Связаться с намиПодключиться

Создание L7-балансировщика с защитой от DDoS с помощью консоли управления или CLI

Статья создана
Обновлена 22 октября 2024 г.

Чтобы создать балансировщик с защитой от DDoS c помощью консоли управления Yandex Cloud или CLI:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть.
  3. Создайте группы безопасности.
  4. Создайте группу виртуальных машин.
  5. Зарезервируйте статический публичный IP-адрес.
  6. Создайте группу бэкендов.
  7. Создайте HTTP-роутер.
  8. Создайте L7-балансировщик.
  9. Проверьте работу балансировщика.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки инфраструктуры для балансировщика с защитой от DDoS входят:

Создайте облачную сеть

Все ресурсы, созданные в практическом руководстве, будут относиться к одной облачной сети.

Чтобы создать сеть:

  1. В консоли управления выберите сервис Virtual Private Cloud.
  2. Нажмите кнопку Создать сеть.
  3. Укажите имя сети ddos-network.
  4. В поле Дополнительно выберите опцию Создать подсети.
  5. Нажмите кнопку Создать сеть.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Создайте облачную сеть в каталоге по умолчанию:

    yc vpc network create \
  --name ddos-network

    Подробнее о команде yc vpc network create читайте в справочнике CLI.

  2. Создайте подсети в каждой зоне доступности, указав идентификатор облачной сети с помощью флага --network-name:

    yc vpc subnet create \
  --name ddos-network-ru-a \
  --network-name ddos-network \
  --zone ru-central1-a \
  --range 192.168.0.0/24

    yc vpc subnet create \
  --name ddos-network-ru-b \
  --network-name ddos-network \
  --zone ru-central1-b \
  --range 192.168.1.0/24

    yc vpc subnet create \
  --name ddos-network-ru-d \
  --network-name ddos-network \
  --zone ru-central1-d \
  --range 192.168.2.0/24

    Подробнее о команде yc vpc subnet create читайте в справочнике CLI.

Создайте группы безопасности

Группы безопасности содержат правила, которые разрешают балансировщику получать входящий трафик и отправлять его на ВМ, а ВМ — получать этот трафик. В сценарии будут созданы две группы безопасности: для балансировщика и для всех ВМ.

Чтобы создать группы безопасности:

  1. В консоли управления выберите сервис Virtual Private Cloud.

  2. На панели слева выберите Группы безопасности.

  3. Создайте группу безопасности для балансировщика:

    1. Нажмите кнопку Создать группу безопасности.

    2. Укажите Имя группы безопасности: ddos-sg-balancer.

    3. Выберите Сеть ddos-network.

    4. В блоке Правила создайте следующие правила по инструкции под таблицей:

      Направление
      трафика      		 Описание Диапазон портов Протокол Источник /
      назначение      		 Добавить CIDR
      Исходящий any Весь Любой CIDR 0.0.0.0/0
      Входящий ext-http 80 TCP CIDR 0.0.0.0/0
      Входящий ext-https 443 TCP CIDR 0.0.0.0/0
      Входящий healthchecks 30080 TCP Проверки состояния балансировщика

      1. Выберите вкладку Исходящий трафик или Входящий трафик.

      2. Нажмите кнопку Добавить правило.

      3. В открывшемся окне в поле Диапазон портов укажите один порт или диапазон портов, куда или откуда будет поступать трафик.

      4. В поле Протокол укажите нужный протокол или оставьте Любой, чтобы разрешить передачу трафика по всем протоколам.

      5. В поле Назначение или Источник выберите назначение правила:

        • CIDR — правило будет применено к диапазону IP-адресов. В поле CIDR блоки укажите CIDR и маски подсетей, в которые или из которых будет поступать трафик. Чтобы добавить несколько CIDR, нажимайте кнопку Добавить CIDR.
        • Группа безопасности — правило будет применено к ВМ из текущей группы или из выбранной группы безопасности.
        • Проверки состояния балансировщика — правило, которое позволяет балансировщику проверять состояние ВМ.

