Ce tutoriel décrit les avantages de l'ajout de Cloud CDN et de Google Cloud Armor à un déploiement d'équilibreur de charge d'application externe existant. Il contient des instructions de base pour activer Cloud CDN et Google Cloud Armor avec un équilibreur de charge d'application externe.
Améliorer les performances Web avec Cloud CDN
L'utilisation de l'équilibreur de charge d'application externe permet déjà d'améliorer les performances Web en configurant des connexions HTTP(S) sur l'infrastructure périphérique mondiale de Google au plus près du client demandeur et en négociant des connexions à l'aide de protocoles modernes, tels que QUIC, HTTP/2 et TLS 1.3 afin de réduire le nombre d'allers-retours et d'améliorer le débit. En outre, en utilisant des connexions persistantes à votre origine, Google Cloud réduit le coût de chaque connexion client. Les emplacements périphériques de Google sont connectés à notre réseau backbone privé mondial, ce qui permet à Google Cloud d'optimiser le routage et de réduire la latence entre le client, l'infrastructure périphérique de Google et vos backends. Vous pouvez améliorer davantage les performances et réduire vos coûts en activant Cloud CDN dans le cadre de votre déploiement d'équilibreur de charge d'application externe.
Qu'est-ce que Cloud CDN ?
Cloud CDN (réseau de diffusion de contenu) utilise les points de présence périphériques de Google répartis à travers le monde pour mettre en cache le contenu équilibré en charge à proximité de vos utilisateurs.
Comment Cloud CDN peut améliorer les performances Web
Cloud CDN améliore les performances de plusieurs façons.
Décharge et redimensionne votre infrastructure backend en réduisant le nombre de requêtes
Une requête diffusée à partir du cache Cloud CDN signifie que l'équilibreur de charge n'a pas besoin d'envoyer la requête à l'infrastructure backend pour un élément statique tel qu'une image, une vidéo, du code JavaScript ou une feuille de style. Cela permet non seulement de réduire la charge lors d'un fonctionnement normal, mais aussi d'absorber les pics de requêtes dans l'infrastructure périphérique de Google sans augmenter la charge sur l'infrastructure de diffusion du backend. Ainsi, l'infrastructure backend se concentre sur la génération de réponses spécifiques à l'utilisateur, telles que le code HTML dynamique pour les expériences Web interactives.
Diffuse des éléments statiques à partir de la périphérie
L'infrastructure périphérique mondiale de Google envoie des requêtes mises en cache, ce qui permet de réduire les temps de réponse des requêtes clientes. Les éléments statiques de votre expérience Web, tels que les images, les vidéos, le code JavaScript et les feuilles de style, peuvent être envoyés immédiatement sans avoir à transférer la requête aux systèmes backend, ni à attendre une réponse et un transfert de données.
Réduit les coûts liés au transfert de données et à l'infrastructure de backend
En utilisant Cloud CDN avec votre équilibreur de charge d'application externe, vous réduisez les coûts d'infrastructure backend en raison d'une diminution du trafic vers le backend. En outre, vous pouvez réduire le nombre de cycles pour diffuser du contenu statique, car il est envoyé depuis le réseau périphérique de Google. Le trafic de Cloud CDN est facturé à un coût de transfert de données inférieur, ce qui vous permet de contrôler davantage les coûts.
Activer Cloud CDN pour votre équilibreur de charge d'application externe
Vous pouvez activer Cloud CDN pour un équilibreur de charge d'application externe existant ou lors de la configuration d'un nouvel équilibreur de charge.
Activer Cloud CDN lors de la configuration de l'équilibreur de charge d'application externe
Lors de la configuration du backend, cochez la case Activer Cloud CDN. Pour plus de détails, consultez les guides d'utilisation de Cloud CDN.
Activer Cloud CDN pour un équilibreur de charge d'application externe existant
Dans une configuration d'équilibreur de charge d'application externe existante, sur l'écran de détails de l'équilibreur de charge, vous pouvez cliquer sur Modifier pour modifier votre équilibreur de charge.
Ensuite, dans la section Configuration du backend, vous pouvez cocher la case Activer Cloud CDN. Pour obtenir des instructions détaillées, y compris les commandes gcloud, consultez les guides d'utilisation de Cloud CDN.
Améliorer la protection Web avec Google Cloud Armor
L'utilisation de l'équilibreur de charge d'application externe fournit déjà une mesure de protection Web en configurant des connexions HTTP(S) sur l'infrastructure périphérique mondiale de Google, ce qui décharge votre infrastructure backend de ce processus. En activant Google Cloud Armor dans le cadre de votre équilibreur de charge d'application externe, vous bénéficiez d'une visibilité et d'un contrôle accrus sur les attaques d'infrastructures et d'applications.
