Als Teil der Strategie der gestaffelten Sicherheitsebenen Ihrer Organisation verfügen Sie möglicherweise über Sicherheitsrichtlinien, die die Verwendung zentralisierter Netzwerk-Appliances für die Inline-Erkennung und Blockieren verdächtiger Netzwerkaktivität erfordern. Dieses Dokument hilft Ihnen dabei, die folgenden erweiterten Netzwerkschutzfunktionen für Google Cloud VMware Engine-Arbeitslasten zu entwerfen:
- Abwehr von DDoS-Angriffen (Distributed Denial of Service)
- SSL-Offloading
- Firewalls der nächsten Generation (Next-generation firewalls, NGFW)
- Intrusion Prevention System (IPS) und Intrusion Detection System (IDS)
- Deep Packet Inspection (DPI)
Die in diesem Dokument beschriebenen Architekturen verwenden Cloud Load Balancing und Netzwerk-Appliances aus Google Cloud Marketplace. Cloud Marketplace bietet produktionsbereite, anbieterunterstützte Netzwerk-Appliances von Google Cloud-Sicherheitspartnern für die IT-Anforderungen Ihres Unternehmens.
Die Anleitung in diesem Dokument richtet sich an Sicherheitsarchitekten und Netzwerkadministratoren, die Netzwerkkonnektivität für VMware Engine-Arbeitslasten entwerfen, bereitstellen und verwalten. In diesem Dokument wird davon ausgegangen, dass Sie mit Virtual Private Cloud (VPC), VMware vSphere, VMware NSX, Netzwerkadressübersetzung (NAT) und Cloud Load Balancing vertraut sind.
Architektur
Das folgende Diagramm zeigt eine Architektur für die Netzwerkkonnektivität zu VMware Engine-Arbeitslasten aus lokalen Netzwerken und aus dem Internet. Weiter unten in diesem Dokument wird diese Architektur erweitert, um die Anforderungen bestimmter Anwendungsfälle zu erfüllen.
Abbildung 1 zeigt die folgenden Hauptkomponenten der Architektur:
- Private VMware-Cloud: Ein isolierter VMware-Stack, der aus virtuellen Maschinen (VMs), Speicher, Netzwerkinfrastruktur und einem VMware vCenter-Server besteht. VMware NSX-T bietet Netzwerk- und Sicherheitsfeatures wie Mikrosegmentierung und Firewallrichtlinien. Die VMware Engine-VMs verwenden IP-Adressen aus Netzwerksegmenten, die Sie in Ihrer privaten Cloud erstellen.
- Öffentlicher IP-Adressdienst: Stellt externe IP-Adressen für die VMware Engine-VMs bereit, um Zugriff auf eingehenden Traffic aus dem Internet zu ermöglichen. Das Internetgateway bietet VMware Engine-VMs standardmäßig Zugriff auf ausgehenden Traffic.
- VPC-Netzwerk des VMware Engine-Mandanten: ein dediziertes, von Google verwaltetes VPC-Netzwerk, das mit jeder privaten VMware-Cloud verwendet wird, um die Kommunikation mit Google Cloud-Diensten zu ermöglichen.
Kunden-VPC-Netzwerk:
- Kunden-VPC-Netzwerk 1 (extern): Ein VPC-Netzwerk, in dem die öffentliche Schnittstelle der Netzwerk-Appliance und des Load-Balancers gehostet werden.
- Kunden-VPC-Netzwerk 2 (intern): Ein VPC-Netzwerk, das die interne Schnittstelle der Netzwerk-Appliance hostet und mithilfe des Modells für privaten Dienstzugriff mit dem VPC-Netzwerk des VMware Engine-Mandanten durch Peering verbunden wird.
Privater Dienstzugriff: Ein Modell für privaten Zugriff, das VPC-Netzwerk-Peering verwendet, um eine Verbindung zwischen von Google verwalteten Diensten und Ihren VPC-Netzwerken zu ermöglichen.
Netzwerk-Appliances: Netzwerksoftware, die Sie aus Cloud Marketplace auswählen und auf Compute Engine-Instanzen bereitstellen. Weitere Informationen zum Bereitstellen von Netzwerk-Appliances von Drittanbietern in Google Cloud finden Sie unter Zentralisierte Netzwerk-Appliances in Google Cloud.
