Cloud Armor ile Hız Sınırlama

1. Giriş

Google Cloud HTTP(S) yük dengeleme, Google'ın dünya genelindeki varlık noktalarında (POP) yer alan ağının ucunda dağıtılır. HTTP(S) yük dengeleyiciye yönlendirilen kullanıcı trafiği, kullanıcıya en yakın varlık noktasına girer, ardından Google'ın global ağı üzerinden yeterli kapasiteye sahip en yakın arka uca doğru yük dengelemesi yapılır.

Cloud Armor, Google'ın dağıtılmış hizmet reddi ve web uygulaması güvenlik duvarı (WAF) algılama sistemidir. Cloud Armor, Google Cloud HTTP Yük Dengeleyici ile sıkı bir şekilde bağlantılıdır ve istenmeyen istekler için gelen trafiği sorgulamanıza olanak tanır. Bu hizmetin hız sınırlama özelliği, istek hacmine göre arka uç kaynaklarına olan trafiği azaltmanıza olanak tanır ve istenmeyen trafiğin Sanal Özel Bulut (VPC) ağınızdaki kaynakları tüketmesini önler.

Bu laboratuvarda, global arka uçlara sahip bir HTTP yük dengeleyiciyi aşağıdaki şemada gösterildiği gibi yapılandıracaksınız. Ardından yük dengeleyiciye stres testi uygulayacak ve arka uç kaynaklarınıza gelen trafiği sınırlamak için Cloud Armor hız sınırlama politikası ekleyeceksiniz.

Neler öğreneceksiniz?

• Uygun durum denetimleriyle HTTP yük dengeleyici oluşturma
• Cloud Armor hız sınırlama politikası oluşturma
• Sanal makineden stres testi çalıştırırken hız sınırlama politikasının trafiği engellediğini doğrulama.

Gerekenler

• Temel Ağ İletişimi ve HTTP bilgisi
• Temel Unix/Linux komut satırı bilgisi

2. Kurulum ve Gereksinimler

Kendi hızınızda ortam kurulumu

1. Google Cloud Console'da oturum açıp yeni bir proje oluşturun veya mevcut bir projeyi yeniden kullanın. Gmail veya Google Workspace hesabınız yoksa hesap oluşturmanız gerekir.

• Proje adı, bu projenin katılımcıları için görünen addır. Google API'leri tarafından kullanılmayan bir karakter dizesidir ve bunu istediğiniz zaman güncelleyebilirsiniz.
• Proje Kimliği, tüm Google Cloud projelerinde benzersiz olmalıdır ve değiştirilemez (belirlendikten sonra değiştirilemez). Cloud Console, otomatik olarak benzersiz bir dize oluşturur. bunun ne olduğunu umursamıyorsunuz. Çoğu codelab'de, Proje Kimliğine referans vermeniz gerekir (ve bu kimlik genellikle PROJECT_ID olarak tanımlanır). Beğenmezseniz başka bir rastgele kod oluşturun ya da kendi proje kimliğinizi deneyip mevcut olup olmadığına bakın. Sıcaklık "soğudu" takip etmeniz gerekir.
• Bazı API'lerin kullandığı üçüncü bir değer, yani Proje Numarası daha vardır. Bu değerlerin üçü hakkında daha fazla bilgiyi belgelerde bulabilirsiniz.

2. Ardından, Cloud kaynaklarını/API'lerini kullanmak için Cloud Console'da faturalandırmayı etkinleştirmeniz gerekir. Bu codelab'i çalıştırmanın maliyeti, yüksek değildir. Bu eğitim dışında faturalandırmayla karşılaşmamak için kaynakları kapatmak istiyorsanız tüm "temizleme" işlemlerini uygulayın buradaki talimatları uygulayın. Yeni Google Cloud kullanıcıları, 300 ABD doları değerindeki ücretsiz denemeden yararlanabilir.

Cloud Shell'i başlatma

Google Cloud dizüstü bilgisayarınızdan uzaktan çalıştırılabilse de bu codelab'de, Cloud'da çalışan bir komut satırı ortamı olan Google Cloud Shell'i kullanacaksınız.

