问题标签 [google-cloud-armor]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-cloud-platform - 如何使用 Google Cloud Armor 将 GKE 上的几个 IP 列入白名单?
我们正在尝试阻止所有非集群流量,除了一些基于此 Cloud Armor walk through的外部 IP 地址。
GKE 集群可识别规则,但仍会阻止允许的 IP。以下是遵循的步骤:
1)创建策略+规则
2) 将规则应用于我们的服务,这些服务位于端口 8080
我在看什么?
谢谢!
google-cloud-platform - 谷歌云盔甲:无法使用云盔甲添加目标
我配置了 Cloud Armor 策略,但是当我尝试将策略应用于新目标时,“+添加目标”按钮被禁用。
google-cloud-platform - Google Cloud Armor Beta:检测某些产生流量并阻止它们的 ip
我已经成功地使用云盔甲并应用了白名单或黑名单来保护我的后端服务。假设有来自某些特定地址的流量,有没有办法根据频率自动检测它们,而不需要遍历 StackDriver 日志?如果是这样,有什么方法可以自动将它们列入黑名单?
google-cloud-platform - 如何过滤 GCP CDN 的入站流量?
我对 gcp 中的 cdn 服务有一个非常基本的问题。我只需要在入站允许一些 ip 并拒绝所有其他流量。我怎样才能实现这个功能?只是要知道,cdn 将使用后端存储桶服务。
我已经尝试过 gcp Armor 但对于 HTTP(S) 负载均衡器它不起作用。那么,gcp 堆栈中的正确组件是什么?
提前感谢您的宝贵时间。
python-3.x - 通过 REST API 在 Google Cloud Platform 中更新 Cloud Armor 中的规则的 Python 脚本
我想编写一个 Python 脚本,该脚本将使用Compute Engine REST API更新或添加新规则到Google Cloud Platform中的Cloud Armor。
但我有几个疑问:
Python的官方Google Cloud 客户端库是否适合此目的(如果不是您建议的)?
为此,我应该安装哪个Python 包?
此标准身份验证(包含我的私钥并正确设置环境变量的JSON 文件
GOOGLE_APPLICATION_CREDENTIALS)是否足以连接到此 API 以达到我想要实现的目的?
我在问路。
google-cloud-platform - 如何使用列表为 google_compute_security_policy 定义规则
https://www.terraform.io/docs/providers/google/r/compute_security_policy.html
规则嵌入在 google_compute_security_policy 资源中
云盔甲有一个愚蠢的限制,一个规则最多只能允许 5 个 IP - 我有大约 15 个 IP 我想将其列入白名单
我希望这是动态的,而不必手动将它们分成 3 个在 google_compute_security_policy 中静态定义的规则
我想要一个包含所有 15 个 IP 的 terraform var。然后遍历该变量并创建 15 条规则并应用于 google_compute_security_policy 资源。
这样的事情可能吗?
kubernetes - 具有多个 securityPolicys 的 BackendConfig 不起作用
https://cloud.google.com/kubernetes-engine/docs/how-to/cloud-armor-backendconfig
我只看到了分配一个 securityPolicy 的示例,但我想分配多个。
我使用 2 个策略创建了以下后端配置,并将其应用于我的服务beta.cloud.google.com/backend-config: my-backend-config
当我部署时,只应用“策略二”。我可以以某种方式分配两个策略吗?我没有看到这方面的文档
google-app-engine - 是否可以在 GCP 中使用带有防火墙的完全托管服务(Cloud Run 或 App Engine)?
问题。我正在寻找一种敏捷的方式将 docker 容器(存储在 GCR.IO 上)拍摄到 GCP 上的托管服务:
- 一个带有私有数据的 docker 容器
gcr.io/project/helloworld(比如 Cloud SQL 后端)——无法面对现实世界。 - 一堆我想公开的IP:说[“1.2.3.4”,“2.3.4.0/24”]。
我理想的平台是 Cloud Run,但 GAE 也可以工作。
我想以敏捷的方式开发(比如用 2-3 行代码部署),是否可以秘密地运行我的服务,但又超级容易?我们不是在谈论一个庞大的制作项目,我们是在谈论玩耍和编写一个 POC,您想通过互联网安全地分享给几个朋友,以确保世界其他地方获得 403。
到目前为止我所尝试的。
唯一可以轻松工作的是具有 docker 友好操作系统(如 cos)的 GCE vm,我可以在其中设置防火墙规则。这可行,但它是一次性 VM 上的蹩脚 docker 应用程序。机器永远运行并在重新启动时死机,除非我在 cron/startup 上稳定它。看来我在做别人的工作。
到目前为止我尝试过的所有其他事情都失败了:
- 云跑。令人惊叹,但无法在其上设置防火墙规则,或者 Cloud Director,.. 似乎仅适用于设置起来很痛苦的 IAP。
- 盖伊。适用于多个 IP,不能分离公共 IP 或对其进行防火墙保护。我设法在应用程序中进行了 IP 过滤,但似乎有点冒险。我不想 [想] 相信我的编码技能 :)
- 云铠。只支持我没有的 HTTPS 负载均衡器。我也没有 MIG 可以指出。我想要简单。
- Traffic Director需要一个 HTTP L7 平衡器。但我有一个 docker 容器,在一个 pod 上。为什么我需要 LB?
- GKE。实际上这似乎有效:[1] 但它没有完全管理(我需要创建集群、pod、..)
这是产品缺陷还是我看错了产品?实现我想要的最简单的方法是什么?
google-cloud-platform - 通过请求属性或 URL 路径限制对 GCE HTTP(S) 负载平衡器的访问
是否有一些直接的方法可以通过请求属性或 URL 限制用户对 Google Compute Engine HTTP(S) 负载平衡器的访问?如果单个请求属性可以有数百个匹配的值,那么满足所需过滤器的请求可以传递到后端。
身份验证不是在那里可以使用的,因此云 IAP不是一个选项。
Cloud Armor 似乎处于测试阶段(它的自定义表达式处于私有测试阶段)。此外,尚不清楚它将如何对过滤后的传入请求计费:Cloud Armor 的传入请求费用为每百万 HTTP(S) 请求 0.75 美元。这是否包括那些被自定义规则阻止的请求?如果是这样,那么只需向负载均衡器发送请求,就很容易让 GCP 所有者花费大量资金。
Google Compute Engine HTTP(S) 负载均衡器有一个url-map,它可以解决问题,但它是有限的,在我的情况下似乎很难(我最好使用请求属性,而不是 URL 路径)。此外,如果启用用户定义的请求标头,它会遇到与 Cloud Armor 相同的计费问题,每百万 HTTP(S) 请求的定价为 0.75 美元。因此,只需向负载均衡器发送请求,就很容易让 GCP 所有者花费大量资金。
那么是否有一些直接的方法可以通过请求属性或 URL 来限制用户对 Google Compute Engine HTTP(S) 负载均衡器的访问,而不会有被多收费用的风险?