arrow_back

Cloud Armor를 사용한 HTTP 부하 분산기

로그인 가입
지식을 테스트하고 커뮤니티와 공유하기
done
700개 이상의 실무형 실습, 기술 배지, 과정에 액세스

Cloud Armor를 사용한 HTTP 부하 분산기

실습 1시간 universal_currency_alt 크레딧 5개 show_chart 중급
info 이 실습에는 학습을 지원하는 AI 도구가 통합되어 있을 수 있습니다.
지식을 테스트하고 커뮤니티와 공유하기
done
700개 이상의 실무형 실습, 기술 배지, 과정에 액세스

GSP215

Google Cloud 사용자 주도형 실습

개요

Google Cloud HTTP(S) 부하 분산은 전 세계 Google 접속 지점(POP)의 Google 네트워크 에지에서 구현됩니다. HTTP(S) 부하 분산기로 전달된 사용자 트래픽은 사용자에게 가장 가까운 POP로 유입되고, 이어서 Google의 글로벌 네트워크를 통해 사용 가능한 용량이 충분한 가장 가까운 백엔드로 부하가 분산됩니다.

Cloud Armor IP 허용 목록/차단 목록을 사용하면 Google Cloud 에지에서 사용자 및 악성 트래픽과 최대한 가까운 위치에서 HTTP(S) 부하 분산기로의 액세스 권한을 제한하거나 허용할 수 있습니다. 이를 통해 악의적인 사용자 또는 악성 트래픽이 리소스를 소비하거나 가상 프라이빗 클라우드(VPC) 네트워크에 유입되는 것을 방지할 수 있습니다.

이 실습에서는 아래 다이어그램에 나타난 것과 같이 전역 백엔드가 있는 HTTP 부하 분산기를 구성합니다. 그런 다음 부하 분산기에 부하 테스트를 실행하여 Cloud Armor로 부하 테스트 IP를 차단 목록에 추가합니다.

부하 분산을 보여주는 네트워크 다이어그램

목표

이 실습에서는 다음 작업을 수행하는 방법을 알아봅니다.

  • HTTP 및 상태 점검 방화벽 규칙 만들기
  • 인스턴스 템플릿 2개 구성
  • 관리형 인스턴스 그룹 2개 만들기
  • IPv4 및 IPv6로 HTTP 부하 분산기 구성
  • HTTP 부하 분산기 부하 테스트
  • HTTP 부하 분산기에 대한 액세스 권한을 제한하기 위해 IP 주소를 차단 목록에 추가

설정 및 요건

실습 시작 버튼을 클릭하기 전에

다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머에는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지 표시됩니다.

실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 직접 실습 활동을 진행할 수 있습니다. 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

이 실습을 완료하려면 다음을 준비해야 합니다.

  • 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)
참고: 이 실습을 실행하려면 시크릿 모드 또는 시크릿 브라우저 창을 사용하세요. 개인 계정과 학생 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.
  • 실습을 완료하기에 충분한 시간---실습을 시작하고 나면 일시중지할 수 없습니다.
참고: 계정에 추가 요금이 발생하지 않도록 하려면 개인용 Google Cloud 계정이나 프로젝트가 이미 있어도 이 실습에서는 사용하지 마세요.

실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법

  1. 실습 시작 버튼을 클릭합니다. 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 팝업이 열립니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 패널이 있습니다.

    • Google Cloud 콘솔 열기 버튼
    • 남은 시간
    • 이 실습에 사용해야 하는 임시 사용자 인증 정보
    • 필요한 경우 실습 진행을 위한 기타 정보
  2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다).

    실습에서 리소스가 가동되면 다른 탭이 열리고 로그인 페이지가 표시됩니다.

    팁: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하세요.

    참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.
  3. 필요한 경우 아래의 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다.

    {{{user_0.username | "Username"}}}

    실습 세부정보 패널에서도 사용자 이름을 확인할 수 있습니다.

  4. 다음을 클릭합니다.

  5. 아래의 비밀번호를 복사하여 시작하기 대화상자에 붙여넣습니다.

