Questo documento fornisce un'architettura di riferimento che puoi utilizzare per implementare una topologia di rete hub-and-spoke di Cross-Cloud Network che utilizza appliance virtuali di rete (NVA) per trasmettere il traffico.
Il pubblico di destinazione di questo documento è costituito da amministratori di rete che creano connettività di rete e architetti cloud che pianificano la modalità di deployment dei carichi di lavoro. Il documento presuppone che tu abbia una conoscenza di base del routing, della connettività a internet e del software NVA che vuoi implementare. Per utilizzare questa architettura di riferimento, devi avere familiarità con la guida alla progettazione di Cross-Cloud Network.
Questo design supporta più connessioni esterne a località on-premise o di fornitori di servizi cloud (CSP) e più reti VPC del carico di lavoro.
Questo progetto presuppone un deployment in una singola regione. Fornisce l'affinità regionale, ma non il failover regionale. Se vuoi eseguire il deployment in più di una regione, puoi utilizzare l'Google Cloud archetipo di deployment multiregionale.
Questo progetto inserisce le NVA in tutti i flussi, ad eccezione di quelli all'interno e tra le reti VPC del carico di lavoro. Puoi fare in modo che i flussi ignorino le NVA aggiungendo le route basate su policy di salto appropriate. Solo i flussi tra la rete esterna e la rete VPC di accesso ai servizi richiedono NVA, poiché tutti gli altri flussi possono essere ispezionati da Cloud Next Generation Firewall.
Architettura
Il seguente diagramma mostra una panoramica di alto livello dell'architettura delle reti e dei flussi supportati.
L'architettura contiene i seguenti elementi di alto livello:
| Componente | Finalità | Interazioni |
|---|---|---|
| Reti esterne (on-premise o altra rete CSP) | Ospita i client dei carichi di lavoro eseguiti nei VPC dei carichi di lavoro e nei VPC di accesso ai servizi. Anche le reti esterne possono ospitare servizi. | Scambia dati con le reti VPC di Google Cloudtramite le NVA ospitate nella rete VPC di routing. Si connette alla rete VPC di routing utilizzando Cloud Interconnect o VPN ad alta disponibilità. Termina una delle seguenti sequenze:
|
| Rete VPC di routing (nota anche come rete VPC di transito) | Funge da hub per la rete esterna, la rete VPC con accesso ai servizi e le reti VPC del workload. Ospita le NVA utilizzate per elaborare il traffico tra reti. | Collega la rete esterna, la rete VPC di accesso ai servizi e le reti VPC del workload tramite una combinazione di Cloud Interconnect, VPN ad alta disponibilità e peering di rete VPC. Quando il traffico delle reti esterne, di accesso ai servizi e dei carichi di lavoro passa attraverso la rete di routing, le route basate su criteri inviano il traffico alle NVA. |
| Rete VPC services-access | Fornisce punti di accesso a servizi gestiti ospitati in altre reti. Se necessario, la rete di accesso ai servizi può ospitare direttamente i servizi. | Scambia dati con le reti esterne e dei carichi di lavoro tramite la rete di routing. Si connette al VPC di routing utilizzando la VPN ad alta disponibilità. Il routing transitivo, fornito da VPN ad alta disponibilità, consente al traffico esterno di raggiungere i VPC dei servizi gestiti tramite la rete VPC di accesso ai servizi. Se la rete VPC di accesso ai servizi ospita direttamente i servizi, termina un'estremità dei flussi da tutte le altre reti. |
| Rete VPC di servizi gestiti | Ospita i servizi gestiti necessari ai client in altre reti. | Scambia dati con le reti esterne, di accesso ai servizi e dei carichi di lavoro. Si connette alla rete VPC di accesso ai servizi utilizzando l'accesso privato ai servizi, che utilizza il peering di rete VPC, oppure utilizzando Private Service Connect. Termina un'estremità dei flussi da tutte le altre reti. |
| Reti VPC del workload | Ospita i carichi di lavoro necessari ai client di altre reti. | Scambia dati con le reti VPC esterne e di accesso ai servizi tramite la rete VPC di routing. Si connette alla rete di routing utilizzando il peering di rete VPC. Si connette ad altre reti VPC del workload utilizzando Network Connectivity Center. Termina una delle seguenti sequenze:
|
| Rete VPC con accesso a internet | Fornisce l'accesso a internet per i carichi di lavoro che ne hanno bisogno. | Fornisce l'accesso in uscita a internet per i carichi di lavoro che devono scaricare aggiornamenti o altri dati da internet. I dati passano attraverso le NVA e vengono inviati tramite Cloud NAT. Termina una delle seguenti sequenze:
|
Descrizioni delle connessioni
Il seguente diagramma mostra una visualizzazione dettagliata dell'architettura che evidenzia le quattro connessioni tra le reti:
Questa sezione descrive le quattro connessioni mostrate nel diagramma precedente.
