Diese Anleitung enthält eine Anleitung zur Verwendung von Google Cloud Armor Enterprise. Weitere Informationen zum Produkt finden Sie in der Übersicht zu Cloud Armor Enterprise.
Erforderliche IAM-Berechtigungen
Wenn Sie für ein Rechnungskonto Cloud Armor Enterprise abonnieren oder die Einstellung zur automatischen Verlängerung des Abos ändern möchten, müssen Sie ein Nutzer mit der Berechtigung billing.accounts.update von Identity and Access Management (IAM) für das Rechnungskonto sein, für das abonniert wird.
Wenn Sie ein Projekt für das Cloud Armor Enterprise-Abo registrieren möchten, benötigen Sie die folgenden IAM-Berechtigungen für das derzeit ausgewählte Projekt, das Sie für Cloud Armor Enterprise registrieren:
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.updatecompute.projects.setCloudArmorTier
Weitere Informationen zu Abrechnungsberechtigungen finden Sie in der Übersicht über die Cloud Billing-Zugriffssteuerung.
Cloud Armor Enterprise jährlich abonnieren
So abonnieren Sie Cloud Armor Enterprise Annual und registrieren das aktuelle Projekt:
Console
Cloud Armor Enterprise jährlich abonnieren
Rufen Sie in der Google Cloud -Console die Seite Cloud Armor-Dienststufe auf. Wenn Ihr Abo aktiv ist, ist das Rechnungskonto bereits abonniert.
Klicken Sie im Bereich Cloud Armor Enterprise Annual auf Subscribe and enroll (Abonnieren und registrieren). Es wird ein Bestätigungsdialogfeld angezeigt.
Projekte für Cloud Armor Enterprise registrieren
So registrieren Sie Projekte für Cloud Armor Enterprise Annual oder Paygo: Wenn Ihr Projekt bereits registriert ist, können Sie die Registrierungsstufe ändern, indem Sie sich für die neue Registrierungsstufe registrieren. Wenn Ihr Projekt beispielsweise für Cloud Armor Enterprise Annual registriert ist, können Sie es für Cloud Armor Enterprise Paygo registrieren, um die Registrierungsstufe zu ändern.
Console
Projekt für Cloud Armor Enterprise Annual registrieren
Rufen Sie in der Google Cloud -Console die Seite Cloud Armor-Dienststufe auf.
Klicken Sie im Bereich Cloud Armor Enterprise Annual auf Registrieren.
Projekt für Cloud Armor Enterprise Paygo registrieren
Rufen Sie in der Google Cloud -Console die Seite Cloud Armor-Dienststufe auf.
Klicken Sie im Bereich Cloud Armor Enterprise Paygo auf Registrieren.
gcloud
Projekt für Cloud Armor Enterprise Annual registrieren
Verwenden Sie den folgenden Befehl, um ein Projekt für Cloud Armor Enterprise Annual zu registrieren:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_ANNUAL
Projekt für Cloud Armor Enterprise Paygo registrieren
Verwenden Sie den folgenden Befehl, um ein Projekt für Cloud Armor Enterprise Paygo zu registrieren:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
Projekt aus Cloud Armor Enterprise entfernen
Bevor Sie Ihr Projekt aus Cloud Armor Enterprise entfernen, sollten Sie sich mit dem Downgrade von Cloud Armor Enterprise vertraut machen. Nachdem Sie ein Projekt von Cloud Armor Enterprise abgemeldet haben, kann es bis zu zwölf Stunden dauern, bis die Änderung wirksam wird. Sie können während dieser Zeit weiterhin andere Projekte abmelden (oder registrieren).
So heben Sie die Registrierung eines Projekts für Cloud Armor Enterprise auf:
Console
Registrierung eines Projekts für Cloud Armor Enterprise jährlich aufheben
Rufen Sie in der Google Cloud -Console die Seite Cloud Armor-Dienststufe auf.
Klicken Sie im Bereich Standard auf Registrieren.
Registrierung eines Projekts für Cloud Armor Enterprise Paygo aufheben
Rufen Sie in der Google Cloud -Console die Seite Cloud Armor-Dienststufe auf.
Klicken Sie im Bereich Standard auf Registrieren.
gcloud
Registrierung eines Projekts für Cloud Armor Enterprise jährlich aufheben
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Registrierung eines Projekts für Cloud Armor Enterprise Paygo aufheben
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Registrierungsinformationen ansehen
In den folgenden Abschnitten erfahren Sie, wie Sie Ihren aktuellen Cloud Armor Enterprise-Registrierungstyp oder die Anzahl der Ressourcen, die von Ihrer Registrierung abgedeckt sind, aufrufen.