GCP Console'da, sağ üstteki araç çubuğunda yer alan Cloud Shell simgesini tıklayın:

Ortamı sağlamak ve bağlamak yalnızca birkaç dakika sürer. Tamamlandığında şuna benzer bir sonuç görmeniz gerekir:

İhtiyacınız olan tüm geliştirme araçlarını bu sanal makinede bulabilirsiniz. 5 GB boyutunda kalıcı bir ana dizin sunar ve Google Cloud üzerinde çalışarak ağ performansını ve kimlik doğrulamasını büyük ölçüde iyileştirir. Bu laboratuvardaki tüm çalışmalarınızı yalnızca bir tarayıcıyla yapabilirsiniz.

Başlamadan önce

Cloud Shell'de proje kimliğinizin ayarlandığından emin olun

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
PROJECT_ID=[YOUR-PROJECT-NAME]
echo $PROJECT_ID

API'leri etkinleştirme

Gerekli tüm hizmetleri etkinleştirin

gcloud services enable compute.googleapis.com
gcloud services enable logging.googleapis.com
gcloud services enable monitoring.googleapis.com

3. Arka uçlara giden HTTP trafiğine izin vermek için güvenlik duvarı kurallarını yapılandırın

Google Cloud durum denetimlerinden ve yük dengeleyiciden arka uçlara giden HTTP trafiğine izin vermek için güvenlik duvarı kuralları yapılandırın.

Projenizde oluşturulan varsayılan VPC ağını kullanacağız. Arka uçlara giden HTTP trafiğine izin vermek için bir güvenlik duvarı kuralı oluşturun. Durum denetimleri, yük dengeleyicinin hangi örneklerinin yeni bağlantılar alabileceğini belirler. Durum denetimi, HTTP yük dengeleme için 130.211.0.0/22 ve 35.191.0.0/16 aralıklarındaki adreslerden gelen yük dengeli örneklerinizde durum kontrolü yapar. VPC güvenlik duvarı kurallarınız bu bağlantılara izin vermelidir. Ayrıca, yük dengeleyiciler aynı IP aralığında arka uçla iletişim kurar.

1. Cloud Console'da gezinme menüsü ( ) > VPC ağı > Güvenlik Duvarı.

2. Mevcut ICMP, internal (dahili), RDP ve SSH güvenlik duvarı kurallarını görürsünüz.Her Google Cloud projesi default (varsayılan) ağı ve bu güvenlik duvarı kurallarıyla başlar.
3. Güvenlik Duvarı Kuralı Oluştur'u tıklayın.
4. Aşağıdaki değerleri ayarlayın, diğer tüm değerleri varsayılan haliyle bırakın:

5. Oluştur'u tıklayın.

Alternatif olarak gcloud komut satırını kullanıyorsanız. Aşağıdaki komutu kullanabilirsiniz:

gcloud compute firewall-rules create default-allow-health-check --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp --source-ranges=130.211.0.0/22,35.191.0.0/16 --target-tags=http-server

4. Örnek şablonlarını yapılandırma ve yönetilen örnek grupları oluşturma

Yönetilen örnek grupları, aynı örnekleri içeren bir grup oluşturmak için örnek şablonlarını kullanır. HTTP yük dengeleyicinin arka uçlarını oluşturmak için bunları kullanın.

Örnek şablonlarını yapılandırma

Örnek şablonları, sanal makine örnekleri ve yönetilen örnek grupları oluşturmak için kullanabileceğiniz API kaynaklarıdır. Bu şablonlar makine türünü, önyükleme diski görüntüsünü, alt ağı, etiketleri ve diğer örnek özelliklerini tanımlar. us-east1 ve europe-west1 için birer örnek şablonu oluşturun.

1. Cloud Console'da gezinme menüsü ( ) > Compute Engine > Örnek şablonları'nı tıklayın ve ardından Örnek şablonu oluştur'u tıklayın.
2. Ad kısmına us-east1-template yazın.
3. Seri için N1'i seçin.
4. Networking, Disks, Security, Management, Sole-Tenancy (Ağ iletişimi, Diskler, Güvenlik, Yönetim, Tek Kiracılı) seçeneğini tıklayın.

5. Yönetim bölümüne gidin -

6. Metadata (Meta veri) bölümünde Add Item (Öğe Ekle) seçeneğini tıklayın ve aşağıdakileri belirleyin:

7. Ağ iletişimi'ni tıklayın.
8. Şu değerleri ayarlayın ve diğer tüm değerleri varsayılan ayarlarında bırakın:

9. Oluştur'u tıklayın.
10. Örnek şablonunun oluşturulmasını bekleyin.

Ardından us-east1-template şablonunu kopyalayarak subnet-b için başka bir örnek şablonu oluşturun:

1. us-east1-template şablonunu, ardından en üstteki Kopyala seçeneğini tıklayın.
2. Name (Ad) kısmına europe-west1-template yazın.
3. Networking, Disks, Security, Management, Sole-Tenancy (Ağ iletişimi, Diskler, Güvenlik, Yönetim, Tek Kiracılı) seçeneğini tıklayın.
4. Ağ iletişimi'ni tıklayın.
5. Ağ Arayüzleri bölümünde varsayılan arayüzü düzenleyin. Alt ağ alanında varsayılan (europe-west1) seçeneğini belirleyin.
6. Oluştur'u tıklayın.

Yönetilen örnek gruplarını oluşturma

us-east1 ve europe-west1 bölgelerinde birer yönetilen örnek grubu oluşturun.

1. Compute Engine'deki sol menüden Instance groups'u (Örnek grupları) tıklayın.

2. Create instance group'u (Örnek grubu oluştur) tıklayın. Yeni yönetilen örnek grubu (durum bilgisiz) seçeneğini belirleyin.
3. Aşağıdaki değerleri ayarlayın, diğer tüm değerleri varsayılan haliyle bırakın:

4. Create'i (Oluştur) tıklayın.

europe-west1 bölgesinde europe-west1-mig için ikinci bir örnek grubu oluşturmak üzere aynı işlemi tekrarlayın:

1. Örnek grubu oluştur'u tıklayın.
2. Aşağıdaki değerleri ayarlayın, diğer tüm değerleri varsayılan haliyle bırakın:

3. Oluştur'u tıklayın.

5. HTTP yük dengeleyiciyi yapılandırma

Ağ şemasında gösterildiği gibi, HTTP yük dengeleyiciyi iki arka uç (us-east1 bölgesindeki us-east1-mig ve europe-west1 bölgesindeki europe-west1-mig) arasındaki trafiği dengeleyecek şekilde yapılandırın:

Yapılandırmayı başlatma

1. Cloud Console'da gezinme menüsü'nü ( ) tıklayın > Network Services (Ağ Hizmetleri) > Yük dengeleme'yi, ardından Yük dengeleyici oluştur'u tıklayın.
2. HTTP(S) Yük Dengeleme bölümünde Yapılandırmayı başlat'ı tıklayın.

3. İnternetten sanal makinelerime ve Klasik HTTP(S) Yük Dengeleyici'yi seçip Devam'ı tıklayın.
4. Ad'ı http-lb olarak ayarlayın.

Arka ucu yapılandırma

Arka uç hizmetleri, gelen trafiği bir veya daha fazla ekli arka uca yönlendirir. Her arka uç, bir örnek grubundan ve ek sunum kapasitesi meta verisinden oluşur.

1. Backend configuration'ı (Arka uç yapılandırması) tıklayın.
2. Backend services & backend buckets (Arka uç hizmetleri ve arka uç paketleri) için Create a backend service'i (Arka uç hizmeti oluştur) tıklayın.
3. Şu değerleri ayarlayın ve diğer tüm değerleri varsayılan ayarlarında bırakın:

4. Bitti'yi tıklayın.
5. Arka uç ekle'yi tıklayın.
6. Aşağıdaki değerleri ayarlayın ve diğer tüm değerleri varsayılan haliyle bırakın:

7. Done'ı (Bitti) tıklayın.
8. Durum Denetimi için Durum denetimi oluştur'u seçin.

9. Aşağıdaki değerleri ayarlayın, diğer tüm değerleri varsayılan haliyle bırakın:

10. Kaydet'i tıklayın.
11. Enable Logging (Günlük kaydını etkinleştir) kutusunu işaretleyin.
12. Sample Rate'i (Örnek hızı) 1 olarak ayarlayın:

13. Arka uç hizmetini oluşturmak için Create'i (Oluştur) tıklayın.

Ön ucu yapılandırma

Ana makine ve yol kuralları, trafiğinizin nasıl yönlendirileceğini belirler. Örneğin, video trafiğini bir arka uca, statik trafiği ise başka bir arka uca yönlendirebilirsiniz. Ancak bu laboratuvarda ana makine ve yol kurallarını yapılandırmayacaksınız.

1. Frontend configuration'ı (Ön uç yapılandırması) tıklayın.
2. Aşağıdakileri ayarlayın, diğer tüm değerleri varsayılan haliyle bırakın:

3. Done'ı (Bitti) tıklayın.
4. Add Frontend IP and port'u (Ön uç IP ve bağlantı noktası ekle) tıklayın.
5. Aşağıdakileri ayarlayın, diğer tüm değerleri varsayılan haliyle bırakın:

6. Done'ı (Bitti) tıklayın.

HTTP Yük Dengeleyiciyi inceleme ve oluşturma

1. İnceleme ve sonlandırma'yı tıklayın.

2. Arka uç hizmetleri ve Ön uç'u inceleyin.

3. Oluştur'u tıklayın.
4. Yük dengeleyicinin oluşturulmasını bekleyin.
5. Yük dengeleyicinin adını (http-lb) tıklayın.
6. Sonraki görev için yük dengeleyicinin IPv4 ve IPv6 adreslerini not edin. Adresler sırasıyla [LB_IP_v4] ve [LB_IP_v6] olarak anılacaktır.

6. HTTP yük dengeleyiciyi test etme

Arka uçlarınız için HTTP yük dengeleyici oluşturduğunuza göre trafiğin arka uç hizmetine yönlendirildiğini doğrulayın.

HTTP Yük Dengeleyiciye erişme

HTTP yük dengeleyiciye IPv4 erişimini test etmek için tarayıcınızda yeni bir sekme açıp http://[LB_IP_v4] adresine gidin. [LB_IP_v4] ifadesinin yerine yük dengeleyicinin IPv4 adresini yazmayı unutmayın.

Yerel bir IPv6 adresiniz varsa HTTP yük dengeleyicinin IPv6 adresini denemek için http://[LB_IP_v6] adresine gidin. [LB_IP_v6] ifadesinin yerine yük dengeleyicinin IPv6 adresini yazmayı unutmayın.

HTTP yük dengeleyiciye stres testi uygulama

siege kullanarak HTTP yük dengeleyici üzerinde yük simülasyonu yapmak için yeni bir sanal makine oluşturun. Ardından, yük fazlayken trafiğin iki arka uç arasında dengelenip dengelenmediğini belirleyin.

1. Console'da gezinme menüsü ( ) > Compute Engine > Sanal makine örnekleri.
2. Create instance'ı (Örnek oluştur) tıklayın.
3. Aşağıdaki değerleri ayarlayın, diğer tüm değerleri varsayılan haliyle bırakın:

4. Oluştur'u tıklayın.
5. siege-vm örneğinin oluşturulmasını bekleyin.
6. siege-vm için SSH'yi tıklayarak bir terminal açıp bağlanın.
7. siege'i yüklemek için aşağıdaki komutu çalıştırın:

sudo apt-get -y install siege

8. HTTP yük dengeleyicinin IPv4 adresini bir ortam değişkeninde depolamak için [LB_IP_v4] ifadesinin yerine IPv4 adresini yazıp aşağıdaki komutu çalıştırın:

export LB_IP=[LB_IP_v4]

9. Yük simülasyonu yapmak için şu komutu çalıştırın:

siege -c 250 http://$LB_IP

Çıkış aşağıdaki gibi görünecektir (kopyalamayın, bu bir örnek çıkıştır):

New configuration template added to /home/student/.siege
Run siege -C to view the current settings in that file
** SIEGE 4.0.4
** Preparing 250 concurrent users for battle.
The server is now under siege...

10. Cloud Console'da gezinme menüsünü (), Network Services'ı (Ağ Hizmetleri) tıklayın > Yük dengeleme.
11. http-lb'yi tıklayın.
12. Monitoring (İzleme) sekmesini tıklayın. Kuzey Amerika ile iki arka uç arasındaki trafiği 2-3 dakika izleyin.

Başlangıçta trafik sadece us-east1-mig'e yönlendirilir ama RPS arttıkça trafik europe-west1-mig'e de yönlendirilmeye başlar.

Burada, trafiğin varsayılan olarak en yakın arka uca yönlendirildiği ama yük çok arttığında başka arka uçlara dağıtılabildiği görülmektedir.

13. siege-vm SSH terminaline dönün.
14. Siege'i durdurmak için CTRL+C tuşlarına basın.

7. Cloud Armor Hız Sınırlama Politikası Oluşturma

Bu bölümde, bir hız sınırlama politikası belirleyerek siege-vm'in HTTP yük dengeleyiciye erişimini engellemek için Cloud Armor'ı kullanacaksınız.

1. Cloud Shell'in nasıl kullanılacağıyla ilgili talimatlar için Cloud Shell'de(Cloud Shell'in nasıl kullanılacağıyla ilgili talimatlar için "Kurulum ve Gereksinimler" bölümündeki "Cloud Shell'i Başlatma" bölümüne bakın) gcloud aracılığıyla güvenlik politikası oluşturun:

gcloud compute security-policies create rate-limit-siege \
    --description "policy for rate limiting"

2. Ardından bir hız sınırlama kuralı ekleyin:

gcloud beta compute security-policies rules create 100 \
    --security-policy=rate-limit-siege     \
    --expression="true" \
    --action=rate-based-ban                   \
    --rate-limit-threshold-count=50           \
    --rate-limit-threshold-interval-sec=120   \
    --ban-duration-sec=300           \
    --conform-action=allow           \
    --exceed-action=deny-404         \
    --enforce-on-key=IP

3. Güvenlik politikasını arka uç hizmetine ekleyin http-backend:

gcloud compute backend-services update http-backend \
    --security-policy rate-limit-siege –-global

4. Console'da Gezinme menüsü > Ağ Güvenliği > Cloud Armor'a gidin.
5. Tıklama Rate-limit-siege. Politikanız aşağıdakine benzer şekilde görünecektir:

Güvenlik Politikası'nı doğrulama

1. siege-vm SSH terminaline dönün.
2. LB IP'ye hâlâ bağlanabildiğinizi doğrulamak için LB IP'ye karşı bir curl çalıştırın. 200 yanıtı gelmelidir.

curl http://$LB_IP

3. Yük simülasyonu yapmak için siege-vm SSH terminalinde aşağıdaki komutu çalıştırın:

siege -c 250 http://$LB_IP

Çıkış aşağıdaki gibi görünecektir (kopyalamayın, bu bir örnek çıkıştır):

** SIEGE 4.0.4
** Preparing 250 concurrent users for battle.
The server is now under siege...

4. Bu trafiğin de engellenip engellenmediğini görmek için güvenlik politikası günlüklerini inceleyin.
5. Console'da Gezinme menüsü > Ağ Güvenliği > Cloud Armor'dan daha fazla bilgi edinin.
6. rate-limit-siege'i tıklayın.
7. Logs'u (Günlükler) tıklayın.

8. View policy logs'u (Politika günlüklerini görüntüle) tıklayın.
9. Logging (Günlük Kaydı) sayfasında, Sorgu önizlemesindeki tüm metni temizlediğinizden emin olun.
10. Cloud HTTP Yük Dengeleyici > kaynağı olarak seçin http-lb-yönlendirme-kuralı > http-lb'yi seçin ve ardından Ekle'yi tıklayın. Alternatif olarak, aşağıda MQL(izleme sorgu dili) sorgusunu kopyalayıp sorgu düzenleyiciye yapıştırabilirsiniz:

resource.type="http_load_balancer" resource.labels.forwarding_rule_name="http-lb-forwarding-rule" resource.labels.url_map_name="http-lb"

11. Şimdi Run Query'yi (Sorgu Çalıştır) tıklayın.
12. Sorgu sonuçlarında bir günlük girişini genişletin.
13. httpRequest'i genişletin. İstek siege-vm IP adresinden gelmelidir. Öyle değilse başka bir günlük girişini genişletin.
14. jsonPayload'u genişletin.
15. Zorunlu Güvenlik Politikası'nı genişlet

ConfigurationAction'ın rate-limit-siege adıyla RATE_BASED_BAN olarak ayarlandığına dikkat edin.

