Google云网络负载平衡安全问题

Question

我计划在中创建一个运行在几台不同机器上的网站，我正在认真考虑使用Google的网络负载平衡。但是我有一些关于安全性和可用性的问题。

1. 我的机器可以有一个打开http端口的私有ip地址?(当一些黑客试图进入我们的服务器时，我们不会这样做)
2. 我的http响应会有机器自己的ip地址还是ip在网络负载平衡中？
3. Google是否保护机器中打开的端口，防止SYN，Pack流攻击(就像路由器)？

Answer 1

您可以使用HTTP/S负载平衡来做您想做的事情。https://cloud.google.com/compute/docs/load-balancing/http/

1. 有关删除外部IP，请参见主机。
2. 响应将来自负载平衡IP，而不是VMs的IP。
3. 是的，对于某些类型的恶意通信，因为负载平衡层正在执行完全代理。这意味着TCP和SSL终止都发生在VM之前。

Answer 2

如果您的机器只有私有IP (RFC 1918空间)而没有外部IP，那么配置北草坪会议大楼并不能使它们在端口80上直接访问(如果这是您为服务配置的话)。

google确实可以处理一些级别的攻击，但是如果你喜欢一个成熟的ddos，那么在你的终端上实现额外的层会有所帮助。

Answer 3

1. 不是的。只有当实例具有公共ip地址时，才有可能打开端口80(http)；但是，可以限制受堡垒宿主影响的计算机实例。
2. 不是的。使用网络负载平衡将保护您计算机的ip地址，但可以(理论上)通过随机ip地址扫描或应用程序中的某些缺陷收集机器外部ip地址。
3. GCE机器实例有某种保护，但根据安全中心，它们容易受到TCP或UDP洪水的影响。