arrow_back

Configuración de la lista de entidades bloqueadas de tráfico con Google Cloud Armor

Acceder Unirse
Obtén acceso a más de 700 labs y cursos

Configuración de la lista de entidades bloqueadas de tráfico con Google Cloud Armor

Lab 1 hora 30 minutos universal_currency_alt 5 créditos show_chart Introductorio
info Es posible que este lab incorpore herramientas de IA para facilitar tu aprendizaje.
Obtén acceso a más de 700 labs y cursos

Descripción general

El balanceo de cargas de aplicaciones (HTTP/HTTPS) se implementa en el perímetro de la red de Google, en los puntos de presencia (PoP) de Google de todo el mundo. El tráfico de usuario dirigido a un balanceador de cargas de aplicaciones ingresa al PoP que se encuentra más cerca del usuario. Luego, su carga se balancea a través de la red global de Google al backend más cercano que cuente con la capacidad disponible suficiente.

Con las listas de IP bloqueadas y de IP permitidas de Google Cloud Armor, puedes restringir o permitir el acceso a tu balanceador de cargas de aplicaciones en la conexión de integración de Google Cloud, lo más cerca que se pueda del usuario y del tráfico malicioso. Esto evita que los usuarios o el tráfico malintencionados consuman recursos o ingresen a sus redes de nube privada virtual (VPC).

En este lab, verificarás que se haya implementado un balanceador de cargas de aplicaciones con backends globales. Este balanceador de cargas se aprovisiona automáticamente durante el inicio. A continuación, crearás una VM para probar el acceso al balanceador de cargas. Por último, realizarás una prueba de esfuerzo del balanceador de cargas y bloquearás la IP de la prueba de esfuerzo con Google Cloud Armor.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

  • Verificar que se haya implementado un balanceador de cargas de aplicaciones
  • Crear una VM para probar el acceso al balanceador de cargas de aplicaciones
  • Usar Google Cloud Armor para agregar a la lista de entidades bloqueadas una dirección IP y restringir el acceso a un balanceador de cargas de aplicaciones

Configuración y requisitos

En cada lab, recibirás un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

  1. Haz clic en el botón Comenzar lab. Si debes pagar por el lab, se abrirá una ventana emergente para que selecciones tu forma de pago. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

    • El botón Abrir la consola de Google Cloud
    • El tiempo restante
    • Las credenciales temporales que debes usar para el lab
    • Otra información para completar el lab, si es necesaria

  2. Haz clic en Abrir la consola de Google Cloud (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito si ejecutas el navegador Chrome).

    El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

    Sugerencia: Ordena las pestañas en ventanas separadas, una junto a la otra.

    Nota: Si ves el diálogo Elegir una cuenta, haz clic en Usar otra cuenta.

  3. De ser necesario, copia el nombre de usuario a continuación y pégalo en el diálogo Acceder.

    {{{user_0.username | "Username"}}}

    También puedes encontrar el nombre de usuario en el panel Detalles del lab.

  4. Haz clic en Siguiente.

  5. Copia la contraseña que aparece a continuación y pégala en el diálogo Te damos la bienvenida.

    {{{user_0.password | "Password"}}}

    También puedes encontrar la contraseña en el panel Detalles del lab.

  6. Haz clic en Siguiente.

    Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia cuenta de Google Cloud para este lab podría generar cargos adicionales.

  7. Haga clic para avanzar por las páginas siguientes:

    • Acepta los Términos y Condiciones.
    • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
    • No te registres para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Google Cloud en esta pestaña.

Nota: Para ver un menú con una lista de productos y servicios de Google Cloud, haz clic en el menú de navegación que se encuentra en la parte superior izquierda o escribe el nombre del servicio o producto en el campo Búsqueda.

Tarea 1. Verifica que el balanceador de cargas de aplicaciones esté implementado

En esta tarea, debes verificar que el balanceador de cargas de aplicaciones global esté implementado. El balanceador de cargas de aplicaciones se crea automáticamente cuando inicias el lab. Se usará para una aplicación web sencilla. Esta aplicación se implementa para demostrar las funciones de Google Cloud Armor.

  1. En la barra de título de la consola de Google Cloud, haz clic en Activar Cloud Shell (). Si se te solicita, haz clic en Continuar y, luego, en Autorizar.

