本文档提供了一个参考架构,您可以使用该架构在 Google Cloud中部署跨云网络 VPC 网络互连拓扑。这种网络设计支持在内部和外部网络(例如本地数据中心或其他云服务提供商 [CSP])中部署软件服务。 Google Cloud
本文档的目标受众群体包括将构建网络连接的网络管理员、云架构师和企业架构师。还包括负责规划工作负载部署方式的云架构师。本文档假定您对路由和互联网连接有基本的了解。
此设计支持多个外部连接、多个包含服务和服务访问点的服务访问 Virtual Private Cloud (VPC) 网络,以及多个工作负载 VPC 网络。
在本文档中,术语“服务接入点”是指使用 Google Cloud 专用服务访问权限和 Private Service Connect 提供的服务的接入点。Network Connectivity Center 是Google Cloud中用于管理网络连接的中心辐射型控制平面模型。hub 资源可为 Network Connectivity Center VPC spoke 提供集中式连接管理。
Network Connectivity Center hub 是一个全局控制平面,用于在连接到它的各种 spoke 类型之间学习和分配路由。VPC spoke 通常会将子网路由注入到集中式 hub 路由表中。混合 spoke 通常会将动态路由注入到集中式 hub 路由表中。 Google Cloud使用 Network Connectivity Center hub 的控制平面信息,自动在 Network Connectivity Center spoke 之间建立数据平面连接。
建议使用 Network Connectivity Center 互连 VPC,以便在 Google Cloud上实现可扩缩的增长。如果您必须在流量路径中插入网络虚拟设备 (NVA),可以将路由器设备功能用于动态路由,也可以将静态路由或基于政策的路由与 VPC 网络对等互连搭配使用来互连 VPC。如需了解详情,请参阅使用 VPC 网络对等互连实现跨云网络 VPC 之间的连接。
架构
下图概要展示了网络架构以及此架构支持的不同数据包流。
该架构包含以下高级元素:
| 组件 | 用途 | 互动次数 |
|---|---|---|
| 外部网络(本地网络或其他 CSP 网络) | 托管在工作负载 VPC 和服务访问 VPC 中运行的工作负载的客户端。外部网络也可以托管服务。 | 通过中转网络与 Google Cloud的 VPC 网络交换数据。使用 Cloud Interconnect 或高可用性 VPN 连接到中转网络。 终止以下流程的一端:
|
| 中转 VPC 网络(在 Network Connectivity Center 中也称为 路由 VPC 网络) | 充当外部网络、服务访问 VPC 网络和工作负载 VPC 网络的枢纽。 | 通过 Cloud Interconnect、HA VPN 和 Network Connectivity Center 的组合,将外部网络、服务访问 VPC 网络、Private Service Connect 使用方网络和工作负载 VPC 网络连接在一起。 |
| 服务访问 VPC 网络 | 提供对工作负载 VPC 网络或外部网络中运行的工作负载所需服务的访问权限。此外,还提供对托管在其他网络中的托管式服务的访问点。 | 通过转接网络与外部网络、工作负载网络和 Private Service Connect 使用方网络交换数据。使用高可用性 VPN 连接到中转 VPC。高可用性 VPN 提供的传递路由允许外部流量通过服务访问 VPC 网络到达托管式服务 VPC。 终止以下流程的一端:
|
| 托管式服务 VPC 网络 | 托管其他网络中客户端所需的托管式服务。 | 与外部服务访问网络、Private Service Connect 使用方网络和工作负载网络交换数据。使用专用服务访问通道(使用 VPC 网络对等互连)连接到服务访问 VPC 网络。托管式服务 VPC 还可以使用 Private Service Connect 或专用服务访问通道连接到 Private Service Connect 使用方 VPC。 终止来自所有其他网络的流量的一端。 |
