Este tutorial descreve o valor da adição do Cloud CDN e do Google Cloud Armor a uma implementação do Application Load Balancer externo existente. Inclui instruções básicas para ativar o Cloud CDN e o Cloud Armor com um balanceador de carga de aplicações externo.
Melhorar o desempenho da Web com o Cloud CDN
A utilização do balanceador de carga de aplicações externo já melhora o desempenho da Web através da configuração de ligações HTTP(S) na extremidade global da Google mais perto do cliente que faz o pedido e da negociação de ligações através de protocolos modernos, como QUIC, HTTP/2 e TLS 1.3, para reduzir o número de viagens de ida e volta e melhorar a taxa de transferência. Além disso, a utilização de ligações persistentes à sua origem Google Cloud reduz a sobrecarga de cada ligação de cliente. As localizações de proximidade da Google estão ligadas à nossa rede principal privada global, o que permite Google Cloud otimizar o encaminhamento e reduzir a latência entre o cliente, a proximidade da Google e os seus back-ends. Pode melhorar ainda mais o desempenho e reduzir os custos de serviço ativando a RFC como parte da implementação do balanceador de carga da aplicação externo.
O que é o Cloud CDN?
A RFC (rede de fornecimento de conteúdo) na nuvem usa os pontos de presença de limite distribuídos globalmente da Google para colocar em cache cópias de conteúdo com equilíbrio de carga perto dos seus utilizadores.
Como a RFC na nuvem pode melhorar o desempenho da Web
Existem várias formas de o Cloud CDN melhorar o desempenho.
Transfere e dimensiona a sua infraestrutura de back-end reduzindo os pedidos
Um pedido fornecido a partir da cache do Cloud CDN significa que o equilibrador de carga não precisa de enviar o pedido para a infraestrutura de back-end para um elemento estático, como uma imagem, um vídeo, um JavaScript ou uma folha de estilos. Isto não só reduz a carga durante o funcionamento normal, como também permite que a infraestrutura de limite da Google absorva picos de pedidos sem aumentar a carga na sua infraestrutura de publicação de back-end. Isto garante que a infraestrutura de back-end se foca na geração de respostas específicas do utilizador, como HTML dinâmico para experiências Web interativas.
Publica recursos estáticos a partir da extremidade
Uma vez que a rede global de extremidade da Google envia pedidos em cache, os tempos de resposta aos pedidos dos clientes podem ser reduzidos. Os elementos estáticos da sua experiência Web, como imagens, vídeos, JavaScript e folhas de estilos, podem ser fornecidos imediatamente sem necessidade de encaminhar o pedido para os sistemas de back-end e aguardar uma resposta e uma transferência de dados.
Reduz os custos de transferência de dados e da infraestrutura de back-end
Ao usar o Cloud CDN com o seu Application Load Balancer externo, reduz os custos da infraestrutura de back-end devido à redução do tráfego para o back-end. Além disso, pode reduzir o número de ciclos para fornecer conteúdo estático, uma vez que é enviado a partir da extremidade da rede Google. O tráfego do Cloud CDN é faturado a um custo de transferência de dados inferior, o que permite controlar ainda mais os custos.
Ativar o Cloud CDN para o seu Application Load Balancer externo
Pode ativar o Cloud CDN para um Application Load Balancer externo existente ou quando configurar um novo balanceador de carga.
Ativar a RFC durante a configuração do balanceador de carga de aplicações externo
Durante a configuração de back-end, selecione a caixa de verificação Ativar RFC na nuvem. Para ver detalhes, consulte os guias de instruções do Cloud CDN.
Ativar o Cloud CDN para um Application Load Balancer externo existente
Numa configuração do Application Load Balancer externo existente, no ecrã de detalhes do Load Balancer, pode clicar em Editar para modificar o balanceador de carga.
Em seguida, na secção Configuração de back-end, pode selecionar a caixa de verificação
Ativar RFC na nuvem. Para instruções detalhadas, incluindo comandos gcloud, consulte os guias de procedimentos do Cloud CDN.
Melhorar a proteção da Web com o Cloud Armor
A utilização do balanceador de carga de aplicações externo já oferece uma medida de proteção Web através da configuração de ligações HTTP(S) na extremidade global da Google, libertando a sua infraestrutura de back-end da necessidade de processar este processo. Ao ativar o Cloud Armor como parte do Application Load Balancer externo, aumentou a visibilidade e o controlo contra ataques à infraestrutura e às aplicações.
