Questo tutorial illustra il valore dell'aggiunta di Cloud CDN e Google Cloud Armor a un deployment di un bilanciatore del carico delle applicazioni esterno esistente. Include le istruzioni di base per abilitare sia Cloud CDN sia Google Cloud Armor con un bilanciatore del carico delle applicazioni esterno.
Migliorare le prestazioni web con Cloud CDN
L'utilizzo dell'Application Load Balancer esterno migliora già le prestazioni web impostando connessioni HTTP(S) sul perimetro globale di Google più vicino al client richiedente e negoziando le connessioni utilizzando protocolli moderni come QUIC, HTTP/2 e TLS 1.3 per ridurre il numero di round trip e migliorare la velocità effettiva. Inoltre, utilizzando connessioni persistenti alla tua origine, Google Cloud riduce l'overhead di ogni connessione client. Le località perimetrali di Google sono collegate alla nostra rete backbone privata globale, che consente a Google Cloud di ottimizzare il routing e ridurre la latenza tra il client, il perimetro di Google e i tuoi backend. Puoi migliorare ulteriormente le prestazioni e ridurre i costi di gestione abilitando Cloud CDN come parte del tuo deployment del bilanciatore del carico delle applicazioni esterno.
Che cos'è Cloud CDN?
Cloud CDN (Content Delivery Network) utilizza i punti di presenza perimetrali di Google, distribuiti in tutto il mondo, per memorizzare nella cache le copie dei contenuti con bilanciamento del carico nelle vicinanze degli utenti.
Come Cloud CDN può migliorare le prestazioni web
Cloud CDN migliora le prestazioni in vari modi.
Esegue l'offload e scala l'infrastruttura di backend riducendo le richieste
Una richiesta fornita dalla cache di Cloud CDN significa che il bilanciatore del carico non deve inviare la richiesta all'infrastruttura di backend per un elemento statico come un'immagine, un video, JavaScript o un foglio di stile. Questo non solo riduce il carico durante il normale funzionamento, ma consente all'infrastruttura perimetrale di Google di assorbire i picchi di richieste senza aumentare il carico sull'infrastruttura di gestione del backend. Ciò garantisce che l'infrastruttura di backend sia incentrata sulla generazione di risposte specifiche per l'utente come l'HTML dinamico per le esperienze web interattive.
Pubblica asset statici dal perimetro
Poiché il perimetro globale di Google invia richieste memorizzate nella cache, i tempi di risposta alle richieste del client possono essere ridotti. Gli elementi statici dell'esperienza web, come immagini, video, JavaScript e fogli di stile, possono essere pubblicati immediatamente senza dover inoltrare la richiesta ai sistemi di backend e attendere una risposta e il trasferimento di dati.
Riduce i costi di trasferimento dei dati e infrastruttura di backend
Se utilizzi Cloud CDN con il tuo bilanciatore del carico delle applicazioni esterno, riduci i costi dell'infrastruttura di backend grazie alla riduzione del traffico verso il backend. Inoltre, puoi ridurre il numero di cicli per la distribuzione di contenuti statici perché vengono inviati dal perimetro di Google. Il traffico di Cloud CDN viene fatturato a un costo di trasferimento dati inferiore, controllando ulteriormente i costi.
Abilitazione di Cloud CDN per il bilanciatore del carico delle applicazioni esterno
Puoi abilitare Cloud CDN per un bilanciatore del carico delle applicazioni esterno esistente o quando configuri un nuovo bilanciatore del carico.
Abilitazione di Cloud CDN durante la configurazione di un bilanciatore del carico delle applicazioni esterno
Durante la configurazione del backend, seleziona la casella di controllo Abilita Cloud CDN. Per maggiori dettagli, consulta le guide illustrative di Cloud CDN.
Abilitazione di Cloud CDN per un bilanciatore del carico delle applicazioni esterno esistente
In una configurazione di un bilanciatore del carico delle applicazioni esterno esistente, nella schermata dei dettagli del bilanciatore del carico puoi fare clic su Modifica per modificare il bilanciatore del carico.
Quindi, nella sezione Configurazione backend, puoi selezionare la casella di controllo Abilita Cloud CDN. Per istruzioni dettagliate, inclusi i comandi gcloud, consulta le guide illustrative di Cloud CDN.
Migliorare la protezione web con Google Cloud Armor
L'utilizzo del bilanciatore del carico delle applicazioni esterno fornisce già una misura di protezione web configurando le connessioni HTTP(S) sul perimetro globale di Google, eliminando il carico dell'infrastruttura di backend dalla necessità di gestire questo processo. Se abiliti Google Cloud Armor come parte del tuo bilanciatore del carico delle applicazioni esterno, ottieni maggiore visibilità e controllo contro gli attacchi a infrastruttura e applicazioni.
