# üèóÔ∏è Application Load Balancer con Cloud Armor

En este laboratorio, configurar√°s un **Application Load Balancer (ALB)** global en Google Cloud, implementado en los **Points of Presence (POP)** de la red global de Google. Adem√°s, utilizar√°s **Cloud Armor** para proteger el tr√°fico mediante pol√≠ticas de seguridad basadas en listas de IP permitidas o bloqueadas. Este enfoque es ideal para proteger aplicaciones empresariales, como sistemas contables, asegurando baja latencia, alta disponibilidad y seguridad frente a accesos maliciosos.

üí° **Beneficio empresarial**: El uso de un ALB con **Cloud Armor** permite a las empresas optimizar la distribuci√≥n del tr√°fico, garantizar la disponibilidad de servicios cr√≠ticos (como plataformas de contabilidad) y proteger datos sensibles frente a ataques, reduciendo costos asociados a interrupciones o brechas de seguridad.

Para m√°s informaci√≥n, consulta la [Documentaci√≥n de Google Cloud Load Balancing](https://cloud.google.com/load-balancing/docs) y la [Documentaci√≥n de Google Cloud Armor](https://cloud.google.com/armor/docs).

## üéØ Objetivos de aprendizaje
- üîê Crear reglas de firewall para HTTP y **health checks**.
- üñ•Ô∏è Configurar dos **instance templates**.
- üë• Crear dos **managed instance groups (MIG)**.
- üåê Configurar un **Application Load Balancer** con soporte para IPv4 e IPv6.
- üß™ Ejecutar una prueba de carga (**stress test**) sobre el ALB.
- üö´ Bloquear una direcci√≥n IP con **Cloud Armor**.

üìä **Concepto clave**: Los **Points of Presence (POP)** son nodos de borde donde Google recibe tr√°fico externo y lo enruta a trav√©s de su red privada global, minimizando latencia y permitiendo la mitigaci√≥n temprana de ataques.

## üõ†Ô∏è Tarea 1: Configurar reglas de firewall para HTTP y health checks

En esta tarea, crear√°s reglas de firewall para permitir tr√°fico HTTP y los **health checks** necesarios para que el ALB funcione correctamente.

### Paso 1.1: Regla HTTP (default-allow-http)

1. En **Google Cloud Console**, ve a **VPC network** > **Firewall**.
2. Haz clic en **Create Firewall Rule**.
3. Configura:
   - **Network**: `default`
   - **Targets**: **Specified target tags**
   - **Target tags**: `http-server`
   - **Source IPv4 ranges**: `0.0.0.0/0` (permite todo Internet)
   - **Protocols/ports**: `TCP 80`
4. Haz clic en **Create**.

**Explicaci√≥n**:
- Esta regla permite tr√°fico HTTP (puerto 80) hacia las instancias con la etiqueta `http-server`.

üí° **Contexto empresarial**: Esta regla es como autorizar el acceso p√∫blico a un sistema contable en l√≠nea, asegurando que solo los servidores designados puedan recibir solicitudes.

### Paso 1.2: Regla Health Check (default-allow-health-check)

1. En la p√°gina de **Firewall**, haz clic en **Create Firewall Rule**.
2. Configura:
   - **Target tags**: `http-server`
   - **Source IPv4 ranges**: `130.211.0.0/22 35.191.0.0/16` (introduce uno, espacio, luego el otro)
   - **Protocols**: `TCP` (todos los puertos)
3. Haz clic en **Create**.

**Explicaci√≥n**:
- Los **health checks** verifican la disponibilidad de las instancias. Si una instancia no responde, el ALB deja de enviarle tr√°fico, garantizando alta disponibilidad.
- Los rangos de IP especificados son los utilizados por los **health checks** de Google Cloud.

üí° **Contexto empresarial**: Los **health checks** son como auditor√≠as autom√°ticas que verifican si un sistema financiero est√° operativo, asegurando que los usuarios siempre puedan acceder a los servicios.

## üõ†Ô∏è Tarea 2: Configurar instance templates y crear grupos de instancias

En esta tarea, crear√°s plantillas de instancias (**instance templates**) y grupos de instancias gestionados (**MIG**) para escalar autom√°ticamente los servidores web.