Connessione 1: tra le reti esterne e la rete VPC di routing
Questa connessione tra reti esterne e reti VPC di routing avviene tramite Cloud Interconnect o VPN ad alta disponibilità. I router Cloud nella rete VPC di routing e i router esterni nella rete esterna scambiano le route utilizzando BGP.
- I router nelle reti esterne annunciano le route per le subnet esterne ai router cloud VPC di routing. La preferenza delle route può essere espressa utilizzando metriche e attributi BGP.
- I router Cloud nella rete VPC di routing annunciano le route per i prefissi nei VPC di Google Cloudalle reti esterne. Queste route devono essere annunciate utilizzando gli annunci di route personalizzate del router Cloud.
Connessione 2: tra le reti VPC di routing e le reti VPC di accesso ai servizi
Questa connessione tra le reti VPC di routing e le reti VPC di accesso ai servizi avviene tramite VPN ad alta disponibilità. Le route vengono scambiate utilizzando BGP tra i router Cloud regionali nelle reti VPC di routing e le reti VPC di accesso ai servizi.
- Routing VPN ad alta disponibilità VPC I router Cloud annunciano le route per i prefissi di rete esterni, i VPC dei carichi di lavoro e altri VPC di accesso ai servizi al router Cloud VPC di accesso ai servizi. Queste route devono essere annunciate utilizzando gli annunci di route personalizzati del router Cloud.
- La rete VPC di accesso ai servizi annuncia le proprie subnet e le subnet di tutte le reti VPC di servizi gestiti collegate alla rete VPC di routing. Le route VPC dei servizi gestiti devono essere annunciate utilizzando gli annunci di route personalizzati del router Cloud.
Connessione 3: tra le reti VPC di routing e le reti VPC del workload
Questa connessione tra le reti VPC di routing e le reti VPC dei carichi di lavoro viene implementata utilizzando il peering di rete VPC. Questa connessione consente la comunicazione tra le reti VPC del carico di lavoro e le altre reti connesse alla rete VPC di routing. Queste altre reti includono le reti esterne e le reti VPC di accesso ai servizi.
- La rete VPC del workload esporta automaticamente le subnet nella rete VPC di routing.
Connessione 4: tra le reti VPC del workload
Le reti VPC del workload sono connesse utilizzando gli spoke VPC di Network Connectivity Center dello stesso hub. Pertanto, il traffico da una rete VPC di un carico di lavoro a un'altra viene trasferito direttamente tra le reti. Il traffico non transita nella rete VPC di routing.
Flussi di traffico
Il seguente diagramma mostra i quattro flussi abilitati da questa architettura di riferimento.
La tabella seguente descrive i flussi nel diagramma:
| Origine | Destinazione | Descrizione |
|---|---|---|
| Rete esterna | Rete VPC services-access |
|
| Rete VPC services-access | Rete esterna |
|
| Rete esterna | Rete VPC del carico di lavoro |
|
| Rete VPC del carico di lavoro | Rete esterna |
|
| Rete VPC del carico di lavoro | Rete VPC services-access |
|
| Rete VPC services-access | Rete VPC del carico di lavoro |
|
| Rete VPC del carico di lavoro | Rete VPC del carico di lavoro | Il traffico che esce da una rete VPC del workload segue la route più specifica verso l'altra rete VPC del workload tramite Network Connectivity Center. Il traffico di ritorno inverte questo percorso. Questo traffico non passa attraverso le NVA. |
Prodotti utilizzati
Questa architettura di riferimento utilizza i seguenti prodotti Google Cloud :
- Virtual Private Cloud (VPC): un sistema virtuale che fornisce funzionalità di rete globali e scalabili per i tuoi Google Cloud carichi di lavoro. VPC include il peering di rete VPC, Private Service Connect, l'accesso privato ai servizi e VPC condiviso.
