我想知道是否可以将 Cloud Armor 与 GAE Flex 一起使用?因为在Cloud Armor's documentation 中,它表示您必须使用HTTPS Load Balancer。由于 GAE Flex 没有负载均衡器,我们如何将 Cloud Armor 与 GAE Flex 一起使用?我们必须使用 WAF 来防止 DDOS 攻击。是否可以通过 HTTPS 负载均衡器将 Cloud Armor 与 GAE Flex 一起使用?如果是这样,您能解释一下我如何实现这个目标吗?
谢谢。
【问题讨论】:
标签: google-app-engine google-cloud-platform google-cloud-load-balancer google-cloud-armor
但是:https://cloud.google.com/load-balancing/docs/negs/serverless-neg-concepts
网络端点组 (NEG) 为负载均衡器指定一组后端端点。无服务器 NEG 是指向 Cloud Run、App Engine 或 Cloud Functions 服务的后端。
无服务器 NEG 可以表示:
【讨论】:
如果您想通过用户模式进行限制,除了应用防火墙规则之外,为了保护应用引擎,还需要申请 IAP。[1]
【讨论】:
Cloud Armor 仅从非 cdn https lb 获取流量,并且在 https LB 支持的后端服务之上是 MIG、IG、Neg 和 Bucket。因此,无法将 HTTPS 与应用引擎一起使用
【讨论】:
根据文档1,HTTP(S) 负载均衡器支持的唯一后端是:MIG、IG、NEG 和存储桶。因此,无法将 App Engine Flex 与 HHTP(S) 负载均衡器一起使用。
HTTP 负载均衡器只能用于托管实例组、实例组、网络端点组和存储桶。因此,您将无法在 App Engine Flex 中使用 HTTP 负载平衡器。
但是,还有许多其他选项可用于保护 App Engine 应用程序。您可以使用 App Engine 防火墙 2 规则来阻止除单个服务 3 之外的所有流量。 App Engine 也位于 Google 前端之后,它吸收了许多基本攻击,例如 SYN 洪水、IP 片段洪水或端口耗尽。我还将向您发送一份文档,介绍我们防止 DDOS 攻击的最佳做法4。
【讨论】: