Pembatasan Kapasitas dengan Cloud Armor

1. Pengantar

Load balancing HTTP(S) Google Cloud di-deploy di edge jaringan Google pada titik kehadiran (POP) Google di seluruh dunia. Traffic pengguna yang diarahkan ke load balancer HTTP(S) masuk ke POP yang terdekat dengan pengguna dan selanjutnya mengalami load balancing melalui jaringan global Google ke backend terdekat yang memiliki kapasitas memadai.

Cloud Armor adalah sistem deteksi firewall aplikasi web (WAF) dan distributed denial of service Google. Cloud Armor terintegrasi erat dengan Load Balancer HTTP Google Cloud dan memungkinkan Anda memeriksa traffic masuk untuk menemukan permintaan yang tidak diinginkan. Fitur pembatasan frekuensi layanan ini memungkinkan Anda membatasi traffic ke resource backend berdasarkan volume permintaan dan mencegah traffic yang tidak diinginkan menggunakan resource di jaringan Virtual Private Cloud (VPC) Anda.

Dalam lab ini, Anda akan mengonfigurasi Load Balancer HTTP dengan backend global, seperti ditunjukkan pada diagram di bawah. Kemudian, Anda akan menjalankan stress test pada Load Balancer dan menambahkan kebijakan pembatasan frekuensi Cloud Armor untuk membatasi traffic yang mencapai resource backend Anda.

Yang akan Anda pelajari

• Cara menyiapkan Load Balancer HTTP dengan health check yang sesuai.
• Cara membuat kebijakan pembatasan frekuensi Cloud Armor.
• Cara memvalidasi bahwa kebijakan pembatasan kapasitas memblokir traffic saat menjalankan uji tekanan dari VM.

Yang Anda butuhkan

• Networking Dasar dan pengetahuan tentang HTTP
• Pengetahuan dasar mengenai command line Unix/Linux

2. Penyiapan dan Persyaratan

Penyiapan lingkungan mandiri

1. Login ke Google Cloud Console dan buat project baru atau gunakan kembali project yang sudah ada. Jika belum memiliki akun Gmail atau Google Workspace, Anda harus membuatnya.

• Project name adalah nama tampilan untuk peserta project ini. String ini adalah string karakter yang tidak digunakan oleh Google API, dan Anda dapat memperbaruinya kapan saja.
• Project ID harus unik di semua project Google Cloud dan tidak dapat diubah (tidak dapat diubah setelah ditetapkan). Cloud Console otomatis menghasilkan string unik; biasanya Anda tidak peduli dengan kata-katanya. Pada sebagian besar codelab, Anda harus mereferensikan Project ID (dan biasanya diidentifikasi sebagai PROJECT_ID). Jadi, jika Anda tidak menyukainya, buat ID acak lain, atau, Anda dapat mencoba sendiri dan melihat apakah tersedia. Kemudian file akan "dibekukan" setelah project dibuat.
• Ada nilai ketiga, Nomor Project yang digunakan oleh beberapa API. Pelajari lebih lanjut ketiga nilai ini di dokumentasi.

2. Selanjutnya, Anda harus mengaktifkan penagihan di Cloud Console untuk menggunakan API/resource Cloud. Menjalankan operasi dalam codelab ini seharusnya tidak memerlukan banyak biaya, bahkan mungkin tidak sama sekali. Untuk menonaktifkan resource agar tidak menimbulkan penagihan di luar tutorial ini, ikuti petunjuk "pembersihan" yang ada di akhir codelab. Pengguna baru Google Cloud memenuhi syarat untuk mengikuti program Uji Coba Gratis senilai $300 USD.

Mulai Cloud Shell

Meskipun Google Cloud dapat dioperasikan dari jarak jauh menggunakan laptop Anda, dalam codelab ini, Anda akan menggunakan Google Cloud Shell, lingkungan command line yang berjalan di Cloud.

Dari Konsol GCP, klik ikon Cloud Shell di toolbar kanan atas:

Hanya perlu waktu beberapa saat untuk penyediaan dan terhubung ke lingkungan. Jika sudah selesai, Anda akan melihat tampilan seperti ini:

Mesin virtual ini berisi semua alat pengembangan yang Anda perlukan. Layanan ini menawarkan direktori beranda tetap sebesar 5 GB dan beroperasi di Google Cloud, sehingga sangat meningkatkan performa dan autentikasi jaringan. Semua pekerjaan Anda di lab ini dapat dilakukan hanya dengan browser.

