במדריך הזה מוסבר איך להשתמש ב-Google Cloud Armor Enterprise. מידע נוסף על המוצר זמין במאמר סקירה כללית על Cloud Armor Enterprise.
הרשאות IAM נדרשות
כדי לרשום פרויקט למינוי Cloud Armor Enterprise, צריכות להיות לכם ההרשאות הבאות ב-IAM:
| הרשאת IAM | שיטות API | תפקידים |
|---|---|---|
billing.accounts.update |
לא רלוונטי | אדמין של חשבון לחיוב (roles/billing.admin) |
compute.projects.setCloudArmorTier |
Projects setCloudArmorTier |
אדמין של Compute (roles/compute.admin) |
מידע נוסף על הרשאות חיוב זמין במאמר בקרת גישה והרשאות בחיוב ב-Cloud.
הרשמה למינוי שנתי של Cloud Armor Enterprise
כדי להירשם ל-Cloud Armor Enterprise Annual ולרשום את הפרויקט הנוכחי, פועלים לפי השלבים הבאים.
המסוף
הרשמה למינוי שנתי של Cloud Armor Enterprise
נכנסים לדף Cloud Armor Service Tier במסוף Google Cloud . אם המינוי שלכם פעיל, סימן שהחשבון לחיוב כבר רשום למינוי.
לוחצים על Subscribe and enroll (הרשמה ומינוי) בחלונית Cloud Armor Enterprise Annual (מינוי שנתי ל-Cloud Armor Enterprise). מוצגת תיבת דו-שיח לאישור.
רישום פרויקטים ב-Cloud Armor Enterprise
כדי לרשום פרויקטים למינוי שנתי או למינוי בתשלום לפי שימוש ב-Cloud Armor Enterprise, פועלים לפי השלבים האלה. אם הפרויקט כבר רשום, אפשר לשנות את רמת ההרשמה על ידי הרשמה לרמת הרשמה חדשה. לדוגמה, אם הפרויקט שלכם רשום ב-Cloud Armor Enterprise Annual, אתם יכולים להירשם ל-Cloud Armor Enterprise Paygo כדי לשנות את רמת ההרשמה.
המסוף
צירוף פרויקט ל-Cloud Armor Enterprise Annual
נכנסים לדף Cloud Armor Service Tier במסוף Google Cloud .
בחלונית Cloud Armor Enterprise Annual, לוחצים על Enroll (הרשמה).
רישום פרויקט ל-Cloud Armor Enterprise Paygo
נכנסים לדף Cloud Armor Service Tier במסוף Google Cloud .
בחלונית Cloud Armor Enterprise Paygo, לוחצים על Enroll (הרשמה).
gcloud
רישום פרויקט ל-Cloud Armor Enterprise Annual
כדי לרשום פרויקט ל-Cloud Armor Enterprise Annual, מריצים את הפקודה הבאה:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_ANNUAL
רישום פרויקט ל-Cloud Armor Enterprise Paygo
כדי לרשום פרויקט ל-Cloud Armor Enterprise Paygo, מריצים את הפקודה הבאה:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
הסרת פרויקט מ-Cloud Armor Enterprise
לפני שמסירים פרויקט מ-Cloud Armor Enterprise, מומלץ לקרוא את המאמר בנושא שדרוג לאחור מ-Cloud Armor Enterprise. אחרי שמבטלים את ההרשמה של פרויקט ל-Cloud Armor Enterprise, יכולות לחלוף עד 12 שעות עד שהשינוי ייכנס לתוקף. במהלך התקופה הזו, אפשר להמשיך לבטל את ההרשמה של פרויקטים אחרים (או להירשם אליהם).
כדי לבטל את ההרשמה של פרויקט ל-Cloud Armor Enterprise, פועלים לפי השלבים הבאים.
המסוף
ביטול ההרשמה של פרויקט ל-Cloud Armor Enterprise Annual
נכנסים לדף Cloud Armor Service Tier במסוף Google Cloud .
בחלונית Standard (רגיל), לוחצים על Enroll (הרשמה).
ביטול ההרשמה של פרויקט ל-Cloud Armor Enterprise Paygo
נכנסים לדף Cloud Armor Service Tier במסוף Google Cloud .
בחלונית Standard (רגיל), לוחצים על Enroll (הרשמה).
gcloud
ביטול ההרשמה של פרויקט ל-Cloud Armor Enterprise Annual
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
ביטול ההרשמה של פרויקט ל-Cloud Armor Enterprise Paygo
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
הצגת פרטי ההרשמה
בקטעים הבאים מוסבר איך לראות את רמת ההרשמה הנוכחית שלכם ל-Cloud Armor Enterprise, או את מספר המשאבים שמכוסים בהרשמה.
צפייה ברמת ההרשמה הנוכחית ל-Cloud Armor Enterprise
במאמר הזה מוסבר איך לראות את רמת המינוי הנוכחית שלכם ל-Cloud Armor Enterprise.
המסוף
נכנסים לדף Cloud Armor Service Tier במסוף Google Cloud .
מוצגים לכם רמות השירות הזמינות של Cloud Armor Enterprise, כולל Cloud Armor Enterprise Annual ו-Cloud Armor Enterprise Paygo. רמת שיוך לארגון הנוכחית שלכם ל-Cloud Armor Enterprise מודגשת, והסטטוס שלה הוא Enrolled (רשום) בשדה Project (פרויקט).
gcloud
כדי לראות את רמת ההרשמה הנוכחית שלכם ל-Cloud Armor Enterprise, בודקים את הערך של cloudArmorTier באמצעות הפקודה gcloud compute project-info describe:
gcloud compute project-info describe
צפייה במספר שירותי ה-Backend ודלי ה-Backend שנכללים בהרשמה
בכל פרויקט שרשום ל-Cloud Armor Enterprise מוצג מספר שירותי ה-Backend וקטגוריות ה-Backend שמכוסים בדף Cloud Armor Enterprise. המספר שמוצג הוא המספר הכולל של שירותי קצה עורפיים ושל דליים (buckets) בקצה העורפי שנכללים בהרשמה.
אם הפרויקט רשום ל-Cloud Armor Enterprise Standard, שהיא רמת השירות שמוגדרת כברירת מחדל, המספר הזה לא מוצג.
ביטול המינוי של חשבון לחיוב ל-Cloud Armor Enterprise Annual
מינוי שנתי ל-Cloud Armor Enterprise הוא התחייבות לשנה אחת שמתחדשת אוטומטית. כדי למנוע חידוש בסוף תקופת המינוי של שנה אחת, צריך להשבית את החידוש האוטומטי. אחרי השבתת החידוש האוטומטי, תקופת המינוי הנוכחית לשנה אחת תימשך עד סופה. בסוף תקופת המינוי, המינוי ל-Cloud Armor Enterprise לא מתחדש. אם בפרויקט יש כללי מדיניות אבטחה היררכיים אפקטיביים, הפרויקט ישודרג לאחור ל-Cloud Armor Enterprise Paygo. אחרת, כל הפרויקטים בחשבון לחיוב שרשומים ל-Cloud Armor Enterprise Annual יחזרו ל-Cloud Armor Enterprise Standard.
כדי לבטל את החידוש האוטומטי השנתי של Cloud Armor Enterprise, פועלים לפי השלבים הבאים.
המסוף
כשנכנסים לחשבון לחיוב עם המינוי במסוףGoogle Cloud , עוברים לדף Cloud Armor Service Tier.
לוחצים על חידוש אוטומטי (מושבת). המינוי שלכם ל-Cloud Armor Enterprise לא יחודש כשהמינוי הנוכחי יפוג. החל מהתאריך הזה, פרויקטים שנרשמו ל-Cloud Armor Enterprise לא יהיו רשומים יותר. הם עדיין מקבלים את ההגנה מפני מתקפות DDoS שמוצעת ב-Cloud Armor Enterprise Standard.
פתיחת בקשת תמיכה בנושא תגובה למתקפת DDoS
כדי לקבל תמיכה בתגובה למתקפות DDoS, צריך לפתוח בקשת תמיכה דרךGoogle Cloud המסוף. אם אתם עומדים בדרישות הסף, הבקשה שלכם תועבר לצוות התגובה למתקפות DDoS של Cloud Armor לקבלת תמיכה, סיווג וטיפול פוטנציאלי.
איך פותחים בקשת תמיכה בנושא תגובה למתקפת DDoS
הפעלת הגנה על חיובים מפני DDoS
כדי להגיש תביעה במסגרת ההגנה מפני חיובים על DDoS, הפרויקט שלכם צריך להיות רשום ל-Cloud Armor Enterprise Annual, ועליכם להכין את הפרטים הבאים:
- החשבון לחיוב שמשויך לפרויקט המטרה.
- מספר הפרויקט שמכיל את משאב היעד.
- כתובת ה-IP שפונה לאינטרנט של משאב היעד.
- השעה שבה ההתקפה התחילה.
- השעה שבה הסתיימה המתקפה.
- נפחי תנועה רגילים בשירות שהושפע.
- נפחי התקפות בשירות המושפע.
אפשר להתחיל צ'אט או לפנות לתמיכה בנושאי חיוב דרך Google Cloud המסוף. מידע נוסף על פנייה לתמיכה בנושאי חיוב ב-Cloud זמין במאמר איך פונים לתמיכה בנושאי חיוב ב-Cloud.
הדרישות לגבי הפניות בין פרויקטים
אם אתם משתמשים בהפניה לשירותים בפרויקטים שונים ורוצים ליהנות מהתמחור של Cloud Armor Enterprise, צריך לרשום גם את פרויקט השירות של הקצה הקדמי וגם את פרויקט השירות של הקצה העורפי למינוי שנתי של Cloud Armor Enterprise.
התקפות כשירות
במאזני עומסי רשת חיצוניים להעברת סיגנל ללא שינוי, בהעברת פרוטוקולים ובכתובות IP ציבוריות (מכונות וירטואליות), התקפה נחשבת להתקפה שעומדת בדרישות (כפי שמתואר בתנאים ובהגבלות של Cloud Armor) רק אם ההגנה המתקדמת מפני DDoS הופעלה כבר באזור עם נקודת הקצה שהותקפה בתחילת ההתקפה.
שימוש ב-Google Threat Intelligence
כדי להשתמש ב-Google Threat Intelligence, צריך להגדיר מדיניות אבטחה באמצעות הביטוי evaluateThreatIntelligence match, ולציין שם פיד על סמך הקטגוריה שרוצים לאפשר או לחסום. אם Google Threat Intelligence חוסם כתובת IP באופן שגוי, אפשר להוסיף את כתובת ה-IP לרשימת ההחרגות כדי לאפשר תנועה.
פתרון בעיות ב-Cloud Armor Enterprise
בקטע הזה מוסבר איך לפתור בעיות ב-Cloud Armor Enterprise.
נרשמתם למינוי Cloud Armor Enterprise Annual, אבל החיוב שלכם ממשיך להיות לפי שימוש
אם נרשמתם ל-Cloud Armor Enterprise ואתם עדיין מחויבים לפי שימוש, כדאי לבדוק אם רשמתם את הפרויקטים שלכם ב-Cloud Armor Enterprise.
הכפתור Subscribe לא זמין
אם אי אפשר להירשם למינוי שנתי של Cloud Armor Enterprise כי הלחצן Subscribe לא זמין, צריך לוודא שלמשתמש שמנסה להירשם יש את ההרשאה billing.accounts.update, שנדרשת כדי להירשם ברמת החשבון לחיוב.
ביטלת את המינוי ל-Google Cloud Armor Enterprise Annual, אבל נרשמת אוטומטית למינוי Paygo
אם תבטלו את המינוי של החשבון לחיוב ל-Google Cloud Armor Enterprise Annual בזמן שיש בפרויקט כללי מדיניות אבטחה היררכיים בתוקף, הפרויקט ישודרג לאחור ל-Cloud Armor Enterprise Paygo. הסיבה לכך היא שכללי מדיניות אבטחה היררכיים דורשים הרשמה פעילה ל-Google Cloud Armor Enterprise. כדי לבטל את ההרשמה ל-Paygo, קודם צריך למחוק את כללי מדיניות האבטחה ההיררכיים.
הפרויקט שלכם נרשם אוטומטית ל-Cloud Armor Enterprise
פרויקטים שמכוסים על ידי מדיניות אבטחה היררכית נרשמים אוטומטית לרמה הכי גבוהה של Cloud Armor Enterprise שהם עומדים בדרישות שלה. מידע נוסף זמין במאמר הרשמה ל-Google Cloud Armor Enterprise והתנהלות החיוב.
פערים בחיוב
אם הטיפים האלה לפתרון בעיות לא עוזרים לכם לפתור את הבעיות שנתקלתם בהן, אתם יכולים לפנות אל Google Cloud צוות התמיכה בנושאי חיוב.