Связаться с намиПодключиться

Создание L7-балансировщика Application Load Balancer с профилем безопасности Smart Web Security

Статья создана
Обновлена 22 октября 2024 г.

C помощью сервиса Yandex Smart Web Security вы можете защитить инфраструктуру от DDoS-атак и ботов на уровне приложений (L7).

Вы создадите тестовый веб-сервер, развернете L7-балансировщик Application Load Balancer, который будет распределять трафик на тестовый веб-сервер, и защитите созданную инфраструктуру с помощью профиля безопасности Smart Web Security.

Чтобы создать L7-балансировщик с профилем безопасности:

  1. Подготовьте облако к работе.
  2. Подготовьте инфраструктуру.
  3. Создайте профиль безопасности.
  4. Подключите профиль безопасности к виртуальному хосту.
  5. Протестируйте работу профиля безопасности.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Подготовьте инфраструктуру

Разверните инфраструктуру Application Load Balancer, а также ВМ с тестовым веб-сервером.

Будут созданы следующие ресурсы:

Сохраните публичный IP-адрес L7-балансировщика, он понадобится для проверки профиля безопасности.

Совет

Чтобы обеспечить доступность вашего сервиса при высоких нагрузках, рекомендуем настроить автомасштабирование L7-балансировщика.

Создайте профиль безопасности

Профиль безопасности является основным элементом сервиса Smart Web Security и состоит из набора правил, каждое из которых содержит условия для фильтрации входящих пользовательских запросов к защищаемому ресурсу.

Чтобы создать профиль безопасности:

  1. В консоли управления выберите каталог, в котором вы хотите создать профиль.

  2. В списке сервисов выберите Smart Web Security.

  3. Нажмите кнопку Создать и выберите По преднастроенному шаблону.

    Преднастроенный профиль содержит:

    Совет

    Создание преднастроенного профиля с полной защитой Smart Protection является предпочтительным. Рекомендуем использовать его, чтобы обеспечить наибольшую безопасность защищаемого ресурса.

  4. Введите имя профиля, например test-sp1.

  5. В поле Действие для базового правила по умолчанию выберите Запретить. Таким образом, если не будет задано других правил, весь трафик к защищаемому ресурсу будет запрещен.

  6. Нажмите кнопку Добавить правило.

  7. В окне создания правила:

    1. Введите имя правила, например test-rule1.

    2. Задайте приоритет правила, например 999800. Правило будет иметь больший приоритет, чем преднастроенные.

      Примечание

      Чем меньше значение параметра, тем больший приоритет у правила. Приоритеты преднастроенных правил:

      • базовое правило по умолчанию — 1000000;
      • правило Smart Protection с полной защитой — 999900.

    3. Выберите тип правила — Базовое.

    4. Выберите действие — Разрешить.

      В правиле будут описаны условия, при которых запросы будут направлены к бэкенду тестового приложения.

    5. В поле Условия выберите IP.

    6. В появившемся поле Условия на IP выберите опцию Совпадает или принадлежит диапазону и задайте публичный IP-адрес устройства, с которого вы будете отправлять запросы L7-балансировщику, например 158.160.100.200.

    7. Нажмите кнопку Добавить.

      В блоке Правила безопасности в таблице появится созданное вами правило.

  8. Нажмите кнопку Создать.

Подключите профиль безопасности к виртуальному хосту

  1. В консоли управления выберите каталог, в котором вы хотите подключить профиль безопасности к виртуальному хосту сервиса Application Load Balancer.

  2. В списке сервисов выберите Smart Web Security.

  3. Выберите профиль test-sp1.

  4. Нажмите кнопку Подключить к хосту.

  5. В открывшемся окне выберите:

    • Балансировщик test-load-balancer.
    • HTTP-роутер test-http-router.
    • Виртуальный хост test-virtual-host.

  6. Нажмите кнопку Подключить.

    На вкладке Подключенные хосты появится подключенный виртуальный хост.

Протестируйте работу профиля безопасности

  1. Откройте терминал устройства, IP-адрес которого вы указали в разрешающем правиле.

  2. Отправьте запрос на бэкенд тестового приложения:

    curl --verbose <публичный_IP-адрес_L7-балансировщика>

    В результате должно быть выведено содержимое директории с тестовым веб-сервером.

  3. Повторите запрос с другого IP-адреса. В результате должно быть выведено сообщение о невозможности установить соединение с сервером.

Примечание

Проверка правил Smart Protection не проводится. При такой проверке параметры подозрительных запросов, в том числе IP-адреса, заносятся в черный список.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите профиль безопасности.
  2. Удалите L7-балансировщик.
  3. Удалите HTTP-роутер.
  4. Удалите группу бэкендов.
  5. Удалите целевую группу.
  6. Удалите ВМ.
Предыдущая
Посмотреть операции с профилями
Следующая
Обзор