16. Ek bir kontrol olarak gezinme menüsünde () Network Services (Ağ Hizmetleri) > Yük dengeleme. http-lb'yi tıklayın. Monitoring (İzleme) sekmesini tıklayın.

Kuşatma trafiğini grafiklerde görebilirsiniz. Ayrıca hız sınırlı trafiğin arka uca ulaşmadığını ve Cloud Armor politikası tarafından engellendiğini unutmayın.

Tebrikler! Cloud Armor ile Hız Sınırlaması hakkındaki bu laboratuvarı tamamladınız

©2020 Google LLC Tüm hakları saklıdır. Google ve Google logosu, Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları ilişkili oldukları şirketlerin ticari markaları olabilir.

8. Laboratuvar Temizleme

1. Ağ Güvenliği >> Cloud Armor >> %POLICY NAME% ile Sil'i seçin.

2. Ağ iletişimi >> bölümüne gidin. Ağ hizmetleri >> Yük dengeleme. Oluşturduğunuz yük dengeleyiciyi seçin ve Sil'i tıklayın.

Silinecek ek kaynaklar olarak arka uç hizmetini ve durum denetimini seçin:

3. Gezinme menüsü ( ) > Compute Engine > Örnek Grupları. Yönetilen örnek gruplarını seçip Sil'i tıklayın.

"Sil" yazarak silme işlemini onaylayın yazabilirsiniz.

Yönetilen örnek gruplarının silinmesini bekleyin. Bu işlem, gruptaki örnekleri de siler. Şablonları yalnızca örnek grubu silindikten sonra silebilirsiniz.

4. Sol taraftaki bölmeden Örnek şablonları'na gidin**.** İki örnek şablonunu da seçip Sil'i tıklayın:

5. Sol taraftaki bölmeden sanal makine örnekleri'ne gidin**.** siege-vm örneğinin yanındaki üç nokta simgesini seçip Sil'i tıklayın.

6. Gezinme menüsü ( ) > VPC ağı > Güvenlik Duvarı. default-allow-health-check'i seçip sil 'i tıklayın.

9. Tebrikler!

Cloud Armor'ı kullanarak hız sınırlamasını başarıyla uyguladınız. us-east1 ve europe-west1 bölgelerinde arka uçları bulunan bir HTTP Yük Dengeleyiciyi yapılandırdınız. Ardından bir sanal makinede yük dengeleyiciye stres testi uygulayıp Cloud Armor'ı kullanarak hız sınırlaması aracılığıyla IP adresini ret listesine eklediniz. Trafiğin neden engellendiğini tespit etmek için güvenlik politikası günlüklerini incelediniz.

İşlediklerimiz

• Örnek şablonları ve yönetilen örnek grupları oluşturma
• HTTP yük dengeleyici oluşturma
• Cloud Armor hız sınırlama politikası oluşturma
• Hız Sınırlama Politikası'nın beklendiği gibi çalıştığını doğrulama.

Sonraki adımlar

• Kaynak IP aralığına dayalı bir Hız Sınırlama Politikası ayarlamayı deneyin. Aşağıdaki örnek komut -

gcloud alpha compute security-policies rules create 105 \
    --security-policy sec-policy     \
    --src-ip-ranges "1.2.3.0/24"     \
    --action throttle                \
    --rate-limit-threshold-count 100 \
    --rate-limit-threshold-interval-sec 60 \
    --conform-action allow           \
    --exceed-action deny-429         \
    --enforce-on-key IP

• Bölge koduna dayalı bir Hız Sınırlama Politikası ayarlamayı deneyin. Aşağıdaki örnek komut -

gcloud alpha compute security-policies rules create 101 \
    --security-policy sec-policy     \
    --expression "origin.region_code == 'US'" \
    --action rate-based-ban                 \
    --rate-limit-threshold-count 10         \
    --rate-limit-threshold-interval-sec 60  \
    --ban-duration-sec 300           \
    --ban-threshold-count 1000       \
    --ban-threshold-interval-sec 600 \
    --conform-action allow           \
    --exceed-action deny-403         \
    --enforce-on-key IP