本文提供參考架構,協助您在 Google Cloud中部署 Cross-Cloud Network 虛擬私有雲間網路拓撲。這個網路設計可讓您在內部和外部網路 (例如內部部署資料中心或其他雲端服務供應商 (CSP)) 部署軟體服務。 Google Cloud
本文的目標讀者包括網路管理員、雲端架構師和企業架構師,他們將建構網路連線。也包括規劃工作負載部署方式的雲端架構師。本文假設您對路由和網際網路連線有基本瞭解。
這項設計支援多個外部連線、多個服務存取虛擬私有雲 (VPC) 網路 (內含服務和服務存取點),以及多個工作負載虛擬私有雲網路。
本文中的「服務存取點」一詞,是指透過 Google Cloud 私人服務存取權和 Private Service Connect 提供的服務存取點。Network Connectivity Center 是中樞與輪輻控制層模式,可管理Google Cloud中的網路連線。中樞資源可集中管理 Network Connectivity Center VPC 輪輻的連線。
Network Connectivity Center 中樞是全球控制層,可學習並在連線的各種輻射型網路之間分配路徑。虛擬私有雲輪輻通常會將子網路路徑插入集中式中樞路徑表。混合式輻射網路通常會將動態路徑注入集中式中樞路徑資料表。使用 Network Connectivity Center 中樞的控制平面資訊,自動在 Network Connectivity Center 輪輻之間建立資料平面連線。 Google Cloud
建議您使用 Network Connectivity Center 互連虛擬私有雲,在 Google Cloud上實現可擴充的成長。如果必須在流量路徑中插入網路虛擬設備 (NVA),您可以使用路由器設備功能取得動態路徑,或搭配 VPC 網路對等互連功能使用靜態或依據政策的路徑,互連 VPC。詳情請參閱「透過虛擬私有雲網路對等互連,在跨雲端網路中建立虛擬私有雲間的連線」。
架構
下圖顯示網路架構的概略視圖,以及此架構支援的不同封包流程。
此架構包含下列高階元素:
| 元件 | 目的 | 互動 |
|---|---|---|
| 外部網路 (地端或其他 CSP 網路) | 主機是工作負載的用戶端,這些工作負載會在工作負載虛擬私有雲和服務存取虛擬私有雲中執行。外部網路也可以代管服務。 | 透過中繼網路與 Google Cloud的虛擬私有雲網路交換資料。使用 Cloud Interconnect 或高可用性 VPN 連線至中繼網路。 終止下列其中一個流程的其中一端:
|
| 傳輸虛擬私有雲網路 (在 Network Connectivity Center 中也稱為 路由虛擬私有雲網路) | 做為外部網路、服務存取虛擬私有雲網路和工作負載虛擬私有雲網路的中心。 | 透過 Cloud Interconnect、高可用性 VPN 和 Network Connectivity Center 的組合,將外部網路、服務存取虛擬私有雲網路、Private Service Connect 用戶端網路和工作負載虛擬私有雲網路連線在一起。 |
| 可存取服務的虛擬私有雲網路 | 為在工作負載虛擬私有雲網路或外部網路中執行的工作負載,提供所需服務的存取權。此外,也提供其他網路中代管服務的存取點。 | 透過中繼網路與外部、工作負載和 Private Service Connect 消費者網路交換資料。使用高可用性 VPN 連線至傳輸虛擬私有雲。高可用性 VPN 提供的遞移路由功能,可讓外部流量透過服務存取虛擬私有雲網路,連上代管服務虛擬私有雲。 終止下列其中一個流程的其中一端:
|
| 代管服務虛擬私有雲網路 | 代管其他網路中用戶端所需的服務。 | 與外部、服務存取、Private Service Connect 消費者和工作負載網路交換資料。使用私人服務存取權連線至服務存取虛擬私有雲網路,該存取權會使用虛擬私有雲網路對等互連。代管服務虛擬私有雲也可以使用 Private Service Connect 或私人服務存取權,連線至 Private Service Connect 用戶虛擬私有雲。 終止來自所有其他網路的流程一端。 |
