Развертывание веб-приложения на серверах Yandex BareMetal с L7-балансировщиком и защитой Yandex Smart Web Security

В этом руководстве вы развернете веб-приложение на серверах Yandex BareMetal. Для обеспечения равномерного распределения нагрузки на хосты с приложением вы настроите L7-балансировщик Yandex Application Load Balancer. Создаваемое веб-приложение будет защищено от ботов, DDoS- и веб-атак в помощью профиля безопасности Yandex Smart Web Security. Приватное соединение между облачной сетью Yandex Virtual Private Cloud и приватной сетью Yandex BareMetal обеспечивается с помощью Routing Instance Yandex Cloud Interconnect.

Схема решения:

Где:

• Инфраструктура на стороне BareMetal, которая включает в себя:

  • приватную подсеть subnet-m4 в пуле серверов kz1-m4;
  • виртуальный сегмент сети (VRF) my-vrf;
  • два сервера BareMetal в пуле серверов kz1-m4 с развернутым веб-приложением — alb-back-0 и alb-back-1.

• Routing Instance Cloud Interconnect, который обеспечивает сетевую связность между сетями Virtual Private Cloud и BareMetal.

• Инфраструктура на стороне Virtual Private Cloud, которая включает в себя:

  • облачную сеть sample-network;
  • подсети vpc-subnet-a и vpc-subnet-b в зонах доступности kz1-a и kz1-b;
  • L7-балансировщик Application Load Balancer demo-alb-bms;
  • профиль безопасности Smart Web Security sws-demo-profile;
  • виртуальную машину vm-validator, используемую для проверки сетевой связности между сетями Virtual Private Cloud и BareMetal.

Чтобы развернуть веб-приложение на серверах Yandex BareMetal с L7-балансировщиком и защитой Yandex Smart Web Security:

1. Подготовьте облако к работе.
2. Подготовьте окружение VPC.
3. Создайте Routing Instance.
4. Подготовьте окружение BareMetal.
5. Настройте L7-балансировщик.
6. Настройте защиту от ботов, DDoS- и веб-атак.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работыПеред началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость поддержки инфраструктуры для развертывания веб-приложения на серверах BareMetal с L7-балансировщиком и защитой Smart Web Security входят:

• плата за использование публичного IP-адреса виртуальной машины (см. тарифы Yandex Virtual Private Cloud);
• плата за вычислительные ресурсы и диски ВМ (см. тарифы Yandex Compute Cloud);
• плата за аренду серверов BareMetal (см. тарифы Yandex BareMetal);
• плата за использование вычислительных ресурсов L7-балансировщика (см. тарифы Yandex Application Load Balancer);
• плата за запросы, обработанные правилами профиля безопасности (см. тарифы Yandex Smart Web Security);
• при использовании лог-группы для записи логов балансировщика плата за запись и хранение данных (см. тарифы Yandex Cloud Logging).

Трафик между приватными адресами Yandex BareMetal и Yandex Virtual Private Cloud, передаваемый в обоих направлениях через Yandex Cloud Interconnect, не тарифицируется.

Подготовьте окружение VPCПодготовьте окружение VPC

Настройте инфраструктуру на стороне Virtual Private Cloud. На этом этапе вы создадите облачную сеть, подсети, необходимые группы безопасности и виртуальную машину.

Создайте облачную сетьСоздайте облачную сеть

Создайте подсетиСоздайте подсети

Создайте группы безопасностиСоздайте группы безопасности

Создайте виртуальную машинуСоздайте виртуальную машину

Создайте Routing InstanceСоздайте Routing Instance

Для организации сетевой связности между подсетями BareMetal и подсетями Virtual Private Cloud необходимо создать ресурс Routing Instance. Routing Instance можно создать через обращение в службу технической поддержки.

Если в вашем каталоге уже есть настроенная сетевая связность с использованием Cloud Interconnect (VPC-to-On-Prem), то вы можете как использовать уже существующий Routing Instance, так и запросить создание нового, дополнительного Routing Instance для организации обособленной сетевой связности.

Проверьте наличие Routing Instance в вашем каталогеПроверьте наличие Routing Instance в вашем каталоге

1. Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

   По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

2. Проверьте наличие Routing Instance в каталоге по умолчанию:

   CLI

   Выполните команду:

   yc cloudrouter routing-instance list
   

   Если в вашем каталоге уже есть Routing Instance, команда выведет приблизительно такой результат:

   +----------------------+-------------------------------------------+--------+-----------------------+
   |          ID          |                    NAME                   | STATUS | PRIVATE CONNECTION ID |
   +----------------------+-------------------------------------------+--------+-----------------------+
   | cf35oot8f0eu******** | ajeol2afu1js********-enpcfncr6uld******** | ACTIVE | cf395uf8dg7h********  |
   +----------------------+-------------------------------------------+--------+-----------------------+
   

3. Если у вас уже есть Routing Instance, вы можете пропустить следующий шаг и переходить к подготовке окружения BareMetal.

   Если у вас нет Routing Instance или вы хотите построить дополнительную, обособленную сетевую связность, запросите создание нового Routing Instance.

Запросите создание Routing InstanceЗапросите создание Routing Instance

Обратитесь в службу технической поддержки для создания Routing Instance в вашем каталоге.

Оформите ваше обращение следующим образом:

Тема: [CIC для BareMetal] Создать Routing Instance.

Текст обращения:
Прошу Создать Routing Instance в указанном облачном каталоге со следующими параметрами:

folder_id: <идентификатор_каталога>

vpc:
  vpc_net_id: <идентификатор_сети>
    vpc_subnets: 
      kz1-a: [CIDR_a1, CIDR_a2, ..., CIDR_an]
      kz1-b: [CIDR_b1, CIDR_b2, ..., CIDR_bn]
      kz1-d: [CIDR_d1, CIDR_d2, ..., CIDR_dn]

Где:

• folder_id — идентификатор каталога.

• vpc_net_id — идентификатор облачной сети.

• vpc_subnets — список анонсируемых адресных префиксов для каждой из зон доступности. Например, для созданной ранее подсети VPC вы укажете kz1-b: [192.168.11.0/24].

  Допускается анонсирование адресных префиксов с агрегированием.

Подготовьте окружение BareMetalПодготовьте окружение BareMetal

Настройте инфраструктуру на стороне BareMetal. На этом этапе вы создадите виртуальный сегмент сети (VRF), приватную подсеть и настроите приватное соединение с облачной сетью, а также арендуете два сервера BareMetal.

Создайте виртуальный сегмент сети и приватную подсетьСоздайте виртуальный сегмент сети и приватную подсеть

Создайте VRF и приватную подсеть в пуле серверов kz1-m4:

Настройте приватное соединение с облачной сетьюНастройте приватное соединение с облачной сетью

Создайте приватное соединение Cloud Interconnect в сервисе BareMetal:

В результате на странице с информацией о VRF в блоке Приватное соединение с облачными сетями отобразится идентификатор созданного соединения и его статус.

Приватное соединение c облачными сетями может находиться в одном из следующих статусов:

• CREATING — соединение создается.
• READY — соединение сконфигурировано и готово к работе.
• ERROR — возникла проблема с приватным соединением, для устранения необходимо обратиться в поддержку.
• DELETING — соединение удаляется.
• UPDATING — настройки приватного соединения обновляются.

Арендуйте серверы BareMetalАрендуйте серверы BareMetal

Разверните веб-приложениеРазверните веб-приложение

На этом этапе вы развернете веб-приложение на серверах BareMetal. Веб-приложением на серверах будут использованы следующие ресурсы:

• /opt/mygoapp — рабочая директория веб-сервера.
• /opt/mygoapp/server — исполняемый файл веб-сервера.
• /etc/systemd/system/mygoapp.service — файл конфигурации сервиса для управления веб-сервером через systemd.

Чтобы развернуть веб-приложение на сервере:

1. Подключитесь по SSH к серверу BareMetal alb-back-0:

   ssh root@<публичный_IP-адрес_сервера>
   

   Публичный IP-адрес сервера можно узнать в консоли управления на странице Обзор с информацией о сервере BareMetal. Нужный адрес указан в блоке Публичная сеть в поле Публичный адрес.

   Все последующие действия этого шага выполняются в терминале сервера.

2. Подготовьте рабочую директорию:

   mkdir -p /opt/mygoapp && cd /opt/mygoapp
   

3. Загрузите исполняемый файл веб-сервера:

   wget https://storage.yandexcloud.net/yc-public-share/server
   

4. Установите для скачанного файла разрешение на исполнение:

   chmod +x server
   

5. Создайте в systemd новый сервис:

   1. Откройте файл конфигурации создаваемого сервиса:

      nano /etc/systemd/system/mygoapp.service
      

   2. Вставьте в открытый файл следующее содержимое:

      [Unit]
      Description=Simple Web Server on Go
      After=network.target
      [Service]
      Type=simple
      WorkingDirectory=/opt/mygoapp
      ExecStart=/opt/mygoapp/server
      Restart=always
      RestartSec=5
      [Install]
      WantedBy=multi-user.target
      

   3. Закройте файл, сохранив изменения.

