Создание L7-балансировщика Application Load Balancer с профилем безопасности Smart Web Security
C помощью сервиса Yandex Smart Web Security вы можете защитить инфраструктуру от DDoS-атак и ботов на уровне приложений (L7).
Вы создадите тестовый веб-сервер, развернете L7-балансировщик Application Load Balancer, который будет распределять трафик на тестовый веб-сервер, и защитите созданную инфраструктуру с помощью профиля безопасности Smart Web Security.
Чтобы создать L7-балансировщик с профилем безопасности:
- Подготовьте облако к работе.
- Подготовьте инфраструктуру.
- Создайте профиль безопасности.
- Подключите профиль безопасности к виртуальному хосту.
- Протестируйте работу профиля безопасности.
Если созданные ресурсы вам больше не нужны, удалите их.
Подготовьте облако к работе
Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:
- Перейдите в консоль управления
, затем войдите в Yandex Cloud или зарегистрируйтесь. - На странице Yandex Cloud Billing
убедитесь, что у вас подключен платежный аккаунт, и он находится в статусеACTIVE
илиTRIAL_ACTIVE
. Если платежного аккаунта нет, создайте его и привяжите к нему облако.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака
Подробнее об облаках и каталогах.
Подготовьте инфраструктуру
Разверните инфраструктуру Application Load Balancer, а также ВМ с тестовым веб-сервером.
Будут созданы следующие ресурсы:
- ВМ
test-vm1
с тестовым веб-сервером. - целевая группа
test-target-group
. - группа бэкендов
test-backend-group
. - HTTP-роутер
test-http-router
с виртуальным хостомtest-virtual-host
. - L7-балансировщик
test-load-balancer
.
Сохраните публичный IP-адрес L7-балансировщика, он понадобится для проверки профиля безопасности.
Совет
Чтобы обеспечить доступность вашего сервиса при высоких нагрузках, рекомендуем настроить автомасштабирование L7-балансировщика.
Создайте профиль безопасности
Профиль безопасности является основным элементом сервиса Smart Web Security и состоит из набора правил, каждое из которых содержит условия для фильтрации входящих пользовательских запросов к защищаемому ресурсу.
Чтобы создать профиль безопасности:
-
В консоли управления
выберите каталог, в котором вы хотите создать профиль. -
В списке сервисов выберите Smart Web Security.
-
Нажмите кнопку Создать и выберите По преднастроенному шаблону.
Преднастроенный профиль содержит:
- базовое правило по умолчанию, включенное для всего трафика с типом действия —
Запретить
; - правило Smart Protection, включенное для всего трафика, с типом действия —
Полная защита
.
Совет
Создание преднастроенного профиля с полной защитой Smart Protection является предпочтительным. Рекомендуем использовать его, чтобы обеспечить наибольшую безопасность защищаемого ресурса.
- базовое правило по умолчанию, включенное для всего трафика с типом действия —
-
Введите имя профиля, например
test-sp1
. -
В поле Действие для базового правила по умолчанию выберите
Запретить
. Таким образом, если не будет задано других правил, весь трафик к защищаемому ресурсу будет запрещен. -
Нажмите кнопку
Добавить правило. -
В окне создания правила:
-
Введите имя правила, например
test-rule1
. -
Задайте приоритет правила, например
999800
. Правило будет иметь больший приоритет, чем преднастроенные.Примечание
Чем меньше значение параметра, тем больший приоритет у правила. Приоритеты преднастроенных правил:
- базовое правило по умолчанию —
1000000
; - правило Smart Protection с полной защитой —
999900
.
- базовое правило по умолчанию —
-
Выберите тип правила —
Базовое
. -
Выберите действие —
Разрешить
.В правиле будут описаны условия, при которых запросы будут направлены к бэкенду тестового приложения.
-
В поле Условия выберите IP.
-
В появившемся поле Условия на IP выберите опцию
Совпадает или принадлежит диапазону
и задайте публичный IP-адрес устройства, с которого вы будете отправлять запросы L7-балансировщику, например158.160.100.200
. -
Нажмите кнопку Добавить.
В блоке Правила безопасности в таблице появится созданное вами правило.
-
-
Нажмите кнопку Создать.
Подключите профиль безопасности к виртуальному хосту
-
В консоли управления
выберите каталог, в котором вы хотите подключить профиль безопасности к виртуальному хосту сервиса Application Load Balancer. -
В списке сервисов выберите Smart Web Security.
-
Выберите профиль
test-sp1
. -
Нажмите кнопку
Подключить к хосту. -
В открывшемся окне выберите:
- Балансировщик
test-load-balancer
. - HTTP-роутер
test-http-router
. - Виртуальный хост
test-virtual-host
.
- Балансировщик
-
Нажмите кнопку Подключить.
На вкладке Подключенные хосты появится подключенный виртуальный хост.
Протестируйте работу профиля безопасности
-
Откройте терминал устройства, IP-адрес которого вы указали в разрешающем правиле.
-
Отправьте запрос на бэкенд тестового приложения:
curl --verbose <публичный_IP-адрес_L7-балансировщика>
В результате должно быть выведено содержимое директории с тестовым веб-сервером.
-
Повторите запрос с другого IP-адреса. В результате должно быть выведено сообщение о невозможности установить соединение с сервером.
Примечание
Проверка правил Smart Protection не проводится. При такой проверке параметры подозрительных запросов, в том числе IP-адреса, заносятся в черный список.
Как удалить созданные ресурсы
Чтобы перестать платить за созданные ресурсы: