Поддерживает ли LoadBalancer внешней транзитной сети конфигурацию BackendConfig из GKE?

Я развернул контроллер Nginx через внешний транзитный балансировщик нагрузки в GCP. Я хочу прикрепить политику безопасности Cloud Armor к LoadBalancer. Согласно документации BackendConfig, похоже, что он поддерживает только HTTP LoadBalancers, настроенные через ресурс Ingress. Я хочу получить подтверждение: если я добавлю cloud.google.com/backend-config в службу контроллера Nginx, будет ли он привязан к настроенной мной политике безопасности Cloud Armor?

Я пробовал это, но серверная служба, похоже, не дает эффекта.

Создание приборной панели для анализа данных на GCP - часть I
Создание приборной панели для анализа данных на GCP - часть I
Недавно я столкнулся с интересной бизнес-задачей - визуализацией сбоев в цепочке поставок лекарств, которую могут просматривать врачи и...
0
0
156
2
Перейти к ответу Данный вопрос помечен как решенный

Ответы 2

Балансировщики транзитной нагрузки по определению не будут работать, потому что Google просто пересылает трафик, и не существует прокси-сервера, к которому нельзя было бы прикрепить политику безопасности.

В документации Cloud Armor написано External passthrough Network Load Balancer (TCP/UDP) поддерживаются. Это должно быть возможно, верно? Я не уверен, сможем ли мы подключить его через GKE BackendConfig в службе Nginx. Является ли это возможным?

Dinuka Kavinda 20.05.2024 10:41

Я считаю, что это относится только к расширенной защите от DDoS cloud.google.com/armor/docs/advanced-network-ddos . Но расширенные политики безопасности не должны работать googlecloudcommunity.com/gc/General-Misc-Q-A/….

Arnau Senserrich 20.05.2024 11:13

Так не можем ли мы использовать его даже для фильтрации определенного CIDR? Я предположил, что, поскольку в этой таблице упоминается, мы можем фильтровать исходный CIDR cloud.google.com/armor/docs/…

Dinuka Kavinda 20.05.2024 13:29
Ответ принят как подходящий

Внешние транзитные балансировщики сетевой нагрузки не являются прокси-серверами, а входы GKE используют балансировщик нагрузки HTTPS на основе прокси. В настоящее время Cloud Armor можно интегрировать только с балансировщиком нагрузки HTTP(S). Он позволяет применять политики безопасности непосредственно к балансировщику нагрузки, эффективно защищая все приложения, обслуживаемые за ним.

Google Cloud Armor защищает ваши приложения и веб-сайты от отказа в обслуживании и веб-атак. Поскольку GKE Ingress использует балансировщики нагрузки HTTP(s) на основе прокси-сервера Google Cloud HTTP(s), защита от DDos-атак L3 и L4 включена по умолчанию.

Приложения также можно защитить с помощью фильтрации Layer7 с помощью политик безопасности Google Cloud Armor . После настройки политики безопасности Google Cloud Armor ее можно использовать для защиты сервисов, связанных с данным входом. Google Cloud Armor поддерживает расширенную сетевую защиту от DDoS-атак для внешних балансировщиков сетевой нагрузки. Дополнительную информацию см. в разделе Настройка расширенной сетевой защиты от DDoS.

Вы можете обратиться к документации Github для настройки GKE Ingress с защитой Google Cloud Armor.

Обновлено:

Вы можете использовать Cloud Armor для фильтрации исходных IP-адресов на внешнем балансировщике транзитной нагрузки. Cloud Armor позволяет защитить ваши веб-приложения и API от различных угроз, включая IP-атаки. Вы можете создать политику безопасности Cloud Armor и определить правила для фильтрации входящего трафика на основе исходных IP-адресов, диапазонов IP-адресов и других атрибутов. Теперь примените и настройте политики безопасности Cloud Armor для балансировщика нагрузки.

Значит, мы не можем использовать Cloud Armor для фильтрации исходных IP-адресов, верно? на внешних транзитных балансировщиках сетевой нагрузки? Потому что документация немного запутанная. В соответствии с этой таблицей говорится, что у CA есть такая возможность cloud.google.com/armor/docs/… Также это пошаговое руководство cloud.google.com/armor/docs/network-edge-policies

Dinuka Kavinda 20.05.2024 16:12

@DinukaKavinda, я отредактировал свой ответ согласно твоим комментариям. Пожалуйста, посмотрите и дайте мне знать, если у вас возникнут дополнительные вопросы. Пожалуйста, примите и проголосуйте за ответ, если вы обнаружили, что предоставленное решение помогло вам решить проблему. Если нет, Буду рад помочь дальше.

Srividya 22.05.2024 15:23

Спасибо за ваш ответ. Это то, что я хотел получить подтверждение. Я хочу отфильтровать исходные IP-адреса от CA к внешнему балансировщику транзитной нагрузки. Согласно их документации, это похоже на корпоративную функцию cloud.google.com/armor/docs/network-edge-policies Но я посмотрю, доступна ли она и в стандартной версии. Спасибо

Dinuka Kavinda 28.05.2024 14:55

Другие вопросы по теме

Поддерживается ли диапазон управляемых служб Google (34.118.224.0/20) для стандартных частных кластеров GKE?
Невозможно выполнить запрос для существующего сеанса: java.util.concurrent.TimeoutException для тестов селена, запущенных из Jenkins в кластере GKE
Экземпляр Airflow на веб-сервере/планировщике GCP Composer отключен
Google Kubernetes Engine переопределяет завершениеGracePeriodSeconds до 600 секунд
HPA не может найти «нетипизированную» пользовательскую метрику из адаптера Prometheus/Stackdriver
Перенаправление домена вершины на URL-адрес, отличный от вершины (с www на не www) в GCP/GKE
Golang == Ошибка: не удалось создать среду выполнения OCI: невозможно запустить процесс контейнера: exec: "./bin": stat ./bin: нет такого файла или каталога: неизвестно
Невозможно добавить сертификат TLS в GKE из Google Secret Manager
Могу ли я использовать диапазон управляемых услуг Google в стандартном кластере gke, созданном с помощью Terraform без автопилота?
SQL-соединение выдает ошибку при добавлении DistributedSession, SessionMiddleware