Diese Anleitung umreißt den Wert des Hinzufügens von Cloud CDN und Google Cloud Armor zu einer bestehenden Bereitstellung eines externen Application Load Balancers. Sie enthält grundlegende Anleitungen zum Aktivieren von Cloud CDN und Google Cloud Armor mit einem externen Application Load Balancer.
Webleistung mit Cloud CDN verbessern
Die Verwendung des externen Application Load Balancers verbessert die Webleistung bereits dadurch, dass HTTP(S)-Verbindungen am globalen Edge-Netzwerk von Google näher an den anfordernden Client gestellt werden. Außerdem wird die Verbindung mit modernen Protokollen wie QUIC, HTTP/2 und TLS 1.3 ausgehandelt, um die Anzahl der Umläufe zu verringern und den Durchsatz zu verbessern. Durch die Verwendung persistenter Verbindungen zu Ihrem Ursprung reduziert Google Cloud den Aufwand für jede Clientverbindung. Die Edge-Standorte von Google sind mit unserem globalen privaten Backbonenetzwerk verbunden, wodurch Google Cloud das Routing optimieren und die Latenz zwischen dem Client, dem Edge-Netzwerk von Google und Ihren Back-Ends reduzieren kann. Sie können die Leistung weiter verbessern und die Bereitstellungskosten senken, indem Sie Cloud CDN im Rahmen der Bereitstellung eines externen Application Load Balancers aktivieren.
Was ist Cloud CDN?
Cloud CDN (Content Delivery Network) verwendet global verteilte Edge Points of Presence von Google, um Kopien von Inhalten mit Load-Balancing in Nutzernähe im Cache zu speichern.
Wie Cloud CDN die Webleistung verbessern kann
Es gibt mehrere Möglichkeiten, mit Cloud CDN die Leistung zu verbessern.
Entlastet und skaliert Ihre Back-End-Infrastruktur durch Reduzierung der Anfragen
Eine Anfrage, die aus dem Cloud CDN-Cache bereitgestellt wird, bedeutet, dass der Load-Balancer die Anfrage nicht für ein statisches Element wie ein Bild, ein Video, JavaScript oder Stylesheet an die Back-End-Infrastruktur senden muss. Dies reduziert nicht nur die Last während des normalen Betriebs, sondern ermöglicht auch die Google Edge-Infrastruktur, Spitzen in Anfragen abzufangen, ohne die Last Ihrer Back-End-Bereitstellungsinfrastruktur zu erhöhen. Dadurch wird sichergestellt, dass die Back-End-Infrastruktur vor allem nutzerspezifische Antworten generiert, z. B. dynamisches HTML für interaktive Websites.
Stellt statische Assets vom Edge-Netzwerk aus bereit
Da das globale Edge-Netzwerk von Google im Cache gespeicherte Anfragen sendet, können die Antwortzeiten auf Clientanfragen reduziert werden. Statische Elemente Ihrer Weberfahrung wie Bilder, Videos, JavaScript und Stylesheets können sofort gesendet werden, ohne dass die Anfrage an die Back-End-Systeme weitergeleitet und auf eine Antwort und eine Datenübertragung gewartet werden muss.
Reduziert die Kosten für die Datenübertragung und die Back-End-Infrastruktur
Wenn Sie Cloud CDN mit Ihrem externen Application Load Balancer verwenden, reduzieren Sie die Kosten für die Backend-Infrastruktur, da der Traffic zum Backend reduziert wird. Außerdem können Sie die Anzahl der Zyklen für die Bereitstellung statischer Inhalte verringern, da sie von Google Edge gesendet werden. Cloud CDN-Traffic wird zu geringen Kosten für die Datenübertragung abgerechnet.
Cloud CDN für Ihren externen Application Load Balancer aktivieren
Sie können Cloud CDN entweder für einen vorhandenen externen Application Load Balancer oder beim Einrichten eines neuen Load Balancers aktivieren.
Cloud CDN bei der Einrichtung eines externen Application Load Balancers aktivieren
Aktivieren Sie bei der Backend-Konfiguration das Kästchen Cloud CDN aktivieren. Weitere Informationen finden Sie in den Cloud CDN-Anleitungen.
Cloud CDN für einen vorhandenen externen Application Load Balancer aktivieren
Wenn Sie einen vorhandenen externen Application Load Balancer konfigurieren, können Sie in der Load-Balancer-Ansicht auf Bearbeiten klicken, um Ihren Load-Balancer zu bearbeiten.
Anschließend können Sie im Abschnitt Backend-Konfiguration das Kästchen Cloud CDN aktivieren anklicken. Eine ausführliche Anleitung, einschließlich der gcloud-Befehle, finden Sie in den Anleitungen zu Cloud CDN.
Webschutz mit Google Cloud Armor verbessern
Die Verwendung des externen Application Load Balancers bietet bereits ein gewisses Maß an Webschutz durch die Einrichtung von HTTP(S)-Verbindungen im globalen Edge-Netzwerk von Google. Ihre Backend-Infrastruktur wird so von der Verarbeitung dieses Prozesses entlastet. Durch Aktivieren von Google Cloud Armor als Teil Ihres externen Application Load Balancers erhöhen Sie die Sichtbarkeit und Kontrolle, um Infrastruktur- und Anwendungsangriffen zu begegnen.
Was ist Google Cloud Armor?