O que é o Cloud Armor?
O Cloud Armor oferece defesa contra DDoS e na camada de aplicação, funcionando em conjunto com equilibradores de carga de aplicações externos. Oferece visibilidade dos ataques e permite-lhe implementar regras pré-configuradas e personalizadas para mitigar ataques contra as suas aplicações e serviços Web. Tal como o Application Load Balancer externo, o Cloud Armor é fornecido no limite da rede da Google, o que ajuda a defender-se contra ataques à infraestrutura e às aplicações perto da respetiva origem.
Como o Cloud Armor pode melhorar a proteção Web
Existem várias formas através das quais o Cloud Armor melhora a proteção.
Bloqueia automaticamente a maioria dos ataques DDoS volumétricos
O Cloud Armor funciona com o balanceador de carga de aplicações externo para bloquear automaticamente ataques DDoS volumétricos e de protocolo de rede, como inundações de protocolos (SYN, TCP, HTTP e ICMP) e ataques de amplificação (NTP, UDP e DNS). O Cloud Armor baseia-se em tecnologias desenvolvidas originalmente para defender os serviços Web da própria Google, como a Pesquisa, o Gmail e o Maps.
Tem regras de WAF pré-configuradas para ajudar a detetar e mitigar ataques de aplicações comuns
O Cloud Armor oferece uma biblioteca de regras de firewall de aplicações Web (WAF) pré-configuradas que ajudam a detetar e, opcionalmente, a mitigar ataques Web comuns, como injeção de SQL, scripting entre sites e ataques de injeção de comandos contra a sua infraestrutura Web.
Deteta e bloqueia por origem geográfica e endereços IP ou intervalos de IP
O Cloud Armor tira partido da base de dados Geo-IP da Google para identificar a região geográfica dos pedidos recebidos destinados à sua infraestrutura Web e permite-lhe bloquear o tráfego com base em códigos de países de dois carateres. Por exemplo, um site de comércio online que não envia produtos para fora de um determinado país pode bloquear pedidos de origens comuns de tráfego de ataque. Além disso, o Cloud Armor permite o bloqueio rápido de endereços IP específicos ou intervalos de endereços IP que fazem pedidos maliciosos.
Oferece visibilidade para monitorizar e mitigar ataques HTTP(S) na camada de aplicação
O Cloud Armor também fornece uma linguagem de regras personalizadas que lhe permite fazer a correspondência de padrões complexos de pedidos recebidos através de uma grande variedade de semântica HTTP(S). Isto inclui cabeçalhos, cookies, URLs, elementos de string de consulta, padrões de agentes do utilizador e métodos HTTP.
Ativar o Cloud Armor para o seu Application Load Balancer externo
As políticas de segurança determinam a configuração do Cloud Armor. Estas políticas ativam regras incorporadas e suportam regras personalizadas para proteção. Para implementar o Cloud Armor, tem de criar uma política de segurança, adicionar regras e, em seguida, anexar esta política a um ou mais serviços de back-end do Application Load Balancer externo. Cada regra especifica os parâmetros a detetar no tráfego, a ação a tomar se o tráfego corresponder a estes parâmetros e um valor de prioridade que determina a posição da regra na hierarquia de políticas.
Criar uma política de segurança do Cloud Armor
A um nível elevado, estes são os passos para configurar as políticas de segurança do Cloud Armor para ativar regras que permitem ou negam tráfego ao Application Load Balancer externo.
- Crie uma política de segurança do Cloud Armor no ecrã Network Security - Cloud Armor.
- Adicione regras à política com base em listas de IPs, expressões personalizadas ou regras de WAF pré-configuradas, como injeção de SQL ou scripting entre sites.
- Anexe a política de segurança do Cloud Armor a um serviço de back-end do Application Load Balancer externo para o qual quer controlar o acesso.
- Atualize a política de segurança do Cloud Armor conforme necessário.
Para ver instruções detalhadas, consulte os guias de procedimentos do Cloud Armor.
Passos seguintes
- Saiba mais sobre as capacidades da RFC do Google Cloud.
- Compreenda as políticas de segurança do Cloud Armor em detalhe.
- Configure a monitorização e o registo para um balanceador de carga de aplicações externo com o Cloud CDN.