    {{{user_0.password | "Password"}}}

    실습 세부정보 패널에서도 비밀번호를 확인할 수 있습니다.

  6. 다음을 클릭합니다.

    중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.
  7. 이후에 표시되는 페이지를 클릭하여 넘깁니다.

    • 이용약관에 동의합니다.
    • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 않습니다.
    • 무료 체험판을 신청하지 않습니다.

잠시 후 Google Cloud 콘솔이 이 탭에서 열립니다.

참고: Google Cloud 제품 및 서비스 목록이 있는 메뉴를 보려면 왼쪽 상단의 탐색 메뉴를 클릭합니다. 탐색 메뉴 아이콘

작업 1. HTTP 및 상태 점검 방화벽 규칙 구성

백엔드로의 HTTP 트래픽 및 Google Cloud 상태 점검기로부터의 TCP 트래픽을 허용하도록 방화벽 규칙을 구성합니다.

HTTP 방화벽 규칙 만들기

백엔드에 HTTP 트래픽을 허용하는 방화벽 규칙을 만듭니다.

  1. Cloud 콘솔에서 탐색 메뉴(탐색 메뉴 아이콘) > VPC 네트워크 > 방화벽으로 이동합니다.

  2. 기존 ICMP, 내부, RDP, SSH 방화벽 규칙을 확인합니다.

    각 Google Cloud 프로젝트는 기본 네트워크와 이러한 방화벽 규칙으로 시작합니다.

  3. 방화벽 규칙 만들기를 클릭합니다.

  4. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    이름 default-allow-http
    네트워크 기본값
    대상 지정된 대상 태그
    대상 태그 http-server
    소스 필터 IPv4 범위
    소스 IPv4 범위 0.0.0.0/0
    프로토콜 및 포트 지정된 프로토콜 및 포트, TCP를 체크하고, 80을 입력

소스 IPv4 범위/0을 입력하여 모든 네트워크를 지정할 수 있도록 합니다.

  1. 만들기를 클릭합니다.

상태 점검 방화벽 규칙 만들기

상태 점검을 통해 새 연결을 수신할 수 있는 부하 분산기 인스턴스를 판별합니다. HTTP 부하 분산의 경우 130.211.0.0/2235.191.0.0/16 범위 내의 주소에서 부하 분산 인스턴스의 상태 점검 프로브를 가져옵니다. 방화벽 규칙은 이 연결을 허용해야 합니다.

  1. 계속해 방화벽 정책 페이지 내에서 방화벽 규칙 만들기를 클릭합니다.

  2. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    이름 default-allow-health-check
    네트워크 기본값
    대상 지정된 대상 태그
    대상 태그 http-server
    소스 필터 IPv4 범위
    소스 IPv4 범위 130.211.0.0/22, 35.191.0.0/16
    프로토콜 및 포트 지정된 프로토콜 및 포트, TCP를 체크
    참고: 두 개의 소스 IPv4 범위를 하나씩 입력하고 그 사이에 스페이스 바를 누릅니다.
  3. 만들기를 클릭합니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. HTTP 및 상태 점검 방화벽 규칙 구성

작업 2. 인스턴스 템플릿 구성 및 인스턴스 그룹 만들기

관리형 인스턴스 그룹에서는 인스턴스 템플릿을 사용하여 동일한 인스턴스 그룹을 만들 수 있습니다. 이를 사용하여 HTTP 부하 분산기의 백엔드를 만듭니다.

인스턴스 템플릿 구성

인스턴스 템플릿은 VM 인스턴스 및 관리형 인스턴스 그룹을 만드는 데 사용하는 API 리소스입니다. 인스턴스 템플릿은 머신 유형, 부팅 디스크 이미지, 서브넷, 라벨, 기타 인스턴스 속성을 정의합니다.

을(를) 위한 인스턴스 템플릿을 하나씩 만듭니다.

  1. Cloud 콘솔에서 탐색 메뉴(탐색 메뉴 아이콘) > Compute Engine > 인스턴스 템플릿으로 이동한 다음 인스턴스 템플릿 만들기를 클릭합니다.

  2. 이름-template을 입력합니다.

  3. 위치에서 전역을 선택합니다.

  4. 시리즈에서 E2를 선택합니다.

  5. 머신 유형에서 e2-micro를 클릭합니다.

  6. 고급 옵션을 클릭합니다.

  7. 네트워킹을 클릭합니다. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    네트워크 태그 http-server
  8. 네트워크 인터페이스에서 기본값을 클릭합니다. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    네트워크 기본값
    서브네트워크 기본값

    완료를 클릭합니다.

네트워크 태그 http-serverHTTP상태 점검 방화벽 규칙이 해당 인스턴스에 적용되도록 합니다.

  1. 관리 탭을 클릭합니다.

  2. 메타데이터에서 + 항목 추가를 클릭하고 다음과 같이 지정합니다.

    startup-script-url gs://cloud-training/gcpnet/httplb/startup.sh

startup-script-url은 인스턴스가 시작될 때 실행될 스크립트를 지정합니다. 이 스크립트는 Apache를 설치하며 클라이언트 IP와 VM 인스턴스의 이름, 리전, 영역을 포함하도록 시작 페이지를 변경합니다. 이 스크립트를 자유롭게 살펴보세요.

  1. 만들기를 클릭합니다.
  2. 인스턴스 템플릿이 생성될 때까지 기다립니다.

이제 -template을 복사하여 subnet-b에 대한 다른 인스턴스 템플릿을 만듭니다.

  1. -template을 클릭한 다음 상단에서 +유사하게 만들기 옵션을 클릭합니다.
  2. 이름-template을 입력합니다.
  3. 위치전역으로 선택되었는지 확인합니다.
  4. 고급 옵션을 클릭합니다.
  5. 네트워킹을 클릭합니다.
  6. http-server네트워크 태그로 추가되도록 합니다.
  7. 네트워크 인터페이스에서 서브네트워크기본값()을 선택합니다.
  8. 완료를 클릭합니다.
  9. 만들기를 클릭합니다.

관리형 인스턴스 그룹 만들기

에 관리형 인스턴스 그룹을 하나씩 만듭니다.

  1. 아직 Compute Engine에 있는 상태로 왼쪽 메뉴의 인스턴스 그룹을 클릭합니다

  2. 인스턴스 그룹 만들기를 클릭합니다.

  3. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    이름 -mig(필요한 경우 이름에서 추가 공백을 삭제)
    인스턴스 템플릿 -template
    위치 다중 영역
    리전
    최소 인스턴스 수 1
    인스턴스 최대 개수 2
    자동 확장 신호 > 드롭다운 클릭 > 신호 유형 CPU 사용률
    대상 CPU 사용률 80, 완료를 클릭합니다.
    초기화 기간 45

관리형 인스턴스 그룹은 부하가 증가하거나 감소함에 따라 관리형 인스턴스 그룹에서 인스턴스를 자동으로 추가하거나 삭제할 수 있는 자동 확장 기능을 제공합니다. 자동 확장을 사용하면 애플리케이션은 증가한 트래픽을 원활하게 처리할 수 있게 되며 리소스 수요가 적을 때 비용을 절감할 수 있습니다. 자동 확장 정책을 정의하기만 하면 됩니다. 그러면 측정된 부하에 따라 자동 확장 처리에서 자동 확장을 실행합니다.

  1. 만들기를 클릭합니다.

동일한 절차를 반복하여 -mig에 대한 두 번째 인스턴스 그룹을 만듭니다.

  1. 인스턴스 그룹 만들기를 클릭합니다.

  2. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    이름 -mig
    인스턴스 템플릿 -template
    위치 다중 영역
    리전
    최소 인스턴스 수 1
    인스턴스 최대 개수 2
    자동 확장 신호 > 드롭다운 클릭 > 신호 유형 CPU 사용률
    대상 CPU 사용률 80, 완료를 클릭합니다.
    초기화 기간 45
  3. 만들기를 클릭합니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 인스턴스 템플릿 및 인스턴스 그룹 구성

백엔드 확인

VM 인스턴스가 두 리전에서 모두 만들어지고 있는지 확인하고 해당 HTTP 사이트에 액세스합니다.

