GSP975

Übersicht

Das HTTP(S) Load Balancing von Google Cloud wird an den weltweiten Edges des Google-Netzwerks in seinen Points of Presence (POPs) implementiert. Der an einen HTTP(S) Load Balancer geleitete Nutzertraffic gelangt in den am nächsten gelegenen POP und wird dann über das globale Google-Netzwerk auf das nächstgelegene Backend mit ausreichender Kapazität verteilt.

Mit Google Cloud Armor können Sie mithilfe von Zulassungslisten beziehungsweise Sperrlisten von IP-Adressen den Zugriff auf Ihren HTTP(S) Load Balancer an den Edge-Netzwerkstandorten von Google Cloud beschränken oder zulassen, also in größtmöglicher Nähe zu den Nutzerinnen und Nutzern und auch zu unerwünschtem Traffic. Dadurch können böswillige Nutzende oder unerwünschter Traffic keine Ressourcen verbrauchen und auch nicht in Ihre VPC-Netzwerke eindringen.

In diesem Lab konfigurieren Sie einen im folgenden Diagramm dargestellten HTTP Load Balancer mit globalen Backends. Danach unterziehen Sie den Load Balancer einem Stresstest und fügen eine Cloud Armor-Richtlinie zur Ratenbegrenzung hinzu, um den Zugriff basierend auf der IP-Adresse einzuschränken.

Lerninhalte

Aufgaben in diesem Lab:

• Firewallregeln für HTTP-Traffic und Systemdiagnose erstellen
• Zwei Instanzvorlagen konfigurieren
• Zwei verwaltete Instanzgruppen erstellen
• HTTP Load Balancer mit IPv4 und IPv6 konfigurieren
• Stresstest mit einem HTTP Load Balancer durchführen
• Cloud Armor-Richtlinie zur Ratenbegrenzung hinzufügen, um den Zugriff basierend auf der IP-Adresse einzuschränken
• Prüfen, ob der Traffic blockiert wird, wenn ein Stresstest von einer VM aus ausgeführt wird

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange Google Cloud-Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

• Einen Standardbrowser (empfohlen wird Chrome)

Hinweis: Nutzen Sie den privaten oder Inkognitomodus (empfohlen), um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.

• Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.

Hinweis: Verwenden Sie für dieses Lab nur das Teilnehmerkonto. Wenn Sie ein anderes Google Cloud-Konto verwenden, fallen dafür möglicherweise Kosten an.

Lab starten und bei der Google Cloud Console anmelden

1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Dialogfeld geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich „Details zum Lab“ mit diesen Informationen:

   • Schaltfläche „Google Cloud Console öffnen“
   • Restzeit
   • Temporäre Anmeldedaten für das Lab
   • Ggf. weitere Informationen für dieses Lab

2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

   Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite „Anmelden“ geöffnet.

   Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

   Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

   {{{user_0.username | "Username"}}}

   Sie finden den Nutzernamen auch im Bereich „Details zum Lab“.

4. Klicken Sie auf Weiter.

5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

   {{{user_0.password | "Password"}}}

   Sie finden das Passwort auch im Bereich „Details zum Lab“.

6. Klicken Sie auf Weiter.

   Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

7. Klicken Sie sich durch die nachfolgenden Seiten:

   • Akzeptieren Sie die Nutzungsbedingungen.
   • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
   • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie auf Google Cloud-Produkte und ‑Dienste zugreifen möchten, klicken Sie auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein.

Cloud Shell aktivieren

Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

1. Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren .

2. Klicken Sie sich durch die folgenden Fenster:

   • Fahren Sie mit dem Informationsfenster zu Cloud Shell fort.
   • Autorisieren Sie Cloud Shell, Ihre Anmeldedaten für Google Cloud API-Aufrufe zu verwenden.

Wenn eine Verbindung besteht, sind Sie bereits authentifiziert und das Projekt ist auf Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:

Ihr Cloud-Projekt in dieser Sitzung ist festgelegt als {{{project_0.project_id | "PROJECT_ID"}}}

gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.