Cloud Load Balancing: Ein von Google verwalteter Dienst, mit dem Sie den Traffic an hochverfügbare verteilte Arbeitslasten in Google Cloud verwalten können. Sie können einen Load-Balancer-Typ auswählen, der Ihren Trafficprotokoll- und Zugriffsanforderungen entspricht. Die Architekturen in diesem Dokument verwenden nicht die integrierten NSX-T-Load-Balancer.
Hinweise zur Konfiguration
Das folgende Diagramm zeigt die erforderlichen Ressourcen zum Bereitstellen einer Netzwerkverbindung für VMware Engine-Arbeitslasten:
Abbildung 2 zeigt die Aufgaben, die Sie zum Einrichten und Konfigurieren der Ressourcen in dieser Architektur ausführen müssen. Im Folgenden finden Sie eine Beschreibung der einzelnen Aufgaben, einschließlich eines Links zu einem Dokument, das weitere Informationen und detaillierte Anleitungen enthält.
Erstellen Sie die externen und internen VPC-Netzwerke und Subnetze. Folgen Sie dazu der Anleitung unter VPC-Netzwerk im benutzerdefinierten Modus erstellen.
- Wählen Sie für jedes Subnetz einen IP-Adressbereich aus, der in den VPC-Netzwerken eindeutig ist.
- Das im Architekturdiagramm gezeigte VPC-Netzwerk "Verwaltung" ist optional. Bei Bedarf können Sie damit NIC-Schnittstellen von Verwaltungs-Netzwerk-Appliances hosten.
Stellen Sie die erforderlichen Netzwerk-Appliances aus Cloud Marketplace bereit.
Stellen Sie für eine hohe Verfügbarkeit der Netzwerk-Appliances jede Appliance in einem Paar von VMs bereit, die über zwei Zonen verteilt sind.
Sie können die Netzwerk-Appliances in Instanzgruppen bereitstellen. Die Instanzgruppen können verwaltete Instanzgruppen (Managed Instance Groups, MIGs) oder nicht verwaltete Instanzgruppen sein, je nach Ihren Anforderungen an die Verwaltung oder den Anbietersupport.
Stellen Sie die Netzwerkschnittstellen so bereit:
nic0
im externen VPC-Netzwerk, um Traffic an die öffentliche Quelle weiterzuleiten.nic1
für Verwaltungsvorgänge, falls vom Appliance-Anbieter erfordert.nic2
im internen VPC-Netzwerk für die interne Kommunikation mit den VMware Engine-Ressourcen.
Durch die Bereitstellung der Netzwerkschnittstellen in separaten VPC-Netzwerken können Sie eine Trennung der Sicherheitszonen auf der Schnittstellenebene für öffentliche und lokale Verbindungen gewährleisten.
Richten Sie VMware Engine bereit:
- Erstellen Sie eine private VMware Engine-Cloud.
- Erstellen Sie ein Netzwerksegment für die VMware Engine-VMs.
Unter Privater Dienstzugriff können Sie VPC-Netzwerk-Peering einrichten, um das interne VPC-Netzwerk mit dem von VMware Engine verwalteten VPC-Netzwerk zu verbinden.
Wenn Sie Hybridkonnektivität zu Ihrem lokalen Netzwerk benötigen, verwenden Sie Cloud VPN oder Cloud Interconnect.
Sie können die Architektur in Abbildung 2 für die folgenden Anwendungsfälle erweitern:
Anwendungsfall | Verwendete Produkte und Dienste |
---|---|
NGFW für öffentliche VMware Engine-Arbeitslasten |
|
NGFW, DDoS-Abwehr, SSL-Offloading und Content Delivery Network (CDN) für öffentliche VMware Engine-Arbeitslasten |
|
NGFW für die private Kommunikation zwischen VMware Engine-Arbeitslasten und lokalen Rechenzentren oder anderen Cloud-Anbietern |
|
Zentralisierte Punkte für ausgehenden Traffic zum Internet für VMware Engine-Arbeitslasten |
|
In den folgenden Abschnitten werden diese Anwendungsfälle beschrieben und Sie erhalten einen Überblick über die Konfigurationsaufgaben zum Implementieren dieser Anwendungsfälle.
NGFW für öffentlich zugängliche Arbeitslasten
Dieser Anwendungsfall hat folgende Anforderungen:
- Eine Hybridarchitektur, die aus VMware Engine- und Compute Engine-Instanzen mit einem L4-Load-Balancer als gemeinsames Frontend besteht.