  2. Verifica que el balanceador de cargas esté implementado y registrado con la ejecución del siguiente comando:

gcloud compute backend-services get-health web-backend --global Nota: Vuelve a ejecutar este comando y espera hasta que devuelva las tres instancias con el estado HEALTHY. También puedes supervisarlo en la consola (menú de navegación > Ver todos los productos > Servicios de red > Balanceo de cargas).
  1. Obtén la dirección IP del balanceador de cargas mediante la ejecución del siguiente comando:
gcloud compute forwarding-rules describe web-rule --global
  1. Copia el valor de la propiedad IPAddress.

Haz un seguimiento de esta dirección IP. También se usará más adelante.

  1. Abre una pestaña del navegador nueva y trata de visitar esa dirección IP http://{IP_ADDRESS}.

Reemplaza {IP_ADDRESS} por la dirección IP del balanceador de cargas. No incluyas las llaves cuando se te solicite que proporciones la dirección IP.

Si ves el mensaje que indica que la dirección IP no admite una conexión segura, haz clic en Continuar al sitio.

Sigue actualizando la página hasta que veas una página con un mensaje similar al siguiente:

Nota: El acceso al balanceador de cargas de aplicaciones puede tardar un par de minutos. Mientras tanto, es posible que recibas errores 404 o 502. Sigue intentándolo hasta que veas la página de uno de los backends.
  1. En Cloud Shell, usa el siguiente comando curl para acceder a la dirección IP:
while true; do curl -m1 {IP_ADDRESS}; done

Las respuestas serán de los backends que se crearon en diferentes zonas.

  1. Presiona Ctrl + C para detener el comando anterior.

Tarea 2: Crea una VM para probar el acceso al balanceador de cargas

  1. En la consola de Google Cloud, ve al menú de navegación () y haz clic en Compute Engine > Instancias de VM.

  2. Haz clic en Crear instancia.

  3. En la página Configuración de la máquina, ingresa los siguientes valores:

    Campo Valor (escríbelo o selecciónalo)
    Nombre access-test
    Región
    Zona

  4. Deja todo lo demás en el valor predeterminado y haz clic en Crear.

  5. Una vez iniciada, haz clic en el botón SSH para conectarte a la instancia.

  6. Ejecuta el siguiente comando en la instancia para acceder al balanceador de cargas:

curl -m1 {IP_ADDRESS}

El resultado debería ser similar al siguiente:

<!doctype html><html><body><h1>Servidor web</h1><h2>Este servidor está en la zona: proyectos/104716457480/zones/{{{ project_0.default_zone | ZONE }}}</h2> </body></html>

Haz clic en Revisar mi progreso para verificar el objetivo. Crear una VM para probar el acceso al balanceador de cargas

Tarea 3: Crea una política de seguridad con Google Cloud Armor

Agrega a la lista de entidades bloqueadas la VM de la prueba de acceso

Nota: Ahora crearás una política de seguridad para agregar a la lista de entidades bloqueadas el acceso al balanceador de cargas desde la VM de la prueba de acceso. Esta política se puede usar para bloquear el acceso de clientes maliciosos. Existen maneras de identificar la dirección IP externa de un cliente que intenta acceder a tu balanceador de cargas de aplicaciones. Por ejemplo, podrías examinar el tráfico capturado por VPC Flow Logs en BigQuery para determinar un volumen alto de solicitudes entrantes.
  1. En la consola de Google Cloud, ve al menú de navegación () y haz clic en Compute Engine > Instancias de VM.
  2. Ubica y copia la dirección IP externa de la VM access-test. La necesitarás para los siguientes pasos.
  3. En la consola de Google Cloud, en el menú de navegación (), haz clic en Ver todos los productos > Redes > Seguridad de red > Políticas de Cloud Armor.
  4. Haz clic en Crear política.
  5. En el campo Nombre, escribe blocklist-access-test y, luego, establece la Acción de la regla predeterminada en Permitir.
  6. Haz clic en Próximo paso.
  7. Haz clic en Agregar una regla.
  8. Establece los siguientes valores y deja el resto con la configuración predeterminada:

Propiedad

Valor

Modo

Modo básico (solo direcciones o rangos de IP)

Coincidencia

Ingresa la IP externa de la VM access-test

Acción

Rechazar

Código de respuesta

404 (No encontrado)