3. (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:

gcloud auth list

4. Klicken Sie auf Autorisieren.

Ausgabe:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} Um das aktive Konto festzulegen, führen Sie diesen Befehl aus: $ gcloud config set account `ACCOUNT`

5. (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:

gcloud config list project

Ausgabe:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Hinweis: Die vollständige Dokumentation für gcloud finden Sie in Google Cloud in der Übersicht zur gcloud CLI.

Aufgabe 1: Firewallregeln für HTTP-Traffic und Systemdiagnose konfigurieren

Konfigurieren Sie Firewallregeln, um HTTP-Traffic zu den Backends und TCP-Traffic von der Systemdiagnose von Google Cloud zuzulassen.

HTTP-Firewallregel erstellen

Erstellen Sie eine Firewallregel, um HTTP-Traffic an die Backends zuzulassen.

1. Öffnen Sie in der Cloud Console das Navigationsmenü () und klicken Sie dann auf VPC-Netzwerk > Firewall.

2. Sie sehen die folgenden Firewallregeln: ICMP, internal, RDP und SSH.

   Jedes Google Cloud-Projekt startet mit dem Netzwerk default und dessen Firewallregeln.

3. Klicken Sie auf Firewallregel erstellen.

4. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellung:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Name	default-allow-http
   Netzwerk	default
   Ziele	Angegebene Ziel-Tags
   Ziel-Tags	http-server
   Quellfilter	IPv4-Bereiche
   Quell-IP-Bereiche	0.0.0.0/0
   Protokolle und Ports	Angegebene Protokolle und Ports, klicken Sie dann auf das Kästchen neben „tcp“ und geben Sie Folgendes ein: 80

   Hinweis: Achten Sie darauf, dass /0 in den Quell-IP-Bereichen enthalten ist und so alle Netzwerke angegeben sind.

5. Klicken Sie auf Erstellen.

Firewallregeln für die Systemdiagnose erstellen

Mit Systemdiagnosen wird ermittelt, zu welchen Instanzen eines Load Balancers neue Verbindungen aufgebaut werden können. Beim HTTP Load Balancing werden die Systemdiagnosetests für Ihre Instanzen mit Load Balancing über Adressen in den Bereichen 130.211.0.0/22 und 35.191.0.0/16 durchgeführt. Ihre Firewallregeln müssen diese Verbindungen zulassen.

1. Klicken Sie auf der Seite Firewallregeln auf Firewallregel erstellen.

2. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellung:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Name	default-allow-health-check
   Netzwerk	default
   Ziele	Angegebene Ziel-Tags
   Ziel-Tags	http-server
   Quellfilter	IPv4-Bereiche
   Quell-IP-Bereiche	130.211.0.0/22, 35.191.0.0/16
   Protokolle und Ports	Angegebene Protokolle und Ports, klicken Sie dann auf das Kästchen neben „tcp“

   Hinweis: Achten Sie darauf, die beiden Quell-IP-Bereiche nacheinander und durch ein Leerzeichen getrennt einzugeben.

3. Klicken Sie auf Erstellen.

Klicken Sie auf Fortschritt prüfen. Firewallregeln für HTTP-Traffic und Systemdiagnose konfigurieren

Aufgabe 2: Instanzvorlagen konfigurieren und Instanzgruppen erstellen

Mit einer Instanzvorlage kann in einer verwalteten Instanzgruppe eine Gruppe identischer Instanzen eingerichtet werden. Erstellen Sie damit die Backends des HTTP Load Balancers.

Instanzvorlagen konfigurieren

Eine Instanzvorlage ist eine API-Ressource, mit der Sie VM-Instanzen und verwaltete Instanzgruppen erstellen können. In Instanzvorlagen sind Maschinentyp, Image des Bootlaufwerks, Subnetz, Labels und andere Instanzattribute definiert. Erstellen Sie eine Instanzvorlage für und eine weitere für .