- Network Connectivity Center: un framework di orchestrazione che semplifica la connettività di rete tra le risorse spoke connesse a una risorsa di gestione centrale chiamata hub.
- Cloud Interconnect: un servizio che estende la tua rete esterna alla rete Google tramite una connessione a disponibilità elevata e a bassa latenza.
- Cloud VPN: un servizio che estende in modo sicuro la tua rete peer alla rete di Google tramite un tunnel VPN IPsec.
- Cloud Router: un'offerta distribuita e completamente gestita che fornisce funzionalità di speaker e responder Border Gateway Protocol (BGP). Router Cloud funziona con Cloud Interconnect, Cloud VPN e le appliance router per creare route dinamiche nelle reti VPC in base alle route ricevute da BGP e a quelle apprese personalizzate.
- Compute Engine: un servizio di calcolo sicuro e personalizzabile che ti consente di creare ed eseguire VM sull'infrastruttura di Google.
- Cloud Load Balancing: un portafoglio di bilanciatori del carico scalabili, globali e regionali ad alte prestazioni.
- Cloud Next Generation Firewall: un servizio firewall completamente distribuito con funzionalità di protezione avanzate, microsegmentazione e gestione semplificata per proteggere i tuoi Google Cloud workload da attacchi interni ed esterni.
Considerazioni sulla progettazione
Questa sezione descrive i fattori di progettazione, le best practice e i consigli di progettazione da prendere in considerazione quando utilizzi questa architettura di riferimento per sviluppare una topologia che soddisfi i tuoi requisiti specifici di sicurezza, affidabilità e prestazioni.
Sicurezza e conformità
Il seguente elenco descrive le considerazioni relative a sicurezza e conformità per questa architettura di riferimento:
- Per motivi di conformità, potresti voler eseguire il deployment di Cloud Interconnect solo in una singola regione. Se vuoi mantenere tutto il traffico in una singola regione, puoi utilizzare una topologia al 99,9%. Per ulteriori informazioni, consulta Stabilisci una disponibilità del 99,9% per Dedicated Interconnect e Stabilisci una disponibilità del 99,9% per Partner Interconnect.
- Utilizza Cloud Next Generation Firewall per proteggere il traffico che transita tra le reti VPC dei carichi di lavoro.
- Se richiedi l'ispezione del traffico L7, attiva il servizio di rilevamento e prevenzione delle intrusioni (facoltativamente con supporto dell'ispezione TLS) per bloccare le attività dannose e proteggere i tuoi carichi di lavoro dalle minacce. Il servizio aiuta a supportare la protezione da vulnerabilità, antispyware e antivirus. Il servizio funziona creando endpoint firewall di zona gestiti da Google che utilizzano la tecnologia di intercettazione dei pacchetti per ispezionare in modo trasparente i workload senza richiedere alcuna riprogettazione delle route. Cloud Next Generation Firewall Enterprise comporta addebito per l'endpoint firewall zonale e per l'elaborazione dei dati.
- Attiva Google Threat Intelligence per le regole dei criteri firewall per consentire o bloccare le connessioni in base ai dati di Google Threat Intelligence.
- Utilizza oggetti di geolocalizzazione per le regole dei criteri firewall per consentire il traffico solo dai paesi consentiti e per bloccare i paesi soggetti a embargo.
- Abilita la registrazione e il monitoraggio in base alle tue esigenze di traffico e conformità. Puoi utilizzare i log di flusso VPC per ottenere informazioni sui pattern di traffico.
- Utilizza Cloud IDS per ottenere ulteriori informazioni sul tuo traffico.
- Se le NVA devono connettersi a posizioni internet per scaricare gli aggiornamenti, configura Cloud NAT nella rete VPC di accesso a internet.
- Se vuoi che i client della tua rete esterna raggiungano direttamente le API di Google,
crea una route basata su criteri nella rete VPC di routing nel seguente modo:
- Intervallo di origine: un intervallo aggregato per la tua rete esterna.