  1. 아직 Compute Engine에 있는 상태로 왼쪽 메뉴의 VM 인스턴스를 클릭합니다

  2. -mig 및 -mig로 시작하는 인스턴스를 확인합니다.

    이러한 인스턴스는 관리형 인스턴스 그룹의 일부입니다.

  3. -mig의 인스턴스의 외부 IP를 클릭합니다.

    클라이언트 IP(IP 주소), 호스트 이름(-mig로 시작) 및 서버 위치(의 영역)가 표시됩니다.

  4. -mig의 인스턴스의 외부 IP를 클릭합니다.

    클라이언트 IP(IP 주소), 호스트 이름(-mig로 시작) 및 서버 위치(의 영역)가 표시됩니다.

참고: 호스트 이름서버 위치는 HTTP 부하 분산기가 트래픽을 보내는 위치를 식별합니다.

작업 3. HTTP 부하 분산기 구성

네트워크 다이어그램에 설명된 대로 두 백엔드(-mig-mig) 간에 트래픽을 분산하도록 HTTP 부하 분산기를 구성합니다.

부하 분산을 보여주는 네트워크 다이어그램

구성 시작

  1. Cloud 콘솔에서 탐색 메뉴(탐색 메뉴 아이콘)를 클릭한 다음 > 네트워크 서비스 > 부하 분산기를 클릭합니다.

  2. 부하 분산기 만들기를 클릭합니다.

  3. 애플리케이션 부하 분산기 HTTP(S)에서 '다음'을 클릭합니다.

  4. 공개 또는 내부에서 공개(외부)를 선택하고 '다음'을 클릭합니다.

  5. 전역 또는 단일 리전 배포에서 전역 워크로드에 적합을 선택하고 '다음'을 클릭합니다.

  6. 부하 분산기 만들기에서 구성을 선택합니다.

  7. 새 HTTP(S) 부하 분산기 이름http-lb로 설정합니다.

프런트엔드 구성

호스트 및 경로 규칙은 트래픽의 전달 방식을 결정합니다. 예를 들어 동영상 트래픽을 한 백엔드에 전달하고 정적 트래픽을 다른 백엔드에 전달할 수 있습니다. 그러나 이 실습에서는 호스트 및 경로 규칙을 구성하지 않습니다.

  1. 프런트엔드 구성을 클릭합니다.

  2. 다음을 지정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    프로토콜 HTTP
    IP 버전 IPv4
    IP 주소 임시
    포트 80
  3. 완료를 클릭합니다.

  4. 프런트엔드 IP 및 포트 추가를 클릭합니다.

  5. 다음을 지정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    프로토콜 HTTP
    IP 버전 IPv6
    IP 주소 자동 할당
    포트 80
  6. 완료를 클릭합니다.

HTTP(S) 부하 분산은 클라이언트 트래픽에 IPv4 및 IPv6 주소를 모두 지원합니다. 클라이언트 IPv6 요청은 전역 부하 분산 레이어에서 종료된 후 IPv4를 통해 백엔드로 프록시 처리됩니다.

백엔드 구성

백엔드 서비스는 수신 트래픽을 하나 이상의 연결된 백엔드에 전달합니다. 각 백엔드는 인스턴스 그룹과 추가 제공 용량 메타데이터로 구성됩니다.

  1. 백엔드 구성을 클릭합니다.

  2. 백엔드 서비스 및 백엔드 버킷에서 백엔드 서비스 만들기를 클릭합니다.

  3. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 옵션 선택)
    이름 http-backend
    인스턴스 그룹 -mig
    포트 번호 80
    분산 모드 Rate
    최대 RPS 50
    용량 100

이 구성은 부하 분산기가 -mig의 각 인스턴스를 초당 요청 수(RPS) 50 이하로 유지하려 한다는 것을 의미합니다.

  1. 완료를 클릭합니다.

  2. 백엔드 추가를 클릭합니다.

