. Tuttavia, non puoi accedere dalla macchina virtuale siege-vm a causa della regola Rifiuta che hai implementato.
  1. Torna al terminale SSH di siege-vm ed esegui questo comando per simulare un carico:
siege -c 150 -t120s http://$LB_IP

Il comando non genererà alcun output.

Esamina i log del criterio di sicurezza per determinare se anche questo traffico viene bloccato.

  1. Nella console, vai a Menu di navigazione > Sicurezza della rete > Criteri di Cloud Armor.
  2. Fai clic su denylist-siege.
  3. Fai clic su Log.
  4. Fai clic su Visualizza log dei criteri.
  5. Nella pagina Logging, assicurati di cancellare tutto il testo in Anteprima della query. Seleziona la risorsa per Bilanciatore del carico delle applicazioni > http-lb-forwarding-rule > http-lb quindi fai clic su Applica.
  6. Ora, fai clic su Esegui query.
  7. Espandi una voce di log in Risultati query.
  8. Espandi httpRequest.

L'origine della richiesta dovrebbe essere l'indirizzo IP di siege-vm. In caso contrario, espandi un'altra voce di log.

  1. Espandi jsonPayload.
  2. Espandi enforcedSecurityPolicy.
  3. Osserva che il valore di configuredAction è DENY e quello di name denylist-siege.

Pagina dei risultati della query

I criteri di sicurezza di Cloud Armor creano log che possono essere consultati per sapere quando il traffico viene rifiutato e quando viene consentito, nonché per conoscere l'origine del traffico.

Complimenti!

Hai configurato un bilanciatore del carico HTTP con backend in e . Hai quindi eseguito lo stress test del bilanciatore del carico utilizzando una macchina virtuale e hai inserito l'indirizzo IP di quella macchina virtuale in una lista bloccata utilizzando Cloud Armor. Hai potuto inoltre consultare i log del criterio di sicurezza per comprendere perché il traffico veniva bloccato.

Prossimi passi/Scopri di più

Formazione e certificazione Google Cloud

… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.

Ultimo aggiornamento del manuale: 18 aprile 2024

Ultimo test del lab: 18 aprile 2024

Copyright 2024 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

Questi contenuti non sono al momento disponibili

Ti invieremo una notifica via email quando sarà disponibile

Bene.

Ti contatteremo via email non appena sarà disponibile