      6. Нажмите кнопку Сохранить. Таким образом создайте все правила из таблицы.

    5. Нажмите кнопку Сохранить.

  4. Аналогично создайте группу безопасности для ВМ с именем ddos-sg-vms, той же сетью ddos-network и следующими правилами:

    Направление
    трафика    		 Описание Диапазон портов Протокол Источник CIDR блоки
    Входящий balancer 80 TCP Группа безопасности ddos-sg-balancer
    Входящий ssh 22 TCP CIDR 0.0.0.0/0

Чтобы создать группу безопасности для балансировщика, выполните команду:

yc vpc security-group create \
  --name ddos-sg-balancer \
  --rule "direction=egress,port=any,protocol=any,v4-cidrs=[0.0.0.0/0]" \
  --rule "direction=ingress,port=80,protocol=tcp,v4-cidrs=[0.0.0.0/0]" \
  --rule "direction=ingress,port=443,protocol=tcp,v4-cidrs=[0.0.0.0/0]" \
  --rule "direction=ingress,port=30080,protocol=tcp,predefined=loadbalancer_healthchecks" \
  --network-name ddos-network

Чтобы создать группу безопасности для ВМ, выполните команду:

yc vpc security-group create \
  --name ddos-sg-vms \
  --rule "direction=ingress,port=22,protocol=tcp,v4-cidrs=[0.0.0.0/0]" \
  --rule "direction=ingress,port=80,protocol=tcp,security-group-id=<идентификатор_группы_безопасности>" \
  --network-name ddos-network

Где security-group-id — идентификатор группы безопасности ddos-sg-balancer.

Подробнее о команде yc vpc security-group create читайте в справочнике CLI.

Создайте группу ВМ

На ВМ из целевой группы развертываются бэкенды вашего приложения. Целевая группа ВМ будет подключена к балансировщику, чтобы на эндпоинты бэкендов вашего приложения можно было направлять запросы. В этом сценарии достаточно создать группу ВМ с минимальной конфигурацией.

Чтобы создать группу ВМ:

  1. В консоли управления выберите сервис Compute Cloud.

  2. На панели слева выберите Группы виртуальных машин. Нажмите кнопку Создать группу виртуальных машин.

  3. В блоке Базовые параметры:

    • Введите Имя группы ВМ: ddos-group.
    • Выберите сервисный аккаунт из списка или создайте новый. Чтобы иметь возможность создавать, обновлять и удалять ВМ в группе, назначьте сервисному аккаунту роль editor. По умолчанию все операции в Instance Groups выполняются от имени сервисного аккаунта.

  4. В блоке Распределение выберите несколько зон доступности, чтобы обеспечить отказоустойчивость хостинга.

  5. В блоке Шаблон виртуальной машины нажмите кнопку Задать и укажите конфигурацию базовой ВМ:

    • В блоке Общая информация введите Описание шаблона.

    • В блоке Образ загрузочного диска откройте вкладку Marketplace и нажмите кнопку Показать все продукты Marketplace. Выберите продукт LEMP и нажмите кнопку Использовать.

    • В блоке Диски укажите:

      • ТипHDD.
      • Размер диска — 3 ГБ.

    • В блоке Вычислительные ресурсы укажите:

      • ПлатформаIntel Cascade Lake.
      • vCPU2.
      • Гарантированная доля vCPU5%.
      • RAM1 ГБ.

    • В блоке Сетевые настройки:

      • Выберите облачную сеть ddos-network и ее подсети.
      • В поле Публичный адрес выберите Автоматически.
      • Выберите группу безопасности ddos-sg-vms.

    • В блоке Доступ укажите данные для доступа на ВМ:

      • В поле Логин введите имя пользователя.
      • В поле SSH-ключ вставьте содержимое файла открытого ключа.

      Для подключения по SSH необходимо создать пару ключей. Подробнее в разделе Создание пары ключей SSH.

    • Нажмите кнопку Сохранить.