  3. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 옵션 선택)
    인스턴스 그룹 -mig
    포트 번호 80
    분산 모드 Utilization
    최대 백엔드 사용률 80
    용량 100

이 구성은 부하 분산기가 -mig의 각 인스턴스를 CPU 사용률 80% 이하로 유지하려 한다는 것을 의미합니다.

  1. 완료를 클릭합니다.

  2. 상태 점검에서 상태 점검 만들기를 선택합니다.

  3. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 옵션 선택)
    이름 http-health-check
    프로토콜 TCP
    포트 80

상태 점검은 새 연결을 수신하는 인스턴스를 판별합니다. HTTP 상태 점검은 5초마다 인스턴스를 점검하고 최대 5초 동안 응답을 기다립니다. 성공한 시도 2회는 정상, 실패한 시도 2회는 비정상으로 간주됩니다.

  1. 저장을 클릭합니다.
  2. 로깅 사용 설정 체크박스를 선택합니다.
  3. 샘플링 레이트1로 설정합니다.
  4. 만들기를 클릭하여 백엔드 서비스를 만듭니다.
  5. 확인을 클릭합니다.

HTTP 부하 분산기 검토 및 만들기

  1. 검토 및 완료를 클릭합니다.
  2. 백엔드프런트엔드 서비스를 검토합니다.
  3. 만들기를 클릭합니다.
  4. 부하 분산기가 생성될 때까지 기다립니다.
  5. 부하 분산기 이름(http-lb)을 클릭합니다.
  6. 다음 작업을 위해 부하 분산기의 IPv4 및 IPv6 주소를 확인합니다. 각각 [LB_IP_v4][LB_IP_v6]라고 합니다.
참고: IPv6 주소는 16진수 형식입니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. HTTP 부하 분산기 구성

작업 4. HTTP 부하 분산기 테스트

백엔드의 HTTP 부하 분산기를 만들었으므로 트래픽이 백엔드 서비스로 전달되는지 확인합니다.

HTTP 부하 분산기에 액세스

HTTP 부하 분산기에 대한 IPv4 액세스를 테스트하려면 브라우저에서 새 탭을 열고 http://[LB_IP_v4]로 이동합니다. [LB_IP_v4]를 부하 분산기의 IPv4 주소로 바꿔야 합니다.

참고: HTTP 부하 분산기에 액세스하려면 최대 5분이 걸릴 수 있습니다. 그 사이 404 오류나 502 오류가 발생할 수 있습니다. 백엔드 중 하나의 페이지가 표시될 때까지 계속 시도합니다. 참고: 에 대한 근접성에 따라, 트래픽은 -mig 또는 -mig 인스턴스로 전달됩니다.

로컬 IPv6 주소가 있는 경우, http://[LB_IP_v6]으로 이동하여 HTTP 부하 분산기의 IPv6 주소를 시도해 봅니다. [LB_IP_v6]를 부하 분산기의 IPv6 주소로 바꿔야 합니다.

HTTP 부하 분산기 부하 테스트

siege를 사용하여 HTTP 부하 분산기에서 부하를 시뮬레이션할 새 VM을 만듭니다. 그런 다음 부하가 클 때 트래픽이 두 백엔드에 분산되는지 확인합니다.

  1. 콘솔에서 탐색 메뉴(탐색 메뉴 아이콘) > Compute Engine > VM 인스턴스로 이동합니다.

  2. 인스턴스 만들기를 클릭합니다.

  3. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    이름 siege-vm
    리전
    영역
    시리즈 E2

이(가) 보다 에 더 가까우므로 트래픽이 -mig로만 전달되어야 합니다(단, 부하가 너무 클 때는 예외).

