Beberapa atau semua informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud oleh S3NS.

Halaman ini diterjemahkan oleh Cloud Translation API.

Mengintegrasikan Cloud Armor dengan produk Google lainnya

Bagian berikut membahas cara Cloud Armor berinteraksi dengan fitur dan produk Trusted Cloud by S3NS lainnya.

Aturan firewall VPC dan Cloud Armor

Kebijakan keamanan Cloud Armor dan aturan firewall VPC memiliki fungsi yang berbeda:

Kebijakan keamanan Cloud Armor memberikan keamanan edge dan bertindak atas traffic klien ke Google Front End (GFE).
Aturan firewall VPC mengizinkan atau menolak traffic ke dan dari backend Anda. Anda harus membuat aturan firewall izinkan masuk, yang targetnya adalah VM backend yang di-load balance, dan yang sumbernya adalah rentang IP yang digunakan oleh Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik. Aturan ini memungkinkan GFE dan sistem health check berkomunikasi dengan VM backend Anda.

Misalnya, pertimbangkan skenario saat Anda ingin mengizinkan traffic hanya dari rentang CIDR 100.1.1.0/24 dan rentang CIDR 100.1.2.0/24 untuk mengakses Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik. Sasaran Anda adalah memblokir traffic agar tidak langsung menjangkau instance backend yang di-load balance. Dengan kata lain, hanya traffic eksternal yang di-proxy melalui Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik dengan kebijakan keamanan terkait yang dapat mencapai instance.

Menggunakan kebijakan keamanan Cloud Armor dengan firewall ingress
untuk membatasi akses. — Menggunakan kebijakan keamanan Cloud Armor dengan firewall ingress untuk membatasi akses (klik untuk memperbesar).

Diagram sebelumnya menunjukkan konfigurasi deployment berikut:

Buat dua grup instance, satu di region us-west1 dan satu lagi di region europe-west1.
Deploy instance aplikasi backend ke VM dalam grup instance.
Buat Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik di Premium Tier. Konfigurasi peta URL dan satu layanan backend yang backend-nya adalah dua grup instance yang Anda buat pada langkah sebelumnya. Aturan penerusan load balancer harus menggunakan alamat IP eksternal 120.1.1.1.
Konfigurasi kebijakan keamanan Cloud Armor yang mengizinkan traffic dari 100.1.1.0/24 dan 100.1.2.0/24 serta menolak semua traffic lainnya.
Kaitkan kebijakan ini dengan layanan backend load balancer. Untuk mengetahui petunjuknya, lihat Mengonfigurasi kebijakan keamanan Cloud Armor. Load balancer HTTP(S) eksternal dengan peta URL yang lebih kompleks dapat mereferensikan beberapa layanan backend. Anda dapat mengaitkan kebijakan keamanan dengan satu atau beberapa layanan backend sesuai kebutuhan.
Konfigurasi aturan firewall yang mengizinkan traffic masuk untuk mengizinkan traffic dari Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik. Untuk mengetahui informasi selengkapnya, lihat Aturan firewall.

Cloud Armor dengan Cloud Run, App Engine, atau Cloud Run functions

Anda dapat menggunakan kebijakan keamanan Cloud Armor dengan backend NEG serverless yang mengarah ke layanan Cloud Run, App Engine, atau Cloud Run Functions.

Namun, saat Anda menggunakan Cloud Armor dengan NEG serverless, Cloud Run, atau fungsi Cloud Run, semua akses ke endpoint serverless harus difilter melalui kebijakan keamanan Cloud Armor.

Pengguna yang memiliki URL default untuk aplikasi serverless dapat mengabaikan load balancer dan langsung membuka URL layanan. Hal ini mengabaikan kebijakan keamanan Cloud Armor. Untuk mengatasi hal ini, nonaktifkan URL default yang Trusted Cloud otomatis ditetapkan ke layanan Cloud Run atau fungsi Cloud Run (generasi ke-2). Untuk melindungi aplikasi App Engine, Anda dapat menggunakan kontrol ingress.

Jika Anda menggunakan kontrol ingress untuk menerapkan kontrol akses ke semua traffic masuk, Anda dapat menggunakan setelan ingress internal-and-gclb saat mengonfigurasi fungsi Cloud Run atau Cloud Run. Setelan ingress internal-and-gclb hanya mengizinkan traffic internal dan traffic yang dikirim ke alamat IP eksternal yang diekspos oleh Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik. Traffic yang dikirim ke URL default ini dari luar jaringan pribadi Anda akan diblokir. Hal ini mencegah pengguna mengakali kontrol akses apa pun (seperti kebijakan keamanan Cloud Armor) yang disiapkan melalui Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik.

Untuk mengetahui informasi selengkapnya tentang NEG tanpa server, lihat Ringkasan grup endpoint jaringan tanpa server dan Menyiapkan NEG tanpa server.

Cloud Armor dengan Cloud Service Mesh

Anda dapat mengonfigurasi kebijakan keamanan layanan internal untuk mesh layanan guna menerapkan pembatasan frekuensi sisi server global per klien, sehingga membantu Anda membagikan kapasitas layanan yang tersedia secara adil dan mengurangi risiko klien yang berperilaku buruk atau berbahaya membebani layanan Anda secara berlebihan. Anda melampirkan kebijakan keamanan ke kebijakan endpoint Cloud Service Mesh untuk menerapkan pembatasan frekuensi pada traffic masuk di sisi server. Namun, Anda tidak dapat mengonfigurasi kebijakan keamanan Google Cloud Armor jika menggunakan perutean traffic TCP. Untuk mengetahui informasi selengkapnya tentang cara menggunakan Cloud Armor dengan Cloud Service Mesh, lihat Mengonfigurasi pembatasan kecepatan dengan Cloud Armor.