Questo tutorial descrive il valore dell'aggiunta di Cloud CDN e Google Cloud Armor a un deployment del bilanciatore del carico delle applicazioni esterno esistente. Include istruzioni di base per l'attivazione di Cloud CDN e Cloud Armor con un bilanciatore del carico delle applicazioni esterno.
Migliorare le prestazioni web con Cloud CDN
L'utilizzo del bilanciatore del carico delle applicazioni esterno migliora già le prestazioni web configurando connessioni HTTP(S) sull'edge globale di Google più vicino al client che effettua la richiesta e negoziando le connessioni utilizzando protocolli moderni come QUIC, HTTP/2 e TLS 1.3 per ridurre il numero di round trip e migliorare il throughput. Inoltre, utilizzando connessioni permanenti all'origine, Google Cloud riduce l'overhead di ogni connessione client. Le località perimetrali di Google sono connesse alla nostra rete backbone privata globale, che consente Google Cloud di ottimizzare il routing e ridurre la latenza tra il client, l'edge di Google e i tuoi backend. Puoi migliorare ulteriormente le prestazioni e ridurre i costi di pubblicazione abilitando Cloud CDN nell'ambito del deployment del bilanciatore del carico delle applicazioni esterno.
Che cos'è Cloud CDN?
Cloud CDN (Content Delivery Network) utilizza i punti di presenza perimetrali di Google, distribuiti in tutto il mondo, per memorizzare nella cache copie dei contenuti con bilanciamento del carico nelle vicinanze degli utenti.
In che modo Cloud CDN può migliorare le prestazioni web
Cloud CDN migliora le prestazioni in diversi modi.
Scarica e scala l'infrastruttura di backend riducendo le richieste
Una richiesta gestita dalla cache di Cloud CDN significa che il bilanciatore del carico non deve inviare la richiesta all'infrastruttura di backend per un elemento statico come un'immagine, un video, JavaScript o un foglio di stile. In questo modo non solo si riduce il carico durante il normale funzionamento, ma l'infrastruttura edge di Google può assorbire i picchi di richieste senza aumentare il carico sull'infrastruttura di gestione del backend. In questo modo, l'infrastruttura di backend si concentra sulla generazione di risposte specifiche per gli utenti, come HTML dinamico per esperienze web interattive.
Pubblica asset statici dal perimetro
Poiché l'edge globale di Google invia richieste memorizzate nella cache, i tempi di risposta alle richieste dei client possono essere ridotti. Gli elementi statici della tua esperienza web, come immagini, video, JavaScript e fogli di stile, possono essere forniti immediatamente senza dover inoltrare la richiesta ai sistemi di backend e attendere una risposta e il trasferimento dei dati.
Riduce i costi di trasferimento dei dati e dell'infrastruttura di backend
Se utilizzi Cloud CDN con il bilanciatore del carico delle applicazioni esterno, riduci i costi dell'infrastruttura di backend grazie alla riduzione del traffico verso il backend. Inoltre, puoi ridurre il numero di cicli per pubblicare contenuti statici perché vengono inviati dall'edge di Google. Il traffico Cloud CDN viene fatturato a un costo di trasferimento dei dati inferiore, controllando ulteriormente i costi.
Abilitazione di Cloud CDN per il bilanciatore del carico delle applicazioni esterno
Puoi attivare Cloud CDN per un bilanciatore del carico delle applicazioni esterno esistente o durante la configurazione di un nuovo bilanciatore del carico.
Attivazione di Cloud CDN durante la configurazione del bilanciatore del carico delle applicazioni esterno
Durante la configurazione del backend, seleziona la casella di controllo Abilita Cloud CDN. Per maggiori dettagli, consulta le guide pratiche di Cloud CDN.
Attivazione di Cloud CDN per un bilanciatore del carico delle applicazioni esterno esistente
In una configurazione del bilanciatore del carico delle applicazioni esterno esistente, nella schermata dei dettagli del bilanciatore del carico, puoi fare clic su Modifica per modificare il bilanciatore del carico.
Poi, nella sezione Configurazione backend, puoi selezionare la casella di controllo
Attiva Cloud CDN. Per istruzioni dettagliate, inclusi i comandi
gcloud, consulta le guide pratiche di Cloud CDN.
Migliorare la protezione web con Cloud Armor
L'utilizzo del bilanciatore del carico delle applicazioni esterno fornisce già una misura di protezione web configurando connessioni HTTP(S) sull'edge globale di Google, scaricando l'infrastruttura di backend dalla necessità di gestire questo processo. Se abiliti Cloud Armor come parte del bilanciatore del carico delle applicazioni esterno, hai aumentato la visibilità e il controllo contro gli attacchi a infrastrutture e applicazioni.