Aktuelle Cloud Armor Enterprise-Registrierungsstufe ansehen
Folgen Sie dieser Anleitung, um Ihren aktuellen Cloud Armor Enterprise-Registrierungs-Tier anzusehen.
Console
Rufen Sie in der Google Cloud -Console die Seite Cloud Armor-Dienststufe auf.
Sie sehen die verfügbaren Cloud Armor Enterprise-Dienststufen, einschließlich Cloud Armor Enterprise Annual und Cloud Armor Enterprise Paygo. Ihre aktuelle Cloud Armor Enterprise-Registrierungsstufe ist hervorgehoben und hat im Feld Projekt den Status „Registriert“.
gcloud
Mit dem folgenden gcloud-Befehl können Sie Ihre aktuelle Cloud Armor Enterprise-Registrierungsstufe aufrufen:
gcloud compute project-info describe
Anzahl der Backend-Dienste und Backend-Buckets ansehen, die von einer Registrierung abgedeckt werden
Jedes Projekt, das für Cloud Armor Enterprise registriert ist, zeigt die Anzahl der abgedeckten Back-End-Dienste und Back-End-Buckets auf der Seite Cloud Armor Enterprise an. Die angezeigte Zahl ist die Gesamtzahl der Backend-Dienste und Backend-Buckets, die von der Registrierung abgedeckt werden.
Wenn das Projekt in Cloud Armor Enterprise Standard registriert ist, wird diese Anzahl nicht angezeigt.
Cloud Armor Enterprise Annual für ein Rechnungskonto abbestellen
Ein Cloud Armor Enterprise Annual-Abo hat eine einjährige Laufzeit, die automatisch verlängert wird. Sie müssen die automatische Verlängerung deaktivieren, um eine Verlängerung am Ende der einjährigen Laufzeit zu verhindern. Nachdem die automatische Verlängerung deaktiviert wurde, läuft Ihr aktuelles einjähriges Abo bis zum Ende. Am Ende des Abozeitraums wird Ihr Cloud Armor Enterprise-Abo nicht verlängert. Wenn in Ihrem Projekt hierarchische Sicherheitsrichtlinien gelten, wird Ihr Projekt auf Cloud Armor Enterprise Paygo herabgestuft. Andernfalls werden alle Projekte im Rechnungskonto, die für Cloud Armor Enterprise Annual registriert sind, auf Cloud Armor Enterprise Standard zurückgesetzt.
So kündigen Sie die automatische Verlängerung von Cloud Armor Enterprise Annual:
Console
Rufen Sie in derGoogle Cloud Console die Seite Cloud Armor-Service-Tier auf, wenn Sie im abonnierten Rechnungskonto angemeldet sind.
Klicken Sie auf Automatische Verlängerung (Aus). Ihr Cloud Armor Enterprise-Abo wird nicht verlängert, wenn Ihr aktuelles Abo ausläuft. Ab diesem Zeitpunkt sind die bei Cloud Armor Enterprise registrierten Projekte nicht mehr registriert. Sie erhalten weiterhin den im Cloud Armor Enterprise Standard bereitgestellten DDoS-Schutz.
Supportfall für DDoS-Antworten eröffnen
Für die Unterstützung des DDoS-Response-Supports stellen Sie eine Supportanfrage über dieGoogle Cloud -Konsole. Wenn Sie die Teilnahmevoraussetzungen erfüllen, wird Ihr Fall an das Google Cloud Armor-DDoS-Antwortteam weitergeleitet, um Unterstützung, Bewertung und mögliche Risikominderung zu erhalten.
Informationen zum Eröffnen eines Supportfalls für die DDoS-Antwort finden Sie unter Support für einen DDoS-Fall erhalten.
DDoS-Rechnungsschutz aktivieren
Damit Sie einen Antrag für den DDoS-Schutz stellen können, muss Ihr Projekt bei Cloud Armor Enterprise Annual registriert sein. Außerdem müssen Sie die folgenden Informationen vorbereiten:
- Das Rechnungskonto, das dem Zielprojekt zugeordnet ist.
- Die Projektnummer des Projekts, das die Zielressource enthält.
- Die internetseitige IP-Adresse der Zielressource.
- Der Zeitpunkt, zu dem der Angriff gestartet wurde.
- Der Zeitpunkt, zu dem der Angriff abgeschlossen wurde.