- Intervallo di destinazione:
199.36.153.4/30 - Hop successivo:
default-internet-gateway
Se vuoi che le tue VM Google Cloud accedano alle API di Google tramite connessioni private, segui questi passaggi:
- In ogni rete VPC, abilita l'accesso privato Google.
- In ogni rete del workload, crea una route basata su criteri per accedere alle API di Google:
- Intervallo di origine: l'intervallo di indirizzi per la subnet VPC del carico di lavoro.
- Intervallo di destinazione:
199.36.153.4/30 - Hop successivo:
default-internet-gateway
- Crea una policy di risposta DNS per l'accesso privato Google che si applichi alla rete VPC di routing e a tutte le reti VPC del workload.
Nel criterio di risposta DNS, crea una regola come segue:
- Nome DNS:
*.googleapis.com. Dati locali:
name="*.googleapis.com.",type="A",ttl=3600,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
- Nome DNS:
Affidabilità
Il seguente elenco descrive le considerazioni sull'affidabilità per questa architettura di riferimento:
- Per ottenere una disponibilità del 99,99% per Cloud Interconnect, devi connetterti a due regioni Google Cloud diverse anche se hai VM in una sola regione.
- Per migliorare l'affidabilità e ridurre al minimo l'esposizione ai guasti a livello regionale, puoi duplicare il deployment in più regioni utilizzando l'archetipo di deployment multiregionale.Google Cloud
- Per gestire il traffico previsto tra la VPC di accesso ai servizi e altre reti, crea un numero sufficiente di tunnel VPN. I singoli tunnel VPN hanno limiti di larghezza di banda. Le stesse indicazioni si applicano se utilizzi la VPN ad alta disponibilità tra le reti esterne e la rete VPC di routing.
Ottimizzazione delle prestazioni
Il seguente elenco descrive le considerazioni sul rendimento per questa architettura di riferimento:
- Potresti migliorare le prestazioni della rete aumentando l'unità massima di trasmissione (MTU) delle reti e delle connessioni. Per saperne di più, consulta Unità massima di trasmissione.
- La comunicazione tra il VPC di routing e le risorse del carico di lavoro avviene tramite il peering di rete VPC, che fornisce una velocità effettiva a piena velocità per tutte le VM nella rete senza costi aggiuntivi. Quando pianifichi il deployment, considera quote e limiti del peering di rete VPC.
- Puoi connettere la tua rete esterna alla rete VPC di routing utilizzando VPN ad alta disponibilità o Cloud Interconnect. Per ulteriori informazioni sul bilanciamento dei costi e delle considerazioni sulle prestazioni, consulta Scegliere un prodotto per la connettività di rete.
Deployment
L'architettura descritta in questo documento crea tre set di connessioni a una rete VPC di routing centrale più una connessione diversa tra le reti VPC dei carichi di lavoro. Una volta configurate completamente tutte le connessioni, tutte le reti nel deployment possono comunicare con tutte le altre reti.
Questo deployment presuppone che tu stia creando connessioni tra la rete esterna e le reti VPC di routing in una regione. Le subnet dei carichi di lavoro possono trovarsi in qualsiasi regione. Se posizioni i workload in una sola regione, devi creare subnet solo in quella regione.
Per eseguire il deployment di questa architettura di riferimento, completa le seguenti attività:
- Identificare le regioni in cui posizionare la connettività e i carichi di lavoro
- Crea le reti VPC e le subnet
- Crea tag delle risorse per gestire le regole firewall
- Crea e associa criteri firewall di rete
- Crea connessioni tra reti esterne e la tua rete VPC di routing
- Crea connessioni tra la tua rete VPC di routing e le reti VPC di accesso ai servizi
- Crea connessioni tra la rete VPC di routing e le reti VPC del workload
- Connetti le reti VPC del tuo workload
- Installare le NVA
- Crea routing dei servizi
- Configurare l'accesso a internet nella rete di accesso a internet
- Test della connettività ai carichi di lavoro
Identificare le regioni in cui posizionare la connettività e i workload
In generale, vuoi posizionare la connettività, le subnet VPC e i carichi di lavoro in prossimità delle reti on-premise o di altri client cloud. Google Cloud Per saperne di più sul posizionamento dei carichi di lavoro, consulta Google Cloud Region Picker e Best practice per la selezione delle regioni di Compute Engine.