### Paso 2.1: Crear instance template Region 1-template

1. Ve a **Compute Engine** > **Instance templates** > **Create**.
2. Configura:
   - **Name**: `Region 1-template`
   - **Series**: `E2`
   - **Machine type**: `e2-micro`
   - **Advanced options** > **Networking** > **Network tags**: `http-server`
   - **Network interfaces**: `default` (Region 1)
   - **Management** > **Metadata** > **+ADD ITEM**:
     - **Key**: `startup-script-url`
     - **Value**: `gs://cloud-training/gcpnet/httplb/startup.sh`
3. Haz clic en **Create**.

**Explicaci√≥n**:
- El **startup script** instala **Apache** y personaliza la p√°gina de bienvenida mostrando la IP del cliente, el hostname y la zona.

üí° **Contexto empresarial**: El **startup script** es como un procedimiento automatizado que configura un sistema contable con informaci√≥n espec√≠fica al iniciarse, facilitando auditor√≠as.

### Paso 2.2: Duplicar template para Region 2

1. Selecciona `Region 1-template` > **+ CREATE SIMILAR**.
2. Cambia el **Name** a `Region 2-template`.
3. En **Network interfaces**, selecciona la subred `default` (Region 2).
4. Mant√©n el tag `http-server` y haz clic en **Create**.

**Explicaci√≥n**:
- Esto crea una plantilla similar para una regi√≥n diferente, asegurando que las instancias est√©n distribuidas geogr√°ficamente.

### Paso 2.3: Crear Managed Instance Groups (MIG)

#### Grupo Region 1-mig

1. Ve a **Compute Engine** > **Instance groups** > **Create instance group**.
2. Configura:
   - **Instance template**: `Region 1-template`
   - **Location**: **Multiple zones** (Region 1)
   - **Min instances**: `1`
   - **Max instances**: `2`
   - **Autoscaling signal**: **CPU utilization 80%**
   - **Initialization period**: `45 s`
3. Haz clic en **Create**.

#### Grupo Region 2-mig

Repite el proceso con:
- **Instance template**: `Region 2-template`
- **Location**: **Multiple zones** (Region 2)

**Explicaci√≥n**:
- Los **MIG** escalan autom√°ticamente seg√∫n la carga (CPU, RPS, etc.), asegurando disponibilidad y optimizando costos.

üí° **Contexto empresarial**: Un **MIG** es como un equipo contable que se ampl√≠a autom√°ticamente durante picos de trabajo, como cierres fiscales, para garantizar eficiencia.

#### Verificaci√≥n r√°pida

1. Ve a **Compute Engine** > **VM instances** y verifica que existan instancias con nombres que comienzan por `Region 1-mig` y `Region 2-mig`.
2. Haz clic en sus **IP externas** y observa la p√°gina web generada por el **startup script**.

Para m√°s informaci√≥n, consulta la [Documentaci√≥n de Google Cloud Compute Engine](https://cloud.google.com/compute/docs).

## üõ†Ô∏è Tarea 3: Configurar el Application Load Balancer

En esta tarea, configurar√°s un **Application Load Balancer (ALB)** global para distribuir tr√°fico entre los **MIG** creados.

### Paso 3.1: Crear el ALB

1. Ve a **Navigation menu** > **VIEW ALL PRODUCTS** > **Networking** > **Network Services** > **Load balancing**.
2. Haz clic en **Create load balancer**.
3. Selecciona **Application Load Balancer HTTP(S)** > **Next**.
4. Elige **Public facing (externo)** > **Next**.
5. Selecciona **Best for global workloads** > **Next**.
6. Selecciona **Global external Application Load Balancer** > **Next**.
7. Configura:
   - **Load Balancer Name**: `http-lb`
8. Haz clic en **Configure**.

### Paso 3.2: Frontend (IPv4 e IPv6)

Configura dos frontends:

| **Propiedad** | **Valor IPv4** | **Valor IPv6** |
|---------------|----------------|----------------|
| **Protocol**  | HTTP           | HTTP           |
| **IP version**| IPv4           | IPv6           |
| **IP address**| Ephemeral      | Auto-allocate  |
| **Port**      | 80             | 80             |

### Paso 3.3: Backend service (http-backend)

1. Configura el backend:
   - **Instance group**: `Region 1-mig`
     - **Port**: `80`
     - **Balancing mode**: `Rate`
     - **Max RPS**: `50`
     - **Capacity**: `100%`
2. A√±ade otro backend:
   - **Instance group**: `Region 2-mig`
     - **Balancing mode**: `Utilization`
     - **Max utilization**: `80%`
     - **Capacity**: `100%`
3. Crea un **health check**:
   - **Name**: `http-health-check`
   - **Protocol**: `TCP`
   - **Port**: `80`
   - **Check interval**: `5 s`
   - **Unhealthy threshold**: `2 failures`
4. Activa **Logging** con **Sample Rate** = `1`.
5. Haz clic en **Review and Finalize** > **Create**.
6. Anota las direcciones **IPv4 ([LB_IP_v4])** e **IPv6 ([LB_IP_v6])** del balanceador.

