如何为我的gke入口配置cloudarmor？

Question

我正在使用L7 google作为入口，并将其连接到使用只允许特定IP的cloudarmor策略。

我想设置DDoS保护，但是文档混淆了

Google安全策略仅适用于外部HTTP背后的后端服务。负载均衡器可以在高级层或标准层。DDoS保护自动提供HTTP(S)负载平衡、SSL代理负载平衡和TCP负载平衡。

这是否意味着我所要做的就是应用任何(甚至是空的)？云装甲策略到gke L7 LB入口，我会得到DDoS吗？或者说，所有的L7 LBs已经和DDoS一起出现了，而且我不需要对cloudarmor做任何事情--如果说我要寻找的只是DDoS保护呢？

Answer 1

作为L7 LB的一部分，谷歌提供了广泛的DDOS保护。是的，你将受益于这种广泛的保护，只要创建一个入口与GKE。

您可以访问的L7LB (例如，GKE )是整个谷歌的一项共享服务，因此您可以从它获得相当大的力量。但是，它面向的是非常大规模的保护，这些保护可能不像您所需要的那么精确。

要添加例如IP允许的拒绝列表(无论是您自己的还是由商业服务提供的)的特性，您需要定义一个安全策略并将其应用到GKE提供的后端。