  1. 만들기를 클릭합니다.
  2. siege-vm 인스턴스가 만들어질 때까지 기다립니다.
  3. siege-vm에서 SSH를 클릭해 터미널을 실행하고 연결합니다.
  4. 다음 명령어를 실행하여 siege를 설치합니다.
sudo apt-get -y install siege
  1. HTTP 부하 분산기의 IPv4 주소를 환경 변수에 저장하려면 다음 명령어에서 [LB_IP_v4]를 IPv4 주소로 대체하여 실행합니다.
export LB_IP=[LB_IP_v4]
  1. 부하를 시뮬레이션하려면 다음 명령어를 실행합니다.
siege -c 150 -t120s http://$LB_IP
  1. Cloud 콘솔의 탐색 메뉴(탐색 메뉴 아이콘)에서 네트워크 서비스 > 부하 분산을 클릭합니다.
  2. 백엔드를 클릭합니다.
  3. http-backend를 클릭합니다.
  4. http-lb로 이동합니다.
  5. 모니터링 탭을 클릭합니다.
  6. 북미와 두 백엔드 간의 프런트엔드 위치(총 인바운드 트래픽)를 2~3분 동안 모니터링합니다.

처음에는 트래픽이 -mig로만 전달되지만 RPS가 증가함에 따라 트래픽이 (으)로도 전달됩니다.

이를 통해 기본적으로 트래픽은 가장 가까운 백엔드로 전달되지만 부하가 매우 크면 백엔드 간에 트래픽이 분산되기도 함을 알 수 있습니다.

  1. siege-vmSSH 터미널로 돌아갑니다.
  2. 아직 실행 중인 경우 CTRL+C를 눌러 siege를 중단합니다.

출력은 다음과 같습니다.

New configuration template added to /home/student-02-dd02c94b8808/.siege Run siege -C to view the current settings in that file { "transactions": 24729, "availability": 100.00, "elapsed_time": 119.07, "data_transferred": 3.77, "response_time": 0.66, "transaction_rate": 207.68, "throughput": 0.03, "concurrency": 137.64, "successful_transactions": 24729, "failed_transactions": 0, "longest_transaction": 10.45, "shortest_transaction": 0.03 }

작업 5. siege-vm을 차단 목록에 추가

Cloud Armor를 사용하여 siege-vm이 HTTP 부하 분산기에 액세스하지 못하도록 차단 목록에 추가합니다.

보안 정책 만들기

siege-vm에 대한 차단 목록 규칙이 있는 Cloud Armor 보안 정책을 만듭니다.

  1. 콘솔에서 탐색 메뉴(탐색 메뉴 아이콘) > Compute Engine > VM 인스턴스로 이동합니다.
  2. siege-vm외부 IP를 기록합니다. 이를 [SIEGE_IP]라고 합니다.
참고: HTTP 부하 분산기에 액세스하려는 클라이언트의 외부 IP 주소를 식별하는 방법이 있습니다. 예를 들어 BigQuery의 VPC 흐름 로그에서 수집된 트래픽을 검토하여 대량의 수신 요청을 판별할 수 있습니다.
  1. Cloud 콘솔에서 탐색 메뉴 > 네트워크 보안 > Cloud Armor 정책으로 이동합니다.

  2. 정책 만들기를 클릭합니다.

  3. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    이름 denylist-siege
    기본 규칙 작업 허용
  4. 다음 단계를 클릭합니다.

  5. 규칙 추가를 클릭합니다.

  6. 다음 값을 설정하고 나머지 값은 모두 기본값으로 유지합니다.

    속성 값(지정된 대로 값 입력 또는 옵션 선택)
    조건 > 일치 SIEGE_IP 입력
    작업 거부
    응답 코드 403(금지됨)
    우선순위 1000
  7. 완료를 클릭합니다.

  8. 다음 단계를 클릭합니다.

  9. 대상 추가를 클릭합니다.

  10. 유형에서 백엔드 서비스(외부 애플리케이션 부하 분산기)를 선택합니다.

  11. 대상http-backend를 선택합니다.

  12. 정책 만들기를 클릭합니다.

참고: 또는 기본 규칙을 거부로 설정하고 승인된 사용자/IP 주소로부터의 트래픽만 허용 목록에 추가하거나 허용할 수 있습니다.
  1. 정책이 생성되고 나면 다음 작업으로 넘어갑니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. siege-vm을 차단 목록에 추가

보안 정책 확인

siege-vm이 HTTP 부하 분산기에 액세스할 수 없는지 확인합니다.