1. Öffnen Sie in der Cloud Console das Navigationsmenü () und klicken Sie dann auf Compute Engine > Instanzvorlagen > Instanzvorlage erstellen.
2. Geben Sie unter Name die Bezeichnung -template ein.
3. Wählen Sie unter Standort die Option Global aus.
4. Wählen Sie unter Reihe die Option E2 aus.
5. Klicken Sie auf Netzwerk, Laufwerke, Sicherheit, Verwaltung, einzelne Mandanten.

6. Klicken Sie auf Netzwerk und geben Sie im Feld Netzwerk-Tags http-server ein.

7. Maximieren Sie unter Netzwerkschnittstellen das Netzwerk „default“ und legen Sie die folgenden Werte fest.

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Netzwerk	default
   Subnetzwerk	default ()

Hinweis: Durch das Netzwerk-Tag http-server wird sichergestellt, dass die Firewallregeln für HTTP-Traffic und Systemdiagnose auf diese Instanzen angewendet werden.

8. Klicken Sie auf den Tab Verwaltung.

9. Klicken Sie unter Metadaten auf + ELEMENT HINZUFÜGEN und legen Sie die folgenden Werte fest.

   Schlüssel	Wert
   startup-script-url	gs://spls/gsp975/startup.sh

Hinweis: Mit dem Schlüssel startup-script-url wird festgelegt, welches Script ausgeführt wird, wenn Instanzen gestartet werden. Durch dieses Script wird Apache installiert und die Begrüßungsseite so geändert, dass sie die Client-IP sowie den Namen, die Region und die Zone der VM-Instanz enthält. Sie können sich das Script hier ansehen.

10. Klicken Sie auf Erstellen.
11. Warten Sie, bis die Instanzvorlage erstellt wurde.

Erstellen Sie nun eine weitere Instanzvorlage für subnet-b. Kopieren Sie hierfür die Vorlage -template:

1. Klicken Sie auf -template und dann oben auf die Option Kopieren.
2. Geben Sie unter Name die Bezeichnung -template ein.
3. Wählen Sie unter Standort die Option Global aus.
4. Klicken Sie auf Erweiterte Optionen.
5. Klicken Sie auf Netzwerk > Netzwerkschnittstellen und maximieren Sie das Netzwerk default.
6. Wählen Sie als Subnetzwerk die Option default () aus.
7. Klicken Sie auf Erstellen.

Verwaltete Instanzgruppen erstellen

Erstellen Sie eine verwaltete Instanzgruppe in und eine in .

1. Klicken Sie im Navigationsmenü () im Menü auf der linken Seite auf Compute Engine > Instanzgruppen.

2. Klicken Sie auf Instanzgruppe erstellen.

3. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellung:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Name	-mig
   Instanzvorlage	-template
   Standort	Mehrere Zonen
   Region
   Mindestanzahl von Instanzen	1
   Maximale Anzahl von Instanzen	5
   Autoscaling > Autoscaling-Signale (zum Bearbeiten auf den Abwärtspfeil klicken) > Signaltyp	CPU-Auslastung
   CPU-Zielauslastung	80
   Initialisierungsphase	45

   Hinweis: Verwaltete Instanzgruppen bieten Funktionen für das Autoscaling, mit denen Sie Instanzen lastabhängig automatisch hinzufügen oder entfernen können. Mit Autoscaling bewältigen Ihre Anwendungen Anstiege im Traffic reibungslos und bei einem geringeren Ressourcenbedarf sinken die Kosten. Dazu definieren Sie einfach eine Autoscaling-Richtlinie zur automatischen Skalierung, die auf der gemessenen Last basiert.

