Google Cloud Armor Managed Protection 是一项代管式应用保护服务,可帮助保护您的 Web 应用和服务免受分布式拒绝服务 (DDoS) 攻击和来自互联网的其他威胁。Managed Protection 有助于保护部署在 Google Cloud、本地或其他基础架构提供商上的应用。
Google Cloud Armor 标准版与托管式保护服务增强版
Google Cloud Armor 提供两种服务层级:标准和 Managed Protection Plus:
Google Cloud Armor 标准版采用随用随付价格模式,包括在全球负载均衡基础架构中提供始终有效的保护,以防范耗尽容量的 DDoS 攻击和基于协议的 DDoS 攻击,并可以访问 Google Cloud Armor Web 应用防火墙 (WAF) 规则功能(包括为 OWASP 排名前 10 项保护功能预配置的 WAF 规则)。
Managed Protection Plus 按月订阅,其中包含 Google Cloud Armor 标准版的所有功能、捆绑的 Google Cloud Armor WAF 使用(包括规则、政策和请求)、第三方命名的 IP 地址列表、适用于 Google Cloud Armor 的威胁情报、适用于 L7 端点的自适应保护,以及适用于直通式端点(网络负载均衡器、协议转发和虚拟机的公共 IP 地址)的高级网络 DDoS 攻击防护。Managed Protection Plus 订阅者还可以使用 DDoS 账单保护和 DDoS 响应团队服务。
所有包含 HTTP(S) 负载均衡、外部 TCP 代理负载均衡或外部 SSL 代理负载均衡的所有项目都会自动注册 Google Cloud Armor 标准。在结算帐号级层订阅 Managed Protection Plus 之后,用户可以选择注册关联至 Managed Protection Plus 中结算帐号的各个项目。
下表汇总了两个服务层级。
| Google Cloud Armor 标准版 | Managed Protection Plus | |
|---|---|---|
| 结算方式 | 即用即付 | 按月订阅 + 数据处理费用(请参阅价格) |
| DDoS 攻击防护 |
|
|
| 高级网络 DDoS 攻击防护 | 否 | 是 |
| Google Cloud Armor WAF | 按每个请求每项政策的每条规则(请参阅价格) | 包含在 Plus 订阅中 |
| 资源限制 | 最高限额 | 最高限额 |
| 预配置的 WAF 规则 | 是 | 是 |
| 承诺期 | 不适用 | 一年 |
| 已命名的 IP 地址列表 | 否 | 是 |
| 威胁情报 | 否 | 是 |
| 自动调节式保护 | 仅限提醒 | 是 |
| DDoS 响应支持 | 不适用 | 有(带高级支持服务) |
| DDoS 帐单保护 | 不适用 | 是 |
订阅 Managed Protection Plus
如要使用 Managed Protection Plus 中的其他服务和功能,您必须先订阅 Managed Protection Plus。为结算帐号激活 Managed Protection Plus 订阅后,您必须在 Managed Protection Plus 中注册各个项目。
我们强烈建议您尽快在 Managed Protection Plus 中注册您的项目,因为激活过程最多可能需要 24 小时才能完成。
HTTP(S) 负载均衡、外部 TCP 代理负载均衡和外部 SSL 代理负载均衡
在 Managed Protection Plus 中注册项目后,系统会将项目中的转发规则添加到订阅中。此外,所有后端服务和后端存储桶都算作受保护资源,其用量计入 Managed Protection Plus 每月订阅费用。Managed Protection Plus 中的后端服务和后端存储桶是结算帐号下所有已注册项目的总和。
网络负载均衡、协议转发和公共 IP 地址(虚拟机)
Google Cloud Armor 提供以下选项来保护这些端点免受 DDoS 攻击:
- 标准网络 DDoS 攻击防护:为网络负载均衡器、协议转发或具有公共 IP 地址的虚拟机提供基本的始终开启防护。这包括强制执行转发规则和自动速率限制。
- 高级网络 DDoS 攻击防护:可为 Managed Protection Plus 订阅者提供额外保护。高级网络 DDoS 攻击防护按区域配置。为特定区域启用后,Google Cloud Armor 为该区域中的网络负载均衡器、协议转发和具有公共 IP 地址的虚拟机提供始终开启的卷攻击检测和有针对性的缓解功能。
DDoS 响应支持
通过 Google Cloud Armor Managed Protection 分布式拒绝服务攻击 (DDoS) 响应支持,您可以获享保护所有 Google 服务的同一团队所提供的 DDoS 攻击全天候支持和潜在自定义缓解措施。您可以在攻击期间获得 DDoS 支持来帮助减少攻击,也可主动联系来规划应对即将到来的大量或潜在病毒式事件(该事件可能会攻击异常大量的访问者)。
如需获得 DDoS 响应支持,请参阅获得 DDoS 响应支持。
DDoS 帐单保护
Google Cloud Armor DDoS 帐单保护提供赠金,用于补偿因已证实的 DDoS 攻击而导致帐单中来自 Google Cloud Load Balancing、Google Cloud Armor 和网络互联网、区域间和地区间出站流量的未来 Google Cloud 用量有所增加的情况。如果已确认申请且已提供赠金,则赠金不能用于抵扣现有用量;这笔赠金只能用于未来用量。下表演示了 DDos 帐单保护涵盖的资源:
| 端点类型 | 涵盖的用量增长 | |
|---|---|---|
|
Google Cloud Armor | Managed Protection 数据处理费用 |
| 网络 | 网络出站流量 | |
| 区域间 | ||
| 可用区间 | ||
| 运营商对等互连 | ||
| 负载均衡器 | 入站流量数据处理费用 | |
| 出站流量数据处理费用 | ||
|
Google Cloud Armor | Managed Protection 数据处理费用 |
| 网络 | 网络出站流量 | |
| 区域间 | ||
| 可用区间 | ||
| 运营商对等互连 | ||
| 负载均衡器 | 入站流量数据处理费用 | |
| 出站流量数据处理费用 |
如需获得 DDoS 账单保护,请参阅获得 DDoS 账单保护。
条款和限制
如需详细了解 Managed Protection Plus 的条款和限制,请参阅服务专用条款页面并按照下列步骤操作:
- 点击服务条款。
- 滚动到 9. Google Cloud Armor – Managed Protection Plus。