  6. В блоке Масштабирование укажите Размер группы ВМ — 2.

  7. В блоке Интеграция с Application Load Balancer выберите опцию Создать целевую группу и укажите имя группы: tg-ddos. Подробнее о целевых группах.

  8. Нажмите кнопку Создать.

  1. Получите идентификаторы ресурсов, необходимые для создания группы ВМ, с помощью команд:

  2. Создайте YAML-файл с именем specification.yaml.

  3. Добавьте в него описание конфигурации базовой ВМ:

    name: ddos-group
service_account_id: <идентификатор_сервисного_аккаунта>
description: "DDoS alb scenario"
instance_template:
    platform_id: standard-v3
    resources_spec:
        memory: 1g
        cores: 2
        core_fraction: 5
    boot_disk_spec:
        mode: READ_WRITE
        disk_spec:
            image_id: <идентификатор_образа>
            type_id: network-hdd
            size: 3g
    network_interface_specs:
        - network_id: <идентификатор_облачной_сети>
          subnet_ids:
            - <идентификатор_подсети_в_зоне_ru-central1-a>
            - <идентификатор_подсети_в_зоне_ru-central1-b>
            - <идентификатор_подсети_в_зоне_ru-central1-d>
          primary_v4_address_spec: {}
          security_group_ids:
            - <идентификатор_группы_безопасности>
deploy_policy:
    max_unavailable: 1
    max_expansion: 0
scale_policy:
    fixed_scale:
        size: 2
allocation_policy:
    zones:
        - zone_id: ru-central1-a
        - zone_id: ru-central1-b
        - zone_id: ru-central1-d
application_load_balancer_spec:
    target_group_spec:
        name: tg-ddos

    Где security_group_ids — идентификатор группы безопасности ddos-sg-vms.

  4. Создайте группу ВМ в каталоге по умолчанию:

    yc compute instance-group create \
  --file specification.yaml

    Результат:

    done (25s)
id: cl1qjhlcdofg********
folder_id: b1g86q4m5vej********
created_at: "2021-08-30T19:25:02.031Z"
name: ddos-group
description: DDoS scenario
instance_template:
  platform_id: standard-v2
  resources_spec:
    memory: "1073741824"
    cores: "2"
    core_fraction: "5"
  boot_disk_spec:
    mode: READ_WRITE
    disk_spec:
      type_id: network-hdd
      size: "3221225472"
      image_id: fd8r6kq84o7b********
  network_interface_specs:
  - network_id: enp3srbi9u49********
    subnet_ids:
    - e9b17pi15695********
    - e2lt87g1rlig********
    - b0c7kl8riq24********
    primary_v4_address_spec: {}
    security_group_ids:
    - enpi08rif04d********
  scheduling_policy: {}
scale_policy:
  fixed_scale:
    size: "2"
deploy_policy:
  max_unavailable: "1"
  startup_duration: 0s
  strategy: PROACTIVE
allocation_policy:
  zones:
  - zone_id: ru-central1-a
  - zone_id: ru-central1-b
  - zone_id: ru-central1-d
load_balancer_state: {}
managed_instances_state:
  target_size: "2"
service_account_id: aje2stn6id9k********
status: ACTIVE
application_load_balancer_spec:
  target_group_spec:
    name: first-target-group
application_load_balancer_state:
  target_group_id: ds78imh0ds2e********

    Подробнее о команде yc compute instance-group create читайте в справочнике CLI.

Зарезервируйте статический публичный IP-адрес

Примечание

Этот шаг нельзя выполнить через интерфейс командной строки (CLI).

Чтобы защитить балансировщик от DDoS-атак, необходимо зарезервировать для него статический публичный IP-адрес с опцией Защита от DDoS-атак:

  1. В консоли управления выберите сервис Virtual Private Cloud.
  2. На панели слева выберите IP-адреса и нажмите кнопку Зарезервировать адрес.
  3. Выберите зону доступности, в которой нужно зарезервировать IP-адрес.
  4. Включите опцию Защита от DDoS-атак.
  5. Нажмите кнопку Зарезервировать.