4. Klicken Sie auf Erstellen.

Wiederholen Sie den Vorgang jetzt, um in eine zweite Instanzgruppe für -mig zu erstellen:

1. Klicken Sie auf Instanzgruppe erstellen.

2. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellung:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Name	-mig
   Instanzvorlage	-template
   Standort	Mehrere Zonen
   Region
   Mindestanzahl von Instanzen	1
   Maximale Anzahl von Instanzen	5
   Autoscaling > Autoscaling-Signale (zum Bearbeiten auf den Abwärtspfeil klicken) > Signaltyp	CPU-Auslastung
   CPU-Zielauslastung	80
   Initialisierungsphase	45

3. Klicken Sie auf Erstellen.

Klicken Sie auf Fortschritt prüfen. Instanzvorlagen und Instanzgruppe konfigurieren

Backends prüfen

Vergewissern Sie sich, dass VM-Instanzen in beiden Regionen erstellt werden und auf ihre HTTP-Websites zugreifen.

1. Klicken Sie unter Compute Engine im Menü auf der linken Seite auf VM-Instanzen.

2. Achten Sie auf die Instanzen, die mit -mig und -mig beginnen.

   Diese Instanzen sind Teil der verwalteten Instanzgruppen.

3. Klicken Sie auf die externe IP-Adresse einer Instanz von -mig.

   Es sollten dann die Client-IP (Ihre IP-Adresse), der Hostname (beginnt mit -mig) und der Serverstandort (eine Zone in ) angezeigt werden.

4. Klicken Sie auf die externe IP-Adresse einer Instanz von -mig.

   Es sollten dann die Client-IP (Ihre IP-Adresse), der Hostname (beginnt mit -mig) und der Serverstandort (eine Zone in ) angezeigt werden.

Hinweis: Die Informationen unter Hostname und Serverstandort geben an, wohin der HTTP Load Balancer Traffic sendet.

Aufgabe 3: HTTP Load Balancer konfigurieren

Konfigurieren Sie den HTTP Load Balancer, damit Traffic zwischen den beiden Backends (-mig in und -mig in ) ausgeglichen wird, wie im folgenden Diagramm gezeigt:

Konfiguration starten

1. Klicken Sie in der Cloud Console auf das Navigationsmenü () und wählen Sie Alle Produkte ansehen aus. Klicken Sie unter Netzwerk auf Netzwerkdienste > Load Balancing > Load Balancer erstellen.
2. Klicken Sie unter Application Load Balancer (HTTP/S) auf Weiter.
3. Wählen Sie unter Öffentlich oder intern die Option Öffentlich (extern) aus und klicken Sie auf Weiter.
4. Wählen Sie unter Globale Bereitstellung oder Bereitstellung in einzelner Region die Option Optimal für globale Arbeitslasten aus und klicken Sie auf Weiter.
5. Wählen Sie unter Load-Balancer-Generation die Option Globaler externer Application Load Balancer aus und klicken Sie auf Weiter.
6. Klicken Sie auf Konfigurieren.
7. Geben Sie unter Name des Load Balancers den String http-lb ein.

Backend konfigurieren

Backend-Dienste leiten eingehenden Traffic an ein oder mehrere verknüpfte Backends weiter. Jedes Backend besteht aus einer Instanzgruppe und zusätzlichen Metadaten zur Kapazität.

1. Klicken Sie auf Backend-Konfiguration.

2. Klicken Sie auf das Drop-down-Menü Backend-Dienste und Backend-Buckets und dann auf Backend-Dienst erstellen.

3. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellung:

   Attribut	Wert (Option auswählen)
   Name	http-backend
   Instanzgruppe	-mig
   Portnummern	80
   Balancing-Modus	Rate
   Maximale Anzahl der Anfragen pro Sekunde	50
   Kapazität	100

   Hinweis: Diese Konfiguration bedeutet, dass der Load Balancer versucht, jede Instanz von -mig auf oder unter 50 Anfragen pro Sekunde zu halten.