Sebelum memulai

Di dalam Cloud Shell, pastikan project ID Anda sudah disiapkan

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
PROJECT_ID=[YOUR-PROJECT-NAME]
echo $PROJECT_ID

Aktifkan API

Aktifkan semua layanan yang diperlukan

gcloud services enable compute.googleapis.com
gcloud services enable logging.googleapis.com
gcloud services enable monitoring.googleapis.com

3. Mengonfigurasi aturan firewall untuk mengizinkan traffic HTTP ke backend

Konfigurasi aturan firewall untuk mengizinkan traffic HTTP ke backend dari health check Google Cloud dan Load Balancer.

Kita akan menggunakan jaringan VPC default yang dibuat di project Anda. Buat aturan firewall untuk mengizinkan traffic HTTP ke backend. Health check menentukan instance load balancer mana yang dapat menerima koneksi baru. Untuk load balancing HTTP, pemeriksaan health check ke load balanced instance berasal dari alamat dalam rentang 130.211.0.0/22 dan 35.191.0.0/16. Aturan firewall VPC Anda harus mengizinkan koneksi ini. Selain itu, load balancer berkomunikasi dengan backend pada rentang IP yang sama.

1. Di Konsol Cloud, buka Navigation menu ( ) > VPC network > Firewall.

2. Perhatikan aturan firewall ICMP, internal, RDP, dan SSH yang ada.Setiap project Google Cloud dimulai dengan jaringan default dan aturan firewall ini.
3. Klik Create Firewall Rule.
4. Tetapkan nilai berikut dan biarkan nilai default untuk properti yang lain:

5. Klik Buat.

Atau, jika Anda menggunakan command line gcloud. Berikut adalah perintahnya -

gcloud compute firewall-rules create default-allow-health-check --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp --source-ranges=130.211.0.0/22,35.191.0.0/16 --target-tags=http-server

4. Mengonfigurasi template instance dan membuat grup instance terkelola

Grup instance terkelola menggunakan template instance untuk membuat sebuah grup yang berisi instance yang identik. Gunakan ini untuk membuat backend Load Balancer HTTP.

Mengonfigurasi template instance

Template instance adalah resource API yang digunakan untuk membuat instance VM dan grup instance terkelola. Template instance menentukan jenis mesin, boot disk image, subnet, label, dan properti instance lainnya. Buat satu template instance untuk us-east1 dan satu lagi untuk europe-west1.

1. Di Konsol Cloud, buka Navigation menu ( ) > Compute Engine > Instance templates, lalu klik Create instance template.
2. Untuk Name, ketik us-east1-template.
3. Untuk Series, pilih N1.
4. Klik Networking, Disks, Security, Management , Sole-Tenancy.

5. Buka bagian Pengelolaan -

6. Di bagian Metadata, klik Tambahkan Item dan tentukan hal berikut:

7. Klik Networking.
8. Tetapkan nilai berikut dan biarkan nilai default untuk properti yang lain:

9. Klik Buat.
10. Tunggu hingga template instance selesai dibuat.

Sekarang, buat template instance lain untuk subnet-b dengan menyalin us-east1-template:

1. Klik us-east1-template, lalu klik opsi Copy dari bagian atas.
2. Untuk Name, ketik europe-west1-template.
3. Klik Networking, Disks, Security, Management , Sole-Tenancy.
4. Klik Networking.
5. Di bagian Network Interfaces, edit antarmuka default. Untuk Subnet, pilih default (europe-west1).
6. Klik Buat.

Membuat grup instance terkelola

Buat satu grup instance terkelola di us-east1 dan satu lagi di europe-west1.

1. Masih di Compute Engine, klik Instance groups di menu kiri.

2. Klik Create instance group. Pilih New managed instance group (stateless).
3. Tetapkan nilai berikut dan biarkan semua nilai lainnya dalam setelan default:

4. Klik Buat.

Ulangi prosedur yang sama untuk membuat grup instance kedua untuk europe-west1-mig di europe-west1:

1. Klik Create Instance group.
2. Tetapkan nilai berikut dan biarkan semua nilai lainnya dalam setelan default:

3. Klik Buat.

5. Mengonfigurasi Load Balancer HTTP

Konfigurasi Load Balancer HTTP untuk menyeimbangkan traffic di antara dua backend (us-east1-mig di us-east1 dan europe-west1-mig di europe-west1), seperti yang diilustrasikan dalam diagram jaringan:

Memulai konfigurasi

1. Di Konsol Cloud, klik Navigation menu ( ) > klik Network Services > Load balancing, lalu klik Create load balancer.
2. Di bagian HTTP(S) Load Balancing, klik Start configuration.

3. Pilih From Internet to my VMs, Classic HTTP(S) Load Balancer, lalu klik Continue.
4. Tetapkan Name ke http-lb.

Mengonfigurasi backend

Layanan backend mengarahkan traffic masuk ke satu atau beberapa backend yang terpasang. Setiap backend terdiri dari grup instance dan metadata kapasitas penyaluran tambahan.

1. Klik Backend configuration.
2. Untuk Backend services & backend buckets, klik Create a backend service.
3. Tetapkan nilai berikut dan biarkan nilai default untuk properti yang lain:

4. Klik Selesai.
5. Klik Add backend.
6. Tetapkan nilai berikut dan biarkan semua nilai lainnya dalam setelan default:

7. Klik Selesai.
8. Untuk Health Check, pilih Create a health check.

9. Tetapkan nilai berikut dan biarkan semua nilai lainnya dalam setelan default:

10. Klik Simpan.
11. Centang kotak Enable Logging.
12. Tetapkan Sample Rate ke 1:

13. Klik Create untuk membuat layanan backend.

Mengonfigurasi frontend

Aturan host dan jalur menentukan bagaimana traffic akan diarahkan. Misalnya, Anda dapat mengarahkan traffic video ke satu backend dan traffic statis ke backend lain. Namun, Anda tidak mengonfigurasi aturan Host dan jalur di lab ini.

1. Klik Frontend configuration.
2. Tetapkan nilai berikut dan biarkan nilai default untuk properti yang lain:

3. Klik Done.
4. Klik Add Frontend IP and port.
5. Tetapkan nilai berikut dan biarkan nilai default untuk properti yang lain:

6. Klik Done.

Meninjau dan membuat Load Balancer HTTP

1. Klik Review and finalize.

2. Tinjau Backend services dan Frontend.

3. Klik Create.
4. Tunggu hingga load balancer selesai dibuat.
5. Klik nama load balancer (http-lb).
6. Perhatikan alamat IPv4 dan IPv6 dari load balancer untuk tugas berikutnya. Masing-masing akan disebut sebagai [LB_IP_v4] dan [LB_IP_v6].

6. Menguji Load Balancer HTTP

Anda telah membuat Load Balancer HTTP untuk backend. Sekarang saatnya memverifikasi bahwa traffic diteruskan ke layanan backend.

Mengakses Load Balancer HTTP

Untuk menguji akses IPv4 ke Load Balancer HTTP, buka tab baru di browser dan tuju http://[LB_IP_v4]. Pastikan untuk mengganti [LB_IP_v4] dengan alamat IPv4 load balancer.

Jika Anda memiliki alamat IPv6 lokal, coba alamat IPv6 Load Balancer HTTP dengan membuka http://[LB_IP_v6]. Pastikan untuk mengganti [LB_IP_v6] dengan alamat IPv6 load balancer.

Menguji daya tahan Load Balancer HTTP

Buat VM baru untuk menyimulasikan beban di Load Balancer HTTP menggunakan siege. Kemudian, tentukan apakah traffic seimbang di kedua backend ketika bebannya tinggi.