| Private Service Connect 使用方 VPC | 托管可从其他网络访问的 Private Service Connect 端点。此 VPC 可能也是工作负载 VPC。 | 通过中转 VPC 网络与外部网络和服务访问 VPC 网络交换数据。使用 Network Connectivity Center VPC spoke 连接到中转网络和其他工作负载 VPC 网络。 |
| 工作负载 VPC 网络 | 托管其他网络中客户端所需的工作负载。这种架构支持多个工作负载 VPC 网络。 | 通过中转 VPC 网络与外部网络和服务访问 VPC 网络交换数据。使用 Network Connectivity Center VPC spoke 连接到中转网络、Private Service Connect 使用方网络和其他工作负载 VPC 网络。 终止以下流程的一端:
|
| Network Connectivity Center | Network Connectivity Center hub 包含一个全球路由数据库,该数据库可用作任何 Google Cloud 区域的 VPC 子网和混合连接路由的网络控制平面。 | 通过构建使用控制平面路由表的数据路径,在任意对任意拓扑中互连多个 VPC 和混合网络。 |
下图展示了此架构的详细视图,突出显示了组件之间的四个连接:
连接说明
本部分介绍了上图中显示的四个连接。Network Connectivity Center 文档将中转 VPC 网络称为路由 VPC。虽然这些网络的名称不同,但用途相同。
连接 1:外部网络与中转 VPC 网络之间的连接
外部网络与中继 VPC 网络之间的这种连接是通过 Cloud Interconnect 或高可用性 VPN 建立的。路由在转接 VPC 网络中的 Cloud Router 之间以及外部网络中的外部路由器之间通过 BGP 交换。
- 外部网络中的路由器会向转接 VPC Cloud Router 路由器通告外部子网的路由。通常,给定位置的外部路由器会将来自同一外部位置的路由通告为优先路由,而不是其他外部位置的路由。路由的偏好可以使用 BGP 指标和属性来表示。
- 转接 VPC 网络中的 Cloud Router 路由器会向外部网络通告 Google CloudVPC 中前缀的路由。必须使用 Cloud Router 路由器自定义路由通告来通告这些路由。
- 借助 Network Connectivity Center,您可以使用 Google 骨干网在不同的本地网络之间传输数据。将互连 VLAN 连接配置为 Network Connectivity Center 混合 spoke 时,您必须启用站点到站点数据传输。
- 使用相同外部网络前缀的 Cloud Interconnect VLAN 连接会配置为单个 Network Connectivity Center spoke。
连接 2:转接 VPC 网络与服务访问 VPC 网络之间的连接
中转 VPC 网络与服务访问 VPC 网络之间的这种连接是通过高可用性 VPN 建立的,每个区域都有单独的隧道。路由是通过 BGP 在转接 VPC 网络和服务访问 VPC 网络中的区域性 Cloud Router 之间交换的。
- 中转 VPC HA VPN Cloud Router 会向服务访问 VPC Cloud Router 通告外部网络前缀、工作负载 VPC 和其他服务访问 VPC 的路由。必须使用 Cloud Router 自定义路由通告通告这些路由。
- 服务访问 VPC 会向转接 VPC 网络通告其子网以及任何已连接的托管式服务 VPC 网络的子网。必须使用 Cloud Router 自定义路由通告来通告托管式服务 VPC 路由和服务访问 VPC 子网路由。
连接 3:在转接 VPC 网络、工作负载 VPC 网络和 Private Service Connect 服务访问 VPC 网络之间
使用网络连接中心交换子网和前缀路由时,中转 VPC 网络、工作负载 VPC 网络和 Private Service Connect 使用方 VPC 网络之间的连接就会建立。此连接可实现工作负载 VPC 网络、作为 Network Connectivity Center VPC spoke 连接的服务访问 VPC 网络以及作为 Network Connectivity Center 混合 spoke 连接的其他网络之间的通信。这些其他网络包括分别使用连接 1 和连接 2 的外部网络和服务访问 VPC 网络。
