En este instructivo, se describe el valor de agregar Cloud CDN y Google Cloud Armor a una implementación existente de balanceador de cargas de aplicaciones externo. Se incluyen instrucciones básicas para habilitar Cloud CDN y Google Cloud Armor con un balanceador de cargas de aplicaciones externo.
Mejora el rendimiento web con Cloud CDN
El uso del balanceador de cargas de aplicaciones externo ya mejora el rendimiento web mediante la configuración de conexiones HTTP(S) en el perímetro global de Google que se encuentran más cerca del cliente solicitante y mediante la negociación de conexiones con protocolos modernos como QUIC, HTTP/2 y TLS 1.3 para reducir la cantidad de viajes de ida y vuelta y mejorar la capacidad de procesamiento. Además, mediante el uso de conexiones persistentes a tu origen, Google Cloud reduce la sobrecarga de cada conexión de cliente. Las ubicaciones perimetrales de Google están conectadas a nuestra red troncal privada y global, lo que permite que Google Cloud optimice el enrutamiento y reduzca la latencia entre el cliente, el perímetro de Google y tus backends. Puedes mejorar aún más el rendimiento y reducir los costos de entrega si habilitas Cloud CDN como parte de la implementación del balanceador de cargas de aplicaciones externo.
¿Qué es Cloud CDN?
Cloud CDN (red de distribución de contenidos) usa los puntos de presencia perimetrales de Google distribuidos en todo el mundo para almacenar en caché copias del contenido con balanceo de cargas que se encuentre cerca de los usuarios.
Cómo Cloud CDN puede mejorar el rendimiento web
Hay varias formas en que Cloud CDN mejora el rendimiento.
Descarga y reduce la escala de tu infraestructura de backend mediante la reducción de solicitudes
Una solicitud entregada desde la caché de Cloud CDN significa que el balanceador de cargas no necesita enviar la solicitud a la infraestructura de backend para un elemento estático, como una imagen, un video, JavaScript o una hoja de estilo. Esto no solo reduce la carga durante el funcionamiento normal, sino que permite que la infraestructura perimetral de Google absorba aumentos repentinos en las solicitudes sin aumentar la carga de tu infraestructura de entrega de backend. Esto garantiza que la infraestructura de backend se centre en generar respuestas específicas del usuario, como HTML dinámico para experiencias web interactivas.
Entrega recursos estáticos desde el perímetro
Debido a que el perímetro global de Google envía solicitudes almacenadas en caché, se pueden reducir los tiempos de respuesta a las solicitudes del cliente. Los elementos estáticos de tu experiencia web, como imágenes, videos, JavaScript y hojas de estilo, se pueden entregar de inmediato sin necesidad de reenviar la solicitud a los sistemas de backend y esperar una respuesta y transferencia de datos.
Reduce tu transferencia de datos y los costos de infraestructura de backend.
Mediante el uso de Cloud CDN con tu balanceador de cargas de aplicaciones externo, se reducen los costos de infraestructura de backend debido a la reducción del tráfico hacia el backend. Además, puedes reducir la cantidad de ciclos para entregar contenido estático, ya que se envía desde el perímetro de Google. El tráfico de Cloud CDN se factura a un costo de transferencia de datos más bajo para tener un mayor control de los costos.
Habilita Cloud CDN para tu balanceador de cargas de aplicaciones externo
Puedes habilitar Cloud CDN para un balanceador de cargas de aplicaciones externo existente o cuando configuras uno nuevo.
Habilita Cloud CDN durante la configuración del balanceador de cargas de aplicaciones externo
Durante la configuración del backend, selecciona la casilla de verificación Habilitar Cloud CDN. Para obtener más detalles, consulta las guías prácticas de Cloud CDN.
Habilita Cloud CDN para un balanceador de cargas de aplicaciones externo existente
En una configuración del balanceador de cargas de aplicaciones externo existente, en la pantalla de detalles del Balanceador de cargas, puedes hacer clic en Editar para modificar tu balanceador de cargas.
Luego, en la sección Configuración de backend, puedes seleccionar la casilla de verificación Habilitar Cloud CDN. Para obtener instrucciones detalladas, incluidos los comandos de gcloud, consulta las guías prácticas de Cloud CDN.
Mejora la protección web con Google Cloud Armor
El uso del balanceador de cargas de aplicaciones externo ya proporciona una medida de protección web mediante la configuración de conexiones HTTP(S) en el perímetro global de Google, lo que evita que tu infraestructura de backend sea necesaria para controlar este proceso. Si habilitas Google Cloud Armor como parte de tu balanceador de cargas de aplicaciones externo, obtendrás una mayor visibilidad y control contra los ataques de infraestructura y aplicación.