| Private Service Connect 消費者虛擬私有雲 | 主機 Private Service Connect 端點,可從其他網路存取。這個 VPC 也可能是工作負載 VPC。 | 透過中繼虛擬私有雲網路,與外部和服務存取虛擬私有雲網路交換資料。使用 Network Connectivity Center VPC 輪輻,連線至傳輸網路和其他工作負載 VPC 網路。 |
| 工作負載虛擬私有雲網路 | 主機工作負載是其他網路中的用戶端所需。此架構可支援多個工作負載虛擬私有雲網路。 | 透過中繼虛擬私有雲網路,與外部和服務存取虛擬私有雲網路交換資料。使用 Network Connectivity Center 虛擬私有雲輪輻,連線至 Transit Network、Private Service Connect 消費者網路和其他工作負載虛擬私有雲網路。 終止下列其中一個流程的其中一端:
|
| Network Connectivity Center | Network Connectivity Center 中樞包含全域路由資料庫,可做為任何 Google Cloud 區域的 VPC 子網路和混合式連線路由網路控制層。 | 透過使用控制平面轉送表建構資料路徑,以任意對任意拓撲互連多個虛擬私有雲和混合式網路。 |
下圖詳細說明架構,並標示元件之間的四個連線:
連線說明
本節說明上圖所示的四個連線。Network Connectivity Center 說明文件將傳輸虛擬私有雲網路稱為路由虛擬私有雲。雖然這些網路的名稱不同,但用途相同。
連線 1:外部網路與中轉虛擬私有雲網路之間的連線
外部網路與 Transit 虛擬私有雲網路之間的連線,是透過 Cloud Interconnect 或高可用性 VPN 建立。系統會透過 BGP,在 Transit VPC 網路中的 Cloud Router 之間,以及外部網路中的外部路由器之間交換路徑。
- 外部網路中的路由器會向 Transit VPC Cloud Router 公告外部子網路的路徑。一般來說,特定位置的外部路由器會通告來自相同外部位置的路徑,且優先順序高於其他外部位置的路徑。您可以使用 BGP 指標和屬性表示路徑偏好設定。
- 中繼 VPC 網路中的 Cloud Router 會將 Google Cloud的 VPC 中前置字元的路徑通告至外部網路。這些路徑必須使用 Cloud Router 自訂路徑通告發布。
- Network Connectivity Center 可讓您使用 Google 骨幹網路,在不同的地端部署網路之間移轉資料。將互連網路 VLAN 連結設定為 Network Connectivity Center 混合輪輻時,您必須啟用網站對網站資料移轉。
- 如果 Cloud Interconnect VLAN 連結的來源是相同外部網路前置字元,則會設定為單一 Network Connectivity Center 輪輻。
連線 2:在 Transit VPC 網路和服務存取 VPC 網路之間
中繼虛擬私有雲網路與服務存取虛擬私有雲網路之間的連線,是透過高可用性 VPN 建立,每個區域都有各自的通道。系統會透過 BGP,在轉移 VPC 網路和服務存取 VPC 網路的區域 Cloud Router 之間交換路徑。
- Transit VPC HA VPN Cloud Router 會向服務存取 VPC Cloud Router 通告外部網路前置字元、工作負載 VPC 和其他服務存取 VPC 的路徑。這些路徑必須使用 Cloud Router 自訂路徑通告進行通告。
- 服務存取權虛擬私有雲會將其子網路和任何已附加代管服務虛擬私有雲網路的子網路,公告給 Transit 虛擬私有雲網路。管理服務 VPC 路徑和服務存取 VPC 子網路路徑必須使用 Cloud Router 自訂路徑通告通告。
連線 3:傳輸虛擬私有雲網路、工作負載虛擬私有雲網路,以及 Private Service Connect 服務存取虛擬私有雲網路之間的連線
使用 Network Connectivity Center 交換子網路和前置字元路徑時,中繼虛擬私有雲網路、工作負載虛擬私有雲網路和 Private Service Connect 消費者虛擬私有雲網路之間會建立連線。這項連線可讓工作負載虛擬私有雲網路、以 Network Connectivity Center 虛擬私有雲輪輻形式連線的服務存取虛擬私有雲網路,以及以 Network Connectivity Center 混合式輪輻形式連線的其他網路進行通訊。這些其他網路包括外部網路,以及分別使用連線 1 和連線 2 的服務存取虛擬私有雲網路。
