本教學課程將概述在現有外部應用程式負載平衡器部署中加入 Cloud CDN 和 Google Cloud Armor 的價值。其中包含基本操作說明,說明如何透過外部應用程式負載平衡器啟用 Cloud CDN 和 Google Cloud Armor。
透過 Cloud CDN 改善網站效能
使用外部應用程式負載平衡器,可在 Google 全球邊緣上設定 HTTP(S) 連線,以便更接近要求用戶端,並使用 QUIC、HTTP/2 和 TLS 1.3 等新型通訊協定協商連線,藉此減少來回處理次數並提高傳輸量,進而改善網站效能。此外, Google Cloud 會使用與來源的持續性連線,藉此減少每個用戶端連線的額外負擔。Google 邊緣位置與我們的全球私人骨幹網路相連,可 Google Cloud 最佳化路由,並縮短用戶端、Google 邊緣和後端之間的延遲時間。您可以啟用 Cloud CDN 做為外部應用程式負載平衡器部署的一部分,進一步提升效能並降低服務成本。
什麼是 Cloud CDN?
Cloud CDN (內容傳遞聯播網) 使用 Google 遍佈全球的邊緣網路連接點,在接近使用者所在位置快取負載平衡內容的副本。
Cloud CDN 如何改善網站效能
Cloud CDN 有許多提升效能的方式。
減少要求,分散及擴充後端基礎架構
從 Cloud CDN 快取提供的要求,表示負載平衡器不需要將要求傳送至後端基礎架構,以便取得靜態元素,例如圖片、影片、JavaScript 或樣式表。這不僅可在正常運作期間降低負載,還可讓 Google 邊緣基礎架構吸收要求的尖峰,而不會增加後端服務基礎架構的負載。這樣一來,後端基礎架構就能專注於產生特定使用者的回應,例如動態 HTML,以提供互動式網頁體驗。
透過邊緣裝置提供靜態資產
由於 Google 的全球邊緣會傳送快取要求,因此可縮短對用戶端要求的回應時間。網路體驗的靜態元素 (例如圖片、影片、JavaScript 和樣式表單) 可以立即傳送,無須將要求轉送至後端系統,也不必等待回應和資料傳輸。
降低資料移轉和後端基礎架構成本
搭配使用 Cloud CDN 和外部應用程式負載平衡器,可減少後端流量,進而降低後端基礎架構費用。此外,您也可以減少傳送靜態內容的週期數,因為靜態內容會從 Google 邊緣傳送。Cloud CDN 流量的收費標準是較低的資料傳輸費用,可進一步控管成本。
為外部應用程式負載平衡器啟用 Cloud CDN
您可以為現有的外部應用程式負載平衡器啟用 Cloud CDN,也可以在設定新的負載平衡器時啟用 Cloud CDN。
在外部應用程式負載平衡器設定期間啟用 Cloud CDN
在後端設定期間,選取「Enable Cloud CDN」核取方塊。詳情請參閱 Cloud CDN 使用指南。
為現有的外部應用程式負載平衡器啟用 Cloud CDN
在現有的外部應用程式負載平衡器設定中,您可以在「負載平衡器」詳細資料畫面中,按一下「編輯」 來修改負載平衡器。
接著,在「後端設定」專區中,選取「啟用 Cloud CDN」核取方塊。如需詳細操作說明 (包括 gcloud 指令),請參閱 Cloud CDN 操作說明指南。
透過 Google Cloud Armor 加強網路防護
使用外部應用程式負載平衡器,可在 Google 的全球邊緣上設定 HTTP(S) 連線,為網頁提供一定程度的保護,讓後端基礎架構不必處理這項程序。啟用 Google Cloud Armor 做為外部應用程式負載平衡器的一部分,可讓您更清楚掌握基礎架構和應用程式攻擊,並加以控管。
什麼是 Google Cloud Armor?
Google Cloud Armor 提供 DDoS 和應用程式層防護機制,可與外部應用程式負載平衡器搭配使用。這項服務可讓您瞭解攻擊情況,並部署預先設定和自訂規則,以便緩解對網路應用程式和服務的攻擊。與外部應用程式負載平衡器一樣,Google Cloud Armor 會在 Google 網路的邊緣提供服務,協助防範基礎架構和應用程式攻擊,並盡可能在攻擊源頭防堵攻擊。
Google Cloud Armor 如何提升網路防護機制
Google Cloud Armor 有許多方式可強化防護機制。
自動封鎖大部分的巨流量 DDoS 攻擊
Google Cloud Armor 可與外部應用程式負載平衡器搭配使用,自動封鎖網路通訊協定和巨流量 DDoS 攻擊,例如通訊協定洪流 (SYN、TCP、HTTP 和 ICMP) 和放大攻擊 (NTP、UDP、DNS)。Google Cloud Armor 以原本用於防護 Google 自有網站服務 (例如搜尋、Gmail 和地圖) 的技術為基礎。
已預先設定網路應用程式防火牆規則,有助於偵測及減輕常見的應用程式攻擊
Google Cloud Armor 提供預先設定的網頁應用程式防火牆 (WAF) 規則程式庫,可協助偵測並視需要緩解網路基礎架構遭受的常見網路攻擊,例如 SQL 插入、跨網站指令碼攻擊和指令碼攻擊。
根據來源地理區域和 IP 位址或 IP 範圍偵測並封鎖
Google Cloud Armor 會利用 Google 的地理位置 IP 資料庫,找出傳入網站基礎架構的傳入要求地理區域,並讓您根據兩個字元的國家/地區代碼封鎖流量。舉例來說,如果線上商務網站不提供特定國家/地區以外的運送服務,就可以封鎖來自常見攻擊流量來源的要求。此外,Google Cloud Armor 可快速封鎖發出惡意要求的特定 IP 位址或 IP 位址範圍。
提供可視性,以便監控及減輕應用程式層 HTTP(S) 攻擊
Google Cloud Armor 也提供自訂規則語言,可讓您使用各種 HTTP(S) 語意,比對傳入要求中的複雜模式。包括標頭、Cookie、網址、查詢字串元素、使用者代理程式模式和 HTTP 方法。
為外部應用程式負載平衡器啟用 Google Cloud Armor
安全性政策會影響 Google Cloud Armor 的設定。這些政策會啟用內建規則,並支援保護用的自訂規則。如要部署 Google Cloud Armor,您必須建立安全性政策、新增規則,然後將這項政策附加至一或多個外部 Application Load Balancer 後端服務。每項規則都會指定在流量中偵測的參數、流量符合這些參數時要採取的動作,以及決定規則在政策階層中位置的優先順序值。
建立 Google Cloud Armor 安全性政策
以下是設定 Google Cloud Armor 安全性政策的概略步驟,可啟用允許或拒絕流量傳入外部應用程式負載平衡器的規則。
- 在「網路安全性 - Google Cloud Armor」畫面中建立 Google Cloud Armor 安全性政策。
- 根據 IP 清單、自訂運算式或預先設定的 WAF 規則 (例如 SQL 插入或跨網站指令碼),為政策新增規則。
- 將 Google Cloud Armor 安全性政策附加至您要控管存取權的外部應用程式負載平衡器的後端服務。
- 視需要更新 Google Cloud Armor 安全性政策。
如需詳細操作說明,請參閱 Google Cloud Armor 使用手冊。