4. Klicken Sie auf Fertig.

5. Klicken Sie auf Backend hinzufügen.

6. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellung:

   Attribut	Wert (Option auswählen)
   Instanzgruppe	-mig
   Portnummern	80
   Balancing-Modus	Auslastung
   Maximale Backend-Auslastung	80
   Kapazität	100

   Hinweis: Diese Konfiguration bedeutet, dass der Load Balancer versucht, jede Instanz von -mig auf oder unter 80 % der CPU-Auslastung zu halten.

7. Klicken Sie auf Fertig.

8. Klicken Sie unter Systemdiagnose auf Systemdiagnose erstellen.

9. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellung:

   Attribut	Wert (Option auswählen)
   Name	http-health-check
   Protokoll	TCP
   Port	80

   Hinweis: Mit Systemdiagnosen wird ermittelt, zu welchen Instanzen neue Verbindungen aufgebaut werden können. Diese HTTP-Systemdiagnose fragt Instanzen alle fünf Sekunden ab und wartet bis zu fünf Sekunden auf eine Antwort. Bei zwei erfolgreichen oder zwei fehlgeschlagenen Versuchen wird das System als fehlerfrei beziehungsweise fehlerhaft bewertet.

10. Klicken Sie auf Erstellen.

11. Klicken Sie auf das Kästchen für Logging aktivieren.

12. Legen Sie die Stichprobenrate auf 1 fest.

13. Klicken Sie auf Erstellen, um den Backend-Dienst zu erstellen, und dann auf Ok.

Frontend konfigurieren

Host- und Pfadregeln bestimmen, wohin Ihr Traffic weitergeleitet wird. Sie könnten beispielsweise Traffic, der durch Videos entsteht, an ein Backend weiterleiten und Traffic, der aus statischen Daten entsteht, an ein anderes Backend. Allerdings konfigurieren wir im Rahmen dieses Labs keine Host- und Pfadregeln.

1. Klicken Sie auf Frontend-Konfiguration.

2. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellungen:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Protokoll	HTTP
   IP-Version	IPv4
   IP-Adresse	Sitzungsspezifisch
   Port	80

3. Klicken Sie auf Fertig.

4. Klicken Sie auf Frontend-IP-Adresse und -Port hinzufügen.

5. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellungen:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Protokoll	HTTP
   IP-Version	IPv6
   IP-Adresse	Automatisch zuweisen
   Port	80

6. Klicken Sie auf Fertig.

Hinweis: Das HTTP(S) Load Balancing unterstützt Client-Traffic von IPv4- und IPv6-Adressen. IPv6-Anfragen von Clients werden auf der Load-Balancing-Ebene terminiert und dann über IPv4 an die Backends weitergeleitet.

HTTP Load Balancer prüfen und erstellen

1. Klicken Sie auf Prüfen und abschließen.

   

2. Prüfen Sie die Backend-Dienste und das Frontend.

   

3. Klicken Sie auf Erstellen.

4. Warten Sie, bis der Load Balancer erstellt wurde.

5. Klicken Sie auf den Namen des Load Balancers (http-lb).

6. Sehen Sie sich für die nächste Aufgabe die IPv4- und IPv6-Adresse des Load Balancers an. Sie lauten [LB_IP_v4] beziehungsweise [LB_IP_v6].

Hinweis: Die IPv6-Adresse wird im Hexadezimalformat angezeigt.

Klicken Sie auf Fortschritt prüfen. HTTP Load Balancer konfigurieren

Aufgabe 4: HTTP Load Balancer testen

Nachdem Sie einen HTTP Load Balancer für Ihre Backends erstellt haben, prüfen Sie nun, ob der Traffic über den Backend-Dienst weitergeleitet wird.

Auf den HTTP Load Balancer zugreifen

• Öffnen Sie einen neuen Tab im Browser und rufen Sie http://[LB_IP_v4] auf, um den IPv4-Zugriff auf den HTTP Load Balancer zu testen. Ersetzen Sie dabei [LB_IP_v4] durch die IPv4-Adresse des Load Balancers.