- Normales Trafficvolumen für den betroffenen Dienst.
- Angriffsvolumen für den betroffenen Dienst.
Über die Google Cloud Console können Sie einen Chat starten oder den Abrechnungssupport kontaktieren. Weitere Informationen zur Kontaktaufnahme mit dem Cloud Billing-Support finden Sie unter So kontaktieren Sie den Cloud Billing-Support.
Anforderungen für projektübergreifende Referenzen
Wenn Sie projektübergreifende Dienstverweise verwenden und die Cloud Armor Enterprise-Preise nutzen möchten, müssen sowohl das Front-End- als auch das Backend-Dienstprojekt für Cloud Armor Enterprise Annual registriert sein.
Qualifizierte Angriffe
Bei externen Passthrough-Network-Load-Balancern, Protokollweiterleitungen und öffentlichen IP-Adressen (VMs) gilt ein Angriff nur dann als qualifizierter Angriff (wie in den Nutzungsbedingungen und Einschränkungen von Google Cloud Armor beschrieben), wenn der erweiterte DDoS-Schutz für die Region mit dem angegriffenen Endpunkt zu Beginn des Angriffs bereits aktiviert war.
Google Threat Intelligence verwenden
Wenn Sie Google Threat Intelligence verwenden möchten, konfigurieren Sie eine Sicherheitsrichtlinie mit dem Abgleichsausdruck evaluateThreatIntelligence und geben einen Feednamen auf Basis der Kategorie an, die Sie zulassen oder blockieren wollen. Wenn Google Threat Intelligence eine IP-Adresse fälschlicherweise blockiert, können Sie die IP-Adresse der Ausschlussliste hinzufügen, um den entsprechenden Traffic zuzulassen.
Fehlerbehebung bei Cloud Armor Enterprise
Dieser Abschnitt enthält Informationen zur Behebung von Problemen mit Cloud Armor Enterprise.
Sie haben die Cloud Armor-Dienststufe „Enterprise jährlich“ abonniert, aber die Abrechnung erfolgt weiterhin auf Pay-as-you-go-Basis.
Wenn Sie Cloud Armor Enterprise abonniert haben, aber weiterhin Abrechnungen auf Pay-as-you-go-Basis erhalten, prüfen Sie, ob Sie Ihre Projekte in Cloud Armor Enterprise registriert haben.
Die Schaltfläche Subscribe ist nicht verfügbar.
Wenn Sie die Cloud Armor-Dienststufe „Enterprise jährlich“ nicht abonnieren können, weil die Schaltfläche Subscribe nicht verfügbar ist, gehen Sie so vor:
- Der Nutzer, der ein Abo abschließen möchte, muss über ausreichende IAM-Berechtigungen verfügen:
- Er muss
billing.accounts.update-Berechtigungen für das Abonnieren auf Ebene des Rechnungskontos haben. - Der Nutzer benötigt
resourcemanager.projects.createBillingAssignmentundresourcemanager.projects.update, um einzelne Projekte in der Stufe zu registrieren oder die Registrierung in dieser Stufe aufzuheben.
- Er muss
Sie haben Ihr Abo für Google Cloud Armor Enterprise Annual gekündigt, wurden aber automatisch für Paygo registriert.
Wenn Sie das Abo für Ihr Rechnungskonto für Cloud Armor Enterprise jährlich kündigen, während für Ihr Projekt hierarchische Sicherheitsrichtlinien gelten, wird Ihr Projekt auf Cloud Armor Enterprise Paygo herabgestuft. Das liegt daran, dass für hierarchische Sicherheitsrichtlinien eine aktive Google Cloud Armor Enterprise-Registrierung erforderlich ist. Wenn Sie sich vom Pay-as-you-go-Modell abmelden möchten, müssen Sie zuerst Ihre hierarchischen Sicherheitsrichtlinien löschen.
Ihr Projekt wurde automatisch für Cloud Armor Enterprise registriert
Projekte, die von einer hierarchischen Sicherheitsrichtlinie abgedeckt werden, werden automatisch für die höchste Cloud Armor Enterprise-Stufe registriert, für die sie infrage kommen. Weitere Informationen finden Sie unter Registrierung und Abrechnung von Google Cloud Armor Enterprise.
Abweichungen bei der Abrechnung
Wenn diese Tipps zur Fehlerbehebung die aufgetretenen Probleme nicht beheben, wenden Sie sich an das Google Cloud -Supportteam für Abrechnungen.