- Schutz für öffentliche VMware Engine-Arbeitslasten mithilfe einer IPS/IDS-, NGFW-, DPI- oder NAT-Lösung.
- Es werden mehr öffentliche IP-Adressen verwendet, als vom öffentlichen IP-Adressdienst von VMware Engine unterstützt werden.
Das folgende Diagramm zeigt die Ressourcen, die zur Bereitstellung einer NGFW für Ihre öffentlichen VMware Engine-Arbeitslasten erforderlich sind:
Abbildung 3 zeigt die Aufgaben, die Sie zum Einrichten und Konfigurieren der Ressourcen in dieser Architektur ausführen müssen. Im Folgenden finden Sie eine Beschreibung der einzelnen Aufgaben, einschließlich eines Links zu einem Dokument, das weitere Informationen und detaillierte Anleitungen enthält.
Stellen Sie einen externen Passthrough-Netzwerk-Load-Balancer im externen VPC-Netzwerk als öffentlichen Einstiegspunkt für eingehenden Traffic für VMware Engine-Arbeitslasten bereit.
- Erstellen Sie mehrere Weiterleitungsregeln, um mehrere VMware Engine-Arbeitslasten zu unterstützen.
- Konfigurieren Sie jede Weiterleitungsregel mit einer eindeutigen IP-Adresse und einer TCP- oder UDP-Portnummer.
- Konfigurieren Sie die Netzwerk-Appliances als Back-Ends für den Load-Balancer.
Konfigurieren Sie die Netzwerk-Appliances so, dass destination-NAT (DNAT) für die öffentliche IP-Adresse der Weiterleitungsregel an die internen IP-Adressen der VMs ausgeführt wird, die die öffentlichen Anwendungen in VMware Engine hosten.
- Die Netzwerk-Appliances müssen source-NAT (SNAT) für den Traffic über die Schnittstelle
nic2
ausführen, um für einen symmetrischen zurückgegebenen Pfad zu sorgen. - Die Netzwerk-Appliances müssen auch den Traffic für VMware Engine-Netzwerke über die
nic2
-Schnittstelle an das Gateway des Subnetzes (die erste IP-Adresse des Subnetzes) weiterleiten. - Damit die Systemdiagnosen bestanden werden, müssen die Netzwerk-Appliances sekundäre oder Loopback-Schnittstellen verwenden, um auf die IP-Adressen der Weiterleitungsregeln zu reagieren.
- Die Netzwerk-Appliances müssen source-NAT (SNAT) für den Traffic über die Schnittstelle
Richten Sie die Routentabelle des internen VPC-Netzwerks ein, um VMware Engine-Traffic an VPC-Netzwerk-Peering als nächsten Hop weiterzuleiten.
In dieser Konfiguration verwenden die VMware Engine-VMs den Internet-Gateway-Dienst von VMware Engine für ausgehenden Traffic an Internetressourcen. Eingehender Traffic wird jedoch von den Netzwerk-Appliances für die öffentlichen IP-Adressen verwaltet, die den VMs zugeordnet sind.
NGFW, DDoS-Abwehr, SSL-Offloading und CDN
Dieser Anwendungsfall hat folgende Anforderungen:
- Eine Hybridarchitektur, die aus VMware Engine- und Compute Engine-Instanzen mit einem L7-Load-Balancer als gemeinsames Frontend und URL-Zuordnung besteht, um Traffic an das entsprechende Backend weiterzuleiten
- Schutz für öffentliche VMware Engine-Arbeitslasten mithilfe einer IPS/IDS-, NGFW-, DPI- oder NAT-Lösung.
- L3—L7-DDoS-Abwehr für öffentliche VMware Engine-Arbeitslasten mit Google Cloud Armor
- SSL-Beendigung mit von Google verwalteten SSL-Zertifikaten oder SSL-Richtlinien zur Steuerung der SSL-Versionen und -Chiffren, die für HTTPS- oder SSL-Verbindungen zu öffentlichen VMware Engine-Arbeitslasten verwendet werden.
- Schnellere Netzwerkbereitstellung für VMware Engine-Arbeitslasten mithilfe von Cloud CDN zur Bereitstellung von Inhalten über Standorte in der Nähe der Nutzer.
