本教學課程將說明在現有的外部應用程式負載平衡器部署作業中,加入 Cloud CDN 和 Google Cloud Armor 的價值。當中包含基本操作說明,教您如何透過外部應用程式負載平衡器啟用 Cloud CDN 和 Cloud Armor。
透過 Cloud CDN 提升網站效能
使用外部應用程式負載平衡器,在 Google 全球邊緣網路中更靠近要求用戶端的位置設定 HTTP(S) 連線,並使用 QUIC、HTTP/2 和 TLS 1.3 等現代通訊協定交涉連線,即可減少來回處理次數並提高輸送量,進而提升網站效能。此外,使用與來源的持續性連線,可減少每個用戶端連線的作業負擔。 Google Cloud Google 的邊緣位置與全球私人骨幹網路相連,可 Google Cloud 最佳化路由 Google Cloud ,並縮短用戶端、Google 邊緣和後端之間的延遲。啟用 Cloud CDN 做為外部應用程式負載平衡器部署作業的一部分,可進一步提升效能並降低服務費用。
什麼是 Cloud CDN?
Cloud CDN (內容傳遞聯播網) 使用 Google 遍佈全球的邊緣網路連接點,在接近使用者所在位置快取負載平衡內容的副本。
Cloud CDN 如何提升網站效能
Cloud CDN 可透過多種方式提升效能。
減少要求,卸除後端基礎架構的負擔並擴充資源
如果要求是從 Cloud CDN 快取提供服務,表示負載平衡器不需要將要求傳送至後端基礎架構,以取得圖片、影片、JavaScript 或樣式表等靜態元素。這不僅能減少正常運作期間的負載,還能讓 Google 邊緣基礎架構吸收要求暴增的情況,而不會增加後端服務基礎架構的負載。這可確保後端基礎架構專注於產生使用者專屬的回覆,例如互動式網頁體驗的動態 HTML。
從邊緣提供靜態資產
由於 Google 的全球邊緣會傳送已快取的請求,因此可縮短用戶端請求的回應時間。網頁體驗的靜態元素 (例如圖片、影片、JavaScript 和樣式表) 可以立即傳送,不必將要求轉送至後端系統,也不必等待回應和資料傳輸。
降低資料傳輸和後端基礎架構成本
搭配外部應用程式負載平衡器使用 Cloud CDN,可減少後端流量,進而降低後端基礎架構費用。此外,由於靜態內容是從 Google 邊緣傳送,因此您可以減少週期數。Cloud CDN 流量的計費方式為較低的資料傳輸費用,可進一步控管成本。
為外部應用程式負載平衡器啟用 Cloud CDN
您可以為現有的外部應用程式負載平衡器啟用 Cloud CDN,也可以在設定新的負載平衡器時啟用。
在設定外部應用程式負載平衡器時啟用 Cloud CDN
設定後端時,請選取「啟用 Cloud CDN」核取方塊。詳情請參閱 Cloud CDN 使用指南。
為現有的外部應用程式負載平衡器啟用 Cloud CDN
在現有的外部應用程式負載平衡器設定中,您可以在「Load Balancer」(負載平衡器) 詳細資料畫面中,按一下「Edit」(編輯) 修改負載平衡器。
然後在「Backend Configuration」部分,選取「Enable Cloud CDN」核取方塊。如需詳細操作說明,包括 gcloud 指令,請參閱 Cloud CDN 操作指南。
使用 Cloud Armor 加強網路保護
使用外部應用程式負載平衡器,即可在 Google 全球邊緣設定 HTTP(S) 連線,卸載後端基礎架構,不必處理這項程序,提供一定程度的網站保護。啟用 Cloud Armor 做為外部應用程式負載平衡器的一部分後,您就能更清楚掌握基礎架構和應用程式攻擊,並加強控管。
什麼是 Cloud Armor?
Cloud Armor 可與外部應用程式負載平衡器搭配使用,提供分散式阻斷服務和應用程式層防護機制。這項服務可讓您掌握攻擊情況,並部署預先設定和自訂的規則,防範針對網路應用程式和服務的攻擊。與外部應用程式負載平衡器相同,Cloud Armor 也是在 Google 網路的邊緣提供,有助於在基礎架構和應用程式攻擊的來源附近防禦。
Cloud Armor 如何提升網站保護力
Cloud Armor 可透過多種方式提升防護能力。
自動封鎖大多數巨流量 DDoS 攻擊
Cloud Armor 可與外部應用程式負載平衡器搭配使用,自動封鎖網路通訊協定和巨流量 DDoS 攻擊,例如通訊協定洪水攻擊 (SYN、TCP、HTTP 和 ICMP) 和放大攻擊 (NTP、UDP、DNS)。Cloud Armor 採用最初為防禦 Google 搜尋、Gmail 和地圖等自家網路服務而開發的技術。
提供預先設定的網路應用程式防火牆規則,有助於偵測及防範常見的應用程式攻擊
Cloud Armor 提供預先設定的網頁應用程式防火牆 (WAF) 規則程式庫,可協助偵測並選擇性減輕常見的網路攻擊,例如針對網路基礎架構的 SQL 植入、跨網站指令碼和指令植入攻擊。
依地理來源和 IP 位址或 IP 範圍偵測及封鎖
Cloud Armor 會運用 Google 的地理 IP 資料庫,識別傳入要求要前往的網路基礎架構地理區域,並根據雙字元國家/地區代碼封鎖流量。舉例來說,如果網路商店不提供特定國家/地區以外的運送服務,可以封鎖來自常見攻擊流量來源的要求。此外,Cloud Armor 可快速封鎖發出惡意要求的特定 IP 位址或 IP 位址範圍。
提供可視性,監控及減輕應用程式層 HTTP(S) 攻擊
Cloud Armor 也提供自訂規則語言,可讓您使用各種 HTTP(S) 語意,比對傳入要求中的複雜模式。包括標頭、Cookie、網址、查詢字串元素、使用者代理程式模式和 HTTP 方法。
為外部應用程式負載平衡器啟用 Cloud Armor
安全性政策會驅動 Cloud Armor 設定。這些政策可啟用內建規則,並支援自訂規則,以提供保護。如要部署 Cloud Armor,請建立安全性政策、新增規則,然後將這項政策附加至一或多個外部應用程式負載平衡器後端服務。每項規則都會指定要在流量中偵測的參數、流量符合這些參數時要採取的動作,以及決定規則在政策階層中位置的優先順序值。
建立 Cloud Armor 安全性政策
從高層次來看,設定 Cloud Armor 安全性政策的步驟如下,可啟用允許或拒絕流量傳入外部應用程式負載平衡器的規則。
- 在「網路安全」-「Cloud Armor」畫面中建立 Cloud Armor 安全性政策。
- 根據 IP 清單、自訂運算式或預先設定的 WAF 規則 (例如 SQL 插入或跨網站指令碼),在政策中新增規則。
- 將 Cloud Armor 安全性政策附加至外部應用程式負載平衡器的後端服務,以控管存取權。
- 視需要更新 Cloud Armor 安全性政策。
如需詳細操作說明,請參閱 Cloud Armor 使用指南。