- 中转 VPC 网络中的 Cloud Interconnect 或高可用性 VPN 附件使用 Network Connectivity Center 将动态路由导出到工作负载 VPC 网络。
- 将工作负载 VPC 网络配置为 Network Connectivity Center hub 的 spoke 后,工作负载 VPC 网络会自动将其子网导出到传输 VPC 网络。(可选)您可以将中转 VPC 网络设置为 VPC spoke。系统不会将任何静态路由从工作负载 VPC 网络导出到传输 VPC 网络。系统不会将任何静态路由从传输 VPC 网络导出到工作负载 VPC 网络。
连接 4:具有 Network Connectivity Center 传播的 Private Service Connect 使用方 VPC
- Private Service Connect 端点在一个公共 VPC 中进行整理,使用方可以通过该 VPC 访问第一方和第三方代管式服务。
- Private Service Connect 使用方 VPC 网络配置为 Network Connectivity Center VPC Spoke。此 spoke 会在 Network Connectivity Center hub 上启用 Private Service Connect 传播。Private Service Connect 传播会将 Private Service Connect 端点的主机前缀通告为进入网络连接中心集线器路由表的路由。
- Private Service Connect 服务访问使用方 VPC 网络连接到工作负载 VPC 网络和传输 VPC 网络。这些连接支持对 Private Service Connect 端点进行传递连接。Network Connectivity Center hub 必须启用 Private Service Connect 连接传播。
- 网络连接中心会自动构建从所有辐条到 Private Service Connect 端点的数据路径。
流量
下图显示了此参考架构支持的流程。
下表介绍了该图中的流程:
| 来源 | 目的地 | 说明 |
|---|---|---|
| 外部网络 | 服务访问 VPC 网络 |
|
| 服务访问 VPC 网络 | 外部网络 |
|
| 外部网络 | 工作负载 VPC 网络或 Private Service Connect 使用方 VPC 网络 |
|
| 工作负载 VPC 网络或 Private Service Connect 使用方 VPC 网络 | 外部网络 |
|
| 工作负载 VPC 网络 | 服务访问 VPC 网络 |
|
| 服务访问 VPC 网络 | 工作负载 VPC 网络 |
|
| 工作负载 VPC 网络 | 工作负载 VPC 网络 | 离开一个工作负载 VPC 的流量会通过 Network Connectivity Center 沿着更具体的路线到达另一个工作负载 VPC。返回流量会沿着相反的路径返回。 |
使用的产品
- Virtual Private Cloud (VPC):为您的 Google Cloud 工作负载提供全球可扩缩的网络功能的虚拟系统。VPC 包括 VPC 网络对等互连、Private Service Connect、专用服务访问通道和共享 VPC。
- Network Connectivity Center:一个编排框架,用于在连接到名为 hub 的集中管理资源的 spoke 资源之间简化网络连接。
- Cloud Interconnect:这项服务可通过高可用性、低延迟的连接将您的外部网络扩展到 Google 网络。
- Cloud VPN:这项服务可通过 IPsec VPN 隧道将您的对等网络安全地扩展到 Google 的网络。
- Cloud Router:这是一项分布式全托管式服务,可提供边界网关协议 (BGP) 发言者和响应者功能。Cloud Router 可与 Cloud Interconnect、Cloud VPN 和路由器设备配合使用,根据收到的 BGP 路由和自定义已知路由在 VPC 网络中创建动态路由。
- Cloud 新一代防火墙:这是一种完全分布式的防火墙服务,具有高级保护功能、微细分和简化的管理功能,可保护您的 Google Cloud 工作负载免遭内部和外部攻击。
