本指南提供 Google Cloud Armor Enterprise 的使用說明。如要進一步瞭解這項產品,請參閱 Cloud Armor Enterprise 總覽。
必要 IAM 權限
如要為帳單帳戶訂閱 Cloud Armor Enterprise,或切換訂閱的自動續訂設定,您必須是具備要訂閱帳單帳戶身分與存取權管理 (IAM) 權限 billing.accounts.update 的使用者。
如要為專案註冊 Cloud Armor Enterprise 訂閱方案,您必須對目前選取的專案擁有下列 IAM 權限,才能註冊 Cloud Armor Enterprise:
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.updatecompute.projects.setCloudArmorTier
如要進一步瞭解帳單權限,請參閱「Cloud Billing 存取權控管總覽」。
訂閱 Cloud Armor Enterprise Annual
如要訂閱 Cloud Armor Enterprise Annual 並註冊目前專案,請按照下列步驟操作。
主控台
訂閱 Cloud Armor Enterprise Annual
前往 Google Cloud 控制台的「Cloud Armor Service Tier」頁面。如果訂閱方案有效,表示帳單帳戶已訂閱。
在「Cloud Armor Enterprise Annual」窗格中,按一下「訂閱並註冊」。系統會顯示確認對話方塊。
向 Cloud Armor Enterprise 註冊專案
如要為專案註冊 Cloud Armor Enterprise Annual 或 Paygo,請按照下列步驟操作。如果專案已註冊,您可以註冊新的註冊層級,藉此變更註冊層級。舉例來說,如果專案已註冊 Cloud Armor Enterprise Annual,您可以註冊 Cloud Armor Enterprise Paygo 來變更註冊層級。
主控台
為專案註冊 Cloud Armor Enterprise Annual
前往 Google Cloud 控制台的「Cloud Armor Service Tier」(Cloud Armor 服務層級) 頁面。
在「Cloud Armor Enterprise Annual」窗格中,按一下「註冊」。
為專案註冊 Cloud Armor Enterprise Paygo
前往 Google Cloud 控制台的「Cloud Armor Service Tier」(Cloud Armor 服務層級) 頁面。
在「Cloud Armor Enterprise Paygo」窗格中,按一下「註冊」。
gcloud
為專案註冊 Cloud Armor Enterprise Annual
使用下列指令,在 Cloud Armor Enterprise 年度方案中註冊專案:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_ANNUAL
為專案註冊 Cloud Armor Enterprise Paygo
使用下列指令,為專案註冊 Cloud Armor Enterprise Paygo 方案:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
從 Cloud Armor Enterprise 移除專案
從 Cloud Armor Enterprise 移除專案前,建議先詳閱「從 Cloud Armor Enterprise 降級」。從 Cloud Armor Enterprise 取消註冊專案後,最多可能需要 12 小時,變更才會生效。在這段期間,您仍可繼續取消註冊 (或註冊) 其他專案。
如要取消註冊專案的 Cloud Armor Enterprise,請按照下列步驟操作。
主控台
取消專案的 Cloud Armor Enterprise Annual 註冊
前往 Google Cloud 控制台的「Cloud Armor Service Tier」(Cloud Armor 服務層級) 頁面。
在「標準」窗格中,按一下「註冊」。
取消註冊 Cloud Armor Enterprise Paygo 專案
前往 Google Cloud 控制台的「Cloud Armor Service Tier」(Cloud Armor 服務層級) 頁面。
在「標準」窗格中,按一下「註冊」。
gcloud
取消專案的 Cloud Armor Enterprise Annual 註冊
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
取消註冊 Cloud Armor Enterprise Paygo 專案
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
查看註冊資訊
請參閱下列各節,查看您目前的 Cloud Armor Enterprise 註冊層級,或查看註冊方案涵蓋的資源數量。
查看目前的 Cloud Armor Enterprise 註冊層級
請按照下列操作說明,查看目前的 Cloud Armor Enterprise 註冊層級。
主控台
前往 Google Cloud 控制台的「Cloud Armor Service Tier」(Cloud Armor 服務層級) 頁面。
您會看到可用的 Cloud Armor Enterprise 服務層級,包括 Cloud Armor Enterprise Annual 和 Cloud Armor Enterprise Paygo。目前註冊的 Cloud Armor Enterprise 級別會醒目顯示,且「專案」欄位會顯示「已註冊」狀態。
gcloud
如要查看目前的 Cloud Armor Enterprise 註冊層級,請使用下列 gcloud 指令:
gcloud compute project-info describe
查看註冊項目涵蓋的後端服務和後端 bucket 數量
在 Cloud Armor Enterprise 頁面中,每個註冊 Cloud Armor Enterprise 的專案都會顯示涵蓋的後端服務和後端儲存空間數量。您看到的數字是註冊涵蓋的後端服務和後端 bucket 總數。
如果專案註冊的是預設層級 Cloud Armor Enterprise Standard,系統就不會顯示這項計數。
取消訂閱帳單帳戶的 Cloud Armor Enterprise Annual
Cloud Armor Enterprise Annual 訂閱方案為期一年,並會自動續訂。如要避免在一年期結束時續訂,請務必停用自動續訂功能。停用自動續訂後,目前的一年期訂閱方案會持續到期。訂閱期結束後,系統不會續訂 Cloud Armor Enterprise 方案。如果專案有生效的階層式安全性政策,專案就會降級為 Cloud Armor Enterprise Paygo。否則,帳單帳戶中已註冊 Cloud Armor Enterprise Annual 的所有專案,都會還原為 Cloud Armor Enterprise Standard。
如要取消 Cloud Armor Enterprise 年約自動續訂,請按照下列步驟操作。
主控台
登入已訂閱的帳單帳戶後,請前往Google Cloud 控制台的「Cloud Armor 服務層級」頁面。
按一下「自動續約 (已關閉)」。目前的訂閱方案到期後,系統不會續訂 Cloud Armor Enterprise。屆時,已註冊 Cloud Armor Enterprise 的專案將不再註冊。他們仍會收到 Cloud Armor Enterprise Standard 提供的 DDoS 防護。
建立 DDoS 應變支援案件
如要尋求 DDoS 應變支援,請透過Google Cloud 控制台建立支援案件。如果客戶符合資格條件,系統會將案件提報給 Google Cloud Armor DDoS 回應團隊,由他們提供支援、分類,並採取可能的緩解措施。
如要建立 DDoS 回應支援案件,請參閱「取得 DDoS 案件支援」。
啟用分散式阻斷服務攻擊帳單保護機制
如要申請 DDoS 帳單保障,專案必須註冊 Cloud Armor Enterprise Annual,且您必須準備下列資訊:
- 與目標專案相關聯的帳單帳戶。
- 包含目標資源的專案編號。
- 目標資源的網際網路連線 IP 位址。
- 攻擊開始的時間。
- 攻擊結束的時間。
- 受影響服務的正常流量。
- 受影響服務的攻擊量。
您可以透過 Google Cloud 控制台發起即時通訊或聯絡帳單支援團隊。如要進一步瞭解如何與 Cloud Billing 支援團隊聯絡,請參閱「如何與 Cloud Billing 支援團隊聯絡」。
跨專案參照規定
如果您使用跨專案服務參照,並想享有 Cloud Armor Enterprise 價格,前端和後端服務專案都必須註冊 Cloud Armor Enterprise Annual。
合格攻擊
對於外部直通式網路負載平衡器、通訊協定轉送和公開 IP 位址 (VM),只有在攻擊開始時,已為受攻擊端點所在的區域啟用進階 DDoS 防護功能,該攻擊才會視為合格攻擊 (如 Google Cloud Armor 條款和限制所述)。
使用 Google Threat Intelligence
如要使用 Google Threat Intelligence,請使用 evaluateThreatIntelligence 比對運算式設定安全性政策,並根據要允許或封鎖的類別提供動態饋給名稱。如果 Google 威脅情報錯誤封鎖 IP 位址,您可以將該 IP 位址加入排除清單,允許流量通過。
排解 Cloud Armor Enterprise 問題
本節提供相關資訊,協助您解決 Cloud Armor Enterprise 的任何問題。
您已訂閱 Cloud Armor Enterprise Annual,但帳單仍採用隨用隨付方案
如果您已訂閱 Cloud Armor Enterprise,但系統仍按用量計費,請檢查專案是否已註冊 Cloud Armor Enterprise。
「Subscribe」按鈕無法使用
如果無法訂閱 Cloud Armor Enterprise Annual,且「Subscribe」按鈕無法使用,請按照下列步驟操作:
- 確認嘗試訂閱的使用者具備足夠的 IAM 權限:
- 使用者必須具備帳單帳戶層級的
billing.accounts.update權限,才能訂閱。 - 使用者必須具備
resourcemanager.projects.createBillingAssignment和resourcemanager.projects.update,才能將個別專案加入或退出層級。
- 使用者必須具備帳單帳戶層級的
您已取消訂閱 Google Cloud Armor Enterprise Annual,但系統自動註冊了 Paygo 方案
如果帳單帳戶取消訂閱 Google Cloud Armor Enterprise Annual,但專案仍有生效的階層式安全性政策,專案就會降級為 Cloud Armor Enterprise Paygo。這是因為階層式安全性政策需要有效的 Google Cloud Armor Enterprise 註冊。如要取消註冊 Paygo,請先刪除階層式安全政策。
專案已自動註冊 Cloud Armor Enterprise
受階層式安全性政策涵蓋的專案,會自動註冊為符合資格的最高 Cloud Armor Enterprise 級別。詳情請參閱「Google Cloud Armor Enterprise 註冊和帳單行為」。
帳單差異
如果這些疑難排解提示無法解決問題,請與Google Cloud 帳單支援團隊聯絡。