Qu'est-ce que Google Cloud Armor ?
Google Cloud Armor assure la défense contre les attaques DDoS et de couche d'application, en association avec les équilibreurs de charge d'application externes. Il offre une visibilité sur les attaques et vous permet de déployer des règles préconfigurées et personnalisées pour limiter les attaques contre vos applications et services Web. À l'instar de l'équilibreur de charge d'application externe, Google Cloud Armor est fourni à la périphérie du réseau de Google, ce qui permet de lutter contre les attaques d'infrastructure et d'application près de leur source.
Comment Google Cloud Armor peut améliorer la protection Web
Google Cloud Armor améliore la protection de différentes manières.
Bloque automatiquement la plupart des attaques DDoS volumétriques
Google Cloud Armor utilise l'équilibreur de charge d'application externe pour bloquer automatiquement les attaques DDoS volumétriques et de protocole réseau, telles que les inondations de protocole (SYN, TCP, HTTP et ICMP) et les attaques par amplification (NTP, UDP, DNS). Google Cloud Armor est basé sur des technologies développées à l'origine pour protéger les services Web de Google, tels que la recherche, Gmail et Maps.
Dispose de règles WAF préconfigurées permettant de détecter et d'atténuer les attaques d'applications courantes
Google Cloud Armor fournit une bibliothèque de règles de pare-feu d'application Web (WAF) préconfigurées, permettant de détecter et éventuellement de réduire les attaques Web courantes telles que les injections SQL, les scripts intersites et les attaques par injection de commande de votre infrastructure Web.
Détecte et bloque par source géographique et adresses IP ou plages d'adresses IP
Google Cloud Armor utilise la base de données de géolocalisation IP de Google pour identifier la région géographique des requêtes entrantes destinées à votre infrastructure Web et vous permet de bloquer le trafic en fonction des codes pays à deux caractères. Par exemple, un site de commerce en ligne qui ne livre pas en dehors d'un pays donné peut bloquer les requêtes provenant de sources courantes de trafic associé à l'attaque. De plus, Google Cloud Armor permet le blocage rapide d'adresses IP ou de plages d'adresses IP spécifiques qui envoient des requêtes malveillantes.
Permet de surveiller et d'atténuer les attaques HTTP(S) de la couche d'application
Google Cloud Armor propose également un langage de règles personnalisées qui vous permet de faire correspondre des modèles complexes avec des requêtes entrantes à l'aide d'une grande variété d'éléments sémantiques HTTP(S). Cela inclut les en-têtes, les cookies, les URL, les éléments de chaîne de requête, les modèles user-agent et les méthodes HTTP.
Activer Google Cloud Armor pour votre équilibreur de charge d'application externe
Les stratégies de sécurité pilotent la configuration de Google Cloud Armor. Ces stratégies autorisent les règles intégrées et sont compatibles avec les règles personnalisées pour la protection. Pour déployer Google Cloud Armor, vous devez créer une stratégie de sécurité, ajouter des règles, puis l'associer à un ou plusieurs services de backend de l'équilibreur de charge d'application externe. Chaque règle spécifie les paramètres à détecter dans le trafic, l'action à effectuer si le trafic correspond à ces paramètres, et une valeur de priorité qui détermine la position de la règle dans la hiérarchie des stratégies.
Créer une stratégie de sécurité Google Cloud Armor
Dans les grandes lignes, voici les étapes de configuration des stratégies de sécurité Google Cloud Armor pour activer des règles qui autorisent ou refusent le trafic vers l'équilibreur de charge d'application externe.
- Créez une stratégie de sécurité Google Cloud Armor sur l'écran Sécurité du réseau – Google Cloud Armor.
- Ajoutez des règles à la stratégie en fonction de listes d'adresses IP, d'expressions personnalisées ou de règles WAF préconfigurées telles que l'injection SQL ou le script intersites.
- Associez la stratégie de sécurité Google Cloud Armor à un service de backend de l'équilibreur de charge d'application externe dont vous souhaitez contrôler l'accès.
- Mettez à jour la stratégie de sécurité Google Cloud Armor si nécessaire.
Pour en savoir plus, consultez les Guides d'utilisation de Google Cloud Armor.
Étapes suivantes
- Apprenez-en plus sur les fonctionnalités de Cloud CDN.
- Découvrez en détail les règles de sécurité de Google Cloud Armor.
- Configurez la surveillance et la journalisation pour un équilibreur de charge d'application externe avec Cloud CDN.