Este tutorial descreve a importância de adicionar o Cloud CDN e o Google Cloud Armor a uma implantação de balanceador de carga de aplicativo externo existente. Ele contém instruções básicas para ativar o Cloud CDN e o Google Cloud Armor com um balanceador de carga de aplicativo externo.
Como melhorar o desempenho na Web com o Cloud CDN
O uso do balanceador de carga de aplicativo externo já melhora o desempenho da Web ao configurar conexões HTTP(S) na borda global do Google mais próxima do cliente solicitante e negociar conexões usando protocolos modernos, como QUIC, HTTP/2 e TLS 1.3 para reduzir o número de idas e voltas e melhorar a capacidade de processamento. Além disso, ao usar conexões persistentes com sua origem, o Google Cloud reduz a sobrecarga de cada conexão do cliente. Os locais de borda do Google estão conectados à nossa rede global de backbone particular, que permite ao Google Cloud otimizar o roteamento e reduzir a latência entre o cliente, a borda do Google e seus back-ends. É possível melhorar ainda mais o desempenho e reduzir os custos de disponibilização ativando o Cloud CDN como parte da implantação do balanceador de carga de aplicativo externo.
O que é o Cloud CDN?
O Cloud CDN (rede de fornecimento de conteúdo) usa os pontos de presença de borda do Google, distribuídos globalmente, para armazenar em cache cópias de conteúdo com carga balanceada perto dos usuários.
Como o Cloud CDN pode melhorar o desempenho na Web
O Cloud CDN melhora o desempenho de várias maneiras.
Descarrega e escalona a infraestrutura de back-end por meio da redução de solicitações
Uma solicitação exibida pelo cache do Cloud CDN significa que o balanceador de carga não precisa enviar a solicitação para a infraestrutura de back-end de um elemento estático, como imagem, vídeo, JavaScript ou folha de estilo. Isso reduz a carga durante a operação normal e permite que a infraestrutura de borda do Google absorva picos de solicitações sem aumentar a carga na infraestrutura de exibição de back-ends. Isso garante que a infraestrutura de back-end se concentre em gerar respostas específicas do usuário, como HTML dinâmico para experiências da Web interativas.
Exibe recursos estáticos da borda
Como a borda global do Google envia solicitações armazenadas em cache, os tempos de resposta às solicitações do cliente podem ser reduzidos. Elementos estáticos da experiência da Web, como imagens, vídeos, JavaScript e folhas de estilo, podem ser enviados imediatamente sem a necessidade de encaminhar a solicitação aos sistemas de back-end e aguardar uma resposta e transferência de dados.
Reduz os custos de transferência de dados e infraestrutura de back-end
Ao usar o Cloud CDN com o balanceador de carga de aplicativo externo, é possível reduzir os custos da infraestrutura de back-end com a redução do tráfego para o back-end. Além disso, é possível reduzir o número de ciclos para exibir conteúdo estático porque ele é enviado da borda do Google. O tráfego do Cloud CDN é faturado a um custo de transferência de dados menor, controlando ainda mais os custos.
Como ativar o Cloud CDN para o balanceador de carga de aplicativo externo
O Cloud CDN pode ser ativado para um balanceador de carga de aplicativo externo existente ou ao configurar um novo balanceador de carga.
Como ativar o Cloud CDN durante a configuração do balanceador de carga de aplicativo externo
Durante a configuração do back-end, marque a caixa de seleção Ativar o Cloud CDN. Veja mais detalhes nos guias de instruções do Cloud CDN.
Como ativar o Cloud CDN para um balanceador de carga de aplicativo externo existente
Na configuração de um balanceador de carga de aplicativo externo existente, na tela de detalhes Balanceador de carga, clique em Editar para modificar o balanceador de carga.
Em seguida, na seção Configuração de back-end, marque a caixa de seleção
Ativar o Cloud CDN. Veja instruções detalhadas, incluindo
comandos do gcloud, nos guias de instruções do
Cloud CDN.
Como melhorar a proteção na Web com o Google Cloud Armor
O uso do balanceador de carga de aplicativo externo já configura conexões HTTP(S) na borda global do Google para oferecer uma boa proteção na Web, sem que a infraestrutura de back-end precise lidar com esse processo. Ao ativar o Google Cloud Armor como parte do balanceador de carga de aplicativo externo, você aumenta a visibilidade e o controle contra ataques à infraestrutura e aos aplicativos.
