本指南介绍了如何使用 Google Cloud Armor Enterprise。如需详细了解该产品,请参阅 Cloud Armor Enterprise 概览。
必需的 IAM 权限
如需为结算账号订阅 Cloud Armor Enterprise 或切换订阅的自动续订设置,您必须是拥有要订阅的结算账号的 Identity and Access Management (IAM) 权限 billing.accounts.update 的用户。
如需将项目注册到 Cloud Armor Enterprise 订阅,您必须对 Cloud Armor Enterprise 中注册的当前选定项目拥有以下 IAM 权限:
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.updatecompute.projects.setCloudArmorTier
如需详细了解结算权限,请参阅 Cloud Billing 访问权限控制概览。
订阅 Cloud Armor Enterprise 并注册项目
如需订阅 Cloud Armor Enterprise 并注册当前项目,请按照以下步骤操作。Cloud Armor Enterprise 包年方案和 Cloud Armor Enterprise 按需付费方案的注册路径不同,其中一些路径仅适用于 Google Cloud 控制台或 Google Cloud CLI。
控制台
订阅 Cloud Armor Enterprise Annual
在 Google Cloud 控制台中,前往 Cloud Armor Service Tier 页面。如果您的订阅处于有效状态,则说明结算账号已订阅。
在 Cloud Armor Enterprise Annual 窗格中,点击订阅并注册。您会看到一个确认对话框。
注册 Cloud Armor Enterprise Paygo
在 Google Cloud 控制台中,前往 Cloud Armor Service Tier 页面。
点击 Cloud Armor Enterprise Paygo 窗格中的注册。
gcloud
订阅 Cloud Armor Enterprise Annual
注册 Cloud Armor Enterprise Paygo
如需将当前项目注册到 Cloud Armor Enterprise 按需付费版,请使用以下 gcloud 命令:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
我们强烈建议您尽快在 Cloud Armor Enterprise 中注册您的项目,因为激活过程最多可能需要 24 小时才能完成。在此期间,您可以继续注册项目。
如需注册其他项目,请按以下步骤操作。
控制台
在 Cloud Armor Enterprise Annual 中注册其他项目
在 Google Cloud 控制台中,前往 Cloud Armor Service Tier 页面。
在 Cloud Armor Enterprise Annual 窗格中,点击注册。
在 Cloud Armor Enterprise Paygo 中注册其他项目
在 Google Cloud 控制台中,前往 Cloud Armor Service Tier 页面。
在 Cloud Armor Enterprise Paygo 窗格中,点击注册。
gcloud
在 Cloud Armor Enterprise Annual 中注册其他项目
在 Cloud Armor Enterprise Paygo 中注册其他项目
使用以下命令将项目注册到 Cloud Armor Enterprise 按需付费版:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
从 Cloud Armor Enterprise 中移除项目
在从 Cloud Armor Enterprise 中移除项目之前,我们建议您先熟悉从 Cloud Armor Enterprise 降级。在 Cloud Armor Enterprise 中取消注册项目后,更改最多需要 12 小时才会生效。在此期间,您可以继续取消注册(或注册)其他项目。
如需从 Cloud Armor Enterprise 中取消注册项目,请按照以下步骤操作。
控制台
从 Cloud Armor Enterprise Annual 中取消注册项目
在 Google Cloud 控制台中,前往 Cloud Armor Service Tier 页面。
在标准窗格中,点击注册。
从 Cloud Armor Enterprise Paygo 中取消注册项目
在 Google Cloud 控制台中,前往 Cloud Armor Service Tier 页面。
在标准窗格中,点击注册。
gcloud
从 Cloud Armor Enterprise Annual 中取消注册项目
您无法使用 Google Cloud CLI 从 Cloud Armor Enterprise 包年方案中取消注册项目。您必须改用 Google Cloud 控制台。
从 Cloud Armor Enterprise Paygo 中取消注册项目
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
查看或更改您的注册层级
您可以使用以下部分查看当前的 Cloud Armor Enterprise 注册层级,将注册从 Cloud Armor Enterprise Annual 更改为 Cloud Armor Enterprise Paygo,或将注册从 Cloud Armor Enterprise Paygo 更改为 Cloud Armor Enterprise Annual。
查看当前的 Cloud Armor Enterprise 注册层级
请按照以下说明查看您当前的 Cloud Armor Enterprise 注册层级。
控制台
在 Google Cloud 控制台中,前往 Cloud Armor Service Tier 页面。