- transit 虛擬私有雲網路中的 Cloud Interconnect 或高可用性 VPN 附件,會使用 Network Connectivity Center 將動態路徑匯出至工作負載虛擬私有雲網路。
- 將工作負載虛擬私有雲網路設為 Network Connectivity Center 中樞的輪輻時,工作負載虛擬私有雲網路會自動將子網路匯出至傳輸虛擬私有雲網路。您可以選擇將傳輸虛擬私有雲網路設為虛擬私有雲輻射網路。工作負載虛擬私有雲網路不會將任何靜態路徑匯出至傳輸虛擬私有雲網路。靜態路徑不會從傳輸虛擬私有雲網路匯出至工作負載虛擬私有雲網路。
連線 4:Private Service Connect 用戶端虛擬私有雲,並透過 Network Connectivity Center 傳播
- Private Service Connect 端點會整理在通用虛擬私有雲中,方便消費者存取第一方和第三方代管服務。
- Private Service Connect 用戶端虛擬私有雲網路會設定為 Network Connectivity Center 虛擬私有雲輪輻。這個輪輻會在 Network Connectivity Center 中樞上啟用 Private Service Connect 傳播。Private Service Connect 傳播會將 Private Service Connect 端點的主機前置字元,公告為 Network Connectivity Center 中樞路由表中的路徑。
- Private Service Connect 服務存取權用戶虛擬私有雲網路會連線至工作負載虛擬私有雲網路和中繼虛擬私有雲網路。這些連線可啟用 Private Service Connect 端點的遞移連線。Network Connectivity Center 中樞必須啟用Private Service Connect 連線傳播。
- Network Connectivity Center 會自動建立從所有輪輻到 Private Service Connect 端點的資料路徑。
流量
下圖顯示這個參考架構啟用的流程。
下表說明圖表中的流程:
| 來源 | 目的地 | 說明 |
|---|---|---|
| 外部網路 | 可存取服務的虛擬私有雲網路 |
|
| 可存取服務的虛擬私有雲網路 | 外部網路 |
|
| 外部網路 | 工作負載虛擬私有雲網路或 Private Service Connect 用戶虛擬私有雲網路 |
|
| 工作負載虛擬私有雲網路或 Private Service Connect 用戶虛擬私有雲網路 | 外部網路 |
|
| 工作負載虛擬私有雲網路 | 可存取服務的虛擬私有雲網路 |
|
| 可存取服務的虛擬私有雲網路 | 工作負載虛擬私有雲網路 |
|
| 工作負載虛擬私有雲網路 | 工作負載虛擬私有雲網路 | 離開某個工作負載虛擬私有雲的流量,會透過 Network Connectivity Center,沿著更具體的路徑前往另一個工作負載虛擬私有雲。回程流量會反向傳輸。 |
使用的產品
- 虛擬私有雲 (VPC):虛擬系統,可為 Google Cloud 工作負載提供全球性、可擴充的網路功能。虛擬私有雲包括虛擬私有雲網路對等互連、Private Service Connect、私人服務存取權和共用虛擬私有雲。
- Network Connectivity Center:一種協調架構,可簡化連線至中樞 (中央管理資源) 的輪輻資源之間的網路連線。
- Cloud Interconnect:這項服務可透過高可用性且低延遲的連線,將外部網路延伸至 Google 網路。
- Cloud VPN:這項服務可透過 IPsec VPN 通道,將對等網路安全地延伸至 Google 的網路。
- Cloud Router:全代管的分散式服務,提供邊界閘道通訊協定 (BGP) 發言者和回應者功能。Cloud Router 可搭配 Cloud Interconnect、Cloud VPN 和 Router 設備,根據 BGP 接收和自訂學習的路徑,在虛擬私有雲網路中建立動態路徑。
