En este tutorial se explica el valor de añadir Cloud CDN y Google Cloud Armor a una implementación de balanceador de carga de aplicación externo. Incluye instrucciones básicas para habilitar Cloud CDN y Cloud Armor con un balanceador de carga de aplicaciones externo.
Mejorar el rendimiento web con Cloud CDN
El uso del balanceador de carga de aplicaciones externo ya mejora el rendimiento web al configurar conexiones HTTP(S) en el perímetro global de Google más cerca del cliente que envía la solicitud y al negociar las conexiones mediante protocolos modernos como QUIC, HTTP/2 y TLS 1.3 para reducir el número de transferencias de ida y vuelta y mejorar el rendimiento. Además, al usar conexiones persistentes a tu origen, Google Cloud reduce la sobrecarga de cada conexión de cliente. Las ubicaciones perimetrales de Google están conectadas a nuestra red troncal privada global, lo que permite Google Cloud optimizar el enrutamiento y reducir la latencia entre el cliente, el perímetro de Google y tus back-ends. Puedes mejorar aún más el rendimiento y reducir los costes de servicio habilitando Cloud CDN como parte de tu implementación del balanceador de carga de aplicación externo.
¿Qué es Cloud CDN?
Cloud CDN (red de distribución de contenido) usa los puntos de presencia perimetrales distribuidos por todo el mundo de Google para almacenar en caché copias del contenido con balanceo de carga cerca de tus usuarios.
Cómo puede mejorar Cloud CDN el rendimiento web
Cloud CDN mejora el rendimiento de varias formas.
Descarga y escala tu infraestructura backend reduciendo las solicitudes.
Una solicitud servida desde la caché de Cloud CDN significa que el balanceador de carga no tiene que enviar la solicitud a la infraestructura de backend para un elemento estático, como una imagen, un vídeo, JavaScript o una hoja de estilo. De esta forma, no solo se reduce la carga durante el funcionamiento normal, sino que también se permite que la infraestructura perimetral de Google absorba los picos de solicitudes sin aumentar la carga en la infraestructura de servicio de backend. De esta forma, la infraestructura backend se centra en generar respuestas específicas para los usuarios, como HTML dinámico para experiencias web interactivas.
Sirve recursos estáticos desde el perímetro
Como la red perimetral global de Google envía solicitudes almacenadas en caché, se pueden reducir los tiempos de respuesta a las solicitudes de los clientes. Los elementos estáticos de tu experiencia web, como imágenes, vídeos, JavaScript y hojas de estilo, se pueden ofrecer de inmediato sin necesidad de reenviar la solicitud a los sistemas backend y esperar una respuesta y una transferencia de datos.
Reduce los costes de transferencia de datos y de infraestructura backend
Si usas Cloud CDN con tu balanceador de carga de aplicación externo, reducirás los costes de la infraestructura de backend, ya que se reducirá el tráfico hacia el backend. Además, puedes reducir el número de ciclos para ofrecer contenido estático, ya que se envía desde el extremo de Google. El tráfico de Cloud CDN se factura a un coste de transferencia de datos inferior, lo que permite controlar aún más los costes.
Habilitar Cloud CDN en un balanceador de carga de aplicaciones externo
Puedes habilitar Cloud CDN en un balanceador de carga de aplicación externo que ya tengas o al configurar uno nuevo.
Habilitar Cloud CDN durante la configuración del balanceador de carga de aplicación externo
Durante la configuración del backend, marca la casilla Habilitar Cloud CDN. Para obtener más información, consulta las guías prácticas de Cloud CDN.
Habilitar Cloud CDN en un balanceador de carga de aplicaciones externo
En una configuración de balanceador de carga de aplicación externo, en la pantalla de detalles Balanceador de carga, puedes hacer clic en Editar para modificar el balanceador de carga.
A continuación, en la sección Configuración del backend, puedes marcar la casilla Habilitar Cloud CDN. Para obtener instrucciones detalladas, incluidos los comandos de gcloud, consulta las guías prácticas de Cloud CDN.
Mejorar la protección web con Cloud Armor
Al usar el balanceador de carga de aplicaciones externo, ya se proporciona una medida de protección web configurando conexiones HTTP(S) en el perímetro global de Google, lo que libera a tu infraestructura de backend de la necesidad de gestionar este proceso. Si habilitas Cloud Armor como parte de tu balanceador de carga de aplicaciones externo, tendrás más visibilidad y control frente a los ataques a la infraestructura y a las aplicaciones.