Google Cloud Armor bietet zusammen mit externen Application Load Balancern Schutz auf DDoS- und Anwendungsebene. Google Cloud Armor sorgt für Sichtbarkeit von Angriffen und ermöglicht es Ihnen, vorkonfigurierte und benutzerdefinierte Regeln bereitzustellen, um Angriffe auf Ihre Webanwendungen und Dienste abzuwehren. Wie beim externen Application Load Balancer wird auch Google Cloud Armor am Rand des Google-Netzwerks bereitgestellt. Dadurch können Angriffe auf Ihre Infrastruktur und Anwendungen in der Nähe ihrer Quelle abgewehrt werden.
Wie Google Cloud Armor den Webschutz verbessern kann
Es gibt mehrere Möglichkeiten, wie Google Cloud Armor den Schutz erhöhen kann.
Blockiert automatisch die meisten volumetrischen DDoS-Angriffe
Google Cloud Armor verwendet den externen Application Load Balancer, um das Netzwerkprotokoll- und volumetrische DDoS-Angriffe automatisch zu blockieren, wie z. B. Protokollflut- (SYN, TCP, HTTP und ICMP) und Amplifikationsangriffe (NTP, UDP, DNS). Google Cloud Armor beruht auf Technologien, die ursprünglich dazu entwickelt wurden, die Webdienste von Google wie die Google-Suche, Gmail und Google Maps zu schützen.
Verfügt über vorkonfigurierte WAF-Regeln, um gängige Anwendungsangriffe zu erkennen und abzuwenden
Google Cloud Armor bietet eine Bibliothek mit vorkonfigurierten WAF-Regeln (Web Application Firewall), die dabei helfen können, gängige Webangriffe wie SQL-Einschleusung, Cross-Site-Scripting und Befehlseinschleusungs-Angriffe auf Ihre Webinfrastruktur zu erkennen und optinal abzuwehren.
Erkennt und blockiert nach geografischen Quellen und IP-Adressen oder IP-Bereichen
Google Cloud Armor verwendet die Geo-IP-Datenbank von Google, um die geografische Region der eingehenden Anfragen zu identifizieren, die für Ihre Webinfrastruktur bestimmt sind, und ermöglicht Ihnen, den Traffic auf der Basis von zweistelligen Ländercodes zu blockieren. Eine Online-E-Commerce-Website mit Versand nicht außerhalb eines bestimmten Landes kann beispielsweise Anfragen aus gängigen Quellen für Angriffe blockieren. Darüber hinaus ermöglicht Google Cloud Armor die schnelle Blockierung bestimmter IP-Adressen oder IP-Adressbereiche, die schädliche Anfragen stellen.
Ermöglicht die Überwachung und Abwehr von HTTP(S)-Angriffen auf Anwendungsebene
Google Cloud Armor bietet außerdem eine benutzerdefinierte Regelsprache, mit der Sie komplexe Muster eingehender Anfragen anhand einer Vielzahl von HTTP(S)-Semantiken abgleichen können. Dazu gehören Header, Cookies, URLs, Abfragestringelemente, User-Agent-Muster und HTTP-Methoden.
Google Cloud Armor für Ihren externen Application Load Balancer aktivieren
Sicherheitsrichtlinien steuern die Google Cloud Armor-Konfiguration. Mit diesen Richtlinien werden integrierte Regeln aktiviert und benutzerdefinierte Regeln zum Schutz unterstützt. Zur Bereitstellung von Google Cloud Armor müssen Sie eine Sicherheitsrichtlinie erstellen, Regeln hinzufügen und diese Richtlinie dann an einen oder mehrere Backend-Dienste für externe Application Load Balancer anhängen. Jede Regel gibt die Parameter für den Traffic an, die Aktion, die ausgeführt werden soll, wenn der Traffic mit diesen Parametern übereinstimmt, und einen Prioritätswert, der die Position der Regel in der Richtlinienhierarchie bestimmt.
Google Cloud Armor-Sicherheitsrichtlinie erstellen
Im Folgenden sind die grundlegenden Schritte beschrieben, mit denen Sie Google Cloud Armor-Sicherheitsrichtlinien konfigurieren können, die Regeln aktivieren, die Traffic zum externen Application Load Balancer zulassen oder ablehnen.
- Erstellen Sie eine Google Cloud Armor-Sicherheitsrichtlinie in der Ansicht "Netzwerksicherheit – Google Cloud Armor".
- Basierend auf IP-Listen, benutzerdefinierten Ausdrücken oder vorkonfigurierten WAF-Regeln wie SQL-Einschleusung oder Cross-Site-Scripting fügen Sie der Richtlinie Regeln hinzu.
- Hängen Sie die Google Cloud Armor-Sicherheitsrichtlinie an einen Backend-Dienst des externen Application Load Balancers an, für den Sie den Zugriff steuern möchten.
- Aktualisieren Sie die Google Cloud Armor-Sicherheitsrichtlinie nach Bedarf.
Eine detaillierte Anleitung finden Sie in den Anleitungen zu Google Cloud Armor.
Tipp
- Weitere Informationen zu den Funktionen von Cloud CDN
- Weiterführende Informationen zu den Sicherheitsrichtlinien von Google Cloud Armor
- Monitoring und Logging für einen externen Application Load Balancer mit Cloud CDN einrichten