Prioridad

1000
Nota: Ten en cuenta que estás configurando el código de denegación en 404.
  1. Haz clic en Guardar cambio en la regla.
  2. Haz clic en Próximo paso.
  3. Haz clic en + Agregar destino.
  4. En Tipo 1, selecciona Servicio de backend (balanceador de cargas de aplicaciones externo).
  5. En Servicio de backend de destino 1, selecciona web-backend.
  6. Haz clic en Próximo paso.
  7. Haz clic en Listo.
  8. Haz clic en Crear política.
Nota: De manera alternativa, puedes configurar la regla predeterminada en Rechazar y solo permitir tráfico proveniente de las direcciones IP o de los usuarios autorizados.

Espera a que se cree la política antes de continuar con el siguiente paso.

Verifica la política de seguridad

  1. Regresa a la sesión SSH de la VM de la prueba de acceso.
  2. Ejecuta el comando curl otra vez en la instancia para acceder al balanceador de cargas:
curl -m1 {IP_ADDRESS}

El resultado debería ser el siguiente:

Resultado:

<!doctype html><meta charset="utf-8"><meta name=viewport content="width=device-width, initial-scale=1"><title>404</title>404 Not Found Nota: Es posible que la política de seguridad tarde unos minutos en aplicarse. Si puedes acceder a los backends, sigue intentando hasta que obtengas el error 404 No encontrado.
  1. Intenta acceder al IP del balanceador de cargas desde tu navegador local. Deberías poder seguir accediendo, ya que solo agregamos a la lista de entidades bloqueadas la VM de la prueba de acceso.

Haz clic en Revisar mi progreso para verificar el objetivo. Crear una política de seguridad con Google Cloud Armor

Tarea 4: Visualiza los registros de Google Cloud Armor

  1. En la consola de Google Cloud, en el menú de navegación (), haz clic en Ver todos los productos > Redes > Seguridad de red > Políticas de Cloud Armor.
  2. Haz clic en blocklist-access-test.
  3. Haz clic en Registros.
  4. Haz clic en Ver registros de políticas y ve a los últimos registros. Si se te solicita, cierra la notificación.
  5. Localiza un registro con un 404 y expande la entrada de registro.
  6. Expande httpRequest.
  7. La solicitud debe provenir de la dirección IP de la VM access-test..
  8. Explora otras entradas de registro.

Felicitaciones

En este lab, hiciste lo siguiente:

  • Verificaste que se implementó el balanceador de cargas de aplicaciones.
  • Creaste una VM para probar el acceso al balanceador de cargas de aplicaciones.
  • Usaste Google Cloud Armor para agregar a la lista de entidades bloqueadas una dirección IP y restringir el acceso a un balanceador de cargas de aplicaciones.

Realiza tu próximo lab

Si te interesa avanzar en tus conocimientos sobre Cloud Armor, realiza el siguiente curso:

Finalice su lab

Cuando haya completado el lab, haga clic en Finalizar lab. Google Cloud Skills Boost quitará los recursos que usó y limpiará la cuenta.

Tendrá la oportunidad de calificar su experiencia en el lab. Seleccione la cantidad de estrellas que corresponda, ingrese un comentario y haga clic en Enviar.

La cantidad de estrellas indica lo siguiente:

  • 1 estrella = Muy insatisfecho
  • 2 estrellas = Insatisfecho
  • 3 estrellas = Neutral
  • 4 estrellas = Satisfecho
  • 5 estrellas = Muy satisfecho

Puede cerrar el cuadro de diálogo si no desea proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, use la pestaña Asistencia.

Copyright 2025 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.

Antes de comenzar

  1. Los labs crean un proyecto de Google Cloud y recursos por un tiempo determinado
    2. .
  2. Los labs tienen un límite de tiempo y no tienen la función de pausa. Si finalizas el lab, deberás reiniciarlo desde el principio.
  3. En la parte superior izquierda de la pantalla, haz clic en Comenzar lab para empezar

Este contenido no está disponible en este momento

Te enviaremos una notificación por correo electrónico cuando esté disponible

¡Genial!

Nos comunicaremos contigo por correo electrónico si está disponible

Un lab a la vez

Confirma para finalizar todos los labs existentes y comenzar este

Usa la navegación privada para ejecutar el lab

Usa una ventana de navegación privada o de Incógnito para ejecutar el lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.