您会看到可用的 Cloud Armor Enterprise 服务层级,包括 Cloud Armor Enterprise Paygo 和 Cloud Armor Enterprise Paygo。您当前的 Cloud Armor Enterprise 注册层级会突出显示,并且“项目”字段中的状态为“已注册”。
gcloud
如需查看您当前的 Cloud Armor Enterprise 注册层级,请使用以下 gcloud 命令:
gcloud compute project-info describe
查看注册所涵盖的后端服务和后端存储分区的数量
在 Cloud Armor Enterprise 中注册的每个项目都会在 Cloud Armor Enterprise 页面上显示所涵盖的后端服务和后端存储分区数量。您看到的数字是注册涵盖的后端服务和后端存储分区的总数。
如果项目注册了默认的 Cloud Armor Enterprise 标准层级,则不会显示此计数。
将注册从 Cloud Armor Enterprise Annual 更改为 Cloud Armor Enterprise Paygo
请按照以下步骤将注册从 Cloud Armor Enterprise 包年方案更改为 Cloud Armor Enterprise Paygo 方案:
将注册从 Cloud Armor Enterprise Paygo 更改为 Cloud Armor Enterprise Annual
若要将注册方式从 Cloud Armor Enterprise 按需付费更改为 Cloud Armor Enterprise Annual,请按以下步骤操作:
为结算账号取消订阅 Cloud Armor Enterprise Annual
Cloud Armor Enterprise Annual 订阅为期一年,可自动续订。为防止在一年期结束时续订,您必须停用自动续订。自动续订功能停用后,如果当前的一年订阅期结束,您的 Cloud Armor Enterprise Annual 订阅将不会续订,而且结算账号中注册了 Cloud Armor Enterprise Annual 的所有项目都将恢复为 Cloud Armor Enterprise Standard。
如需取消 Cloud Armor 企业版包年方案的自动续订,请按以下步骤操作。
控制台
登录到订阅的结算账号后,请在 Google Cloud 控制台中前往 Cloud Armor 服务层级页面。
点击自动续订(关闭)。当前订阅过期时,您的 Cloud Armor Enterprise 订阅不会续订。届时,已注册 Cloud Armor Enterprise 的项目便不再注册。这些项目仍然会获得 Cloud Armor Enterprise Standard 提供的 DDoS 攻击防护。
您可以随时让结算账号重新订阅 Cloud Armor Enterprise Annual。如果您这样做,还必须重新注册希望享受 Cloud Armor Enterprise 价格模式和其他功能的项目。
创建 DDoS 攻击响应支持请求
如需获得 DDoS 攻击响应支持,您可以通过 Google Cloud 控制台打开支持请求。对于符合资格要求的客户,您的支持请求会上报给 Google Cloud Armor DDoS 响应团队,以获取支持、分类和潜在缓解措施。
如需创建 DDoS 响应支持请求,请参阅针对 DDoS 攻击请求支持。
启用 DDoS 账单保护
如需申请 DDoS 账单保护,您的项目必须注册到 Cloud Armor Enterprise Annual,并且您必须准备好以下信息:
- 与目标项目关联的结算账号。
- 包含目标资源的项目的编号。
- 目标资源的面向互联网的 IP 地址。
- 攻击开始的时间。
- 攻击结束的时间。
- 受影响服务的常规流量。
- 受影响服务的攻击卷。
您可以通过 Google Cloud 控制台发起聊天或联系结算支持团队。如需详细了解如何联系 Cloud Billing 支持团队,请参阅如何与 Cloud Billing 支持团队联系。
跨项目引用要求
如果您使用跨项目服务引用,并且希望享受 Cloud Armor Enterprise 的价格优惠,则前端和后端服务项目都必须注册 Cloud Armor Enterprise Annual。
符合条件的攻击
对于外部直通式网络负载平衡器、协议转发和公共 IP 地址 (VM),只有在攻击开始时受攻击端点所在区域已启用高级 DDoS 攻击防护的情况下,攻击才会被视为符合条件的攻击(如 Google Cloud Armor 条款和限制中所述)。
使用威胁情报
如需使用威胁情报,您可以使用 evaluateThreatIntelligence 匹配表达式配置安全政策,并根据您要允许或屏蔽的类别提供 Feed 名称。如果威胁情报错误地屏蔽某个 IP 地址,则您可以将该 IP 地址添加到排除列表中以允许流量。
排查 Cloud Armor Enterprise 问题
本部分中的信息可帮助您解决 Cloud Armor Enterprise 的任何问题。
您订阅了 Cloud Armor Enterprise Annual,但账单继续采用随用随付模式
如果您订阅了 Cloud Armor Enterprise,但仍以随用随付模式计费,请检查您是否在 Cloud Armor Enterprise 中注册了项目。
Subscribe 按钮无法使用
如果由于 Subscribe 按钮无法使用而不能订阅 Cloud Armor Enterprise Annual,请执行以下操作:
- 确保尝试订阅的用户拥有足够的 IAM 权限:
- 用户必须拥有
billing.accounts.update权限才能在结算账号级层进行订阅。 - 用户必须拥有
resourcemanager.projects.createBillingAssignment和resourcemanager.projects.update才能向该层级注册或注销单个项目。
- 用户必须拥有
账单差异
如果以上问题排查提示未能解决您遇到的问题,请与 Google Cloud 结算支持团队联系。