设计考虑事项
本部分介绍了在使用此参考架构开发满足您特定安全性、可靠性和性能要求的拓扑时应考虑的设计因素、最佳实践和设计建议。
安全与合规性
以下列表介绍了此参考架构的安全和合规性注意事项:
- 出于合规性原因,您可能希望仅在单个区域部署工作负载。如果您希望将所有流量都保留在单个区域内,可以使用 99.9% 可用性拓扑。
- 使用 Cloud 新一代防火墙 (Cloud NGFW) 保护进入和离开服务访问 VPC 网络和工作负载 VPC 网络的流量。如需检查通过中继网络在混合网络之间或在外部网络与 Google 托管服务之间传输的流量,您需要使用外部防火墙或 NVA 防火墙。
- 如果您需要 L7 流量检查,请启用入侵检测和防范服务(可选配TLS 检查支持),以阻止恶意活动并保护您的工作负载免受威胁,支持漏洞、反间谍软件和杀毒。该服务的工作原理是创建 Google 管理的可用区级防火墙端点,这些端点使用数据包拦截技术以透明方式检查工作负载,而无需任何路由重新架构。Cloud 新一代防火墙企业版会产生可用区防火墙端点和数据处理费用。
- 如果您想根据 Google Threat Intelligence 数据允许或阻止流量,请使用 Google Threat Intelligence。您需要支付 Cloud 新一代防火墙标准数据处理费用。
- 启用防火墙规则日志记录,并使用防火墙数据分析来审核、验证防火墙规则的效果、了解防火墙规则并对其进行优化。防火墙规则日志记录可能会产生费用,因此您可能需要选择性地使用它。
- 启用 Connectivity Tests 以确保流量按预期运行。
- 根据您的流量和合规性需求,适当地启用日志记录和监控功能。如需深入了解流量模式,请将 VPC 流日志与流量分析器搭配使用。
- 使用 Cloud IDS 或处于提醒模式的 Cloud NGFW Enterprise 入侵防御服务,深入了解流量。
可靠性
以下列表介绍了此参考架构的可靠性注意事项:
- 若要让 Cloud Interconnect 达到 99.99% 的可用性,您必须连接到两个不同的 Google Cloud 区域,且这两个区域位于两个不同的可用区。
- 为了提高可靠性并最大限度地减少地区性故障的影响,您可以将工作负载和其他云资源分布在多个地区。
- 如需处理预期流量,请创建足够数量的 VPN 隧道。单个 VPN 隧道具有带宽限制。
性能优化
以下列表介绍了此参考架构的性能注意事项:
- 您或许可以通过增加网络和连接的最大传输单元 (MTU) 来提高网络性能。如需了解详情,请参阅最大传输单元。
- 中转 VPC 与工作负载资源之间的通信是通过 Network Connectivity Center 连接进行的。此连接可为网络中的所有虚拟机提供全线速吞吐量,无需额外付费。您可以通过多种方式将外部网络连接到传输网络。如需详细了解如何平衡成本和性能注意事项,请参阅选择 Network Connectivity 产品。
部署
本部分将介绍如何使用本文档中所述的 Network Connectivity Center 架构部署跨云网络 VPC 间连接。
本文档中的架构会创建三种类型的中央传输 VPC 连接,以及工作负载 VPC 网络与工作负载 VPC 网络之间的连接。完全配置 Network Connectivity Center 后,它会在所有网络之间建立通信。
此部署假定您要在两个区域的外部网络和转接网络之间创建连接,但工作负载子网可以位于其他区域。如果工作负载仅位于一个区域,则只需在该区域创建子网。
如需部署此参考架构,请完成以下任务:
- 使用 Network Connectivity Center 创建网络细分
- 确定要放置连接性和工作负载的区域
- 创建 VPC 网络和子网
- 在外部网络和传输 VPC 网络之间创建连接
- 在中转 VPC 网络与服务访问 VPC 网络之间创建连接
- 在转接 VPC 网络和工作负载 VPC 网络之间建立连接
- 配置 Cloud NGFW 政策
- 测试与工作负载的连接
使用 Network Connectivity Center 创建网络分段
在首次创建 Network Connectivity Center 集线器之前,您必须先决定要使用全网状拓扑还是星形拓扑。一旦决定采用互连 VPC 的全网状拓扑或 VPC 的星形拓扑,就无法再更改。在做出这一不可逆转的决定时,请遵循以下一般准则:
