本指南介绍了如何使用 Google Cloud Armor Enterprise。如需详细了解 Cloud Armor Enterprise,请参阅 Google Cloud Armor Enterprise 概览。
必需的 IAM 权限
如需为结算帐号订阅 Cloud Armor Enterprise 或切换订阅的自动续订设置,您必须是对要订阅的结算帐号具有 Identity and Access Management (IAM) 权限 billing.accounts.update 的用户。
如需将项目注册到 Cloud Armor Enterprise 订阅,您必须对要在 Cloud Armor Enterprise 中注册的当前所选项目拥有以下 IAM 权限:
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.update
如需详细了解结算权限,请参阅 Cloud Billing 访问权限控制概览。
订阅 Cloud Armor Enterprise 并注册项目
如需订阅 Cloud Armor Enterprise 并注册当前项目,请按以下步骤操作。Cloud Armor Enterprise Annual 和 Cloud Armor Enterprise Paygo 的注册路径不同,并且某些路径专用于 Google Cloud 控制台或 Google Cloud CLI。
控制台
订阅 Cloud Armor Enterprise Annual
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。如果您的订阅处于有效状态,则表示结算帐号已订阅。
点击 Cloud Armor Enterprise Annual 窗格中的订阅并注册。您会看到一个确认对话框。
注册 Cloud Armor Enterprise Paygo
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
点击 Cloud Armor Enterprise Paygo 窗格中的注册。
gcloud
订阅 Cloud Armor Enterprise Annual
注册 Cloud Armor Enterprise Paygo
如需在 Cloud Armor Enterprise Paygo 中注册当前项目,请使用以下 gcloud 命令:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
我们强烈建议您尽快在 Cloud Armor Enterprise 中注册您的项目,因为激活最多可能需要 24 小时。在此期间,您可以继续注册项目。
如需注册其他项目,请按以下步骤操作。
控制台
在 Cloud Armor Enterprise Annual 中注册其他项目
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
在 Cloud Armor Enterprise Annual 窗格中,点击注册。
在 Cloud Armor Enterprise Paygo 中注册其他项目
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
在 Cloud Armor Enterprise Paygo 窗格中,点击注册。
gcloud
在 Cloud Armor Enterprise Annual 中注册其他项目
在 Cloud Armor Enterprise Paygo 中注册其他项目
使用以下命令在 Cloud Armor Enterprise Paygo 中注册项目:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
从 Cloud Armor Enterprise 中移除项目
在从 Cloud Armor Enterprise 移除项目之前,我们建议您先熟悉从 Cloud Armor Enterprise 降级。在 Cloud Armor Enterprise 中取消注册项目后,更改最多可能经过 12 小时才会生效。在此期间,您可以继续取消注册(或注册)其他项目。
如需从 Cloud Armor Enterprise 取消注册项目,请按以下步骤操作。
控制台
从 Cloud Armor Enterprise Annual 取消注册项目
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
在标准窗格中,点击注册。
从 Cloud Armor Enterprise Paygo 取消注册项目
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
在标准窗格中,点击注册。
gcloud
从 Cloud Armor Enterprise Annual 取消注册项目
您无法使用 Google Cloud CLI 从 Cloud Armor Enterprise Annual 取消注册项目。您必须改用 Google Cloud 控制台。
从 Cloud Armor Enterprise Paygo 取消注册项目
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
查看或更改注册层级
使用以下部分查看您当前的 Cloud Armor Enterprise 注册层级,将注册从 Cloud Armor Enterprise Annual 更改为 Cloud Armor Enterprise Paygo,或将注册从 Cloud Armor Enterprise Paygo 更改为 Cloud Armor Enterprise Annual。
查看当前的 Cloud Armor Enterprise 注册层级
使用以下说明查看您当前的 Cloud Armor Enterprise 注册层级。
控制台
在 Google Cloud 控制台中,前往 Cloud Armor 服务层级页面。
您会看到可用的 Cloud Armor Enterprise 服务层级,包括 Cloud Armor Enterprise Paygo 和 Cloud Armor Enterprise Paygo。系统会突出显示您当前的 Cloud Armor Enterprise 注册层级,并在项目字段中显示为“已注册”。
gcloud
如需查看您当前的 Cloud Armor Enterprise 注册层级,请使用以下 gcloud 命令:
gcloud compute project-info describe
查看注册所涵盖的后端服务和后端存储分区的数量
在 Cloud Armor Enterprise 中注册的每个项目都会显示 Cloud Armor Enterprise 页面上涵盖的后端服务和后端存储分区的数量。您看到的数字是注册涵盖的后端服务和后端存储分区的总数。
如果项目已在 Cloud Armor 企业标准版(默认层级)中注册,则不会显示此计数。
将注册状态从 Cloud Armor Enterprise Annual 更改为 Cloud Armor Enterprise Paygo
请按照以下步骤将您的注册从 Cloud Armor Enterprise Annual 更改为 Cloud Armor Enterprise Paygo:
将注册状态从 Cloud Armor Enterprise Paygo 更改为 Cloud Armor Enterprise Annual
请按照以下步骤将您的注册状态从 Cloud Armor Enterprise Paygo 更改为 Cloud Armor Enterprise Annual:
退订 Cloud Armor Enterprise Annual 结算账号
Cloud Armor Enterprise 包年订阅是一年期合约,可自动续订。为防止在一年期结束时续订,您必须停用自动续订。停用自动续订后,当当前的一年订阅期结束时,您的 Cloud Armor Enterprise Annual 订阅不会续订,并且结算帐号中注册 Cloud Armor Enterprise Annual 的所有项目都将还原为 Cloud Armor Enterprise Standard。
如需取消 Cloud Armor 企业版年度自动续订,请按以下步骤操作。
控制台
登录订阅的结算帐号后,在 Google Cloud 控制台中,转到 Cloud Armor Service Tier 页面。
点击自动续订(关闭)。当前订阅到期时,您的 Cloud Armor Enterprise 订阅不会续订。届时,Cloud Armor Enterprise 中注册的项目将不再注册。他们仍然可以获享 Cloud Armor 企业标准版中提供的 DDoS 攻击防护。
您可以随时为结算账号重新订阅 Cloud Armor Enterprise Annual。如果您这样做,则还必须重新注册您希望受益于 Cloud Armor Enterprise 价格模式和其他功能的项目。
创建 DDoS 攻击响应支持请求
如需获得 DDoS 攻击响应支持,您可以通过 Google Cloud 控制台创建支持请求。如果您符合资格要求,您的支持请求会上报给 Google Cloud Armor DDoS 响应团队,以便提供支持、分类和可能的缓解措施。
如需创建 DDoS 攻击响应请求,请完成以下步骤:
在 Google Cloud 控制台中,前往支持页面。
选择要为其打开 DDoS 响应案例的项目。
选择案例。
点击创建案例。
指定案例是 DDoS 响应案例。
填写必填字段并提交表单。
启用 DDoS 攻击账单保护
如需提交 DDoS 账单保护申请,您的项目必须注册 Cloud Armor Enterprise Annual,并且您必须准备以下信息:
- 与目标项目关联的结算账号。
- 包含目标资源的项目的编号。
- 目标资源的面向互联网的 IP 地址。
- 攻击开始的时间。
- 攻击结束的时间。
- 受影响服务的常规流量。
- 受影响服务的攻击卷。
您可以通过 Google Cloud 控制台发起聊天或联系结算支持团队。如需详细了解如何联系 Cloud Billing 支持团队,请参阅如何与 Cloud Billing 支持团队联系。
跨项目引用要求
如果您使用跨项目服务引用,并且希望享受 Cloud Armor Enterprise 的价格,则前端和后端服务项目都必须注册 Cloud Armor Enterprise Annual。
符合条件的攻击次数
对于外部直通式网络负载平衡器、协议转发和公共 IP 地址 (VM),仅当在攻击开始时为受攻击端点所在的区域启用了高级 DDoS 攻击防护功能,该攻击才会被视为“符合条件的攻击”(如 Google Cloud Armor 条款和限制中所述)。
使用威胁情报
如需使用威胁情报,您可以使用 evaluateThreatIntelligence 匹配表达式配置安全政策,并根据您要允许或屏蔽的类别提供 Feed 名称。如果威胁情报错误地屏蔽某个 IP 地址,则您可以将该 IP 地址添加到排除列表中以允许流量。
排查 Cloud Armor Enterprise 问题
本部分中的信息可帮助您解决 Cloud Armor Enterprise 的任何问题。
您已订阅 Cloud Armor Enterprise Annual,但您的账单仍采用随用随付定价模式
如果您已订阅 Cloud Armor Enterprise,但仍然采用随用随付的结算方式,请检查您的项目是否已在 Cloud Armor Enterprise 中注册。
Subscribe 按钮无法使用
如果您因 Subscribe 按钮不可用而无法订阅 Cloud Armor Enterprise Annual,请执行以下操作:
- 确保尝试订阅的用户拥有足够的 IAM 权限:
- 用户必须拥有
billing.accounts.update权限才能在结算账号级层进行订阅。 - 用户必须拥有
resourcemanager.projects.createBillingAssignment和resourcemanager.projects.update才能将各个项目注册到该层级或退出该层级。
- 用户必须拥有
账单差异
如果以上问题排查提示未能解决您遇到的问题,请与 Google Cloud 结算支持团队联系。