Crea le reti e le subnet VPC
Per creare le reti e le subnet VPC, completa le seguenti attività:
- Crea o identifica i progetti in cui creerai le reti VPC. Hai bisogno di un progetto di routing in cui inserire la connettività esterna e di un altro progetto per ospitare le reti VPC di accesso ai servizi e dei carichi di lavoro. Per indicazioni, consulta Segmentazione della rete e struttura del progetto. Se intendi utilizzare reti VPC condiviso, provisiona i tuoi progetti come progetti host VPC condiviso.
- Pianifica le allocazioni degli indirizzi IP per le tue reti. Puoi preassegnare e riservare i tuoi intervalli creando intervalli interni. L'allocazione di blocchi di indirizzi aggregabili semplifica la configurazione e le operazioni successive.
- Crea una rete VPC e una subnet di routing nel progetto di routing. Se prevedi di avere più di una regione, attiva il routing globale.
- Crea una rete VPC e una subnet con accesso a internet nel progetto di routing.
- Crea una rete VPC di accesso ai servizi e una subnet nel progetto host. Se ritieni di avere più di una regione, abilita il routing globale.
- Crea reti e subnet VPC del workload nei progetti host. Se prevedi di avere più di una regione, attiva il routing globale.
Creare tag delle risorse per gestire le regole di Cloud Next Generation Firewall
Crea i seguenti tag. Puoi assegnare loro il nome che preferisci. I nomi elencati sono solo a titolo di esempio.
- Per la rete VPC di routing:
- Chiave:
routing-vpc-tags - Valore:
routing-vpc-multinic - Scopo:
GCE_FIREWALL - Purpose-data: il nome della rete VPC di routing.
- Chiave:
Per ogni rete VPC del carico di lavoro:
Chiave:
WORKLOAD_NAME-tagsSostituisci
WORKLOAD_NAMEcon il nome della rete VPC del carico di lavoro.Valori:
WORKLOAD_NAME-clients,WORKLOAD_NAME-wwwSostituisci
WORKLOAD_NAMEcon il nome della rete VPC del carico di lavoro.Scopo:
GCE_FIREWALLPurpose-data: il nome della rete VPC del workload.
Per la rete di accesso a internet:
- Chiave:
internet-tag - Valore:
internet-vpc - Scopo:
GCE_FIREWALL - Purpose-data: il nome della rete di accesso a internet.
- Chiave:
Crea e associa policy firewall di rete
Questa sezione mostra le regole Cloud NGFW da creare e associare per il tuo deployment.
- Crea una policy del firewall di rete globale nel progetto di routing.
- Crea le seguenti regole firewall nel criterio:
- Regola per consentire il traffico in entrata dagli intervalli IP del controllo di integrità per le porte in uso, ad esempio
tcp:80,443. - Regola per consentire il traffico di Identity-Aware Proxy.
- Regola per consentire il traffico in entrata da intervalli interni come le reti services-access, workload ed esterne.
- Regola per consentire il traffico in entrata dagli intervalli IP del controllo di integrità per le porte in uso, ad esempio
- Associa la policy alla rete VPC di routing.
- In base ai workload nei VPC di accesso ai servizi e ai workload, crea regole e criteri firewall nel progetto di hosting dei workload per gestire il traffico.
Crea connessioni tra reti esterne e la rete VPC di routing
Questa sezione presuppone la connettività in una singola regione.
- Configura la connettività tra le reti esterne e la tua rete di routing. Per capire come affrontare questo problema, vedi Connettività esterna e ibrida. Per indicazioni sulla scelta di un prodotto di connettività, consulta Scelta di un prodotto di connettività di rete.
- Configura BGP come segue:
- Configura il router nella posizione esterna specificata come segue:
- Annuncia tutte le subnet per la località esterna utilizzando lo stesso valore MED BGP su entrambe le interfacce, ad esempio 100. Se entrambe le interfacce annunciano lo stesso MED, Google Cloud può utilizzare ECMP per bilanciare il carico del traffico su entrambe le connessioni.