1. Di Konsol, buka Navigation menu ( ) > Compute Engine > VM instances.
2. Klik Create instance.
3. Tetapkan nilai berikut dan biarkan semua nilai lainnya dalam setelan default:

4. Klik Buat.
5. Tunggu hingga instance siege-vm selesai dibuat.
6. Untuk siege-vm, klik SSH untuk meluncurkan terminal, lalu hubungkan.
7. Jalankan perintah berikut untuk menginstal siege:

sudo apt-get -y install siege

8. Untuk menyimpan alamat IPv4 Load Balancer HTTP di sebuah variabel lingkungan, jalankan perintah berikut dengan mengganti [LB_IP_v4] dengan alamat IPv4:

export LB_IP=[LB_IP_v4]

9. Untuk menyimulasikan beban, jalankan perintah berikut:

siege -c 250 http://$LB_IP

Output akan terlihat seperti ini (jangan disalin, ini adalah contoh output):

New configuration template added to /home/student/.siege
Run siege -C to view the current settings in that file
** SIEGE 4.0.4
** Preparing 250 concurrent users for battle.
The server is now under siege...

10. Di Konsol Cloud, klik Navigation menu ( ), lalu klik Network Services > Load balancing.
11. Klik http-lb.
12. Klik tab Monitoring. Pantau traffic antara Amerika Utara dan kedua backend selama 2 hingga 3 menit.

Pertama-tama, traffic hanya diarahkan ke us-east1-mig, tetapi seiring dengan meningkatnya RPS, traffic juga diarahkan ke europe-west1-mig.​​

Hal ini menunjukkan bahwa traffic diteruskan ke backend terdekat secara default. Namun, jika bebannya terlalu tinggi, traffic dapat didistribusikan di seluruh backend.

13. Kembali ke terminal SSH untuk siege-vm.
14. Tekan CTRL+C untuk menghentikan siege.

7. Membuat Kebijakan Pembatasan Kecepatan Cloud Armor

Di bagian ini, Anda akan menggunakan Cloud Armor untuk menolak siege-vm agar tidak mengakses Load Balancer HTTP dengan menetapkan kebijakan pembatasan kecepatan.

1. Di Cloud Shell(lihat "Mulai Cloud Shell" di bagian "Penyiapan dan Persyaratan" untuk mengetahui petunjuk cara menggunakan Cloud Shell), buat kebijakan keamanan melalui gcloud:

gcloud compute security-policies create rate-limit-siege \
    --description "policy for rate limiting"

2. Selanjutnya, tambahkan aturan pembatasan kapasitas:

gcloud beta compute security-policies rules create 100 \
    --security-policy=rate-limit-siege     \
    --expression="true" \
    --action=rate-based-ban                   \
    --rate-limit-threshold-count=50           \
    --rate-limit-threshold-interval-sec=120   \
    --ban-duration-sec=300           \
    --conform-action=allow           \
    --exceed-action=deny-404         \
    --enforce-on-key=IP

3. Lampirkan kebijakan keamanan ke backend http layanan backend:

gcloud compute backend-services update http-backend \
    --security-policy rate-limit-siege –-global

4. Di Konsol, buka Navigation menu > Network Security > Cloud Armor.
5. Click rate-limit-siege. Kebijakan Anda akan terlihat seperti berikut:

Memverifikasi Kebijakan Keamanan

1. Kembali ke terminal SSH siege-vm.
2. Jalankan curl terhadap IP LB untuk memverifikasi bahwa Anda masih dapat terhubung ke IP tersebut, dan akan menerima respons 200.

curl http://$LB_IP

3. Di terminal SSH untuk siege-vm, simulasikan beban dengan menjalankan perintah berikut:

siege -c 250 http://$LB_IP

Output akan terlihat seperti ini (jangan disalin; ini adalah contoh output):

** SIEGE 4.0.4
** Preparing 250 concurrent users for battle.
The server is now under siege...

4. Pelajari log kebijakan keamanan untuk mengetahui apakah traffic ini juga diblokir.
5. Di Konsol, buka Navigation menu > Network Security > Cloud Armor.
6. Klik rate-limit-siege.
7. Klik Logs.

8. Klik View policy logs.
9. Di halaman Logging, pastikan Anda menghapus semua teks di Pratinjau kueri.
10. Pilih resource sebagai Cloud HTTP Load Balancer > http-lb-forwarding-rule > http-lb, lalu klik Add. Atau, di bawah ini adalah kueri MQL(bahasa kueri pemantauan), yang dapat Anda salin dan tempel ke editor kueri -

resource.type="http_load_balancer" resource.labels.forwarding_rule_name="http-lb-forwarding-rule" resource.labels.url_map_name="http-lb"

11. Sekarang klik Run Query.
12. Luaskan entri log di Hasil kueri.
13. Luaskan httpRequest. Permintaan ini harus berasal dari alamat IP siege-vm. Jika bukan, luaskan entri log lain.
14. Luaskan jsonPayload.
15. Luaskan enforcedSecurityPolicy.

