Questo tutorial illustra il valore dell'aggiunta di Cloud CDN e Google Cloud Armor a un deployment di bilanciatore del carico delle applicazioni esterno esistente. Include istruzioni di base per attivare sia Cloud CDN che Google Cloud Armor con un bilanciatore del carico delle applicazioni esterno.
Migliorare le prestazioni web con Cloud CDN
L'utilizzo del bilanciatore del carico delle applicazioni esterno migliora già le prestazioni web impostando le connessioni HTTP(S) sul perimetro globale di Google più vicino al client richiedente e negoziando le connessioni utilizzando protocolli moderni come QUIC, HTTP/2 e TLS 1.3 per ridurre il numero di round trip e migliorare il throughput. Inoltre, utilizzando connessioni permanenti all'origine, Google Cloud riduce il sovraccarico di ogni connessione client. Le località edge di Google sono collegate alla nostra rete backbone privata globale, che consente a Google Cloud di ottimizzare il routing e ridurre la latenza tra il client, l'edge di Google e i tuoi backend. Puoi migliorare ulteriormente le prestazioni e ridurre i costi di pubblicazione attivando Cloud CDN nell'ambito del deployment del bilanciatore del carico delle applicazioni esterno.
Che cos'è Cloud CDN?
Cloud CDN (Content Delivery Network) utilizza i punti di presenza perimetrali di Google, distribuiti in tutto il mondo, per memorizzare nella cache copie dei contenuti con bilanciamento del carico nelle vicinanze degli utenti.
In che modo Cloud CDN può migliorare le prestazioni web
Cloud CDN migliora le prestazioni in diversi modi.
Offloada e scala l'infrastruttura di backend riducendo le richieste
Una richiesta inviata dalla cache di Cloud CDN significa che il bilanciatore del carico non deve inviare la richiesta all'infrastruttura di backend per un elemento statico come un'immagine, un video, JavaScript o un foglio di stile. Ciò non solo riduce il carico durante il normale funzionamento, ma consente all'infrastruttura di confine di Google di assorbire i picchi di richieste senza aumentare il carico sull'infrastruttura di pubblicazione di backend. In questo modo, l'infrastruttura di backend è incentrata sulla generazione di risposte specifiche per l'utente, come HTML dinamico, per esperienze web interattive.
Pubblica asset statici dal perimetro
Poiché l'infrastruttura di rete di Google invia richieste memorizzate nella cache, i tempi di risposta alle richieste dei client possono essere ridotti. Gli elementi statici della tua esperienza web, come immagini, video, JavaScript e fogli di stile, possono essere caricati subito senza dover inoltrare la richiesta ai sistemi di backend e attendere una risposta e il trasferimento dei dati.
Riduci i costi di trasferimento dei dati e dell'infrastruttura di backend
Utilizzando Cloud CDN con il bilanciatore del carico delle applicazioni esterno, riduci i costi dell'infrastruttura di backend a causa del calo del traffico verso il backend. Inoltre, puoi ridurre il numero di cicli per pubblicare contenuti statici perché vengono inviati dall'edge di Google. Il traffico Cloud CDN viene fatturato a un costo inferiore per il trasferimento di dati, controllando ulteriormente i costi.
Attivazione di Cloud CDN per il bilanciatore del carico delle applicazioni esterno
Puoi attivare Cloud CDN per un bilanciatore del carico delle applicazioni esterno esistente o quando configurerai un nuovo bilanciatore del carico.
Attivazione di Cloud CDN durante la configurazione del bilanciatore del carico delle applicazioni esterno
Durante la configurazione del backend, seleziona la casella di controllo Attiva Cloud CDN. Per maggiori dettagli, consulta le guide pratiche di Cloud CDN.
Attivazione di Cloud CDN per un bilanciatore del carico delle applicazioni esterno esistente
In una configurazione esistente di bilanciatore del carico delle applicazioni esterno, nella schermata dei dettagli del bilanciatore del carico, puoi fare clic su Modifica
per modificare il bilanciatore del carico.Quindi, nella sezione Configurazione di backend, puoi selezionare la casella di controllo Attiva Cloud CDN. Per istruzioni dettagliate, inclusi i comandi gcloud
, consulta le guide pratiche su Cloud CDN.
Migliorare la protezione web con Google Cloud Armor
L'utilizzo di Application Load Balancer esterno fornisce già una certa protezione web impostando le connessioni HTTP(S) sull'infrastruttura di rete globale di Google, sollevando l'infrastruttura di backend dall'onere di gestire questo processo. Se attivi Google Cloud Armor come parte del bilanciatore del carico delle applicazioni esterno, aumenti la visibilità e il controllo contro gli attacchi a infrastrutture e applicazioni.