- Cloud Next Generation Firewall:提供進階防護功能的完全分散式防火牆服務,可進行微區隔,並簡化管理作業,協助保護 Google Cloud 工作負載不受內外部攻擊的侵擾。
設計須知
本節說明設計因素、最佳做法和設計建議,供您參考這些內容,使用這個參考架構開發拓撲,滿足安全性、可靠性和效能方面的特定需求。
安全性與法規遵循
以下列出此參考架構的安全性與法規遵循注意事項:
- 基於法規遵循考量,您可能只想在單一區域部署工作負載。如要將所有流量保留在單一區域,可以使用 99.9% 拓撲。
- 使用 Cloud Next Generation Firewall (Cloud NGFW) 保護進出服務存取和工作負載 VPC 網路的流量。如要檢查透過中繼網路在混合式網路之間傳輸的流量,或外部網路與 Google 管理服務之間的流量,您必須使用外部防火牆或 NVA 防火牆。
- 如需 L7 流量檢查,請啟用入侵偵測與防護服務 (可選用TLS 檢查支援),封鎖惡意活動並防範工作負載遭受威脅,支援安全性弱點、反間諜軟體和防毒。這項服務會建立 Google 管理的區域防火牆端點,並使用封包攔截技術,以透明方式檢查工作負載,無須重新設計任何路徑架構。Cloud Next Generation Firewall Enterprise 會產生區域防火牆端點和資料處理費用。
- 如要根據 Google Threat Intelligence 資料允許或封鎖流量,請使用 Google Threat Intelligence。您需要支付 Cloud Next Generation Firewall Standard 資料處理費用。
- 啟用「防火牆規則記錄」,並使用「防火牆深入分析」稽核及驗證防火牆規則的效果,進而瞭解並最佳化規則。防火牆規則記錄功能可能會產生費用,因此建議您選擇性使用。
- 啟用連線測試,確保流量行為符合預期。
- 請視流量和法規遵循需求啟用記錄和監控功能。如要深入瞭解流量模式,請搭配使用虛擬私有雲流量記錄和 Flow Analyzer。
- 使用 Cloud IDS 或處於警示模式的 Cloud NGFW Enterprise 入侵防範服務,進一步瞭解流量。
可靠性
以下清單說明這個參考架構的可靠性考量事項:
- 如要確保 Cloud Interconnect 可用性達 99.99%,您必須從不同都會區連線至兩個不同 Google Cloud 區域,且這兩個區域必須位於兩個不同的可用區。
- 為提高可靠性並盡量避免區域性故障,您可以將工作負載和其他雲端資源分散到不同區域。
- 如要處理預期流量,請建立足夠數量的 VPN 通道。個別 VPN 通道有頻寬限制。
效能最佳化
以下列出這個參考架構的效能考量事項:
- 您可以增加網路和連線的最大傳輸單元 (MTU),或許就能提升網路效能。詳情請參閱「最大傳輸單位」。
- 中繼虛擬私有雲與工作負載資源之間的通訊,是透過 Network Connectivity Center 連線進行。這個連線會為網路中的所有 VM 提供全線速輸送量,且不需支付額外費用。您可以選擇多種方式將外部網路連線至 Transit 網路。如要進一步瞭解如何兼顧成本和效能考量,請參閱選擇網路連線產品。
部署作業
本節將說明如何使用本文所述的 Network Connectivity Center 架構,部署 Cross-Cloud Network 虛擬私有雲間連線。
本文中的架構會建立三種連線至中央傳輸虛擬私有雲的連線,以及工作負載虛擬私有雲網路與工作負載虛擬私有雲網路之間的連線。Network Connectivity Center 設定完成後,就會在所有網路之間建立通訊。
這項部署作業假設您要在兩個區域中建立外部網路與中繼網路之間的連線,但工作負載子網路可以位於其他區域。如果工作負載只放在一個區域,則只需要在該區域建立子網路。
如要部署這項參考架構,請完成下列工作:
- 使用 Network Connectivity Center 建立網路區隔
- 找出要放置連線和工作負載的區域
- 建立虛擬私有雲網路和子網路
- 建立外部網路與 Transit 虛擬私有雲網路之間的連線
- 在轉移 VPC 網路與服務存取 VPC 網路之間建立連線
- 在傳輸虛擬私有雲網路與工作負載虛擬私有雲網路之間建立連線
- 設定 Cloud NGFW 政策
- 測試與工作負載的連線
使用 Network Connectivity Center 建立網路分段
首次建立 Network Connectivity Center 中樞前,請先決定要使用全網狀拓撲還是星狀拓撲。決定要採用互連虛擬私有雲的完整網狀拓撲,還是虛擬私有雲的星狀拓撲後,就無法再變更。請按照下列一般原則做出這項不可逆的決定:
- 如果貴機構的業務架構允許任何虛擬私有雲網路之間的流量,請使用網路連線中心網格。
- 如果系統不允許特定虛擬私有雲輪輻之間傳輸流量,但這些虛擬私有雲輪輻可以連線至核心虛擬私有雲輪輻群組,請使用 Network Connectivity Center 星狀拓撲。
找出要放置連線和工作負載的區域
一般來說,您會希望連線和工作負載盡量靠近地端部署網路或其他雲端用戶端。 Google Cloud 如要進一步瞭解如何放置工作負載,請參閱Google Cloud 區域選擇器和選擇 Compute Engine 地區的最佳做法。
建立虛擬私有雲網路和子網路
如要建立虛擬私有雲網路和子網路,請完成下列工作:
建立或找出要建立虛擬私有雲網路的專案。如需相關指引,請參閱「網路區隔和專案結構」。如要使用共用虛擬私有雲網路,請將專案佈建為共用虛擬私有雲主專案。
建立已啟用全域轉送的傳輸網路 VPC。
建立服務存取虛擬私有雲網路。如果您打算在多個區域中執行工作負載,請啟用全域轉送。
建立工作負載虛擬私有雲網路。如果工作負載會分布在多個區域,請啟用全域轉送。
建立外部網路與中轉虛擬私有雲網路之間的連線
本節假設兩個區域都有連線,且外部位置已連線,可以彼此容錯移轉。此外,這項功能也假設外部位置的用戶偏好存取外部位置所在區域的服務。
- 設定外部網路與中繼網路之間的連線。如要瞭解如何思考這個問題,請參閱「外部和混合式連線」。如需選擇連線產品的指引,請參閱「選擇網路連線產品」。
在每個連線區域中設定 BGP,步驟如下:
- 請在指定外部位置設定路由器,方法如下:
- 在兩個介面上使用相同的 BGP MED (例如 100),通告該外部位置的所有子網路。如果兩個介面都公告相同的 MED,則 Google Cloud 可以使用 ECMP 在兩個連線之間平衡流量負載。
- 使用優先順序低於第一個區域的 MED (例如 200),通告其他外部位置的所有子網路。從兩個介面發布相同的 MED。
- 在已連線區域的 Transit VPC 中,設定對外的 Cloud Router,步驟如下:
- 使用私人 ASN 設定 Cloud Router。
- 使用自訂路徑通告,透過兩個對外的 Cloud Router 介面,通告所有地區的所有子網路範圍。盡可能匯總這些資料。在兩個介面上使用相同的 MED,例如 100。
- 請在指定外部位置設定路由器,方法如下:
使用 Network Connectivity Center 中樞和混合式輪輻,並使用預設參數。
- 建立 Network Connectivity Center 中樞。如果貴機構允許所有 VPC 網路之間的流量,請使用預設的完整網狀拓撲設定。
- 如果您使用合作夥伴互連網路、專屬互連網路、高可用性 VPN 或路由器設備來存取地端部署前置字元,請將這些元件設定為不同的 Network Connectivity Center 混合式輻射網路。
- 如要向遠端 BGP 鄰居通告 Network Connectivity Center 中樞路由表子網路,請設定篩選器,納入所有 IPv4 位址範圍。
- 如果混合式連線在支援資料移轉的區域中,於 Cloud Router 終止,請啟用站對站資料移轉功能,設定混合式 Spoke。這樣一來,您就能使用 Google 的骨幹網路進行站對站資料移轉。
在 Transit VPC 網路與服務存取權 VPC 網路之間建立連線
如要在外部網路與服務存取虛擬私有雲之間,以及工作負載虛擬私有雲與服務存取虛擬私有雲之間提供遞移轉送,服務存取虛擬私有雲會使用高可用性 VPN 進行連線。
- 預估每個區域中,要在轉運和服務存取虛擬私有雲之間傳輸多少流量。請據此調整預期的通道數量。
