Я развернул контроллер Nginx через внешний транзитный балансировщик нагрузки в GCP. Я хочу прикрепить политику безопасности Cloud Armor к LoadBalancer. Согласно документации BackendConfig, похоже, что он поддерживает только HTTP LoadBalancers, настроенные через ресурс Ingress. Я хочу получить подтверждение: если я добавлю cloud.google.com/backend-config
в службу контроллера Nginx, будет ли он привязан к настроенной мной политике безопасности Cloud Armor?
Я пробовал это, но серверная служба, похоже, не дает эффекта.
Балансировщики транзитной нагрузки по определению не будут работать, потому что Google просто пересылает трафик, и не существует прокси-сервера, к которому нельзя было бы прикрепить политику безопасности.
Я считаю, что это относится только к расширенной защите от DDoS cloud.google.com/armor/docs/advanced-network-ddos . Но расширенные политики безопасности не должны работать googlecloudcommunity.com/gc/General-Misc-Q-A/….
Так не можем ли мы использовать его даже для фильтрации определенного CIDR? Я предположил, что, поскольку в этой таблице упоминается, мы можем фильтровать исходный CIDR cloud.google.com/armor/docs/…
Внешние транзитные балансировщики сетевой нагрузки не являются прокси-серверами, а входы GKE используют балансировщик нагрузки HTTPS на основе прокси. В настоящее время Cloud Armor можно интегрировать только с балансировщиком нагрузки HTTP(S). Он позволяет применять политики безопасности непосредственно к балансировщику нагрузки, эффективно защищая все приложения, обслуживаемые за ним.
Google Cloud Armor защищает ваши приложения и веб-сайты от отказа в обслуживании и веб-атак. Поскольку GKE Ingress использует балансировщики нагрузки HTTP(s) на основе прокси-сервера Google Cloud HTTP(s), защита от DDos-атак L3 и L4 включена по умолчанию.
Приложения также можно защитить с помощью фильтрации Layer7 с помощью политик безопасности Google Cloud Armor . После настройки политики безопасности Google Cloud Armor ее можно использовать для защиты сервисов, связанных с данным входом. Google Cloud Armor поддерживает расширенную сетевую защиту от DDoS-атак для внешних балансировщиков сетевой нагрузки. Дополнительную информацию см. в разделе Настройка расширенной сетевой защиты от DDoS.
Вы можете обратиться к документации Github для настройки GKE Ingress с защитой Google Cloud Armor.
Обновлено:
Вы можете использовать Cloud Armor для фильтрации исходных IP-адресов на внешнем балансировщике транзитной нагрузки. Cloud Armor позволяет защитить ваши веб-приложения и API от различных угроз, включая IP-атаки. Вы можете создать политику безопасности Cloud Armor и определить правила для фильтрации входящего трафика на основе исходных IP-адресов, диапазонов IP-адресов и других атрибутов. Теперь примените и настройте политики безопасности Cloud Armor для балансировщика нагрузки.
Значит, мы не можем использовать Cloud Armor для фильтрации исходных IP-адресов, верно? на внешних транзитных балансировщиках сетевой нагрузки? Потому что документация немного запутанная. В соответствии с этой таблицей говорится, что у CA есть такая возможность cloud.google.com/armor/docs/… Также это пошаговое руководство cloud.google.com/armor/docs/network-edge-policies
@DinukaKavinda, я отредактировал свой ответ согласно твоим комментариям. Пожалуйста, посмотрите и дайте мне знать, если у вас возникнут дополнительные вопросы. Пожалуйста, примите и проголосуйте за ответ, если вы обнаружили, что предоставленное решение помогло вам решить проблему. Если нет, Буду рад помочь дальше.
Спасибо за ваш ответ. Это то, что я хотел получить подтверждение. Я хочу отфильтровать исходные IP-адреса от CA к внешнему балансировщику транзитной нагрузки. Согласно их документации, это похоже на корпоративную функцию cloud.google.com/armor/docs/network-edge-policies Но я посмотрю, доступна ли она и в стандартной версии. Спасибо
В документации Cloud Armor написано
External passthrough Network Load Balancer (TCP/UDP)
поддерживаются. Это должно быть возможно, верно? Я не уверен, сможем ли мы подключить его через GKE BackendConfig в службе Nginx. Является ли это возможным?