我這邊講最基本的,真的是最基本,因為一些使用者開了一台VM直接曝露IP在Internet上面,然後遭到攻擊不知如何解決,所以寫這個,請各位就耐心設定一下。
一句話講完防護方式:前面用Load Balance幫你擋住攻擊
為什麼這個方法有效?因為變成LB的外部IP在internet上面,你可以把主機的IP拿掉,這樣駭客就攻擊不到你的主機。
如果你只有一台,不要開執行個體,而是用「執行個體群組」,因為LB只能導流量到執行個體群組,不能到單台主機。
執行個體群組要怎麼建?要先去建執行個體範本。
那執行個體範本怎麼建?可以建startup-scripts或用image。
image就是,你先開好單台主機,應用程式都裝好,然後把它關機(一定要),接著用那台主機的硬碟建image。
image怎麼建就不解釋了。
下圖是用image建立執行個體範本的畫面,其中下限和上限都設1,如果預算不夠的話,反正永遠就是只開1台。
因為一切從簡,就不執行檢查了。
這是我的網站,目前是單台主機IP
第一個選項是建立後端服務
讓這個後端服務去接到你的執行個體群組
它下面還有健康狀態檢查,如果你是第一次設,就留預設值就好。
設定好的後端長這樣
接下來,前端比較重要
原本下圖是沒有IP位址的,可以直接在下拉式選單中預約,這是預約好的畫面
預約IP位址,其實只是取個名字而已,並不能指定IP
另外,主機與路徑規則,就是告訴它,要訪問哪裡的流量,讓它去哪裡,類似路由的感覺。
因為是所有流量都導向那個後端服務,所以不用再設定,如果你有做分流,就是有好幾個後端,例如一堆Portal、還有一堆AP,就可以設定不同規則。
都設完後會有一個檢查,點下去它會檢查「一段時間」
如果等不及可以直接按建立,但是要耐心等它檢查完才會建立。
最後我去造訪LB的IP
表示Load Balance起來了!成功!
接下來要故意把主機IP拿掉,只要編輯那台機器,把IP位址改成「無」就對了。
確認IP拿掉的畫面如下:
然後,確定舊IP進不去了
並且確定LB的IP是可以進入網站的,就真的成功了!
再補充一下,這是真的最基本防護,因為只有一台主機,所以很多細節設定都略過或是用預設值,如果要做到負載平衡和自動擴充的精神,下次再分享給大家喔!
留言
張貼留言