Schnellere Webleistung und verbesserter Webschutz für Load-Balancing

Diese Anleitung umreißt den Wert des Hinzufügens von Cloud CDN und Google Cloud Armor zu einer bestehenden externen HTTP(S)-Load-Balancer-Bereitstellung. Sie enthält grundlegende Anleitungen zum Aktivieren von Cloud CDN und Google Cloud Armor mit einem externen HTTP(S)-Load-Balancer.

Webleistung mit Cloud CDN verbessern

Die Verwendung des externen HTTP(S)-Load-Balancers verbessert die Webleistung bereits dadurch, dass HTTP(S)-Verbindungen am globalen Edge-Netzwerk von Google näher an den anfordernden Client gestellt werden. Außerdem wird die Verbindung mit modernen Protokollen wie QUIC, HTTP/2 und TLS 1.3 ausgehandelt, um die Anzahl der Umläufe zu verringern und den Durchsatz zu verbessern. Durch die Verwendung persistenter Verbindungen zu Ihrem Ursprung reduziert Google Cloud den Aufwand für jede Clientverbindung. Die Edge-Standorte von Google sind mit unserem globalen privaten Backbonenetzwerk verbunden, wodurch Google Cloud das Routing optimieren und die Latenz zwischen dem Client, dem Edge-Netzwerk von Google und Ihren Back-Ends reduzieren kann. Sie können die Leistung weiter verbessern und die Bereitstellungskosten senken, indem Sie Cloud CDN im Rahmen der Bereitstellung eines externen HTTP(S)-Load-Balancers aktivieren.

Was ist Cloud CDN?

Cloud CDN (Content Delivery Network) verwendet global verteilte Edge Points of Presence von Google, um Kopien von Inhalten mit Load-Balancing in Nutzernähe im Cache zu speichern.

Wie Cloud CDN die Webleistung verbessern kann

Es gibt mehrere Möglichkeiten, mit Cloud CDN die Leistung zu verbessern.

Entlastet und skaliert Ihre Back-End-Infrastruktur durch Reduzierung der Anfragen

Eine Anfrage, die aus dem Cloud CDN-Cache bereitgestellt wird, bedeutet, dass der Load-Balancer die Anfrage nicht für ein statisches Element wie ein Bild, ein Video, JavaScript oder Stylesheet an die Back-End-Infrastruktur senden muss. Dies reduziert nicht nur die Last während des normalen Betriebs, sondern ermöglicht auch die Google Edge-Infrastruktur, Spitzen in Anfragen abzufangen, ohne die Last Ihrer Back-End-Bereitstellungsinfrastruktur zu erhöhen. Dadurch wird sichergestellt, dass die Back-End-Infrastruktur vor allem nutzerspezifische Antworten generiert, z. B. dynamisches HTML für interaktive Websites.

Stellt statische Assets vom Edge-Netzwerk aus bereit

Da das globale Edge-Netzwerk von Google im Cache gespeicherte Anfragen sendet, können die Antwortzeiten auf Clientanfragen reduziert werden. Statische Elemente Ihrer Weberfahrung wie Bilder, Videos, JavaScript und Stylesheets können sofort gesendet werden, ohne dass die Anfrage an die Back-End-Systeme weitergeleitet und auf eine Antwort und eine Datenübertragung gewartet werden muss.

Reduziert die Kosten für ausgehenden Traffic und die Back-End-Infrastruktur

Wenn Sie Cloud CDN mit Ihrem externen HTTP(S)-Load-Balancer verwenden, reduzieren Sie die Kosten für die Back-End-Infrastruktur, da der Traffic zum Back-End reduziert wird. Außerdem können Sie die Anzahl der Zyklen für die Bereitstellung statischer Inhalte verringern, da sie von Google Edge gesendet werden. Cloud CDN-Traffic wird zu geringen Kosten für ausgehenden Traffic abgerechnet.

Cloud CDN für Ihren externen HTTP(S)-Load-Balancer aktivieren

Sie können Cloud CDN entweder für einen vorhandenen externen HTTP(S)-Load-Balancer oder beim Einrichten eines neuen Load-Balancers aktivieren.

Cloud CDN bei der Einrichtung eines externen HTTP(S)-Load-Balancers aktivieren

Aktivieren Sie bei der Back-End-Konfiguration das Kästchen Cloud CDN aktivieren. Weitere Informationen finden Sie in den Cloud CDN-Anleitungen.

Cloud CDN für einen vorhandenen externen HTTP(S)-Load-Balancer aktivieren

Wenn Sie einen vorhandenen externen HTTP(S)-Load-Balancer konfigurieren, können Sie in der Load-Balancer-Ansicht auf Bearbeiten klicken, um Ihren Load-Balancer zu bearbeiten.

Anschließend können Sie im Abschnitt Back-End-Konfiguration das Kästchen Cloud CDN aktivieren anklicken. Eine ausführliche Anleitung, einschließlich der gcloud-Befehle, finden Sie in den Anleitungen zu Cloud CDN.

Webschutz mit Google Cloud Armor verbessern

Die Verwendung des externen HTTP(S)-Load-Balancers bietet bereits ein gewisses Maß an Webschutz durch die Einrichtung von HTTP(S)-Verbindungen im globalen Edge-Netzwerk von Google. Ihre Back-End-Infrastruktur wird so von der Verarbeitung dieses Prozesses entlastet. Durch Aktivieren von Google Cloud Armor als Teil Ihres externen HTTP(S)-Load-Balancers erhöhen Sie die Sichtbarkeit und Kontrolle, um Infrastruktur- und Anwendungsangriffen zu begegnen.