按照「建立高可用性 VPN 閘道來連結虛擬私有雲網路」一文中的操作說明,在 A 區域的 Transit 虛擬私有雲網路和服務存取虛擬私有雲網路之間設定高可用性 VPN。在 Transit VPC 網路中建立專屬的高可用性 VPN Cloud Router。將面向外部網路的路由器用於外部網路連線。
- Transit VPC Cloud Router 設定:
- 如要向服務存取 VPC 通告外部網路和工作負載 VPC 子網路,請在 Transit VPC 的 Cloud Router 上使用自訂路徑通告。
- 服務存取虛擬私有雲 Cloud Router 設定:
- 如要將服務存取虛擬私有雲網路子網路通告至中繼虛擬私有雲,請在服務存取虛擬私有雲網路 Cloud Router 上使用自訂路徑通告。
- 如果您使用私人服務存取權,將代管服務虛擬私有雲網路連線至服務存取權虛擬私有雲,請使用自訂路徑一併宣告這些子網路。
- 在高可用性 VPN 通道的傳輸虛擬私有雲端端,將這對通道設定為 Network Connectivity Center 混合式輪輻:
- 如要支援跨區域資料移轉,請設定啟用站對站資料移轉的混合式 Spoke。
- 如要向遠端 BGP 鄰居通告 Network Connectivity Center 中樞路徑表子網路,請設定篩選器,納入所有 IPv4 位址範圍。這項操作會向鄰近裝置公告所有 IPv4 子網路路徑。
- 如要在外部路由器容量有限時安裝動態路徑,請將 Cloud Router 設為透過自訂路徑通告通告摘要路徑。請使用這種方法,不要發布 Network Connectivity Center 中樞的完整路由表。
- Transit VPC Cloud Router 設定:
如果建立虛擬私有雲網路對等互連連線後,您使用私人服務存取權將代管服務虛擬私有雲連線至服務存取虛擬私有雲,則也必須更新虛擬私有雲網路對等互連連線的服務存取虛擬私有雲端,才能匯出自訂路徑。
在傳輸虛擬私有雲網路和工作負載虛擬私有雲網路之間建立連線
如要大規模建立虛擬私有雲間的連線,請搭配使用 Network Connectivity Center 和虛擬私有雲輻。Network Connectivity Center 支援兩種不同的資料平面模型:全網格資料平面模型或星狀拓撲資料平面模型。
建立全網格連線
Network Connectivity Center 虛擬私有雲輪輻包括傳輸虛擬私有雲、Private Service Connect 消費者虛擬私有雲,以及所有工作負載虛擬私有雲。
- 雖然網路連線中心會建構虛擬私有雲輻輳的完整網狀網路,但網路營運商必須使用防火牆規則或防火牆政策,允許來源網路和目的地網路之間的流量。
- 將所有工作負載、傳輸和 Private Service Connect 消費者虛擬私有雲設定為 Network Connectivity Center 虛擬私有雲輪輻。虛擬私有雲輪輻之間不得有子網路重疊。
- 設定虛擬私有雲輪輻時,請向 Network Connectivity Center 中樞路徑表通告不重疊的 IP 位址子網路範圍:
- 納入要匯出的子網路範圍。
- 排除匯出的子網路範圍。
- 設定虛擬私有雲輪輻時,請向 Network Connectivity Center 中樞路徑表通告不重疊的 IP 位址子網路範圍:
- 如果虛擬私有雲輪輻位於不同專案,且由網路連線中心中樞管理員以外的管理員管理,虛擬私有雲輪輻管理員必須發起要求,加入其他專案中的網路連線中心中樞。
- 在 Network Connectivity Center 中心專案中,使用身分與存取權管理 (IAM) 權限,將
roles/networkconnectivity.groupUser角色授予該使用者。
- 在 Network Connectivity Center 中心專案中,使用身分與存取權管理 (IAM) 權限,將
- 如要讓其他 Network Connectivity Center 輪輻可經由傳輸方式存取私人服務連線,請在 Network Connectivity Center 中樞上啟用 Private Service Connect 連線的傳播功能。