¿Qué es Google Cloud Armor?
Google Cloud Armor proporciona una defensa contra DSD y la capa de aplicación que funciona junto con balanceadores de cargas de aplicaciones externos. Proporciona visibilidad sobre los ataques y te permite implementar reglas preconfiguradas y personalizadas para mitigar los ataques contra tus aplicaciones y servicios web. Al igual que el balanceador de cargas de aplicaciones externo, Google Cloud Armor se entrega en el perímetro de la red de Google, lo que ayuda a protegerse contra los ataques de infraestructura y aplicación cerca del origen.
Cómo Google Cloud Armor puede mejorar la protección web
Existen varias formas en las que Google Cloud Armor mejora la protección.
Bloquea automáticamente la mayoría de los ataques DSD más volumétricos
Google Cloud Armor funciona con el balanceador de cargas de aplicaciones externo para bloquear de forma automática los ataques DSD volumétricos y de protocolo de red, como las fallas de protocolo (SYN, TCP, ICMP y HTTP) y los ataques de amplificación (NTP, UDP y DNS). Google Cloud Armor se basa en tecnologías desarrolladas originalmente para defender los servicios web de Google como la Búsqueda, Gmail y Maps.
Tiene reglas de WAF preconfiguradas para ayudar a detectar y mitigar los ataques comunes a aplicaciones
Google Cloud Armor proporciona una biblioteca de reglas de firewall de aplicación web preconfiguradas (WAF) que ayudan a detectar y, de manera opcional, ayudar a mitigar ataques web comunes como inserción de SQL, secuencias de comandos entre sitios y ataques de inserción de comandos en tu infraestructura web.
Detecta y bloquea por origen geográfico y direcciones IP o rangos de IP
Google Cloud Armor aprovecha la base de datos Geo-IP de Google para identificar la región geográfica de las solicitudes entrantes dirigidas a tu infraestructura web y te permite bloquear el tráfico según los códigos de país de dos caracteres. Por ejemplo, un sitio de comercio en línea que no se envía fuera de un país determinado puede bloquear solicitudes de fuentes comunes de tráfico de ataque. Además, Google Cloud Armor permite el bloqueo rápido de direcciones IP o rangos de direcciones IP específicos que realizan solicitudes maliciosas.
Proporciona visibilidad para supervisar y mitigar los ataques HTTP(S) en la capa de la aplicación
Google Cloud Armor también proporciona un lenguaje de reglas personalizadas que te permite hacer coincidir patrones complejos de solicitudes entrantes mediante una amplia variedad de semántica HTTP(S). Esto incluye encabezados, cookies, URL, elementos de cadena de consulta, patrones usuario-agente y métodos HTTP.
Habilita Google Cloud Armor para el balanceador de cargas de aplicaciones externo
Las políticas de seguridad impulsan la configuración de Google Cloud Armor. Estas políticas habilitan reglas integradas y admiten reglas personalizadas para la protección. Para implementar Google Cloud Armor, debes crear una política de seguridad, agregar reglas y, luego, adjuntar esta política a uno o más servicios de backend del balanceador de cargas de aplicaciones externo. Cada regla especifica los parámetros que se deben detectar en el tráfico, la acción que se debe realizar si este coincide con estos parámetros y un valor de prioridad que determine la posición de la regla en la jerarquía de políticas.
Crea una política de seguridad de Google Cloud Armor
En un nivel alto, estos son los pasos para configurar las políticas de seguridad de Google Cloud Armor a fin de habilitar reglas que permitan o prohíban el tráfico al balanceador de cargas de aplicaciones externo.
- Crea una política de seguridad de Google Cloud Armor en la pantalla de seguridad de red de Google Cloud Armor.
- Agrega reglas a la política según las listas de IP, las expresiones personalizadas o las reglas de WAF preconfiguradas, como la inserción de SQL o las secuencias de comandos entre sitios.
- Adjunta la política de seguridad de Google Cloud Armor a un servicio de backend del balanceador de cargas de aplicaciones externo para el que deseas controlar el acceso.
- Actualiza la política de seguridad de Google Cloud Armor según sea necesario.
Para obtener instrucciones detalladas, consulta las guías prácticas de Google Cloud Armor.
Próximos pasos
- Obtén más información sobre las funciones de Cloud CDN.
- Comprende las políticas de seguridad de Google Cloud Armor.
- Configura la supervisión y el registro para un balanceador de cargas de aplicaciones externo con Cloud CDN.