**Explicaci√≥n**:
- El ALB distribuye tr√°fico al backend m√°s cercano seg√∫n latencia y capacidad, con pol√≠ticas de desbordamiento si un backend se satura.

üí° **Contexto empresarial**: El ALB es como un sistema de distribuci√≥n autom√°tica que asegura que las solicitudes a un sistema contable se procesen en el servidor disponible m√°s cercano, optimizando tiempos de respuesta.

## üõ†Ô∏è Tarea 4: Probar el Load Balancer

En esta tarea, probar√°s el funcionamiento del ALB mediante acceso b√°sico y una prueba de carga (**stress test**).

### Paso 4.1: Acceso b√°sico

1. En tu navegador, accede a:
   - `http://[LB_IP_v4]`
   - `http://[LB_IP_v6]` (si tu red soporta IPv6)
2. Observa la p√°gina generada por el **startup script** (puede tardar unos minutos).

**Explicaci√≥n**:
- Esto verifica que el ALB est√° distribuyendo tr√°fico correctamente a los backends.

### Paso 4.2: Prueba de carga (siege)

1. Ve a **Compute Engine** > **VM instances** > **Create instance**.
2. Configura:
   - **Name**: `siege-vm`
   - **Region**: `Region 3` (por ejemplo, `us-west1`)
   - **Zone**: `Zone 3` (por ejemplo, `us-west1-a`)
   - **Series**: `E2`
3. Cuando la VM est√© lista, haz clic en **SSH**.
4. Instala **siege**:

In [None]:
sudo apt-get -y install siege

**Explicaci√≥n del comando**:
- `sudo`: Ejecuta con privilegios de superusuario.
- `apt-get`: Gestor de paquetes de Debian/Ubuntu.
- `-y`: Acepta autom√°ticamente la instalaci√≥n.
- `install siege`: Instala la herramienta **siege** para pruebas de carga HTTP.

5. Exporta la IP del Load Balancer:

In [None]:
export LB_IP=[LB_IP_v4]

**Explicaci√≥n**:
- `export`: Crea una variable de entorno.
- `LB_IP`: Almacena la IP IPv4 del ALB para usarla en comandos posteriores.

6. Ejecuta la prueba de carga:

In [None]:
siege -c 150 -t120s http://$LB_IP

**Explicaci√≥n del comando**:
- `siege`: Herramienta para pruebas de carga HTTP.
- `-c 150`: Simula 150 usuarios concurrentes.
- `-t120s`: Ejecuta la prueba durante 120 segundos.
- `http://$LB_IP`: URL objetivo (usa la variable `LB_IP`).

7. Mientras se ejecuta, observa el tr√°fico en **Load balancing** > **http-backend** > **Monitoring**.
   - Inicialmente, el tr√°fico se distribuye a `Region 1-mig`.
   - Si las RPS aumentan, tambi√©n se usar√° `Region 2-mig`.
8. Det√©n **siege** con **CTRL + C** y revisa las estad√≠sticas.

üí° **Contexto empresarial**: La prueba de carga simula un alto volumen de usuarios accediendo a un sistema contable, verificando que el ALB puede manejar picos de demanda sin interrupciones.

## üõ†Ô∏è Tarea 5: Bloquear la IP de siege-vm con Cloud Armor

En esta tarea, crear√°s una pol√≠tica de **Cloud Armor** para bloquear la IP de `siege-vm`, simulando la protecci√≥n contra un ataque.