Che cos'è Google Cloud Armor?
Google Cloud Armor fornisce una difesa contro gli attacchi DDoS e a livello di applicazione in combinazione con bilanciatori del carico delle applicazioni esterni. Fornisce visibilità sugli attacchi e consente di implementare regole predefinite e personalizzate per mitigare gli attacchi contro le applicazioni e i servizi web. Come il bilanciatore del carico delle applicazioni esterno, Google Cloud Armor viene fornito sul perimetro della rete di Google, contribuendo a difendersi dagli attacchi a infrastrutture e applicazioni vicino alla loro origine.
In che modo Google Cloud Armor può migliorare la protezione web
Google Cloud Armor migliora la protezione in diversi modi.
Blocca automaticamente la maggior parte degli attacchi DDoS volumetrici
Google Cloud Armor è compatibile con il bilanciatore del carico delle applicazioni esterno per bloccare automaticamente gli attacchi DDoS volumetrici e di protocollo di rete, come inondazioni di protocolli (SYN, TCP, HTTP e ICMP) e attacchi di amplificazione (NTP, UDP, DNS). Google Cloud Armor si basa su tecnologie sviluppate originariamente per difendere i servizi web di Google come la Ricerca, Gmail e Maps.
Dispone di regole WAF preconfigurate per rilevare e attenuare gli attacchi comuni alle applicazioni
Google Cloud Armor fornisce una libreria di regole WAF (Web Application Firewall) preconfigurate che aiutano a rilevare e, facoltativamente, a mitigare gli attacchi web comuni come SQL injection, cross-site scripting e attacchi di attacco di comando contro la tua infrastruttura web.
Rileva e blocca in base all'origine geografica e agli indirizzi IP o agli intervalli di IP
Google Cloud Armor sfrutta il database Geo-IP di Google per identificare la regione geografica delle richieste in entrata destinate alla tua infrastruttura web e ti consente di bloccare il traffico in base ai codici paese di due caratteri. Ad esempio, un sito di commercio online che non spedisce al di fuori di un determinato paese può bloccare le richieste provenienti da fonti comuni di traffico di attacco. Inoltre, Google Cloud Armor consente di bloccare rapidamente indirizzi IP specifici o intervalli di indirizzi IP che effettuano richieste dannose.
Fornisce visibilità per monitorare e mitigare gli attacchi HTTP(S) a livello di applicazione
Google Cloud Armor fornisce anche un linguaggio di regole personalizzate che ti consente di associare modelli complessi delle richieste in entrata utilizzando un'ampia gamma di semantiche HTTP(S). Sono inclusi intestazioni, cookie, URL, elementi di stringa di query, pattern di user agent e metodi HTTP.
Attivazione di Google Cloud Armor per il bilanciatore del carico delle applicazioni esterno
I criteri di sicurezza determinano la configurazione di Google Cloud Armor. Queste norme attivano le regole integrate e supportano le regole personalizzate per la protezione. Per eseguire il deployment di Google Cloud Armor, devi creare un criterio di sicurezza, aggiungere regole e poi associare questo criterio a uno o più servizi di backend di Application Load Balancer esterni. Ogni regola specifica i parametri da rilevare nel traffico, l'azione da eseguire se il traffico corrisponde a questi parametri e un valore di priorità che determina la posizione della regola nella gerarchia dei criteri.
Creazione di un criterio di sicurezza di Google Cloud Armor
A grandi linee, questi sono i passaggi per configurare i criteri di sicurezza di Google Cloud Armor per attivare regole che consentano o neghino il traffico verso l'Application Load Balancer esterno.
- Crea un criterio di sicurezza di Google Cloud Armor nella schermata Sicurezza di rete - Google Cloud Armor.
- Aggiungi regole al criterio in base a elenchi di IP, espressioni personalizzate o regole WAF preconfigurate come SQL injection o cross-site scripting.
- Collega il criterio di sicurezza di Google Cloud Armor a un servizio di backend del bilanciatore del carico delle applicazioni esterno per cui vuoi controllare l'accesso.
- Aggiorna il criterio di sicurezza di Google Cloud Armor in base alle esigenze.
Per istruzioni dettagliate, consulta le guide pratiche di Google Cloud Armor.
Passaggi successivi
- Scopri di più sulle capabilities di Cloud CDN.
- Scopri i criteri di sicurezza di Google Cloud Armor in approfondito.
- Configura il monitoraggio e il logging di un bilanciatore di carico delle applicazioni esterno con Cloud CDN.