- 如果贵组织的业务架构允许在任何 VPC 网络之间传输流量,请使用 Network Connectivity Center 网格。
- 如果不允许在某些不同的 VPC spoke 之间流动流量,但这些 VPC spoke 可以连接到一个核心 VPC spoke 群组,请使用 Network Connectivity Center 星形拓扑。
确定要放置连接性和工作负载的区域
一般来说,您希望将连接和工作负载放置在靠近本地网络或其他云客户端的位置。 Google Cloud 如需详细了解如何部署工作负载,请参阅 Google Cloud 区域选择器和 Compute Engine 区域选择最佳实践。
创建 VPC 网络和子网
如需创建 VPC 网络和子网,请完成以下任务:
创建或指定您要用于创建 VPC 网络的项目。如需相关指导,请参阅网络分段和项目结构。如果您打算使用共享 VPC 网络,请将项目预配为共享 VPC 宿主项目。
规划网络的 IP 地址分配。您可以通过创建内部范围来预分配和预留范围。这样可以简化后续的配置和操作。
创建启用了全局路由的中转网络 VPC。
创建服务访问 VPC 网络。如果您计划在多个区域部署工作负载,请启用全球路由。
创建工作负载 VPC 网络。如果您要在多个区域部署工作负载,请启用全局路由。
在外部网络和转接 VPC 网络之间创建连接
本部分假定两个区域之间存在连接,并且假定外部位置已连接且可以相互故障转移。它还假定,外部位置的客户更倾向于访问位于该外部位置所在区域的服务。
- 设置外部网络与您的传输网络之间的连接。如需了解如何考虑这一点,请参阅外部和混合连接。如需有关选择连接产品的指导,请参阅选择 Network Connectivity 产品。
在每个已连接的区域中配置 BGP,具体方法如下:
- 在给定外部位置配置路由器,如下所示:
- 在两个接口上使用相同的 BGP MED(例如 100)通告该外部位置的所有子网。如果两个接口公布相同的 MED,则 Google Cloud 可以使用 ECMP 在两个连接之间负载均衡流量。
- 使用比第一个区域的 MED 更低的 MED(例如 200),通告来自其他外部位置的所有子网。从两个接口通告相同的 MED。
- 在已连接区域的转接 VPC 中配置面向外部的 Cloud Router 路由器,如下所示:
- 为 Cloud Router 设置专用 ASN。
- 使用自定义路由通告,通过两个面向外部的 Cloud Router 接口通告所有区域中的所有子网范围。请尽可能对其进行汇总。在两个接口上使用相同的 MED,例如 100。
- 在给定外部位置配置路由器,如下所示:
使用 Network Connectivity Center hub 和混合 spoke,使用默认参数。
- 创建 Network Connectivity Center hub。如果贵组织允许在所有 VPC 网络之间传输流量,请使用默认的全网格配置。
- 如果您使用合作伙伴互连、专用互连、高可用性 VPN 或路由器设备来访问本地前缀,请将这些组件配置为不同的 Network Connectivity Center 混合 spoke。
- 如需向远程 BGP 邻居通告 Network Connectivity Center hub 路由表子网,请设置一个过滤条件以包含所有 IPv4 地址范围。
- 如果混合连接在支持数据传输的区域中的 Cloud Router 上终止,请配置启用了站点到站点数据传输的混合 spoke。这样可以支持使用 Google 骨干网络的站点到站点数据传输。
在转接 VPC 网络与服务访问 VPC 网络之间创建连接
为了在外部网络与服务访问 VPC 之间以及工作负载 VPC 与服务访问 VPC 之间提供传递性路由,服务访问 VPC 使用高可用性 VPN 进行连接。
- 估算每个区域中转接 VPC 和服务访问 VPC 之间需要传输多少流量。相应地扩缩预期的隧道数量。
按照创建高可用性 VPN 网关来连接 VPC 网络中的说明,在区域 A 的中转 VPC 网络与服务访问 VPC 网络之间配置高可用性 VPN。在转接 VPC 网络中创建专用高可用性 VPN Cloud Router。将面向外部网络的路由器留作外部网络连接。