Che cos'è Google Cloud Armor?
Google Cloud Armor fornisce una difesa a livello di applicazioni e DDoS operando insieme ad Application Load Balancer esterni. Offre visibilità sugli attacchi e ti consente di eseguire il deployment di regole preconfigurate e personalizzate per mitigare gli attacchi contro le applicazioni e i servizi web. Come l'Application Load Balancer esterno, Google Cloud Armor è distribuito sul perimetro della rete Google, contribuendo a difenderti dagli attacchi alle infrastrutture e alle applicazioni vicini alla loro origine.
Come Google Cloud Armor può migliorare la protezione web
Google Cloud Armor migliora la protezione in diversi modi.
Blocca automaticamente la maggior parte degli attacchi DDoS volumetrici
Google Cloud Armor utilizza l'Application Load Balancer esterno per bloccare automaticamente il protocollo di rete e gli attacchi DDoS volumetrici come i flood di protocollo (SYN, TCP, HTTP e ICMP) e gli attacchi di amplificazione (NTP, UDP, DNS). Google Cloud Armor si basa su tecnologie sviluppate originariamente per proteggere i servizi web di Google come ricerca, Gmail e mappe.
Dispone di regole WAF preconfigurate per contribuire a rilevare e mitigare gli attacchi comuni alle applicazioni
Google Cloud Armor fornisce una libreria di regole WAF (Web Application Firewall) preconfigurate che consentono di rilevare e, facoltativamente, contribuire a mitigare attacchi web comuni come SQL injection, cross-site scripting e command injection contro la tua infrastruttura web.
Rileva e blocca in base all'origine geografica e agli indirizzi IP o agli intervalli IP
Google Cloud Armor utilizza il database Geo-IP di Google per identificare la regione geografica delle richieste in entrata destinate alla tua infrastruttura web e ti consente di bloccare il traffico in base a codici paese a due caratteri. Ad esempio, un sito di commercio online che non effettua spedizioni al di fuori di un determinato paese può bloccare le richieste provenienti da sorgenti comuni di traffico dagli attacchi. Inoltre, Google Cloud Armor consente di bloccare rapidamente indirizzi IP o intervalli di indirizzi IP specifici che inviano richieste dannose.
Offre visibilità per monitorare e mitigare gli attacchi HTTP(S) a livello di applicazione
Google Cloud Armor fornisce inoltre un linguaggio con regole personalizzate che consente di associare pattern complessi di richieste in entrata utilizzando un'ampia varietà di semantiche HTTP(S). Sono inclusi intestazioni, cookie, URL, elementi delle stringhe di query, pattern di user agent e metodi HTTP.
Abilitazione di Google Cloud Armor per il bilanciatore del carico delle applicazioni esterno
I criteri di sicurezza determinano la configurazione di Google Cloud Armor. Questi criteri abilitano le regole integrate e supportano regole personalizzate per la protezione. Per eseguire il deployment di Google Cloud Armor, devi creare un criterio di sicurezza, aggiungere regole, quindi associare questo criterio a uno o più servizi di backend del bilanciatore del carico delle applicazioni esterno. Ogni regola specifica i parametri da rilevare nel traffico, l'azione da eseguire se il traffico corrisponde a questi parametri e un valore di priorità che determina la posizione della regola nella gerarchia dei criteri.
Creazione di un criterio di sicurezza di Google Cloud Armor
A livello generale, questi sono i passaggi per configurare i criteri di sicurezza di Google Cloud Armor per abilitare le regole che consentono o negano il traffico al bilanciatore del carico delle applicazioni esterno.
- Crea un criterio di sicurezza di Google Cloud Armor nella schermata Sicurezza di rete - Google Cloud Armor.
- Aggiungi regole al criterio in base a elenchi IP, espressioni personalizzate o regole WAF preconfigurate come SQL injection o cross-site scripting.
- Collega il criterio di sicurezza di Google Cloud Armor a un servizio di backend dell'Application Load Balancer esterno per il quale vuoi controllare l'accesso.
- Aggiorna il criterio di sicurezza di Google Cloud Armor in base alle necessità.
Per istruzioni dettagliate, consulta le guide illustrative di Google Cloud Armor.
Passaggi successivi
- Scopri di più sulle capabilities di Cloud CDN.
- Scopri i criteri di sicurezza di Google Cloud Armor.
- Configura Monitoraggio e logging per un bilanciatore del carico delle applicazioni esterno con Cloud CDN.