- Configura il router Cloud rivolto all'esterno nel VPC di routing della regione connessa nel seguente modo:
- Utilizzando gli annunci di route personalizzati, annuncia tutti gli intervalli di subnet di tutte le regioni su entrambe le interfacce del router Cloud rivolte all'esterno. Aggregali se possibile. Utilizza lo stesso MED su entrambe le interfacce, ad esempio 100.
- Configura il router nella posizione esterna specificata come segue:
Crea connessioni tra la tua rete VPC di routing e le reti VPC di accesso ai servizi
Il VPC di accesso ai servizi utilizza la VPN ad alta disponibilità per connettersi al VPC di routing. La VPN consente il routing transitivo tra il VPC di accesso ai servizi e le reti esterne e dei carichi di lavoro.
- Stima la quantità di traffico che deve spostarsi tra i VPC di routing e di accesso ai servizi. Scala di conseguenza il numero previsto di tunnel.
- Configura la VPN ad alta disponibilità tra il VPC di routing e il VPC di accesso ai servizi seguendo le istruzioni riportate in Crea gateway VPN ad alta disponibilità per connettere le reti VPC. Crea un router Cloud VPN ad alta disponibilità dedicato nella rete di routing. Lascia il router rivolto alla rete esterna per le connessioni di rete esterne.
- Configurazione del router Cloud VPC di routing:
- Per annunciare le subnet VPC di rete esterna e del workload al VPC di accesso ai servizi, utilizza annunci di route personalizzate sul router Cloud nel VPC di routing.
- Configurazione del router Cloud VPC con accesso ai servizi:
- Per annunciare le subnet VPC di accesso ai servizi al VPC di routing, utilizza gli annunci di route personalizzati sul router Cloud del VPC di accesso ai servizi.
- Se utilizzi l'accesso privato ai servizi per connettere un VPC di servizi gestiti al VPC di accesso ai servizi, utilizza route personalizzate per annunciare anche queste subnet.
- Configurazione del router Cloud VPC di routing:
- Se connetti un VPC di servizi gestiti al VPC di accesso ai servizi utilizzando l'accesso privato ai servizi, dopo aver stabilito la connessione di peering di rete VPC, aggiorna il lato del VPC di accesso ai servizi della connessione di peering di rete VPC per esportare le route personalizzate.
Crea connessioni tra la rete VPC di routing e le reti VPC del workload
Crea connessioni di peering di rete VPC tra il VPC di routing e ciascuno dei tuoi VPC di workload:
- Attiva Esporta route personalizzate per il lato VPC di routing di ogni connessione.
- Attiva l'opzione Importa route personalizzate per il lato VPC del workload di ogni connessione.
- Nello scenario predefinito, solo le route di subnet VPC del workload vengono esportate nel VPC di routing. Non è necessario esportare le route personalizzate dai VPC del workload.
Connetti le reti VPC del tuo workload
Collega le reti VPC del workload utilizzando gli hub VPC di Network Connectivity Center. Rendi tutti gli spoke parte dello stesso gruppo di peer spoke di Network Connectivity Center. Utilizza un gruppo di peer core per consentire la comunicazione full mesh tra i VPC.
Utilizza Cloud Next Generation Firewall per gestire il traffico all'interno e tra le reti VPC dei carichi di lavoro.
La connessione Network Connectivity Center annuncia route specifici tra le reti VPC del workload. Il traffico tra queste reti segue queste route.
Installare NVAs
Queste istruzioni presuppongono che tu disponga di un'immagine VM da utilizzare per le tue NVA.
Crea un gruppo di NVA con bilanciamento del carico. Per maggiori dettagli, consulta Configura il bilanciatore del carico di rete passthrough interno per i dispositivi di terze parti.
Crea un template di istanza basato sull'immagine NVA con il seguente parametro:
Tag di rete:
nva-REGIONSostituisci
REGIONcon il nome della regione.Tag Resource Manager:
routing-vpc-tags=routing-vpc-multinic.Un'interfaccia di rete per la rete VPC di routing senza indirizzo IP esterno.
Un'interfaccia di rete per la rete VPC di accesso a internet senza indirizzo IP esterno.