  1. siege-vmSSH 터미널로 돌아갑니다.
  2. 부하 분산기에 액세스하려면 다음을 실행합니다.
curl http://$LB_IP

출력은 다음과 같습니다.

<!doctype html><meta charset="utf-8"><meta name=viewport content="width=device-width, initial-scale=1"><title>403</title>403 Forbidden 참고: 보안 정책이 적용되려면 몇 분 정도 걸릴 수 있습니다. 백엔드에 액세스할 수 있는 경우 403 Forbidden 오류가 나타날 때까지 계속 시도합니다.
  1. 브라우저에서 새 탭을 열고 http://[LB_IP_v4]로 이동합니다. [LB_IP_v4]를 부하 분산기의 IPv4 주소로 바꿔야 합니다.
참고: 트래픽을 허용하는 기본 규칙으로 인해 브라우저에서 HTTP 부하 분산기에 액세스할 수 있습니다. 하지만 구현한 거부 규칙으로 인해 siege-vm에서 액세스할 수 없습니다.
  1. siege-vm의 SSH 터미널으로 돌아가서, 부하를 시뮬레이션하려면 다음 명령어를 실행합니다.
siege -c 150 -t120s http://$LB_IP

이 명령어는 결과를 생성하지 않습니다.

보안 정책 로그를 살펴보고 이 트래픽도 차단되는지 확인합니다.

  1. 콘솔에서 탐색 메뉴 > 네트워크 보안 > Cloud Armor 정책으로 이동합니다.
  2. denylist-siege를 클릭합니다.
  3. 로그를 클릭합니다.
  4. 정책 로그 보기를 클릭합니다.
  5. Logging 페이지에서 쿼리 미리보기의 텍스트를 모두 지웁니다. 애플리케이션 부하 분산기 > http-lb-forwarding-rule > http-lb에 대한 리소스를 선택한 다음 적용을 클릭합니다.
  6. 이제 쿼리 실행을 클릭합니다.
  7. 쿼리 결과에서 로그 항목을 펼칩니다.
  8. httpRequest를 펼칩니다.

요청은 siege-vm IP 주소에서 온 것이어야 합니다. 그렇지 않은 경우 다른 로그 항목을 펼칩니다.

  1. jsonPayload를 펼칩니다.
  2. enforcedSecurityPolicy를 펼칩니다.
  3. configuredActionDENY이며 이름denylist-siege인 것을 확인합니다.

쿼리 결과 페이지

Cloud Armor 보안 정책은 로그를 만듭니다. 이 로그를 살펴보면 트래픽이 언제 거부 및 허용되는지와 더불어 트래픽의 소스를 판별할 수 있습니다.

수고하셨습니다

에 백엔드가 있는 HTTP 부하 분산기를 구성했습니다. 그런 다음 VM으로 부하 분산기에 부하 테스트를 실행하여 Cloud Armor로 해당 VM의 IP 주소를 차단했습니다. 보안 정책 로그를 살펴보고 트래픽이 차단된 이유를 확인할 수 있었습니다.

다음 단계/더 학습하기

Google Cloud 교육 및 자격증

Google Cloud 기술을 최대한 활용하는 데 도움이 됩니다. Google 강의에는 빠른 습득과 지속적인 학습을 지원하는 기술적인 지식과 권장사항이 포함되어 있습니다. 기초에서 고급까지 수준별 학습을 제공하며 바쁜 일정에 알맞은 주문형, 실시간, 가상 옵션이 포함되어 있습니다. 인증은 Google Cloud 기술에 대한 역량과 전문성을 검증하고 입증하는 데 도움이 됩니다.

설명서 최종 업데이트: 2024년 4월 18일

실습 최종 테스트: 2024년 4월 18일

Copyright 2024 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.

현재 이 콘텐츠를 이용할 수 없습니다

이용할 수 있게 되면 이메일로 알려드리겠습니다.

감사합니다

이용할 수 있게 되면 이메일로 알려드리겠습니다.