Hinweis: Der Zugriff auf den HTTP Load Balancer kann bis zu fünf Minuten dauern. In der Zwischenzeit kann ein 404- oder 502-Fehler auftreten. Versuchen Sie es so lange, bis Sie die Seite eines der Backends sehen. Hinweis: Abhängig von Ihrer Entfernung von und wird der Traffic entweder an eine Instanz von -mig oder -mig weitergeleitet.

Wenn Sie eine lokale IPv6-Adresse haben, versuchen Sie die IP-Adresse des HTTP Load Balancers unter http://[LB_IP_v6] aufzurufen. Ersetzen Sie [LB_IP_v6] durch die IPv6-Adresse des Load Balancers.

Stresstest des HTTP Load Balancers durchführen

Erstellen Sie mit siege eine virtuelle Maschine (VM), um eine Last auf den HTTP Load Balancer zu simulieren. Stellen Sie dann fest, ob der Traffic zwischen den beiden Backends ausgeglichen wird, wenn die Last hoch ist.

1. Öffnen Sie in der Console das Navigationsmenü () und klicken Sie dann auf Compute Engine > VM‑Instanzen.

2. Klicken Sie auf Instanz erstellen.

3. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellung:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Name	siege-vm
   Region
   Zone
   Reihe	E2

Hinweis: Da näher an als an liegt, sollte der Traffic nur an -mig weitergeleitet werden, solange die Last nicht zu hoch ist.

4. Klicken Sie auf Erstellen.
5. Warten Sie, bis die Instanz siege-vm erstellt ist.
6. Klicken Sie bei siege-vm auf SSH, um ein Terminal zu starten und eine Verbindung herzustellen.
7. Führen Sie den folgenden Befehl aus, um „siege“ zu installieren:

sudo apt-get -y install siege

Klicken Sie auf Fortschritt prüfen. HTTP Load Balancer testen

8. Führen Sie den folgenden Befehl aus, um die IPv4-Adresse des HTTP Load Balancers in einer Umgebungsvariable zu speichern. Ersetzen Sie dabei [LB_IP_v4] durch die IPv4-Adresse:

export LB_IP=[LB_IP_v4]

9. Führen Sie den folgenden Befehl aus, um eine Last zu simulieren:

siege -c 250 http://$LB_IP

Die Ausgabe sollte in etwa so aussehen:

New configuration template added to /home/cloudcurriculumdeveloper/.siege Run siege -C to view the current settings in that file

10. Klicken Sie in der Cloud Console im Navigationsmenü () auf Alle Produkte ansehen. Klicken Sie unter Netzwerk auf Netzwerkdienste > Load Balancing.
11. Klicken Sie auf Backends.
12. Klicken Sie auf http-backend.
13. Wechseln Sie zu http-lb.
14. Klicken Sie auf den Tab Monitoring.
15. Beobachten Sie zwei bis drei Minuten lang unter Frontend-Zone (Eingehender Traffic insgesamt) den Traffic zwischen Nordamerika und den beiden Backends.

Zuerst sollte der Traffic nur an -mig weitergeleitet werden. Mit steigender Anzahl der Anfragen pro Sekunde wird er aber auch an -mig weitergeleitet.

Sie sehen, dass der Traffic standardmäßig an das nächstgelegene Backend weitergeleitet wird. Wird der Traffic aber zu hoch, kann er über mehrere Backends verteilt werden.

16. Kehren Sie zum SSH-Terminal von siege-vm zurück.
17. Drücken Sie STRG + C, um „siege“ zu beenden.

Aufgabe 5: Cloud Armor-Richtlinie zur Ratenbegrenzung erstellen

In diesem Abschnitt setzen Sie siege-vm mithilfe von Cloud Armor auf die Sperrliste. Sie verhindern den Zugriff auf den HTTP Load Balancer, indem Sie eine Richtlinie zur Ratenbegrenzung festlegen.