如果系統不允許工作負載虛擬私有雲之間進行全網格虛擬私有雲通訊,請考慮使用 Network Connectivity Center 星狀拓撲。
建立星型拓撲連線
需要點對多點拓撲的集中式業務架構,可以使用 Network Connectivity Center 星狀拓撲。
如要使用 Network Connectivity Center 星狀拓撲,請完成下列工作:
- 在 Network Connectivity Center 中,建立 Network Connectivity Center 中樞並指定星狀拓撲。
- 如要允許其他 Network Connectivity Center 輪輻以遞移方式存取私人服務連線,請在 Network Connectivity Center 中樞上啟用 Private Service Connect 連線的傳播功能。
- 為星狀拓撲設定 Network Connectivity Center 中樞時,您可以將虛擬私有雲分組為兩個預先決定的群組:中心群組或邊緣群組。
如要在中心群組中將虛擬私有雲分組,請將中繼虛擬私有雲和 Private Service Connect 消費者虛擬私有雲設定為 Network Connectivity Center 虛擬私有雲輪輻,做為中心群組的一部分。
Network Connectivity Center 會在中心群組中的虛擬私有雲輪輻之間,建立完整網狀網路。
如要在邊緣群組中將工作負載虛擬私有雲分組,請將每個網路設定為該群組中的 Network Connectivity Center 虛擬私有雲輪輻。
Network Connectivity Center 會從每個 Network Connectivity Center 虛擬私有雲輻射點,建立連至中心群組中所有虛擬私有雲的點對點資料路徑。
設定 Cloud NGFW 政策
除了「安全性與法規遵循」中的指引,也請考慮防火牆規則最佳做法。
其他注意事項:
- 如果工作負載在 Compute Engine VM 上執行,建議使用網路防火牆政策,而非虛擬私有雲防火牆規則。網路防火牆政策的優點包括:使用標記提供精細的安全性和存取權控管、簡化規則管理、易於操作、提供更豐富的功能組合,以及彈性的資料存放位置。如果您已有虛擬私有雲防火牆規則,可以使用虛擬私有雲防火牆規則遷移工具,協助遷移至全域網路防火牆政策。
- Google Kubernetes Engine 會自動建立及管理特定虛擬私有雲防火牆規則,允許重要流量通過,因此建議您不要修改或刪除這些規則。不過,網路防火牆政策仍可與虛擬私有雲防火牆規則一併使用,並視需要變更政策的強制執行順序。
- 建議您使用標記,而非搭配防火牆規則的網路標記,因為標記具有 IAM 控制項、可改善擴充性,並支援網路防火牆政策。不過,階層式防火牆政策或透過網路連線中心對等互連的網路不支援標記,因此在這些情況下,您需要根據 CIDR 範圍建立規則。
- 如要在 Cloud NGFW 上啟用第 7 層檢查,請設定入侵預防服務,包括安全性設定檔、防火牆端點和 VPC 關聯。
- 建立全域網路防火牆政策和所有必要的防火牆規則。請考量每個 VPC 網路中現有的默示規則,允許輸出流量並拒絕輸入流量。
- 將政策與虛擬私有雲網路建立關聯。
- 如果您已在網路中使用虛擬私有雲防火牆規則,可能需要變更政策和規則的評估順序,讓系統先評估新規則,再評估虛擬私有雲防火牆規則。
- (選用) 啟用防火牆規則記錄。
測試與工作負載的連線
如果您已在 VPC 網路中部署工作負載,請立即測試存取權。如果您在部署工作負載前已連結網路,現在即可部署工作負載並進行測試。
後續步驟
- 進一步瞭解本設計指南中使用的 Google Cloud 產品:
- 如需更多參考架構、圖表和最佳做法,請瀏覽 Cloud 架構中心。
貢獻者
作者:
- Eric Yu | 網路專員客戶工程師
- Deepak Michael | 網路專員客戶工程師
- Victor Moreno | 雲端網路產品經理
- Osvaldo Costa | 網路專家客戶工程師
其他貢獻者:
- Mark Schlagenhauf | 網路技術文件撰稿者
- Ammett Williams | 開發人員關係工程師
- Ghaleb Al-habian | 網路專員
- Tony Sarathchandra | 資深產品經理