本指南介绍了如何使用 Google Cloud Armor Enterprise。如需详细了解该产品,请参阅 Cloud Armor Enterprise 概览。
必需的 IAM 权限
如需为结算账号订阅 Cloud Armor Enterprise 或切换订阅的自动续订设置,您必须是拥有要订阅的结算账号的 Identity and Access Management (IAM) 权限 billing.accounts.update
的用户。
如需将项目注册到 Cloud Armor Enterprise 订阅,您必须: 对当前选定项目具有以下 IAM 权限 您要在 Cloud Armor Enterprise 中注册的项目:
resourcemanager.projects.createBillingAssignment
resourcemanager.projects.update
compute.projects.setManagedProtectionTier
如需详细了解结算权限,请参阅 Cloud Billing 访问权限控制概览。
订阅 Cloud Armor Enterprise 并注册项目
如需订阅 Cloud Armor Enterprise 并注册当前项目,请执行以下操作: 请按以下步骤操作。Cloud Armor Enterprise 包年方案和 Cloud Armor Enterprise 按需付费方案的注册路径不同,其中一些路径仅适用于 Google Cloud 控制台或 Google Cloud CLI。
控制台
订阅 Cloud Armor Enterprise Annual
在 Google Cloud 控制台中,前往 Cloud Armor Service Tier 页面。如果您的 订阅处于有效状态,则结算账号已 已订阅。
点击 Cloud Armor Enterprise Annual 中的订阅并注册 窗格。您会看到一个确认对话框。
注册 Cloud Armor Enterprise Paygo
在 Google Cloud 控制台中,前往 Cloud Armor Service Tier 页面。
点击 Cloud Armor Enterprise Paygo 窗格中的注册。
gcloud
订阅 Cloud Armor Enterprise Annual
注册 Cloud Armor Enterprise Paygo
如需将当前项目注册到 Cloud Armor Enterprise 按需付费版,请使用以下 gcloud
命令:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
我们强烈建议您尽快在 Cloud Armor Enterprise 中注册您的项目,因为激活过程最多可能需要 24 小时才能完成。在此期间,您可以继续注册项目。
如需注册其他项目,请按以下步骤操作。
控制台
在 Cloud Armor Enterprise Annual 中注册其他项目
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
在 Cloud Armor Enterprise Annual 窗格中,点击注册。
在 Cloud Armor Enterprise Paygo 中注册其他项目
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
在 Cloud Armor Enterprise Paygo 窗格中,点击注册。
gcloud
在 Cloud Armor Enterprise Annual 中注册其他项目
在 Cloud Armor Enterprise Paygo 中注册其他项目
使用以下命令在 Cloud Armor Enterprise 中注册项目 Paygo:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
从 Cloud Armor Enterprise 移除项目
在从 Cloud Armor Enterprise 中移除项目之前,我们建议您先熟悉从 Cloud Armor Enterprise 降级。从 Cloud Armor Enterprise 取消注册项目后,最长为 更改可能要过十二小时才会生效在此期间,您可以继续取消注册(或注册)其他项目。
如需从 Cloud Armor Enterprise 中取消注册项目,请按照以下步骤操作。
控制台
从 Cloud Armor Enterprise Annual 中取消注册项目
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
在标准窗格中,点击注册。
从 Cloud Armor Enterprise Paygo 取消注册项目
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
在标准窗格中,点击注册。
gcloud
从 Cloud Armor Enterprise Annual 中取消注册项目
您无法从 Cloud Armor Enterprise Annual 取消注册项目 使用 Google Cloud CLI您必须改用 Google Cloud 控制台。
从 Cloud Armor Enterprise Paygo 中取消注册项目
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
查看或更改您的注册层级
根据以下部分查看您当前的 Cloud Armor Enterprise 注册层级,以从 Cloud Armor Enterprise 更改注册 将包年套餐更改为 Cloud Armor Enterprise Paygo,或者更改您的注册 从 Cloud Armor Enterprise Paygo 迁移到 Cloud Armor Enterprise Annual。
查看当前的 Cloud Armor Enterprise 注册层级
使用以下说明查看您当前的 Cloud Armor Enterprise 注册情况 层级。
控制台