Perhatikan bahwa configuredAction ditetapkan ke RATE_BASED_BAN dengan nama rate-limit-siege.

16. Sebagai pemeriksaan tambahan, buka Navigation menu ( ), klik Network Services > Load balancing. Klik http-lb. Klik tab Monitoring.

Anda dapat melihat traffic serangan di grafik. Anda juga akan melihat bahwa traffic yang dibatasi lajunya tidak mencapai backend dan diblokir oleh kebijakan Cloud Armor.

Selamat! Anda telah menyelesaikan lab Pembatasan Kapasitas dengan Cloud Armor ini

©2020 Google LLC. Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lainnya mungkin merupakan merek dagang dari tiap-tiap perusahaan yang bersangkutan.

8. Pembersihan Lab

1. Buka Network Security >> Cloud Armor >> %POLICY NAME%, lalu pilih hapus -

2. Buka Networking >> Network services >> Load Balancing. Pilih load balancer yang Anda buat, lalu klik hapus.

Pilih layanan backend dan health check sebagai resource tambahan yang akan dihapus -

3. Buka Navigation menu ( ) > Compute Engine > Instance Groups. Pilih kedua grup instance terkelola, lalu klik hapus -

Konfirmasi penghapusan dengan mengetik "delete" ke dalam kotak teks.

Tunggu hingga grup instance terkelola dihapus. Tindakan ini juga akan menghapus instance dalam grup. Anda dapat menghapus template hanya setelah grup instance dihapus.

4. Buka Instance templates dari panel sebelah kiri**.** Pilih kedua template instance, lalu klik hapus -

5. Buka VM instances dari panel sisi kiri**.** Pilih elipsis di samping instance siege-vm, lalu klik hapus.

6. Buka Navigation menu ( ) > VPC network > Firewall. Pilih default-allow-health-check, lalu klik hapus -

9. Selamat!

Anda berhasil menerapkan pembatasan kapasitas dengan Cloud Armor. Anda telah mengonfigurasi Load Balancer HTTP dengan backend di us-east1 dan europe-west1. Kemudian, Anda akan menguji daya tahan Load Balancer dengan VM dan menolak alamat IP melalui pembatasan kecepatan dengan Cloud Armor. Anda dapat mempelajari log kebijakan keamanan untuk mengidentifikasi alasan traffic diblokir.

Yang telah kita bahas

• Cara menyiapkan template instance dan membuat grup instance terkelola.
• Cara menyiapkan Load Balancer HTTP.
• Cara membuat kebijakan pembatasan frekuensi Cloud Armor.
• Cara memvalidasi bahwa Kebijakan Pembatasan Kecepatan berfungsi sebagaimana mestinya.

Langkah berikutnya

• Coba siapkan Kebijakan Pembatasan Kapasitas berdasarkan rentang IP sumber. Contoh perintah di bawah -

gcloud alpha compute security-policies rules create 105 \
    --security-policy sec-policy     \
    --src-ip-ranges "1.2.3.0/24"     \
    --action throttle                \
    --rate-limit-threshold-count 100 \
    --rate-limit-threshold-interval-sec 60 \
    --conform-action allow           \
    --exceed-action deny-429         \
    --enforce-on-key IP

• Coba siapkan Kebijakan Pembatasan Kecepatan berdasarkan kode wilayah. Contoh perintah di bawah -

gcloud alpha compute security-policies rules create 101 \
    --security-policy sec-policy     \
    --expression "origin.region_code == 'US'" \
    --action rate-based-ban                 \
    --rate-limit-threshold-count 10         \
    --rate-limit-threshold-interval-sec 60  \
    --ban-duration-sec 300           \
    --ban-threshold-count 1000       \
    --ban-threshold-interval-sec 600 \
    --conform-action allow           \
    --exceed-action deny-403         \
    --enforce-on-key IP