我想知道是否可以将Cloud Armor与GAE Flex一起使用?因为在Cloud Armor的文档中,它说您必须使用HTTPS负载均衡器。由于 GAE Flex 没有负载均衡器,我们如何将 Cloud Armor 与 GAE Flex 结合使用?我们必须使用 WAF 来防止 DDOS 攻击。是否可以通过 HTTPS 负载均衡器将 Cloud Armor 与 GAE Flex 一起使用?如果是这样,你能解释一下我如何实现这一目标吗?
谢谢。
根据文档 1,HTTP(S( 负载均衡器支持的唯一后端是:MIG、IG、NEG 和存储桶。因此,无法将 App Engine Flex 与 HHTP(S( 负载均衡器配合使用。
HTTP 负载均衡器只能用于托管实例组、实例组、网络终端节点组和存储桶。因此,您将无法将 HTTP 负载均衡器与 App Engine Flex 配合使用。
但是,还有许多其他选项可用于保护 App Engine 应用程序。您可以使用 App 引擎防火墙 2 规则来阻止除单个服务 3 之外的所有流量。App Engine 也位于 Google 前端后面,后者吸收了许多基本攻击,如 SYN 泛洪、IP 片段泛滥或端口耗尽。我还向您发送了一份关于我们防止 DDOS 攻击的最佳实践的文档 4.
但是: https://cloud.google.com/load-balancing/docs/negs/serverless-neg-concepts
网络终端节点组 (NEG(为负载均衡器指定一组后端终端节点。无服务器 NEG 是指向云运行、App Engine 或云函数服务的后端。
无服务器 NEG可以表示:
- 共享相同 URL 模式的云运行服务或一组服务。
- 一个云函数或一组共享相同 URL 模式的函数。
- App Engine 应用(标准版或 Flex(、应用内的特定服务,甚至是应用的特定版本。
Cloud Armour只从非CDN https lb获取流量,在https LB支持的后端服务之上是MIG,IG,Neg和Bucket。因此,不可能将HTTPS与应用程序引擎一起使用
除了应用防火墙规则之外,为了保护应用程序引擎,如果要按用户模式进行限制,请申请IAP。注1]
[1]https://cloud.google.com/iap/docs/app 引擎快速入门