在发生DDos攻击时关闭gcloud服务

Question

我的公司在google上有一个小而好的产品(使用公共and应用程序、功能和存储)。

几个小时以来，我一直在寻找一种解决方案，比如在任何服务受到威胁或攻击的情况下，为服务寻找杀机开关。我发现我们可以为每个云函数定义最大的实例，这在某种程度上是很酷的，可以防止太多的威胁。

但主要的问题是云存储。存储桶上的文件是公开的，我不知道哪种解决方案更好地将下载请求限制在存储桶上。其中之一是我们创建了一个新函数(定义了max实例)，并将下载请求流到webapp。在这种情况下，桶可以是私有的。但是，经过一些成本估算(每次下载都需要一个流媒体功能)，它的成本可能会很高，因为该产品有一张带有定制瓷砖的地图，并且webapp一次在init上请求大约16个图像文件。

在考虑了不同的解决方案之后，我看到防止DDos攻击的唯一方法是立即监视使用和关闭服务(特别是存储服务)，以便有时间跟踪并修复问题。

但谷歌云并没有提供这样的服务。至少我找不到。将整个项目(或它的一部分)带到维护模式并拒绝所有请求的东西。我可以为每个函数的执行或存储添加一个配置，下载并随时关闭它。但我仍然认为谷歌云计算这些请求和账单我的老板。

有没有人知道一个很好的解决方案。我脑海中的情景是这样的：

1. 多个IP试图连续和(~200 dn/s)下载几个小时的请求文件
2. 多个IP试图调用函数，但只是为了保持实例的活动和插入真正的用户连接。

我想知道是否有任何(而不是自定义方式)限制每个ip有最大2000请求每天。

Answer 1

谷歌已经建立了保护其云基础设施和生产服务的机制。谷歌云基础设施本身也有一个额外的DDoS保护层，它使用它来抵御大规模的attacks.You，可以采取不同的方法来服务从GCS到最终用户的非公开内容。

其中之一是使用Google作为DDoS，defense.Google云装甲与全球负载平衡基础设施有着很深的联系，它可以检查传入的流量，识别和驱散传入的DDoS攻击。

要在项目上启用DDoS保护，可以在Cloud下的GCP上启用托管保护。请请参阅本文档获得更多关于云装甲上DDoS缓解的详细信息。

其次，以下是防止云存储上的拒绝服务攻击的一些附加步骤:尝试将内部通信量与外部数据隔离开来，您可以启用基于代理的负载平衡、使用网络火灾规则和身份访问管理来保护部署、保护DDoS云存储。我还建议您查看一下关于保留策略和保留策略锁的文档。

此外，要检查每个ip的功能是否有限制，以便每天都有特定的请求，请查看这个有用的文件，并查看谷歌是如何证明保护第7层DDos攻击的上的这个博客以获得更多信息。