Was ist Google Cloud Armor?

Google Cloud Armor bietet zusammen mit externen HTTP(S)-Load-Balancern Schutz auf DDoS- und Anwendungsebene. Google Cloud Armor sorgt für Sichtbarkeit von Angriffen und ermöglicht es Ihnen, vorkonfigurierte und benutzerdefinierte Regeln bereitzustellen, um Angriffe auf Ihre Webanwendungen und Dienste abzuwehren. Wie beim externen HTTP(S)-Load-Balancer wird auch Google Cloud Armor am Rand des Google-Netzwerks bereitgestellt. Dadurch können Angriffe auf Ihre Infrastruktur und Anwendungen in der Nähe ihrer Quelle abgewehrt werden.

Wie Google Cloud Armor den Webschutz verbessern kann

Es gibt mehrere Möglichkeiten, wie Google Cloud Armor den Schutz erhöhen kann.

Blockiert automatisch die meisten volumetrischen DDoS-Angriffe

Google Cloud Armor verwendet den externen HTTP(S)-Load-Balancer, um das Netzwerkprotokoll- und volumetrische DDoS-Angriffe automatisch zu blockieren, wie z. B. Protokollflut- (SYN, TCP, HTTP und ICMP) und Amplifikationsangriffe (NTP, UDP, DNS). Google Cloud Armor beruht auf Technologien, die ursprünglich dazu entwickelt wurden, die Webdienste von Google wie die Google-Suche, Gmail und Google Maps zu schützen.

Verfügt über vorkonfigurierte WAF-Regeln, um gängige Anwendungsangriffe zu erkennen und abzuwenden

Google Cloud Armor bietet eine Bibliothek mit vorkonfigurierten WAF-Regeln (Web Application Firewall), die dabei helfen können, gängige Webangriffe wie SQL-Einschleusung, Cross-Site-Scripting und Befehlseinschleusungs-Angriffe auf Ihre Webinfrastruktur zu erkennen und optinal abzuwehren.

Erkennt und blockiert nach geografischen Quellen und IP-Adressen oder IP-Bereichen

Google Cloud Armor verwendet die Geo-IP-Datenbank von Google, um die geografische Region der eingehenden Anfragen zu identifizieren, die für Ihre Webinfrastruktur bestimmt sind, und ermöglicht Ihnen, den Traffic auf der Basis von zweistelligen Ländercodes zu blockieren. Eine Online-E-Commerce-Website mit Versand nicht außerhalb eines bestimmten Landes kann beispielsweise Anfragen aus gängigen Quellen für Angriffe blockieren. Darüber hinaus ermöglicht Google Cloud Armor die schnelle Blockierung bestimmter IP-Adressen oder IP-Adressbereiche, die schädliche Anfragen stellen.

Ermöglicht die Überwachung und Abwehr von HTTP(S)-Angriffen auf Anwendungsebene

Google Cloud Armor bietet außerdem eine benutzerdefinierte Regelsprache, mit der Sie komplexe Muster eingehender Anfragen anhand einer Vielzahl von HTTP(S)-Semantiken abgleichen können. Dazu gehören Header, Cookies, URLs, Abfragestringelemente, User-Agent-Muster und HTTP-Methoden.

Google Cloud Armor für Ihren externen HTTP(S)-Load-Balancer aktivieren

Sicherheitsrichtlinien steuern die Google Cloud Armor-Konfiguration. Mit diesen Richtlinien werden integrierte Regeln aktiviert und benutzerdefinierte Regeln zum Schutz unterstützt. Zur Bereitstellung von Google Cloud Armor müssen Sie eine Sicherheitsrichtlinie erstellen, Regeln hinzufügen und diese Richtlinie dann an einen oder mehrere Back-End-Dienste für HTTP(S) Load Balancing anhängen. Jede Regel gibt die Parameter für den Traffic an, die Aktion, die ausgeführt werden soll, wenn der Traffic mit diesen Parametern übereinstimmt, und einen Prioritätswert, der die Position der Regel in der Richtlinienhierarchie bestimmt.

Google Cloud Armor-Sicherheitsrichtlinie erstellen

Im Folgenden sind die grundlegenden Schritte beschrieben, mit denen Sie Google Cloud Armor-Sicherheitsrichtlinien konfigurieren können, die Regeln aktivieren, die Traffic zum externen HTTP(S)-Load-Balancer zulassen oder ablehnen.

  1. Erstellen Sie eine Google Cloud Armor-Sicherheitsrichtlinie in der Ansicht "Netzwerksicherheit – Google Cloud Armor".
  2. Basierend auf IP-Listen, benutzerdefinierten Ausdrücken oder vorkonfigurierten WAF-Regeln wie SQL-Einschleusung oder Cross-Site-Scripting fügen Sie der Richtlinie Regeln hinzu.
  3. Hängen Sie die Google Cloud Armor-Sicherheitsrichtlinie an einen Back-End-Dienst des externen HTTP(S)-Load-Balancers an, für den Sie den Zugriff steuern möchten.
  4. Aktualisieren Sie die Google Cloud Armor-Sicherheitsrichtlinie nach Bedarf.

Eine detaillierte Anleitung finden Sie in den Anleitungen zu Google Cloud Armor.

Tipp