Создайте группу бэкендов

Целевую группу, созданную вместе с группой ВМ, нужно привязать к группе бэкендов с настройками распределения трафика.

Для бэкендов в группах будут созданы проверки состояния: балансировщик будет периодически отправлять проверочные запросы к ВМ и ожидать ответа в течение определенного периода.

Чтобы создать группу бэкендов:

  1. В консоли управления выберите сервис Application Load Balancer.
  2. На панели слева выберите Группы бэкендов. Нажмите кнопку Создать группу бэкендов.
  3. Укажите Имя группы бэкендов: ddos-backend-group.
  4. В блоке Бэкенды нажмите кнопку Добавить.
  5. Укажите Имя бэкенда: backend-1.
  6. В поле Целевые группы выберите группу tg-ddos.
  7. Укажите Порт, на котором ВМ бэкенда будут принимать входящий трафик от балансировщика: 80.
  8. Нажмите кнопку Добавить проверку состояния.
  9. Укажите Порт, на котором ВМ бэкенда будут принимать проверочные соединения: 80.
  10. Укажите Путь, к которому будет обращаться балансировщик при проверке состояния: /.
  11. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Создайте группу бэкендов:

    yc alb backend-group create ddos-backend-group

    Результат:

    id: a5dg2cv4ngne********
name: ddos-backend-group
folder_id: aoerb349v3h4********
created_at: "2021-08-08T20:46:21.688940670Z"

    Подробнее о команде yc alb backend-group create читайте в справочнике CLI.

  2. Добавьте в группу бэкенд и проверку состояния:

    yc alb backend-group add-http-backend \
  --backend-group-name ddos-backend-group \
  --name backend-1 \
  --weight 1 \
  --port 80 \
  --target-group-id=<идентификатор_целевой_группы> \
  --http-healthcheck timeout=1s,interval=1s,port=80,path=/

    Где:

    • --backend-group-name — имя группы бэкендов.
    • --name — имя бэкенда.
    • --weight — вес бэкенда.
    • --port — порт.
    • --target-group-id — идентификатор целевой группы.
    • --http-healthcheck — параметры проверки состояния ресурсов.
      • port — порт.
      • timeout — таймаут.
      • interval — интервал.
      • host — адрес хоста.
      • path — путь.

    Результат:

    done (21s)
id: ds7fea2pggr2********
name: ddos-backend-group
folder_id: b1g86q4m5vej********
http:
backends:
- name: backend-1
  backend_weight: "1"
  port: "80"
  target_groups:
    target_group_ids:
    - ds78ate00f8e********
  healthchecks:
  - timeout: 1s
    interval: 1s
    healthcheck_port: "80"
    http:
      path: /
created_at: "2021-08-08T07:59:22.922603189Z"

    Подробнее о команде yc alb backend-group add-http-backend читайте в справочнике CLI.

Создайте HTTP-роутер

Группу бэкендов нужно привязать к HTTP-роутеру с правилами маршрутизации HTTP-запросов.

Чтобы создать HTTP-роутер и добавить в него маршрут:

  1. В консоли управления выберите сервис Application Load Balancer.
  2. На панели слева выберите HTTP-роутеры. Нажмите кнопку Создать HTTP-роутер.
  3. Укажите Имя HTTP-роутера: ddos-router.
  4. Нажмите кнопку Добавить виртуальный хост.
  5. Укажите Имя виртуального хоста: ddos-host.
  6. Укажите значение Authority: alb-with-ddos.com.
  7. Нажмите кнопку Добавить маршрут.
  8. Введите Имя: route-1.
  9. В поле Путь выберите Начинается с и укажите путь /.
  10. В поле Действие оставьте Маршрутизация.
  11. В списке Группа бэкендов выберите созданную ранее группу.
  12. Остальные настройки оставьте без изменений и нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Выполните команду:

    yc alb http-router create ddos-router

    Результат:

    id: a5dcsselagj4********
name: ddos-router
folder_id: aoerb349v3h4********
created_at: "2021-08-08T21:04:59.438292069Z"

    Подробнее о команде yc alb http-router create читайте в справочнике CLI.