Imposta
can IP forwardper la VM e il sistema operativo.Crea route
ip routee regoleiptablesper inviare il traffico tra le reti di routing e di accesso a internet.
Crea un gruppo di istanze gestite (MIG) regionale con un numero sufficiente di VM per gestire il traffico previsto.
Crea routing del servizio
Questa sezione descrive come inviare il traffico tramite le NVA o come bypassarle in base alle esigenze.
- Nella rete VPC di routing, crea una
route basata su criteri con i seguenti
parametri:
- Intervallo di origine:
0.0.0.0/0 - Intervallo di destinazione:
0.0.0.0/0 - Hop successivo: l'indirizzo IP della regola di forwarding del bilanciatore del carico di rete passthrough interno
- Tag di rete: non specificare tag di rete. Questi parametri creano una regola che si applica a tutto il traffico proveniente da un collegamento VLAN, da un tunnel VPN o da un'altra VM nella rete.
- Intervallo di origine:
Nella rete di routing, crea una route basata su policy di salto con i seguenti parametri:
- Intervallo di origine:
0.0.0.0/0 - Intervallo di destinazione:
0.0.0.0/0 - Hop successivo: imposta l'hop successivo per saltare altre route basate su policy e utilizzare il routing predefinito.
Tag di rete:
nva-REGIONSostituisci
REGIONcon il nome della regione.
Questi parametri creano una regola che si applica solo al traffico in uscita dalle VM NVA. In questo modo, il traffico salta la prima route basata su policy che hai creato e segue invece la tabella di routing VPC.
- Intervallo di origine:
In ogni rete del workload, crea route basate su criteri per ogni subnet con la seguente configurazione:
- Intervallo di origine: l'intervallo di indirizzi per la subnet VPC del carico di lavoro.
- Intervallo di destinazione:
0.0.0.0/0 - Hop successivo: l'indirizzo IP della regola di forwarding del bilanciatore del carico di rete passthrough interno nella rete di routing
In ogni rete del workload, crea una route basata su policy di salto per il traffico all'interno della subnet:
- Intervallo di origine: l'intervallo di indirizzi per la subnet VPC del carico di lavoro.
- Intervallo di destinazione: l'intervallo di indirizzi per la subnet VPC del carico di lavoro.
- Hop successivo: imposta l'hop successivo per saltare altre route basate su policy e utilizzare il routing predefinito.
In ogni rete del workload, crea una route basata su policy di salto per il traffico tra le subnet. È necessario creare una route per ogni altra subnet del workload, a meno che le route non possano essere aggregate:
- Intervallo di origine: l'intervallo di indirizzi per la subnet VPC del carico di lavoro.
- Intervallo di destinazione: l'intervallo delle altre subnet del workload.
- Hop successivo: imposta l'hop successivo per saltare altre route basate su policy e utilizzare il routing predefinito.
Queste istruzioni presuppongono che tutto il traffico, ad eccezione di quello all'interno di una subnet VPC e tra le subnet VPC dei workload, venga instradato tramite le NVA. Se vuoi che il traffico tra i VPC dei workload e il VPC di accesso ai servizi salti le NVA, installa route di salto del routing basato su criteri aggiuntive e configura regole Cloud NGFW aggiuntive per questo traffico.
Configurare l'accesso a internet nella rete di accesso a internet
Per configurare l'accesso a internet in uscita, configura Cloud NAT nella rete di accesso a internet.
Test della connettività ai workload
Se hai già eseguito il deployment di carichi di lavoro nelle tue reti VPC, testa l'accesso ora. Se hai connesso le reti prima di eseguire il deployment dei carichi di lavoro, ora puoi eseguirne il deployment e testarli.
Passaggi successivi
- Scopri di più sui prodotti Google Cloud utilizzati in questa guida alla progettazione:
- Per ulteriori architetture di riferimento, diagrammi e best practice, esplora il Cloud Architecture Center.
Collaboratori
Autori:
- Osvaldo Costa | Networking Specialist Customer Engineer
- Deepak Michael | Networking Specialist Customer Engineer
- Victor Moreno | Product Manager, Cloud Networking
- Mark Schlagenhauf | Technical Writer, Networking
Altro collaboratore: Ammett Williams | Developer Relations Engineer