Das folgende Diagramm zeigt die Ressourcen, die zur Bereitstellung von NGFW-Funktion, DDoS-Abwehr, SSL-Offloading und CDN für Ihre öffentlichen VMware Engine-Arbeitslasten erforderlich sind:
Abbildung 4 zeigt die Aufgaben, die Sie zum Einrichten und Konfigurieren der Ressourcen in dieser Architektur ausführen müssen. Im Folgenden finden Sie eine Beschreibung der einzelnen Aufgaben, einschließlich eines Links zu einem Dokument, das weitere Informationen und detaillierte Anleitungen enthält.
Stellen Sie einen globalen externen Anwendungs-Load-Balancer im externen VPC-Netzwerk als öffentlichen Einstiegspunkt für eingehenden Traffic für VMware Engine-Arbeitslasten bereit.
- Erstellen Sie mehrere Weiterleitungsregeln, um mehrere VMware Engine-Arbeitslasten zu unterstützen.
- Konfigurieren Sie jede Weiterleitungsregel mit einer eindeutigen öffentlichen IP-Adresse und richten Sie sie so ein, dass sie HTTP(S)-Traffic überwacht.
- Konfigurieren Sie die Netzwerk-Appliances als Back-Ends für den Load-Balancer.
Außerdem haben Sie folgende Möglichkeiten:
- Zum Schutz der Netzwerk-Appliances richten Sie Google Cloud Armor-Sicherheitsrichtlinien auf dem Load-Balancer ein.
- Richten Sie Cloud CDN für die MIGs ein, die das Netzwerk hosten, um Routing, Systemdiagnosen und Anycast-IP-Adressen für die Netzwerk-Appliances zu unterstützen, die als CDN-Back-Ends fungieren.
- Richten Sie auf dem Load-Balancer eine URL-Zuordnung ein, um Anfragen an verschiedene Back-Ends weiterzuleiten. Leiten Sie beispielsweise Anfragen an
/api
an Compute Engine-VMs, Anfragen an/images
an einen Cloud Storage-Bucket und Anfragen an/app
über die Netzwerk-Appliances an Ihre VMware Engine-VMs weiter.
Konfigurieren Sie jede Netzwerk-Appliance so, dass destination-NAT (DNAT) für die interne IP-Adresse ihrer
nic0
-Schnittstelle mit den internen IP-Adressen der VMs ausgeführt wird, die die öffentlichen Anwendungen in VMware Engine hosten:- Die Netzwerk-Appliances müssen SNAT für den Quell-Traffic über die
nic2
-Schnittstelle (interne IP-Adresse) ausführen, um für einen symmetrischen zurückgegebenen Pfad zu sorgen. - Darüber hinaus müssen die Netzwerkgeräte den Traffic für VMware Engine-Netzwerke über die
nic2
-Schnittstelle an das Subnetz-Gateway (die erste IP-Adresse des Subnetzes) weiterleiten.
Der DNAT-Schritt ist erforderlich, da der Load-Balancer ein Proxy-basierter Dienst ist, der in einem GFE-Dienst (Google Front End) implementiert ist. Je nach Standort Ihrer Clients können mehrere GFEs HTTP(S)-Verbindungen zu den internen IP-Adressen der Backend-Netzwerk-Appliances initiieren. Die Pakete der GFEs haben Quell-IP-Adressen aus demselben Bereich, der auch für die Systemdiagnoseprüfungen (35.191.0.0/16 und 130.211.0.0/22) verwendet wird, nicht die ursprünglichen Client-IP-Adressen. Der Load-Balancer hängt die Client-IP-Adressen über den Header
X-Forwarded-For
an.Damit die Systemdiagnosen bestanden werden, konfigurieren Sie die Netzwerk-Appliances so, dass sie auf die IP-Adresse der Weiterleitungsregel reagieren. Dazu verwenden Sie sekundäre oder Loopback-Schnittstellen.
- Die Netzwerk-Appliances müssen SNAT für den Quell-Traffic über die
Richten Sie die Routingtabelle des internen VPC-Netzwerks ein, um VMware Engine-Traffic an VPC-Netzwerk-Peering weiterzuleiten.
