1

我正在为我的入口使用 L7 谷歌 LB,并将其连接到使用仅允许某些 IP 的 cloudarmor 策略。

我想设置 DDoS 保护,但文档让我感到困惑

Google Cloud Armor 安全政策仅适用于外部 HTTP(S) 负载平衡器后面的后端服务。负载均衡器可以位于高级层或标准层。自动为 HTTP(S) 负载平衡、SSL 代理负载平衡和 TCP 代理负载平衡提供 DDoS 保护。

这是否意味着我所要做的就是将任何(甚至是空的?)云装甲策略应用于 gke L7 LB 入口,我将获得 DDoS?或者是说所有 L7 LB 都已经带有 DDoS 并且我不需要对 cloudarmor 做任何事情——如果说我正在寻找的只是 DDoS 保护?

4

1 回答 1

1

作为 L7 LB 的一部分,Google 提供了广泛的 DDOS 保护。是的,您只需使用 GKE 创建一个入口即可从这种广泛的保护中受益。

您通过例如 GKE Ingresses 访问的 L7LB 是整个 Google 的共享服务,因此您从中获得了相当大的力量。但是,它面向非常大规模的保护,这些可能不像您需要的那样精确|具体。

要添加例如 IP 允许|拒绝列表(无论是您自己的还是由商业服务提供的)的特殊性,您需要定义一个安全策略并将其应用于 GKE 提供的后端。

于 2020-09-01T19:48:56.463 回答