前情提要
在加入負載平衡(load balancer)後,我們發現防火牆的某些規則失效了,
尤其是那些僅允許公司內網存取站台的規則。
這是相當重要的規則,因為我們的部分開發資訊與半成品儲存在這些機器上。
之所以建立了負載平衡(load balancer),有兩個原因
首先,我需要作後端 API 的版本切換,而因為使用的程式語言不同並部署在不同主機,
而 load balancer 透過路由規則將流量導向不同的機器群的機制非常適合。
第二,我們的正式環境一直有 load balancer,而測試環境沒有,趁這個機會將沙盒/測試環境的配置調整成一致。
問題
本來有設定某些防火牆的規則,在掛載 load balancer 後就失效了。
原因是規則會識別流量的 IP,而掛載後,所有的流量對於機器來說,所有流量都來自 load balancer 的 IP 了。
這樣的規則形同虛設,這個時候 Google Armor 就是一個不錯的替代方案
Google Armor Tips
設定上十分簡單,在 Cloud Armor 頁面上選擇 policies,
我的情況是在建立 load balancer 後,就已經自動建立,
所以就直接修改。
參考規則如下
| Action | Type | IP Addresses/Ranges | Priority |
|---|---|---|---|
| Allow | IP addresses/ranges | 5*.1**.***.205/32 | 999 |
| 10.140.0.0/20 | |||
| Deny | IP addresses/ranges | 0.0.0.0/0 | 1,000 |
| (block all) |
一個是對指定來源 IP 與內網允許流量進來,一個是拒絕所有流量,這裡的設定與防火牆蠻像的。
接下來是目標的部份,要設定你的機器群,設定好套用,大約 10 分鐘內就會生效(實測不到3分鐘就生效了)
小結
Google Armor的主要優勢之一是其簡單易用的設定。
在Cloud Armor頁面上,我們可以輕鬆地設定我們的安全策略,包括允許特定IP範圍的流量進入,同時拒絕不受歡迎的流量。
這些設定反映在我們的參考規則中,確保了對特定IP和內部網路的控制,同時阻止不受歡迎的流量。
特別是對於我們使用負載平衡器進行後端API版本切換和環境配置調整的需求,Google Armor提供了一個理想的解決方案。
其能夠在不同機器群之間巧妙地分發流量,確保我們的應用程式在不同版本之間平穩運作,同時維持良好的安全性。
這樣的調整不僅解決了我們遇到的具體問題,也提升了整體系統的安全性和可靠性。
(fin)