ביצועים מהירים יותר של אתרים והגנה משופרת על אתרים לצורך איזון עומסים

במדריך הזה מוסבר למה כדאי להוסיף את Cloud CDN ו-Google Cloud Armor לפריסה קיימת של מאזן עומסים חיצוני של אפליקציות (ALB). הוא כולל הוראות בסיסיות להפעלת Cloud CDN ו-Cloud Armor עם מאזן עומסים חיצוני של אפליקציות (ALB).

שיפור הביצועים של אתרים באמצעות Cloud CDN

השימוש במאזן עומסים חיצוני של אפליקציות כבר משפר את הביצועים של האתרים. זאת כי הוא מגדיר חיבורי HTTP(S)‎ ב-Global Edge של Google קרוב יותר ללקוח ששולח את הבקשה, ומנהל משא ומתן על חיבורים באמצעות פרוטוקולים מודרניים כמו QUIC,‏ HTTP/2 ו-TLS 1.3, כדי לצמצם את מספר ההלוך ושוב ולשפר את קצב העברת הנתונים. בנוסף, שימוש בחיבורים קבועים למקור Google Cloud מפחית את התקורה של כל חיבור לקוח. מיקומי הקצה של Google מחוברים לרשת בשדרה מרכזית פרטית גלובלית שלנו, שמאפשרת Google Cloud לייעל את הניתוב ולהפחית את זמן האחזור בין הלקוח, הקצה של Google והבק-אנד שלכם. כדי לשפר עוד יותר את הביצועים ולהפחית את עלויות מילוי הבקשות, אפשר להפעיל את Cloud CDN כחלק מהפריסה של מאזן עומסים חיצוני של אפליקציות (ALB).

מה זה Cloud CDN?

Cloud CDN (Content Delivery Network) משתמש בנקודות קצה מפוזרות גלובלית של Google כדי לשמור במטמון עותקים של תוכן מאוזן עומסים קרוב למשתמשים.

איך Cloud CDN יכול לשפר את הביצועים של אתר

יש כמה דרכים שבהן Cloud CDN משפר את הביצועים.

מפחית את מספר הבקשות ומוריד עומס מהתשתית של ה-Backend, וגם משנה את קנה המידה שלה

בקשה שמוגשת ממטמון Cloud CDN פירושה שמאזן העומסים לא צריך לשלוח את הבקשה לתשתית הקצה העורפי עבור רכיב סטטי כמו תמונה, סרטון, JavaScript או גיליון סגנונות. הדבר לא רק מפחית את העומס במהלך פעולה רגילה, אלא גם מאפשר לתשתית הקצה של Google לספוג עליות פתאומיות במספר הבקשות בלי להגדיל את העומס על תשתית השרת העורפי שלכם. כך מוודאים שהתשתית של הקצה העורפי מתמקדת ביצירת תגובות ספציפיות למשתמשים, כמו HTML דינמי לחוויית אינטרנט אינטראקטיבית.

הצגת נכסים סטטיים מהקצה

מכיוון ש-Google Edge העולמי שולח בקשות שנשמרו במטמון, אפשר לקצר את זמני התגובה לבקשות של לקוחות. אלמנטים סטטיים בחוויית האינטרנט, כמו תמונות, סרטונים, JavaScript וגיליונות סגנונות, יכולים להימסר באופן מיידי בלי להעביר את הבקשה למערכות העורפיות ולחכות לתגובה ולהעברת נתונים.

הפחתת העלויות של העברת הנתונים והתשתית של ה-Backend

השימוש ב-Cloud CDN עם מאזן עומסים חיצוני של אפליקציות (ALB) מפחית את עלויות התשתית של הקצה העורפי, כי נפח התנועה לקצה העורפי קטן יותר. בנוסף, אפשר להקטין את מספר המחזורים כדי להעביר תוכן סטטי, כי הוא נשלח מהקצה של Google. התנועה ב-Cloud CDN מחויבת בעלות נמוכה יותר של העברת נתונים, וכך מאפשרת שליטה טובה יותר בעלויות.

הפעלת Cloud CDN במאזן עומסים חיצוני של אפליקציות (ALB)

אפשר להפעיל את Cloud CDN במאזן עומסים חיצוני קיים של אפליקציות (ALB) או כשמגדירים מאזן עומסים חדש.

הפעלת Cloud CDN במהלך ההגדרה של מאזן עומסים חיצוני של אפליקציות (ALB)

במהלך הגדרת הקצה העורפי, מסמנים את תיבת הסימון הפעלת Cloud CDN. פרטים נוספים זמינים במדריכים בנושא Cloud CDN.

הפעלת Cloud CDN במאזן עומסים חיצוני קיים של אפליקציות (ALB)

במסך הפרטים של מאזן העומסים, בהגדרה קיימת של מאזן עומסים חיצוני של אפליקציות, אפשר ללחוץ על עריכה edit כדי לשנות את מאזן העומסים.

אחר כך, בקטע Backend Configuration (הגדרת קצה עורפי), מסמנים את תיבת הסימון Enable Cloud CDN (הפעלת Cloud CDN). הוראות מפורטות, כולל פקודות gcloud, זמינות במדריכים בנושא Cloud CDN.

שיפור ההגנה על אתרים באמצעות Cloud Armor

השימוש במאזן עומסים חיצוני של אפליקציות (ALB) כבר מספק מידה מסוימת של הגנה על האתר, כי הוא מגדיר חיבורי HTTP(S) בפריסה הגלובלית של Google, וכך לא צריך לטפל בתהליך הזה בתשתית הקצה העורפי. הפעלת Cloud Armor כחלק ממאזן העומסים החיצוני של אפליקציות (ALB) משפרת את השקיפות והבקרה שלכם בנוגע להתקפות על התשתית ועל האפליקציות.

