如何将 Cloud Armor 与 GAE Flex 一起使用?

How to use Cloud Armor with GAE Flex?

我想知道是否可以将 Cloud Armor 与 GAE Flex 一起使用?因为在Cloud Armor's documentation, it says that you have to use an HTTPS Load Balancer。由于 GAE Flex 没有负载均衡器,我们如何将 Cloud Armor 与 GAE Flex 一起使用?我们必须使用 WAF 来防止 DDOS 攻击。是否可以通过 HTTPS 负载均衡器将 Cloud Armor 与 GAE Flex 一起使用?如果是这样,你能解释一下我是如何实现这个目标的吗?

谢谢。

根据文档1,HTTP(S) 负载均衡器支持的唯一后端是:MIG、IG、NEG 和存储桶。因此,无法将 App Engine Flex 与 HHTP(S) 负载平衡器一起使用。

HTTP 负载平衡器只能用于托管实例组、实例组、网络端点组和存储桶。因此,您将无法将 HTTP 负载平衡器与 App Engine Flex 结合使用。

但是,还有许多其他选项可用于保护 App Engine 应用程序。您可以使用 App Engine 防火墙 2 rule to keep out all traffic except a single service 3 . App Engine also sits behind the Google front-end, which absorbs many basic attacks like SYN floods, IP fragment floods, or port exhaustion. I’m also sending you a document on our best practices for preventing DDOS attacks 4.

Cloud Armor 仅从非 cdn https lb 获取流量,并且在 https LB 支持的后端服务之上是 MIG、IG、Neg 和 Bucket。因此无法将 HTTPS 与 App 引擎一起使用

如果您想通过用户模式进行限制,除了应用防火墙规则之外,为了保护应用引擎,就是申请 IAP。[1]

[1]https://cloud.google.com/iap/docs/app-engine-quickstart

但是:https://cloud.google.com/load-balancing/docs/negs/serverless-neg-concepts

网络端点组 (NEG) 指定负载均衡器的一组后端端点。无服务器 NEG 是指向 Cloud 运行、App Engine 或 Cloud Functions 服务的后端。

一个无服务器NEG可以代表:

  • 一个云 运行 服务或一组共享相同 URL 模式的服务。
  • 一个 Cloud Functions 函数或一组共享相同 URL 模式的函数。
  • App Engine 应用(标准版或 Flex)、应用中的特定服务,甚至是应用的特定版本。