问题描述
我正在使用L7谷歌LB作为入口,并使其连接以使用仅允许某些IP的cloudarmor策略。
我想设置DDoS保护,但文档使我感到困惑
Google Cloud Armor安全策略仅适用于后端 外部HTTP(S)负载均衡器后面的服务。负载均衡器 可以是高级级别或标准级别。 DDoS保护是 自动为HTTP(S)负载平衡,SSL代理负载提供 平衡和TCP代理负载平衡。
这是否意味着我要做的就是对gke L7 LB入口应用任何(甚至是空的)云安全防护策略,我将获得DDoS?还是说所有L7 LB已经配备了DDoS,而我不需要用cloudarmor做任何事情-如果说我要寻找的只是DDoS保护?
解决方法
Google作为L7 LB的一部分提供了广泛的DDOS保护。是的,仅通过使用GKE创建一个入口,您就能从这种广泛的保护中受益。
您通过以下方式访问的L7LB: GKE Ingresses是整个Google的共享服务,因此您将获得巨大的力量。但是,它面向的是非常大规模的保护,而这些保护可能并没有您所需要的那么精确。
增加例如IP允许列表(无论是您自己的还是由商业服务提供的),您需要定义安全策略并将其应用于GKE提供的后端。