使用 Google Cloud Armor Managed Protection

本指南介绍如何使用 Google Cloud Armor Managed Protection Plus。如需详细了解 Managed Protection,请参阅 Google Cloud Armor Managed Protection 概览

如需切换到 Managed Protection Plus,请完成以下步骤:

  1. 让您的结算帐号订阅 Managed Protection Plus 层级。
  2. 在 Managed Protection Plus 订阅中注册各个项目。

必需的 IAM 权限

如需让结算帐号订阅 Managed Protection Plus 或切换订阅的自动续订设置,您必须是拥有要订阅的结算帐号的 Identity and Access Management (IAM) 权限 billing.accounts.update 的用户。

如需将项目注册到 Managed Protection Plus 订阅,您必须对 Managed Protection Plus 中注册的当前选定项目拥有以下 IAM 权限:

  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.update

如需详细了解结算权限,请参阅 Cloud Billing 访问权限控制概览

订阅 Managed Protection Plus 并注册项目

如需订阅 Managed Protection Plus 并注册当前项目,请按照以下步骤操作:

控制台

  1. 在 Google Cloud Console 中,转到网络安全页面。

    转到“网络安全”

  2. 点击Cloud Armor

  3. 点击 Managed Protection。如果您的 Plus 层级订阅处于有效状态,则说明结算帐号已订阅。

  4. 点击注册 Plus 层级。您会看到一个确认对话框。

  5. 如需注册当前项目,请确保选中注册当前项目复选框。

  6. 如需确认您的订阅,请点击订阅。否则,请点击取消

如需注册其他项目,请按以下步骤操作:

控制台

  1. 登录到订阅的结算帐号后,请转到您要注册的其他项目。
  2. 在 Cloud Console 中,转到网络安全页面。

    转到“网络安全”

  3. 点击 Cloud Armor,然后点击Managed Protection

  4. Plus 层级下,点击变更为 Plus 层级

从 Managed Protection Plus 中移除项目

如需从 Managed Protection Plus 中取消注册项目,请按照以下步骤操作:

控制台

  1. 登录到订阅的结算帐号后,请转到要从 Plus 层级中移除的项目。
  2. 在 Cloud Console 中,转到网络安全页面。

    转到“网络安全”

  3. 点击 Cloud Armor,然后点击Managed Protection

  4. 标准层级(默认)下,点击变更为标准层级

从 Managed Protection Plus 中退订结算帐号

Managed Protection Plus 订阅为期一年,可自动续订。为防止在一年期结束时续订,您必须停用自动续订。自动续订功能停用后,如果当前的一年订阅期结束,您的 Managed Protection Plus 订阅将不会续订,而且结算帐号中的所有项目都将恢复为 Managed Protection 标准。

如需取消 Managed Protection Plus 自动续订,请按照以下步骤操作:

控制台

  1. 登录到订阅的结算帐号后,在 Cloud Console 中,转到网络安全页面。

    转到“网络安全”页面

  2. 点击 Cloud Armor,然后点击Managed Protection

  3. 点击自动续订(关闭)。当前订阅过期时,您的 Managed Protection Plus 订阅不会续订。届时,在 Managed Protection Plus 中注册的项目便不再注册。这些项目仍然会获得 Managed Protection 标准提供的 DDoS 攻击防护。

您可以随时让结算帐号重新订阅 Managed Protection Plus。如果您这样做,还必须重新注册希望享受 Managed Protection Plus 价格模式和其他功能的项目。

获得 DDoS 响应支持

下面是要打开案例并从 Google Cloud Armor DDoS 响应支持团队获取帮助的资格要求:

  • 您的结算帐号存在有效的 Managed Protection Plus 订阅
  • 工作负载遭到攻击的项目必须注册 Managed Protection Plus
  • 结算帐号必须具有付费帐号才能获得 Cloud 支持

打开案例

如需获得 DDoS 响应支持,您可以通过 Google Cloud Console 打开支持案例。如果您符合资格要求,您的案例会被上报给 Google Cloud Armor DDoS 响应团队,以获取支持、分类和潜在缓解措施。

如需打开 DDoS 响应案例,请完成以下步骤:

  1. 导航到 Google Cloud Console 中的“支持”页面。
    转到“支持”页面
  2. 选择要为其打开 DDoS 响应案例的项目。
  3. 选择案例
  4. 点击创建案例
  5. 指定案例是 DDoS 响应案例。
  6. 填写必填字段并提交表单。

获得 DDoS 帐单保护

如需申请 DDoS 帐单保护,您必须准备好以下信息:

  • 与目标项目关联的结算帐号。
  • 包含目标资源的项目的编号。
  • 目标资源的面向互联网的 IP 地址。
  • 攻击开始的时间。
  • 攻击结束的时间。
  • 受影响服务的常规流量。
  • 受影响服务的攻击卷。

您可以通过 Google Cloud Console 发起聊天或联系结算支持团队。如需详细了解如何联系 Cloud Billing 支持团队,请参阅如何与 Cloud Billing 支持团队联系

Managed Protection 问题排查

本部分提供的信息可帮助您解决 Managed Protection 的任何问题。

您订阅了 Managed Plus Plus,但帐单继续采用随用随付模式

如果您订阅了 Managed Plus Plus,并且仍以随用随付模式计费,请检查您是否在 Managed Protection Plus 中注册了项目。

Subscribe 按钮无法使用

如果由于 Subscribe 按钮无法使用而不能订阅 Managed Protection Plus,请执行以下操作:

  • 确保尝试订阅的用户拥有足够的 IAM 权限:
    • 用户必须拥有 billing.accounts.update 权限才能在结算帐号级层进行订阅。
    • 用户必须拥有 resourcemanager.projects.createBillingAssignmentresourcemanager.projects.update 才能向 Plus 层级注册或注销单个项目。

无法以编程方式订阅或注册受 Managed Protection 保护的项目

Managed Protection Plus 中的订阅和注册只能通过 Cloud Console 界面提供。不支持 gcloud 命令行工具和 REST API。

确定订阅所涵盖的后端服务数量

在 Managed Protection Plus 中注册的每个项目都会在 Google Cloud Armor 页面上的 Managed Protection 标签下显示所涵盖的后端服务数量。您看到的数量是注册到订阅的结算帐号下所有项目的总和;也就是订阅涵盖的后端服务总数。

如果项目注册了 Managed Protection 标准,则不会显示此计数。

帐单差异

如果以上问题排查提示未能解决您遇到的问题,请与 Google Cloud 结算支持团队联系。

后续步骤