Che cos'è Cloud Armor?
Cloud Armor offre una difesa DDoS e a livello di applicazione che funziona in combinazione con i bilanciatori del carico delle applicazioni esterni. Offre visibilità sugli attacchi e consente di eseguire il deployment di regole preconfigurate e personalizzate per mitigarli contro le tue applicazioni e i tuoi servizi web. Come il bilanciatore del carico delle applicazioni esterno, Cloud Armor viene fornito all'edge della rete di Google, contribuendo a difendere da attacchi a infrastrutture e applicazioni vicino alla loro origine.
Come Cloud Armor può migliorare la protezione web
Cloud Armor migliora la protezione in diversi modi.
Blocca automaticamente la maggior parte degli attacchi DDoS volumetrici
Cloud Armor funziona con il bilanciatore del carico delle applicazioni esterno per bloccare automaticamente gli attacchi DDoS volumetrici e di protocollo di rete, come gli attacchi flood di protocollo (SYN, TCP, HTTP e ICMP) e gli attacchi di amplificazione (NTP, UDP, DNS). Cloud Armor si basa su tecnologie sviluppate originariamente per proteggere i servizi web di Google come Ricerca, Gmail e Maps.
Dispone di regole WAF preconfigurate per rilevare e mitigare gli attacchi comuni alle applicazioni
Cloud Armor fornisce una libreria di regole WAF (Web Application Firewall) preconfigurate che aiutano a rilevare e, facoltativamente, a mitigare gli attacchi web comuni come SQL injection, cross-site scripting e command injection contro la tua infrastruttura web.
Rileva e blocca in base all'origine geografica e agli indirizzi IP o agli intervalli IP
Cloud Armor utilizza il database Geo-IP di Google per identificare la regione geografica delle richieste in entrata destinate alla tua infrastruttura web e ti consente di bloccare il traffico in base ai codici paese di due caratteri. Ad esempio, un sito di commercio online che non effettua spedizioni al di fuori di un determinato paese può bloccare le richieste provenienti da fonti comuni di traffico di attacco. Inoltre, Cloud Armor consente di bloccare rapidamente indirizzi IP o intervalli di indirizzi IP specifici che effettuano richieste dannose.
Fornisce visibilità per monitorare e mitigare gli attacchi HTTP(S) a livello di applicazione
Cloud Armor fornisce anche un linguaggio di regole personalizzate che consente di trovare corrispondenze con pattern complessi dalle richieste in entrata utilizzando un'ampia gamma di semantica HTTP(S). Sono inclusi intestazioni, cookie, URL, elementi della stringa di query, pattern user agent e metodi HTTP.
Attivazione di Cloud Armor per il bilanciatore del carico delle applicazioni esterno
I criteri di sicurezza determinano la configurazione di Cloud Armor. Queste norme abilitano regole integrate e supportano regole personalizzate per la protezione. Per eseguire il deployment di Cloud Armor, devi creare un criterio di sicurezza, aggiungere regole e poi collegare questo criterio a uno o più servizi di backend del bilanciatore del carico delle applicazioni esterno. Ogni regola specifica i parametri da rilevare nel traffico, l'azione da intraprendere se il traffico corrisponde a questi parametri e un valore di priorità che determina la posizione della regola nella gerarchia dei criteri.
Creazione di un criterio di sicurezza di Cloud Armor
A livello generale, questi sono i passaggi per configurare le policy di sicurezza di Cloud Armor per abilitare le regole che consentono o negano il traffico al bilanciamento del carico delle applicazioni esterno.
- Crea un criterio di sicurezza di Cloud Armor nella schermata Network Security - Cloud Armor.
- Aggiungi regole al criterio in base a elenchi di indirizzi IP, espressioni personalizzate o regole WAF preconfigurate come SQL injection o cross-site scripting.
- Collega il criterio di sicurezza Cloud Armor a un servizio di backend del bilanciatore del carico delle applicazioni esterno per il quale vuoi controllare l'accesso.
- Aggiorna la policy di sicurezza di Cloud Armor in base alle tue esigenze.
Per istruzioni dettagliate, consulta le guide pratiche di Cloud Armor.
Passaggi successivi
- Scopri di più sulle funzionalità di Cloud CDN.
- Comprendi in dettaglio le norme di sicurezza di Cloud Armor.
- Configura il monitoraggio e la registrazione per un bilanciamento del carico delle applicazioni esterno con Cloud CDN.