提高负载均衡的 Web 性能,加强负载均衡的 Web 保护

本教程概述了将 Cloud CDN 和 Google Cloud Armor 添加到现有外部应用负载均衡器部署的重要性,其中包含了有关如何使用外部应用负载均衡器启用 Cloud CDN 和 Cloud Armor 的基本说明。

使用 Cloud CDN 提高 Web 性能

通过在更靠近请求客户端的 Google 全球边缘设置 HTTP(S) 连接,以及使用新型协议(例如 QUIC、HTTP/2、TLS 1.3)协商连接,可以减少往返次数并提高吞吐量,从而利用外部应用负载均衡器提高 Web 性能。此外,通过使用与来源的持久性连接, Google Cloud 会降低每个客户端连接的开销。Google 的边缘位置已连接到其全球专用骨干网,使得 Google Cloud 可以优化路由并减少客户端、Google 边缘和您的后端之间的延迟时间。通过在外部应用负载均衡器中启用 Cloud CDN,您可以进一步提高性能并降低服务费用。

什么是 Cloud CDN?

Cloud CDN(内容分发网络)使用 Google 的全球分布式边缘入网点,在您的用户附近缓存负载均衡内容的副本。

Cloud CDN 如何提高 Web 性能

Cloud CDN 可以通过多种方式来提高性能。

通过减少请求来分流和扩缩后端基础架构

从 Cloud CDN 缓存传送的请求意味着负载均衡器无需向后端基础架构发送静态元素(例如图片、视频、JavaScript 或样式表)请求。这不仅可以减少正常操作期间的负载,而且可以让 Google 边缘基础架构处理高峰请求,而不会增加后端服务基础架构的负载。这样可以确保后端基础架构专注于生成特定于用户的响应(例如用于实现交互式 Web 体验的动态 HTML)。

从边缘传送静态资源

由于 Google 的全球边缘会发送缓存的请求,因此可以缩短客户端请求的响应时间。Web 体验的静态元素(例如图片、视频、JavaScript 和样式表)可以立即传送,而无需将请求转发到后端系统并等待响应和数据传输。

降低数据传输和后端基础架构费用

通过将 Cloud CDN 与外部应用负载均衡器搭配使用,您可以减少后端流量,从而降低后端基础架构费用。此外,您还可以减少传送静态内容的周期数,因为静态内容是从 Google 边缘发送的。Cloud CDN 流量以较低的数据传输费用计费,从而进一步控制费用。

为您的外部应用负载均衡器启用 Cloud CDN

您可以为现有的外部应用负载均衡器启用 Cloud CDN,也可以在设置新的负载均衡器时启用 Cloud CDN。

在设置外部应用负载均衡器期间启用 Cloud CDN

在配置后端时,请选中启用 Cloud CDN 复选框。如需了解详情,请参阅 Cloud CDN 方法指南

为现有的外部应用负载均衡器启用 Cloud CDN

在现有的外部应用负载均衡器配置的负载均衡器详细信息屏幕中,您可以点击修改 以修改负载均衡器。

然后,在后端配置部分,您可以选中启用 Cloud CDN 复选框。如需了解详细说明(包括 gcloud 命令),请参阅 Cloud CDN 方法指南

使用 Cloud Armor 加强 Web 保护

通过在 Google 的全球边缘上设置 HTTP(S) 连接,使用外部应用负载均衡器可以提供 Web 保护措施,从而使您的后端基础架构无需处理此过程。通过在外部应用负载均衡器中启用 Cloud Armor,您可以加强对基础架构和应用攻击的监视和控制。

什么是 Cloud Armor?

Cloud Armor 与外部应用负载均衡器配合使用,可提供 DDoS 攻击和应用层防御。它可以监视攻击,并且允许您部署预先配置的规则和自定义规则,以缓解针对 Web 应用和服务的攻击。与外部应用负载均衡器一样,Cloud Armor 在 Google 的网络边缘运行,有助于在靠近攻击来源的位置防御基础架构和应用攻击。

Cloud Armor 如何加强 Web 保护

Cloud Armor 可以通过多种方式来加强保护。

自动阻止大多数耗尽容量的 DDoS 攻击

Cloud Armor 与外部应用负载均衡器搭配使用,以自动阻止网络协议和耗尽容量的 DDoS 攻击,例如协议洪水(SYN、TCP、HTTP、ICMP)和扩散攻击(NTP、UDP、DNS)。Cloud Armor 所依赖的技术最初是为保护 Google 自己的 Web 服务(例如搜索、Gmail 和地图)而开发的。

已预先配置 WAF 规则,以帮助检测和缓解常见的应用攻击

Cloud Armor 提供了一个预先配置的 Web 应用防火墙 (WAF) 规则库,有助于检测并选择性地缓解常见的 Web 攻击,例如针对 Web 基础架构的 SQL 注入攻击、跨站脚本攻击和命令注入攻击。

按地理位置来源和 IP 地址或 IP 地址范围检测和阻止攻击

Cloud Armor 利用 Google 的地理位置 IP 数据库来识别以您的 Web 基础架构为目标的传入请求的地理地区,并且允许您根据两个字符的国家/地区代码来阻止流量。例如,不向给定国家/地区以外发货的在线商务网站可以阻止来自常见攻击流量来源的请求。此外,Cloud Armor 还可以快速阻止发出恶意请求的特定 IP 地址或 IP 地址范围。

提供监视功能以监控和缓解应用层 HTTP(S) 攻击

Cloud Armor 还提供了自定义规则语言,可让您使用各种 HTTP(S) 语义匹配传入请求中的复杂模式,其中包括标头、Cookie、网址、查询字符串元素、用户代理模式、HTTP 方法。

为您的外部应用负载均衡器启用 Cloud Armor

安全政策驱动 Cloud Armor 配置。这些政策可启用内置的规则并支持自定义保护规则。如需部署 Cloud Armor,您必须创建安全政策,添加规则,然后将此政策附加到一项或多项外部应用负载均衡器后端服务。每条规则均指定要在流量中检测的参数、在流量与这些参数匹配时要执行的操作,以及用于确定规则在政策层次结构中所处位置的优先级值。

创建 Cloud Armor 安全政策

概括来讲,以下步骤用于配置 Cloud Armor 安全政策,以启用允许或拒绝流向外部应用负载均衡器的流量的规则。

  1. 在“网络安全 - Cloud Armor”界面中创建 Cloud Armor 安全政策。
  2. 根据 IP 地址列表、自定义表达式或预先配置的 WAF 规则(例如 SQL 注入或跨站脚本攻击)向政策添加规则。
  3. 将 Cloud Armor 安全政策附加到您要控制其访问权限的外部应用负载均衡器的后端服务。
  4. 根据需要更新 Cloud Armor 安全政策。

如需了解详细说明,请参阅 Cloud Armor 方法指南

后续步骤