מה זה Cloud Armor?

‫Cloud Armor מספק הגנה מפני DDoS והגנה בשכבת האפליקציה, והוא פועל בשילוב עם מאזני עומסים חיצוניים של אפליקציות. הוא מספק תובנות לגבי התקפות ומאפשר לכם לפרוס כללים מוגדרים מראש וכללים מותאמים אישית כדי לצמצם את ההשפעה של התקפות על אפליקציות ושירותים באינטרנט. בדומה למאזן עומסים של אפליקציות (ALB) חיצוני, Cloud Armor מסופק בקצה הרשת של Google, ועוזר להגן מפני התקפות על התשתית ועל האפליקציות קרוב למקור שלהן.

איך Cloud Armor יכול לשפר את ההגנה על אתרים

יש כמה דרכים שבהן Cloud Armor משפר את ההגנה.

חסימה אוטומטית של רוב מתקפות ה-DDoS הנפחיות

Cloud Armor פועל עם מאזן העומסים החיצוני של אפליקציות כדי לחסום באופן אוטומטי התקפות DDoS נפחיות ופרוטוקול רישות, כמו הצפות פרוטוקול (SYN,‏ TCP, ‏ HTTP ו-ICMP) והתקפות הגברה (NTP, ‏ UDP, ‏ DNS). ‫Cloud Armor מבוסס על טכנולוגיות שפותחו במקור כדי להגן על שירותי האינטרנט של Google, כמו חיפוש, Gmail ומפות Google.

כולל כללי WAF מוגדרים מראש שעוזרים לזהות ולצמצם מתקפות נפוצות על אפליקציות

‫Cloud Armor מספק ספרייה של כללי חומת אש (WAF) לאפליקציות אינטרנט שהוגדרו מראש, ועוזרים לזהות מתקפות אינטרנט נפוצות כמו הזרקת SQL, פרצות אבטחה XSS‏ (cross-site scripting) והזרקת פקודות נגד תשתית האינטרנט שלכם, ובאופן אופציונלי גם למזער את ההשפעה שלהן.

זיהוי וחסימה לפי מקור גיאוגרפי וכתובות IP או טווחי IP

‫Cloud Armor משתמש במסד הנתונים הגיאוגרפי של כתובות IP של Google כדי לזהות את האזור הגיאוגרפי של בקשות נכנסות שמיועדות לתשתית האינטרנט שלכם, ומאפשר לכם לחסום תנועה על סמך קודי מדינה בני שני תווים. לדוגמה, אתר מסחר אונליין שלא שולח מוצרים מחוץ למדינה מסוימת יכול לחסום בקשות ממקורות נפוצים של תנועת מתקפה. בנוסף, Cloud Armor מאפשר חסימה מהירה של כתובות IP ספציפיות או של טווחי כתובות IP ששולחים בקשות זדוניות.

מאפשרת לראות את המתקפות ברמת האפליקציה של HTTP(S) כדי לעקוב אחריהן ולצמצם את ההשפעה שלהן

בנוסף, Cloud Armor מספק שפה של כללים בהתאמה אישית שמאפשרת להתאים תבניות מורכבות מבקשות נכנסות באמצעות מגוון רחב של סמנטיקה של HTTP(S). הנתונים כוללים כותרות, קובצי Cookie, כתובות URL, רכיבים של מחרוזת שאילתה, תבניות של סוכן משתמש ושיטות HTTP.

הפעלת Cloud Armor במאזן עומסים חיצוני של אפליקציות (ALB)

כללי מדיניות האבטחה מניעים את ההגדרה של Cloud Armor. כללי המדיניות האלה מאפשרים שימוש בכללים מובנים ותמיכה בכללים מותאמים אישית להגנה. כדי לפרוס את Cloud Armor, צריך ליצור מדיניות אבטחה, להוסיף כללים ואז לצרף את המדיניות הזו לשירותי קצה עורפיים של מאזן עומסים של אפליקציות (ALB) חיצוני אחד או יותר. בכל כלל מציינים את הפרמטרים לזיהוי בתנועה, את הפעולה שיש לבצע אם התנועה תואמת לפרמטרים האלה, ואת ערך העדיפות שקובע את המיקום של הכלל בהיררכיית המדיניות.

יצירת מדיניות אבטחה של Cloud Armor

ברמה גבוהה, אלה השלבים להגדרת מדיניות אבטחה של Cloud Armor כדי להפעיל כללים שמאפשרים או חוסמים תעבורה למאזן עומסים של אפליקציות (ALB) חיצוני.

1. יוצרים מדיניות אבטחה של Cloud Armor במסך Network Security - Cloud Armor.
2. מוסיפים כללים למדיניות על סמך רשימות של כתובות IP, ביטויים מותאמים אישית או כללי WAF שהוגדרו מראש, כמו הזרקת SQL או פרצת אבטחה XSS‏ (cross-site scripting).
3. מצרפים את מדיניות האבטחה של Cloud Armor לשירות קצה עורפי של מאזן עומסים חיצוני של אפליקציות (ALB) שרוצים לשלוט בגישה אליו.
4. מעדכנים את מדיניות האבטחה של Cloud Armor לפי הצורך.

הוראות מפורטות זמינות במדריכים של Cloud Armor.

השלבים הבאים

• מידע נוסף על היכולות של Cloud CDN
• כדאי לקרוא ולהבין את כללי מדיניות האבטחה של Cloud Armor.
• מגדירים מעקב ורישום ביומן עבור מאזן עומסים של אפליקציות (ALB) חיצוני עם Cloud CDN.