6. Инициализируйте созданный сервис:

   systemctl daemon-reload
   

7. Запустите сервис:

   systemctl start mygoapp.service
   

8. Проверьте работу веб-приложения. Для этого на вашем локальном компьютере вставьте публичный IP-адрес сервера alb-back-0 в адресную строку браузера.

   В результате в окне браузера откроется страница с именем хоста и информацией о продолжительности работы веб-сервера с момента его запуска.

   Исходный код создаваемого веб-приложения

   package main
   
   import (
     "context"
     "fmt"
     "net/http"
     "os"
     "os/signal"
     "syscall"
     "time"
     "github.com/gorilla/handlers"
   )
   
   var (
     hostname    string
     htmlContent []byte
   )
   
   const (
     serverTimeout  = 5 * time.Second
     cacheDuration  = 86400 * 30 // 30 дней в секундах
     htmlTemplate = `
   <!DOCTYPE html>
   <html lang="en">
   <head>
       <!-- Минифицированный CSS -->
       <style>*{margin:0;padding:0;box-sizing:border-box;font-family:'Segoe UI',system-ui,sans-serif}body{min-height:100vh;display:flex;justify-content:center;align-items:center;background:linear-gradient(135deg,#1a1a1a,#2d2d2d);color:#fff;padding:20px}.container{background:rgba(255,255,255,0.1);backdrop-filter:blur(10px);border-radius:20px;padding:40px;box-shadow:0 8px 32px rgba(0,0,0,0.3);text-align:center;max-width:600px;width:100%%;transition:transform .3s ease}.server-name{font-size:1.8rem;margin-bottom:30px;color:#0f0;font-weight:600;text-shadow:0 0 10px rgba(0,255,136,0.3)}.datetime{font-size:2.5rem;letter-spacing:2px;margin-bottom:20px}.date{font-size:1.5rem;opacity:.8}@media (max-width:768px){.container{padding:25px;border-radius:15px}.server-name{font-size:1.4rem}.datetime{font-size:2rem}.date{font-size:1.2rem}}@media (max-width:480px){.datetime{font-size:1.6rem}}</style>
       <meta name="viewport" content="width=device-width,initial-scale=1">
       <title>Server Info & Time</title>
   </head>
   <body>
       <div class="container">
           <div class="server-name">Server Hostname: %s</div>
           <div class="datetime" id="datetime"></div>
           <div class="date" id="date"></div>
       </div>
       <script>
           // Минифицированный JavaScript
           const e=()=>{const e=new Date;document.getElementById("datetime").textContent=e.toLocaleTimeString("en-US",{timeZone:"Europe/Moscow",hour12:!1,hour:"2-digit",minute:"2-digit",second:"2-digit"}),document.getElementById("date").textContent=e.toLocaleDateString("en-US",{timeZone:"Europe/Moscow",weekday:"long",year:"numeric",month:"long",day:"numeric"})};e(),setInterval(e,1e3);
       </script>
   </body>
   </html>`
   )
   
   func init() {
     // Инициализация хоста при старте
     var err error
     if hostname, err = os.Hostname(); err != nil {
       hostname = "Unavailable"
     }
     
     // Предварительная генерация HTML
     htmlContent = []byte(fmt.Sprintf(htmlTemplate, hostname))
   }
   
   func main() {
     // Настройка обработчиков
     mux := http.NewServeMux()
     mux.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
       w.Header().Set("Content-Type", "text/html; charset=utf-8")
       w.Header().Set("Cache-Control", fmt.Sprintf("public, max-age=%d", cacheDuration))
       w.Write(htmlContent)
     })
   
     // Middleware
     chain := handlers.CompressHandler(
       handlers.CombinedLoggingHandler(os.Stdout, mux),
     )
   
     // Конфигурация сервера
     server := &http.Server{
       Addr:         ":80",
       Handler:      chain,
       ReadTimeout:  serverTimeout,
       WriteTimeout: serverTimeout,
       IdleTimeout:  serverTimeout * 2,
     }
   
     // Graceful shutdown
     ctx, stop := signal.NotifyContext(context.Background(), 
       os.Interrupt, syscall.SIGTERM)
     defer stop()
   
     go func() {
       <-ctx.Done()
       shutdownCtx, cancel := context.WithTimeout(
         context.Background(), 5*time.Second)
       defer cancel()
       server.Shutdown(shutdownCtx)
     }()
   
     fmt.Println("Server started")
     if err := server.ListenAndServe(); err != http.ErrServerClosed {
       fmt.Printf("Server error: %v\n", err)
     }
   }
   

9. Аналогичным способом разверните веб-приложение на сервере alb-back-1.