1. Erstellen Sie in der Cloud Shell eine Sicherheitsrichtlinie über gcloud:

gcloud compute security-policies create rate-limit-siege \ --description "policy for rate limiting"

2. Fügen Sie als Nächstes eine Ratenbegrenzungsregel hinzu:

gcloud beta compute security-policies rules create 100 \ --security-policy=rate-limit-siege \ --expression="true" \ --action=rate-based-ban \ --rate-limit-threshold-count=50 \ --rate-limit-threshold-interval-sec=120 \ --ban-duration-sec=300 \ --conform-action=allow \ --exceed-action=deny-404 \ --enforce-on-key=IP

3. Hängen Sie die Sicherheitsrichtlinie an den Backend-Dienst „http-backend“ an:

gcloud compute backend-services update http-backend \ --security-policy rate-limit-siege --global

4. Klicken Sie in der Cloud Console im Navigationsmenü () auf Alle Produkte ansehen. Klicken Sie unter Netzwerk auf Netzwerksicherheit > Cloud Armor-Richtlinien.

5. Klicken Sie auf rate-limit-siege. Ihre Richtlinie sollte in etwa so aussehen:

Klicken Sie auf Fortschritt prüfen. Cloud Armor-Richtlinie zur Ratenbegrenzung erstellen

Aufgabe 6: Sicherheitsrichtlinie prüfen

1. Kehren Sie zum SSH-Terminal von „siege-vm“ zurück.

2. Führen Sie einen curl-Befehl für die LB-IP-Adresse aus, um zu prüfen, ob Sie immer noch eine Verbindung dazu herstellen können. Sie sollten eine 200-Antwort erhalten:

curl http://$LB_IP

3. Führen Sie im SSH-Terminal von „siege-vm“ den folgenden Befehl aus, um eine Last zu simulieren:

siege -c 250 http://$LB_IP

Mit dem Befehl wird keine Ausgabe generiert.

4. Sehen Sie sich die Logs der Sicherheitsrichtlinie an, um herauszufinden, ob dieser Traffic auch blockiert wird.

5. Klicken Sie in der Cloud Console im Navigationsmenü () auf Alle Produkte ansehen. Klicken Sie unter Netzwerk auf Netzwerksicherheit > Cloud Armor-Richtlinien.

6. Klicken Sie auf rate-limit-siege.

7. Klicken Sie auf Logs.

8. Klicken Sie auf Richtlinienlogs ansehen.

9. Löschen Sie auf der Logging-Seite unbedingt den gesamten Text der Abfragevorschau.

10. Klicken Sie auf Application Load Balancer > http-lb-forwarding-rule > http-lb und dann auf Anwenden.

11. Klicken Sie jetzt auf Abfrage ausführen.

12. Maximieren Sie einen der Logeinträge unter „Abfrageergebnisse“.

    

13. Maximieren Sie httpRequest.

Diese Anfrage sollte von der IP-Adresse von siege-vm stammen. Falls nicht, maximieren Sie einen anderen Logeintrag.

14. Maximieren Sie jsonPayload.

15. Maximieren Sie enforcedSecurityPolicy.

    

Sie sehen, dass configuredAction den Wert DENY und den Namen rate-limit-siege hat.

Hinweis: Sicherheitsrichtlinien von Cloud Armor erstellen Logs, anhand derer Sie herausfinden können, wann Traffic zugelassen oder abgelehnt wurde und aus welcher Quelle er stammt.

Das war's!

Sie haben einen HTTP Load Balancer mit Backends in und konfiguriert. Danach haben Sie mit einer VM einen Stresstest durchgeführt und mithilfe von Cloud Armor die IP-Adresse über die Ratenbegrenzung auf die Sperrliste gesetzt. Sie konnten die Logs der Sicherheitsrichtlinie untersuchen, um festzustellen, warum dieser Traffic blockiert wurde.

Weitere Informationen

Dokumentation zu Google Cloud Armor

Cloud Load Balancing-Dokumentation

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 8. September 2025 aktualisiert

Lab zuletzt am 8. September 2025 getestet

© 2026 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.