¿Qué es Cloud Armor?
Cloud Armor ofrece protección frente a ataques DDoS y de capa de aplicación en combinación con balanceadores de carga de aplicaciones externos. Ofrece visibilidad sobre los ataques y te permite desplegar reglas preconfiguradas y personalizadas para mitigar los ataques contra tus aplicaciones y servicios web. Al igual que el balanceador de carga de aplicaciones externo, Cloud Armor se ofrece en el perímetro de la red de Google, lo que ayuda a defenderse de los ataques a la infraestructura y a las aplicaciones cerca de su origen.
Cómo puede mejorar Cloud Armor la protección web
Cloud Armor mejora la protección de varias formas.
Bloquea automáticamente la mayoría de los ataques DDoS volumétricos
Cloud Armor funciona con el balanceador de carga de aplicaciones externo para bloquear automáticamente los ataques DDoS volumétricos y de protocolo de red, como las inundaciones de protocolos (SYN, TCP, HTTP e ICMP) y los ataques de amplificación (NTP, UDP y DNS). Cloud Armor se basa en tecnologías desarrolladas originalmente para proteger los servicios web de Google, como la Búsqueda, Gmail y Maps.
Tiene reglas de WAF preconfiguradas para ayudar a detectar y mitigar ataques de aplicaciones comunes
Cloud Armor proporciona una biblioteca de reglas de cortafuegos de aplicaciones web (WAF) preconfiguradas que ayudan a detectar y, opcionalmente, a mitigar los ataques web habituales, como los de inyección de SQL, cross-site scripting e inyección de comandos, contra tu infraestructura web.
Detecta y bloquea por origen geográfico y direcciones o intervalos de IP
Cloud Armor utiliza la base de datos de geolocalización IP de Google para identificar la región geográfica de las solicitudes entrantes destinadas a tu infraestructura web y te permite bloquear el tráfico en función de códigos de país de dos caracteres. Por ejemplo, un sitio de comercio online que no haga envíos fuera de un país determinado puede bloquear las solicitudes de fuentes comunes de tráfico de ataque. Además, Cloud Armor permite bloquear rápidamente direcciones IP específicas o intervalos de direcciones IP que realicen solicitudes maliciosas.
Proporciona visibilidad para monitorizar y mitigar los ataques HTTP(S) de la capa de aplicación
Cloud Armor también proporciona un lenguaje de reglas personalizadas que te permite hacer coincidir patrones complejos de solicitudes entrantes mediante una amplia variedad de semánticas HTTP(S). Esto incluye encabezados, cookies, URLs, elementos de cadena de consulta, patrones de user-agent y métodos HTTP.
Habilitar Cloud Armor en un balanceador de carga de aplicación externo
Las políticas de seguridad determinan la configuración de Cloud Armor. Estas políticas habilitan reglas integradas y admiten reglas personalizadas para la protección. Para implementar Cloud Armor, debes crear una política de seguridad, añadir reglas y, a continuación, adjuntar esta política a uno o varios servicios de backend de balanceadores de carga de aplicaciones externos. Cada regla especifica los parámetros que se deben detectar en el tráfico, la acción que se debe llevar a cabo si el tráfico coincide con estos parámetros y un valor de prioridad que determina la posición de la regla en la jerarquía de la política.
Crear una política de seguridad de Cloud Armor
A grandes rasgos, estos son los pasos para configurar las políticas de seguridad de Cloud Armor y habilitar reglas que permitan o denieguen el tráfico al balanceador de carga de aplicaciones externo.
- Crea una política de seguridad de Cloud Armor en la pantalla Seguridad de red > Cloud Armor.
- Añade reglas a la política basadas en listas de IPs, expresiones personalizadas o reglas de WAF preconfiguradas, como la inyección de SQL o el cross-site scripting.
- Adjunta la política de seguridad de Cloud Armor al servicio de backend del balanceador de carga de aplicaciones externo cuyo acceso quieras controlar.
- Actualiza la política de seguridad de Cloud Armor según sea necesario.
Para ver instrucciones detalladas, consulta las guías prácticas de Cloud Armor.
Pasos siguientes
- Consulta más información sobre las funciones de Cloud CDN.
- Consulta información detallada sobre las políticas de seguridad de Cloud Armor.
- Configura la monitorización y el registro de un balanceador de carga de aplicaciones externo con Cloud CDN.