Проверьте сетевую связностьПроверьте сетевую связность

Убедитесь, что созданное ранее приватное соединение с облачной сетью готово к работе (статус Ready), затем проверьте наличие сетевой связности между виртуальной машиной vm-validator в сети Virtual Private Cloud и серверами в приватной подсети BareMetal:

1. Подключитесь по SSH к виртуальной машине vm-validator:

   ssh yc-user@<публичный_IP-адрес_ВМ>
   

   Публичный IP-адрес ВМ можно узнать в консоли управления, в поле Публичный IPv4-адрес блока Сеть на странице с информацией о ВМ.

   Все последующие действия этого шага выполняются в терминале виртуальной машины.

2. Выполните проверку сетевого доступа к серверу alb-back-0, указав его приватный IP-адрес:

   ping <приватный_IP-адрес_сервера> -s 1024 -c 3
   

   Приватный IP-адрес сервера можно узнать в консоли управления на странице Обзор с информацией о сервере BareMetal. Нужный адрес указан в блоке Приватная сеть в поле Приватный IP-адрес.

   Результат:

   PING 172.28.4.11 (172.28.4.11) 1024(1052) bytes of data.
   1032 bytes from 172.28.4.11: icmp_seq=1 ttl=58 time=3.77 ms
   1032 bytes from 172.28.4.11: icmp_seq=2 ttl=58 time=3.83 ms
   1032 bytes from 172.28.4.11: icmp_seq=3 ttl=58 time=3.80 ms
   
   --- 172.28.4.11 ping statistics ---
   3 packets transmitted, 3 received, 0% packet loss, time 2004ms
   rtt min/avg/max/mdev = 3.767/3.800/3.830/0.025 ms
   

3. Аналогичным способом убедитесь в наличии сетевого доступа к серверу alb-back-1, указав в команде ping его приватный IP-адрес.

Сохраните полученные приватные IP-адреса серверов BareMetal — они понадобятся при настройке L7-балансировщика.

Настройте L7-балансировщикНастройте L7-балансировщик

Создав сегменты инфраструктуры на стороне Virtual Private Cloud и на стороне BareMetal, а также убедившись в наличии сетевой связности между этими сегментами, настройте балансировку трафика от пользователей к веб-приложению при помощи L7-балансировщика.

Создайте целевую группу L7-балансировщикаСоздайте целевую группу L7-балансировщика

Создайте группу бэкендовСоздайте группу бэкендов

Создайте HTTP-роутерСоздайте HTTP-роутер

Создайте L7-балансировщикСоздайте L7-балансировщик

Настройте защиту от ботов, DDoS- и веб-атакНастройте защиту от ботов, DDoS- и веб-атак

Убедившись в корректной работе L7-балансировщика, настройте для вашего веб-приложения защиту от ботов, DDoS- и веб-атак с помощью профиля безопасности Smart Web Security.

Создайте профиль ARLСоздайте профиль ARL

Создайте профиль WAFСоздайте профиль WAF

Создайте профиль безопасностиСоздайте профиль безопасности

Включите защиту на хостахВключите защиту на хостах

Вы настроили веб-приложение, развернув его на двух серверах BareMetal, организовав балансировку пользовательского трафика с помощью L7-балансировщика Application Load Balancer и обеспечив защиту с помощью профиля безопасности Smart Web Security.

Как удалить созданные ресурсыКак удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

1. Удалите виртуальную машину.

2. Удалите L7-балансировщик, затем последовательно удалите HTTP-роутер, группу бэкендов и целевую группу балансировщика.

3. Удалите профиль безопасности Smart Web Security, затем удалите профиль WAF и профиль ARL.

4. Удалить серверы BareMetal нельзя. Вместо этого откажитесь от продления их аренды.

5. Если вы оставляли включенной опцию записи логов L7-балансировщика, удалите лог-группу.

6. При необходимости последовательно удалите группы безопасности, подсети и облачную сеть.

7. При необходимости удалите приватное соединение:

   Консоль управления

   1. В консоли управления выберите каталог, в котором вы создали инфраструктуру.
   2. В списке сервисов выберите BareMetal.
   3. На панели слева выберите VRF и выберите виртуальный сегмент сети my-vrf.
   4. В блоке Приватное соединение с облачными сетями нажмите и выберите Отключить соединение.
   5. В открывшемся окне подтвердите удаление.

   В результате статус соединения сменится на Deleting. После того как все связи будут удалены, соединение пропадет из списка.