### Paso 5.1: Crear pol√≠tica denylist-siege

1. Anota la **External IP** de `siege-vm` (`[SIEGE_IP]`).
2. Ve a **Network Security** > **Cloud Armor policies** > **Create policy**.
3. Configura:
   - **Name**: `denylist-siege`
   - **Default rule action**: `Allow`
4. Haz clic en **Next step**.
5. A√±ade una regla:
   - **Condition > Match**: `[SIEGE_IP]`
   - **Action**: `Deny`
   - **Response code**: `403 (Forbidden)`
   - **Priority**: `1000`
6. Haz clic en **Save Change to Rule** > **Next step** > **Add Target**.
7. Configura:
   - **Type**: `Backend service (external ALB)`
   - **Target**: `http-backend`
   - Selecciona **Replace** si se solicita.
8. Haz clic en **Create policy**.

**Explicaci√≥n**:
- La pol√≠tica bloquea el tr√°fico desde la IP de `siege-vm`, protegiendo el ALB de solicitudes no deseadas.

üí° **Contexto empresarial**: **Cloud Armor** es como un sistema de seguridad que bloquea accesos no autorizados a los registros financieros, evitando ataques que podr√≠an interrumpir operaciones.

### Paso 5.2: Verificar bloqueo

1. En la sesi√≥n **SSH** de `siege-vm`, ejecuta:

In [None]:
curl http://$LB_IP

**Resultado esperado**:
- `403 Forbidden`

2. Desde tu navegador local, accede a `http://[LB_IP_v4]`.
   - ‚úÖ Deber√≠a funcionar, ya que la regla por defecto es `Allow`.

3. Vuelve a ejecutar la prueba de carga en `siege-vm`:

In [None]:
siege -c 150 -t120s http://$LB_IP

**Resultado esperado**:
- No habr√° salida, ya que las peticiones son bloqueadas por **Cloud Armor**.

4. Revisa los logs en **Cloud Armor** > **denylist-siege** > **Logs** > **View policy logs**.
   - Filtra por `resource: http-lb-forwarding-rule`.
   - Cada entrada mostrar√° `configuredAction: DENY` y la pol√≠tica `denylist-siege`.

**Explicaci√≥n**:
- **Cloud Armor** bloquea el tr√°fico antes de que llegue a la red VPC, facilitando auditor√≠as y detecci√≥n de patrones an√≥malos.

üí° **Contexto empresarial**: Los logs de **Cloud Armor** son como un registro de auditor√≠a que documenta intentos de acceso no autorizados, ayudando a cumplir con normativas de seguridad.

## üìö Glosario r√°pido

| **T√©rmino**       | **Definici√≥n breve**                                              |
|-------------------|-------------------------------------------------------------------|
| **POP**           | Punto de presencia de Google en el borde de su red global.        |
| **ALB**           | Application Load Balancer global de capa 7.                       |
| **Health check**  | Sondeo de salud para decidir si enviar tr√°fico a una instancia.   |
| **MIG**           | Grupo de instancias gestionado con escalado autom√°tico.           |
| **Siege**         | Herramienta CLI para pruebas de carga HTTP.                       |
| **Cloud Armor**   | Servicio de WAF/DDoS que aplica pol√≠ticas de seguridad basadas en reglas. |

## üöÄ Resumen de conceptos

| **Concepto**            | **Explicaci√≥n contable simplificada**                              |
|-------------------------|-------------------------------------------------------------------|
| **Application Load Balancer** | Sistema que distribuye solicitudes financieras a servidores disponibles. |
| **Cloud Armor**         | Guardia de seguridad que bloquea accesos no autorizados a datos financieros. |
| **Managed Instance Group** | Equipo contable que se expande autom√°ticamente durante picos de trabajo. |
| **Health check**        | Auditor√≠a autom√°tica para verificar la operatividad de sistemas.   |
| **Points of Presence**  | Oficinas regionales que reciben y procesan solicitudes r√°pidamente. |

üí° **Conclusi√≥n empresarial**: Configurar un **Application Load Balancer** con **Cloud Armor** permite a las empresas garantizar la disponibilidad y seguridad de sistemas cr√≠ticos, como los de contabilidad, mientras optimizan costos mediante el escalado autom√°tico y la protecci√≥n contra ataques. Los logs de **Cloud Armor** facilitan auditor√≠as, asegurando el cumplimiento normativo.

Para m√°s informaci√≥n, consulta la [Documentaci√≥n de Google Cloud Load Balancing](https://cloud.google.com/load-balancing/docs) y la [Documentaci√≥n de Google Cloud Armor](https://cloud.google.com/armor/docs).