ฉันได้รับการขัดถูผ่าน เอกสาร Google Cloud Armor สำหรับข้อมูลเกี่ยวกับการป้องกัน DDoS ของอินสแตนซ์ GCP Compute VM จากที่เคยเจอมา การป้องกันที่มีการจัดการของ Google Cloud Armor ให้การป้องกัน DDoS แบบดั้งเดิม (อาจเป็นเลเยอร์ 3 และเลเยอร์ 4) และต้องแนบกับโหลดบาลานเซอร์ นอกจากนี้ การป้องกันที่ปรับเปลี่ยนได้ของ Google Cloud Armor ให้การป้องกันเลเยอร์ 7 ผ่านการตรวจจับความผิดปกติของแมชชีนเลิร์นนิงในทราฟฟิกเครือข่าย และจะต้องใช้ผ่าน นโยบายความปลอดภัยของ Google Cloud Armor ซึ่งในทางกลับกันจะต้องแนบกับโหลดบาลานเซอร์
แต่โหลดบาลานเซอร์จะเชื่อมโยงกับกลุ่มอินสแตนซ์มากกว่าอินสแตนซ์ VM เดียว และมีไว้สำหรับการปรับขนาดอินสแตนซ์อัตโนมัติ (เช่น ตามเทมเพลตอินสแตนซ์) แทนที่จะใช้กับอินสแตนซ์ VM เดียว ฉันกำลังเรียกใช้แอปพลิเคชันเซิร์ฟเวอร์แบบระบุสถานะอิสระหลายตัว (แต่ละตัวอยู่ในอินสแตนซ์ VM ของตัวเอง) ซึ่งการปรับขนาดอัตโนมัติไม่ใช่ตัวเลือกจริงๆ
ฉัน สามารถ กำหนดกลุ่มอินสแตนซ์หนึ่งอินสแตนซ์ (เช่น มีกฎการปรับขนาดอัตโนมัติที่ตั้งค่าให้วางไข่เพียง 1 อินสแตนซ์เท่านั้น) อย่างไรก็ตาม ฉันมีอินสแตนซ์ VM หลายรายการที่ต้องการเปิดการป้องกัน DDoS ดังนั้นฉันจึงต้องการกลุ่มอินสแตนซ์สำหรับแต่ละอินสแตนซ์เหล่านี้ และตัวจัดสรรภาระงานสำหรับแต่ละกลุ่มอินสแตนซ์ นี้จะมีราคาแพงมากอย่างรวดเร็ว
ตัวเลือกที่ใช้งานได้จริงมากกว่าคือการตั้งค่ากลุ่มอินสแตนซ์ที่ปรับขนาดอัตโนมัติกลุ่มเดียวที่แนบกับโหลดบาลานเซอร์เพื่อทำหน้าที่เป็นพร็อกซีย้อนกลับสำหรับเซิร์ฟเวอร์อื่นๆ ทั้งหมด ซึ่งเข้าถึงได้ภายในภายใน VPC ทั่วไป พร็อกซีย้อนกลับนั้นสามารถแนบกับโหลดบาลานเซอร์และให้การป้องกัน DDoS เป็นจุดเข้าเดียว
แต่ดูเหมือนว่าจะแปลกสำหรับฉันที่ต้องมีการโหลดบาลานซ์สำหรับการป้องกัน DDoS บน GCP เพื่อเริ่มต้น หลังจากนั้น, AWS Shield ไม่ต้องการตัวจัดสรรภาระงาน เพื่อให้มีผล ฉันพลาดอะไรไปรึเปล่า?
แก้ไข:
ฉันกำลังสร้างแพลตฟอร์มโฮสติ้งสำหรับแอปพลิเคชันเป้าหมายเฉพาะต่างๆ ลูกค้าแต่ละรายจะมีอินสแตนซ์ VM ของตนเองหรือแชร์อินสแตนซ์ VM กับไคลเอ็นต์อื่นหนึ่งหรือสองราย แอปพลิเคชั่นเป้าหมายส่วนใหญ่คือ ไม่ เว็บแอป แต่เป็นเพียงแอปพลิเคชันที่เปิดใช้งาน TCP/UDP (บางแอปเป็นเซิร์ฟเวอร์เกม เป็นต้น) แอปพลิเคชันเหล่านี้เป็นแอปพลิเคชันแบบมีสถานะ และที่สำคัญกว่านั้น แอปพลิเคชันเหล่านี้มักจะต้องการการเชื่อมต่อทั้งหมดในอินสแตนซ์เดียวพร้อมกัน ดังนั้นการปรับขนาดนอกเหนือจากอินสแตนซ์เดียวจึงไม่สามารถทำได้ นอกจากนี้ การกำหนดราคาตัวจัดสรรภาระงาน GCP ใช้ราคาฐานขนาดใหญ่สำหรับกฎการส่งต่อห้าข้อแรก ดังนั้นการมีแต่ละอินสแตนซ์อยู่เบื้องหลังตัวจัดสรรภาระงานของตนเองจึงไม่ใช่ทางเลือกมากนัก สำหรับบางแอปพลิเคชันเหล่านี้ การโจมตี DoS เป็นเรื่องที่น่ากังวลเป็นพิเศษ
Google Cloud Platform มีคุณสมบัติมากมายเพื่อป้องกันการโจมตี DDoS คุณสามารถใช้สิ่งเหล่านี้ร่วมกับแนวทางปฏิบัติที่ดีที่สุดที่กล่าวถึงด้านล่างและมาตรการอื่นๆ ที่ปรับให้เหมาะกับความต้องการของคุณ เพื่อทำให้การปรับใช้ GCP ของคุณมีความยืดหยุ่นต่อการโจมตี DDoS
â จัดเตรียมส่วนที่แยกและปลอดภัยของ Google Cloud ของคุณเองด้วย เครือข่ายเสมือนของ Google Cloudâ
â แยกและรักษาความปลอดภัยการปรับใช้ของคุณโดยใช้เครือข่ายย่อยและเครือข่าย กฎไฟร์วอลล์ แท็ก และ Identity and Access Management (IAM)
â เปิดการเข้าถึงพอร์ตและโปรโตคอลที่คุณต้องการโดยใช้กฎไฟร์วอลล์และ/หรือการส่งต่อ pârotocolâ
â GCP มีการป้องกันการปลอมแปลงสำหรับเครือข่ายส่วนตัว (ที่อยู่ IP) ตามค่าเริ่มต้น
â GCP ให้การแยกโดยอัตโนมัติระหว่างเครือข่ายเสมือน
â ปรับใช้อินสแตนซ์โดยไม่มี IP สาธารณะ เว้นแต่จำเป็น
â คุณสามารถตั้งค่าเกตเวย์ NAT หรือป้อมปราการ SSH เพื่อจำกัดจำนวนของอินสแตนซ์ที่เปิดเผยต่ออินเทอร์เน็ต
â เพื่อตอบสนองความต้องการเฉพาะของคุณในการป้องกันการโจมตี DDoS การป้องกัน/บรรเทา พิจารณาซื้อโซลูชันการป้องกัน DDoS ของบุคคลที่สามโดยเฉพาะเพื่อป้องกันการโจมตีดังกล่าว
â คุณยังสามารถปรับใช้โซลูชัน DDoS ที่มีให้ผ่านทาง Gâoogle Cloud Launcher
ฉันทิ้งข้อมูลอ้างอิงไว้ให้คุณ แนวทางปฏิบัติที่ดีที่สุดสำหรับการป้องกันและบรรเทา DDoS บน Google Cloud Platform
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
