我正在将Google Cloud Storage与带有缓存的Google Cloud Load Balancer结合使用。我们在平台上像CDN一样使用它。 问题是我们有很多不良流量(对未知文件的强制暴力破解请求),导致大量缓存未命中,从而增加了负载均衡器的成本。 我们想知道是否可以在负载均衡器的禁止列表中添加IP吗?
非常感谢!
答案 0 :(得分:0)
只要负载均衡器符合Google Cloud Platform restrictions,就可以对其应用安全策略。
如果您的负载均衡器符合此规则,则可以对后端服务执行creating和attaching Google Cloud Armor安全策略。
这里是Google云example to follow,用于为负载均衡器实施IP策略。
如果您的负载均衡器确实不符合上述策略,则可以在this example之后使用Cloud Firewall进行操作。
希望它有用。
答案 1 :(得分:0)
目前,Google Cloud不为CDN流量提供防火墙。
注意:Google尚未发布有关Cloud Armor支持Cloud Storage CDN的信息。
缓存未命中的成本是每10,000个请求$ 0.0075。由于这是针对不存在的文件的,因此您没有出口或缓存填充成本。如果您有100万个不存在的文件请求,则将花费0.75美元。 Google云端存储每1,000,000个GET操作将再收取0.40美元,对于每百万个不存在的文件请求,总额为1.15美元。
当Cloud Armor确实支持CDN时,每百万个请求将花费0.75美元(估计),因此从财务上来讲,从根本上来说,这将是对IP封锁的洗礼。
不幸的是,当您获得一项公共服务时,坏人会敲门。目前您无能为力。您可以通过CDN返回404,也可以通过以后的Google防火墙服务返回403。两种方法给您带来的成本都是相似的。
如果这些请求来自相同的IP,并且超过了这些数目,我将向Google开具支持票并寻求帮助。这些请求并不是真正的拒绝服务,但是我将其放入一种影响CDN的DoS中。 Google在GFE(Google前端)中提供了一些很酷的功能,可能会有所帮助。