  2. Создайте виртуальный хост, указав имя HTTP-роутера:

    yc alb virtual-host create ddos-host \
  --http-router-name ddos-router
  --authority alb-with-ddos.com

    Подробнее о команде yc alb virtual-host create читайте в справочнике CLI.

  3. Добавьте маршрут, указав имя роутера и параметры маршрутизации:

    yc alb virtual-host append-http-route route-1 \
  --virtual-host-name ddos-host \
  --http-router-name ddos-router \
  --prefix-path-match / \
  --backend-group-name ddos-backend-group \
  --request-timeout 60s

    Результат:

    done (1s)
 name: ddos-host
 routes:
 - name: route-1
   http:
     match:
       path:
         prefix_match: /
     route:
       backend_group_id: ds7fea2pggr2********
       timeout: 60s

    Подробнее о команде yc alb virtual-host append-http-route читайте в справочнике CLI.

Создайте балансировщик

Чтобы создать балансировщик:

  1. В консоли управления выберите сервис Application Load Balancer.

  2. В меню слева выберите Балансировщики.

  3. Нажмите кнопку Создать L7-балансировщик.

  4. Введите имя балансировщика: ddos-protect-alb.

  5. В блоке Сетевые настройки выберите сеть ddos-network и группу безопасности ddos-sg-balancer.

  6. В блоке Размещение выберите подсети для узлов балансировщика в каждой зоне доступности и включите передачу трафика.

  7. В блоке Обработчики нажмите кнопку Добавить обработчик. Задайте настройки обработчика:

    1. Введите имя обработчика: ddos-listener.
    2. В блоке Публичный IP-адрес включите передачу трафика.
    3. Укажите порт 80.
    4. Выберите тип Список и укажите зарезервированный ранее IP-адрес с защитой от DDoS.

  8. В поле HTTP-роутер выберите ddos-router.

  9. Нажмите кнопку Создать.

  1. Создайте балансировщик с узлами в подсетях облачной сети:

    yc alb load-balancer create ddos-protect-alb \
  --network-name ddos-network \
  --location subnet-name=ddos-network-ru-a,zone=ru-central1-a \
  --location subnet-name=ddos-network-ru-b,zone=ru-central1-b \
  --location subnet-name=ddos-network-ru-d,zone=ru-central1-d

    Подробнее о команде yc alb load-balancer create читайте в справочнике CLI.

  2. Добавьте обработчик:

    yc alb load-balancer add-listener ddos-protect-alb \
  --listener-name ddos-listener \
  --http-router-id <идентификатор_HTTP-роутера> \
  --external-ipv4-endpoint port=80, address=<IP-адрес_с_защитой_от_DDoS>

    Подробнее о команде yc alb load-balancer add-listener читайте в справочнике CLI.

После создания балансировщика, проверьте его работу.

Проверьте работу балансировщика

Проверьте доступность сервиса на хосте alb-with-ddos.com. Для этого выполните команду:

curl \
  --header "Host: alb-with-ddos.com" \
  http://<IP-адрес_L7-балансировщика>

Результат:

<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
  body {
    width: 35em;
    margin: 0 auto;
    font-family: Tahoma, Verdana, Arial, sans-serif;
  }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

Как удалить созданные ресурсы

Чтобы остановить работу хостинга и перестать платить за созданные ресурсы:

  1. Удалите нетарифицируемые ресурсы, которые блокируют удаление тарифицируемых ресурсов:

    1. Удалите L7-балансировщик ddos-protect-alb.
    2. Удалите HTTP-роутер ddos-router.
    3. Удалите группу бэкендов ddos-backend-group.

  2. Удалите группу ВМ ddos-group.

  3. Удалите зарезервированный статический публичный IP-адрес.

См. также

Предыдущая
Обзор
Следующая
Terraform