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
您会看到可用的 Cloud Armor Enterprise 服务层级,包括 Cloud Armor Enterprise Paygo 和 Cloud Armor Enterprise Paygo。您当前的 Cloud Armor Enterprise 注册层级会突出显示,并且“项目”字段中的状态为“已注册”。
gcloud
如需查看当前的 Cloud Armor Enterprise 注册层级,请使用
以下 gcloud
命令:
gcloud compute project-info describe
查看注册所涵盖的后端服务和后端存储桶的数量
在 Cloud Armor Enterprise 中注册的每个项目都会显示 Cloud Armor Enterprise 涵盖的后端服务和后端存储分区 页面。您看到的数字是后端服务和后端的总数 涵盖的存储分区中。
如果项目注册了默认的 Cloud Armor Enterprise 标准层级,则不会显示此计数。
将注册从 Cloud Armor Enterprise Annual 更改为 Cloud Armor Enterprise Paygo
请按照以下步骤将注册从 Cloud Armor Enterprise 包年方案更改为 Cloud Armor Enterprise Paygo 方案:
将注册从 Cloud Armor Enterprise Paygo 更改为 Cloud Armor Enterprise Annual
请按照以下步骤更改您的 Cloud Armor Enterprise 注册 前往 Cloud Armor Enterprise Annual:
为结算账号退订 Cloud Armor Enterprise Annual
Cloud Armor Enterprise Annual 订阅为期一年,可自动续订。为防止在一年期结束时续订,您必须停用自动续订。自动续订功能停用后,如果当前的一年订阅期结束,您的 Cloud Armor Enterprise Annual 订阅将不会续订,而且结算账号中已注册 Cloud Armor Enterprise Annual 的所有项目都将恢复为 Cloud Armor Enterprise Standard。
如需取消 Cloud Armor Enterprise Annual 自动续订,请按以下步骤操作。
控制台
登录订阅的结算账号后,请在 在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
点击自动续订(关闭)。当前订阅过期时,您的 Cloud Armor Enterprise 订阅不会续订。那时 注册 Cloud Armor Enterprise 的项目将不再 已注册。这些项目仍然会获得 Cloud Armor Enterprise Standard 提供的 DDoS 攻击防护。
您可以随时让结算账号重新订阅 Cloud Armor Enterprise Annual。如果您这样做,还必须重新注册希望享受 Cloud Armor Enterprise 价格模式和其他功能的项目。
创建 DDoS 响应支持请求
如需寻求 DDoS 攻击响应支持,请通过 Google Cloud 控制台。对于满足 资格要求 您的支持请求会上报给 Google Cloud Armor DDoS 响应团队 支持、分类和潜在缓解措施。
如需创建 DDoS 响应支持请求,请参阅针对 DDoS 攻击请求支持。
采用 DDoS 攻击账单保护
若要提交 DDoS 攻击账单保护声明,您的项目必须注册 Cloud Armor Enterprise Annual,同时必须准备以下内容: 信息:
- 与目标项目关联的结算账号。
- 包含目标资源的项目的编号。
- 目标资源的面向互联网的 IP 地址。
- 攻击开始的时间。
- 攻击结束的时间。
- 受影响服务的常规流量。
- 受影响服务的攻击卷。
您可以通过 Google Cloud 控制台发起聊天或联系结算支持团队。如需详细了解如何联系 Cloud Billing 支持团队,请参阅如何与 Cloud Billing 支持团队联系。
跨项目引用要求
如果您使用跨项目服务引用,并且希望享受 Cloud Armor Enterprise 的价格优惠,则前端和后端服务项目都必须注册 Cloud Armor Enterprise Annual。
符合条件的攻击
适用于外部直通式网络负载平衡器、协议转发和公共 IP 地址 则攻击被视为合格攻击(如 Google Cloud Armor 条款和限制) 前提是已针对 在攻击开始时发送受攻击端点。
使用威胁情报
如需使用威胁情报,您可以使用 evaluateThreatIntelligence
匹配表达式配置安全政策,并根据您要允许或屏蔽的类别提供 Feed 名称。如果威胁情报错误地屏蔽某个 IP 地址,则您可以将该 IP 地址添加到排除列表中以允许流量。
排查 Cloud Armor Enterprise 问题
本部分中的信息可帮助您解决 Cloud Armor Enterprise 的任何问题。
您已订阅 Cloud Armor Enterprise Annual,但您的账单仍为随用随付方案
如果您已订阅 Cloud Armor Enterprise 采用随用随付计费模式,请确认您是否注册了项目 Cloud Armor Enterprise。
Subscribe
按钮无法使用
如果您无法订阅 Cloud Armor Enterprise Annual,
“Subscribe
”按钮不可用,请执行以下操作:
- 确保尝试订阅的用户拥有足够的 IAM 权限:
- 用户必须拥有
billing.accounts.update
权限才能在结算账号级层进行订阅。 - 该用户必须拥有
resourcemanager.projects.createBillingAssignment
且resourcemanager.projects.update
(用于为单个项目注册)或 超出上限。
- 用户必须拥有
账单差异
如果以上问题排查提示未能解决您遇到的问题,请与 Google Cloud 结算支持团队联系。