.O que é o Google Cloud Armor?
O Google Cloud Armor oferece defesa de camada do aplicativo e contra DDoS que funciona em conjunto com balanceadores de carga de aplicativo externos. Ele oferece visibilidade sobre ataques e permite implantar regras pré-configuradas e personalizadas para mitigar ataques contra seus aplicativos e serviços da Web. Assim como o balanceador de carga de aplicativo externo, o Google Cloud Armor é fornecido na borda da rede do Google, ajudando na proteção contra ataques à infraestrutura e aos aplicativos próximos à origem deles.
Como o Google Cloud Armor pode melhorar a proteção na Web
O Google Cloud Armor melhora a proteção de várias maneiras.
Bloqueia automaticamente a maioria dos ataques volumétricos de DDoS
O Google Cloud Armor trabalha com o balanceador de carga de aplicativo externo para bloquear automaticamente ataques DDoS volumétricos e de protocolo de rede, como inundações de protocolo (SYN, TCP, HTTP e ICMP), e ataques de amplificação (NTP, UDP, DNS). O Google Cloud Armor é baseado em tecnologias desenvolvidas originalmente para defender os próprios serviços da Web do Google, como pesquisa, Gmail e Maps.
Tem regras WAF pré-configuradas para ajudar a detectar e mitigar ataques comuns a aplicativos
O Google Cloud Armor fornece uma biblioteca de regras de firewall de aplicativos da Web (WAF, na sigla em inglês) pré-configuradas que ajudam a detectar e, opcionalmente, reduzir ataques comuns da Web, como injeção de SQL, scripting em vários locais e ataques de injeção de comando contra a infraestrutura da Web.
Detecta e bloqueia por origem geográfica e endereços IP ou intervalos de IP
O Google Cloud Armor usa o banco de dados Geo-IP do Google para identificar a região geográfica das solicitações de entrada destinadas à sua infraestrutura da Web e permite bloquear o tráfego com base em códigos de país de dois caracteres. Por exemplo, um site de comércio on-line que não envia para fora de um determinado país pode bloquear solicitações de fontes comuns de tráfego de ataque. Além disso, o Google Cloud Armor permite o bloqueio rápido de endereços IP específicos ou intervalos de endereços IP que fazem solicitações mal-intencionadas.
Oferece visibilidade para monitorar e mitigar ataques HTTP(S) de camada de aplicativo
O Google Cloud Armor também fornece uma linguagem de regras personalizadas que permite corresponder padrões complexos a partir de solicitações recebidas usando uma grande variedade de semântica HTTP(S). Isso inclui cabeçalhos, cookies, URLs, elementos de string de consulta, padrões de user agent e métodos HTTP.
Como ativar o Google Cloud Armor para o balanceador de carga de aplicativo externo
As políticas de segurança impulsionam a configuração do Google Cloud Armor. Essas políticas ativam regras integradas e aceitam regras de proteção personalizadas. Para implantar o Google Cloud Armor, é preciso criar uma política de segurança, adicionar regras e anexar essa política a um ou mais serviços de back-end do balanceador de carga de aplicativo externo. Cada regra especifica os parâmetros que serão detectados no tráfego, a ação a ser tomada em caso de correspondência a eles e um valor de prioridade que determina a posição da regra na hierarquia de políticas.
Como criar uma política de segurança do Google Cloud Armor
De modo geral, estas são as etapas para configurar as políticas de segurança do Google Cloud Armor e ativar regras que permitem ou negam tráfego para o balanceador de carga de aplicativo externo.
- Crie uma política de segurança do Google Cloud Armor na tela "Segurança da rede - Google Cloud Armor".
- Adicione regras à política com base em listas de IP, expressões personalizadas ou regras WAF pré-configuradas, como injeção de SQL ou scripting em vários sites.
- Anexe a política de segurança do Google Cloud Armor a um serviço de back-end do balanceador de carga de aplicativo externo em que você quer controlar o acesso.
- Atualize a política de segurança do Google Cloud Armor, conforme necessário.
Veja instruções detalhadas nos guias de instruções do Google Cloud Armor.
Próximas etapas
- Saiba mais sobre os recursos do Cloud CDN.
- Entenda as políticas de segurança do Google Cloud Armor em detalhes.
- Configure o monitoramento e a geração de registros para um balanceador de carga de aplicativo externo com o Cloud CDN.