- 转接 VPC Cloud Router 配置:
- 如需向服务访问 VPC 通告外部网络和工作负载 VPC 子网,请在转接 VPC 中的 Cloud Router 上使用自定义路由通告。
- 服务访问 VPC Cloud Router 配置:
- 如需向转接 VPC 通告服务访问 VPC 网络子网,请在服务访问 VPC 网络 Cloud Router 上使用自定义路由通告。
- 如果您使用专用服务访问通道将托管式服务 VPC 网络连接到服务访问 VPC,请使用自定义路由来通告这些子网。
- 在高可用性 VPN 隧道的传输 VPC 端,将这对隧道配置为 Network Connectivity Center 混合 spoke:
- 如需支持区域间数据传输,请配置启用了站点到站点数据传输的混合 spoke。
- 如需向远程 BGP 邻居通告 Network Connectivity Center hub 路由表子网,请将过滤条件设置为包含所有 IPv4 地址范围。此操作会向邻居通告所有 IPv4 子网路由。
- 如需在外部路由器上容量有限时安装动态路由,请将 Cloud Router 配置为使用自定义路由通告通告摘要路由。请使用此方法,而不是通告 Network Connectivity Center hub 的完整路由表。
- 转接 VPC Cloud Router 配置:
如果您在建立 VPC 网络对等互连连接后,使用专用服务访问通道将托管式服务 VPC 连接到服务访问 VPC,则还必须更新 VPC 网络对等互连连接的服务访问 VPC 端,才能导出自定义路由。
在转接 VPC 网络和工作负载 VPC 网络之间建立连接
如需大规模建立 VPC 之间的连接,请将 Network Connectivity Center 与 VPC spoke 搭配使用。Network Connectivity Center 支持两种不同类型的数据平面模型:全网状数据平面模型或星形拓扑数据平面模型。
建立全网状连接
Network Connectivity Center VPC spoke 包括中转 VPC、Private Service Connect 使用方 VPC 和所有工作负载 VPC。
- 虽然 Network Connectivity Center 会构建由 VPC spoke 组成的全网状网络,但网络运营商必须使用防火墙规则或防火墙政策来允许源网络和目标网络之间的流量流动。
- 将所有工作负载 VPC、中转 VPC 和 Private Service Connect 使用方 VPC 配置为 Network Connectivity Center VPC spoke。VPC spoke 之间不能存在子网重叠。
- 配置 VPC spoke 时,请向 Network Connectivity Center hub 路由表通告不重叠的 IP 地址子网范围:
- 包含导出子网范围。
- 排除导出子网范围。
- 配置 VPC spoke 时,请向 Network Connectivity Center hub 路由表通告不重叠的 IP 地址子网范围:
- 如果 VPC spoke 位于不同的项目中,并且由 Network Connectivity Center hub 管理员以外的管理员管理,则 VPC spoke 管理员必须发起请求,以加入其他项目中的 Network Connectivity Center hub。
- 在 Network Connectivity Center 中心项目中使用 Identity and Access Management (IAM) 权限向该用户授予
roles/networkconnectivity.groupUser角色。
- 在 Network Connectivity Center 中心项目中使用 Identity and Access Management (IAM) 权限向该用户授予
- 如需允许从其他 Network Connectivity Center spoke 对专用服务连接进行传递性和全局性的访问,请在 Network Connectivity Center hub 上启用 Private Service Connect 连接的传播。
如果不允许在工作负载 VPC 之间完全网格化 VPC 间通信,请考虑使用 Network Connectivity Center 星形拓扑。
