如何使用 cloudarmor 为我的 gke ingress 配置 DDoS?

How do I configure DDoS with cloudarmor for my gke ingress?

我正在为我的入口使用 L7 google LB,并将其连接以使用仅允许某些 IP 的 cloudarmor 策略。

我想设置 DDoS 保护,但文档让我感到困惑

Google Cloud Armor security policies are available only for backend services behind an external HTTP(S) load balancer. The load balancer can be in Premium Tier or Standard Tier. DDoS protection is automatically provided for HTTP(S) Load Balancing, SSL Proxy Load Balancing, and TCP Proxy Load Balancing.

这是否意味着我所要做的就是将任何(甚至是空的?)云装甲策略应用于 gke L7 LB 入口,我就会受到 DDoS 攻击?还是说所有 L7 LB 都已经带有 DDoS 而我不需要对 cloudarmor 做任何事情 - 如果说我正在寻找的只是 DDoS 保护?

Google 作为 L7 LB 的一部分提供广泛的 DDOS 保护。是的,您只需使用 GKE 创建入口即可从这种广泛的保护中受益。

您通过例如访问的 L7LB GKE Ingresses 是一项跨 Google 的共享服务,因此您可以从中获得相当大的力量。但是,它面向非常大规模的保护,这些保护可能没有您需要的那么精确|具体。

添加例如IP 允许|拒绝列表(无论是您自己的还是由商业服务提供的),您需要定义一个安全策略并将其应用于 GKE 提供的后端。