建立星形拓扑连接
需要点对多点拓扑的集中式企业架构可以使用 Network Connectivity Center 星形拓扑。
如需使用 Network Connectivity Center 星形拓扑,请完成以下任务:
- 在 Network Connectivity Center 中,创建一个 Network Connectivity Center Hub 并指定星形拓扑。
- 如需允许从其他 Network Connectivity Center spoke 对专用服务连接进行传递性和全局性访问,请在 Network Connectivity Center hub 上启用 Private Service Connect 连接的传播。
- 为星形拓扑配置 Network Connectivity Center hub 时,您可以将 VPC 划分到以下两个预定义群组之一:中心群组或边缘群组。
如需在中心组中对 VPC 进行分组,请将传输 VPC 和 Private Service Connect 使用方 VPC 配置为 Network Connectivity Center VPC spoke,并将其作为中心组的一部分。
Network Connectivity Center 会在放置在中心组中的 VPC spoke 之间构建全网状网络。
如需在边缘群组中对工作负载 VPC 进行分组,请将这些网络中的每个网络配置为该群组中的 Network Connectivity Center VPC Spoke。
Network Connectivity Center 会构建从每个 Network Connectivity Center VPC spoke 到中心组中的所有 VPC 的点对点数据路径。
配置 Cloud NGFW 政策
其他注意事项:
- 如果您的工作负载在 Compute Engine 虚拟机上运行,我们建议您使用网络防火墙政策,而不是 VPC 防火墙规则。网络防火墙政策具有诸多优势,例如通过使用标记实现精细的安全和访问控制、简化规则管理、易于操作、功能更丰富以及灵活的数据驻留。如果您已经有 VPC 防火墙规则,可以使用 VPC 防火墙规则迁移工具来帮助您迁移到全球网络防火墙政策。
- Google Kubernetes Engine 会自动创建和管理某些 VPC 防火墙规则,以允许关键流量,因此我们建议您不要修改或删除这些规则。不过,您仍然可以将网络防火墙政策与 VPC 防火墙规则搭配使用,并可视需要更改政策强制执行顺序。
- 我们建议您使用标记(而非将网络标记与防火墙规则搭配使用),因为标记具有 IAM 控制功能、更出色的扩缩能力,并且支持网络防火墙政策。不过,分层防火墙政策不支持标记,也不支持在网络连接中心对等互连网络中使用标记,因此在这些情况下,您需要根据 CIDR 范围创建规则。
- 如果您想在 Cloud NGFW 上启用 L7 检查,请配置入侵防御服务,包括安全配置文件、防火墙端点和 VPC 关联。
- 创建全球网络防火墙政策和所有必要的防火墙规则。请考虑每个 VPC 网络中存在的允许出站流量并拒绝入站流量的隐式规则。
- 将政策与 VPC 网络关联。
- 如果您已在网络中使用 VPC 防火墙规则,则可能需要更改政策和规则评估顺序,以便新规则在 VPC 防火墙规则之前进行评估。
- (可选)启用防火墙规则日志记录。
测试与工作负载的连接
如果您已在 VPC 网络中部署了工作负载,请立即测试对这些工作负载的访问权限。如果您在部署工作负载之前连接了网络,则可以立即部署工作负载并进行测试。
后续步骤
- 详细了解 Google Cloud 本设计指南中使用的各产品:
- 如需查看更多参考架构、图表和最佳实践,请浏览 Cloud 架构中心。
贡献者
作者:
- Eric Yu | 网络专家客户工程师
- Deepak Michael | 网络专家客户工程师
- Victor Morno | Cloud 网络产品经理
- Osvaldo Costa | 网络专家客户工程师
其他贡献者:
- Mark Schlagenhauf | 网络技术文档工程师
- Ammett Williams | 开发者关系工程师
- Ghaleb Al-habian | 网络专家
- Tony Sarathchandra | 高级产品经理