In dieser Konfiguration verwenden die VMware Engine-VMs den Internet-Gateway-Dienst von VMware Engine für ausgehenden Traffic ins Internet. Eingehender Traffic wird jedoch von den Netzwerk-Appliances für die öffentlichen IP-Adressen der VMs verwaltet.
NGFW für private Verbindungen
Dieser Anwendungsfall hat folgende Anforderungen:
- Eine Hybridarchitektur, die aus VMware Engine- und Compute Engine-Instanzen mit einem L4-Load-Balancer als gemeinsames Frontend besteht.
- Schutz für Ihre privaten VMware Engine-Arbeitslasten mithilfe einer IPS/IDS-, NGFWs-, DPI- oder NAT-Lösung.
- Cloud Interconnect oder Cloud VPN für die Verbindung mit dem lokalen Netzwerk.
Das folgende Diagramm zeigt die Ressourcen, die zur Bereitstellung einer NGFW für eine private Verbindung zwischen Ihren VMware Engine-Arbeitslasten und lokalen Netzwerken oder anderen Cloud-Anbietern erforderlich sind:
Abbildung 5 zeigt die Aufgaben, die Sie zum Einrichten und Konfigurieren der Ressourcen in dieser Architektur ausführen müssen. Im Folgenden finden Sie eine Beschreibung der einzelnen Aufgaben, einschließlich eines Links zu einem Dokument, das weitere Informationen und detaillierte Anleitungen enthält.
Stellen Sie einen internen Passthrough-Netzwerk-Load-Balancer im externen VPC-Netzwerk durch eine einzelne Weiterleitungsregel bereit, um den gesamten Traffic zu überwachen. Konfigurieren Sie die Netzwerk-Appliances als Back-Ends für den Load-Balancer.
Richten Sie die Routingtabelle des externen VPC-Netzwerks so ein, dass sie auf die Weiterleitungsregel als nächsten Hop für Traffic verweist, der für VMware Engine-Netzwerke bestimmt ist.
Konfigurieren Sie die Netzwerk-Appliances so:
- Leiten Sie den Traffic für VMware Engine-Netzwerke über die
nic2
-Schnittstelle an das Subnetz-Gateway (die erste IP-Adresse des Subnetzes) weiter. - Damit die Systemdiagnosen bestanden werden, konfigurieren Sie die Netzwerk-Appliances so, dass sie auf die IP-Adresse der Weiterleitungsregel reagieren. Dazu verwenden Sie sekundäre oder Loopback-Schnittstellen.
- Damit die Systemdiagnosen für die internen Load-Balancer erfolgreich sind, konfigurieren Sie mehrere virtuelle Routing-Domänen, um ein korrektes Routing zu gewährleisten. Dieser Schritt ist erforderlich, damit die Schnittstelle
nic2
Systemdiagnose-Traffic zurückgeben kann, der aus den öffentlichen Bereichen (35.191.0.0/16 und 130.211.0.0/22) stammt, während die Standardroute der Netzwerk-Appliances auf dienic0
-Schnittstelle verweist. Weitere Informationen zu IP-Bereichen für Systemdiagnosen von Load-Balancern finden Sie unter IP-Adressen und Firewallregeln prüfen.
- Leiten Sie den Traffic für VMware Engine-Netzwerke über die
Richten Sie die Routingtabelle des internen VPC-Netzwerks ein, um VMware Engine-Traffic an VPC-Netzwerk-Peering als nächsten Hop weiterzuleiten.
Für zurückgegebenen Traffic oder für Traffic, der von VMware Engine zu Remote-Netzwerken initiiert wird, konfigurieren Sie den internen Passthrough-Netzwerk-Load-Balancer als nächsten Hop, der über VPC-Netzwerk-Peering zum VPC-Netzwerk für privaten Dienstzugriff auf beworben wird.
Zentralisierter ausgehender Traffic zum Internet
Dieser Anwendungsfall hat folgende Anforderungen:
- Zentralisierte URL-Filterung, Logging und Traffic-Durchsetzung für ausgehenden Internettraffic.
- Benutzerdefinierter Schutz für VMware Engine-Arbeitslasten mithilfe von Netzwerk-Appliances aus Cloud Marketplace.
Das folgende Diagramm zeigt die Ressourcen, die zum Bereitstellen zentralisierter Punkte für ausgehenden Traffic von VMware Engine-Arbeitslasten zum Internet erforderlich sind:
Abbildung 6 zeigt die Aufgaben, die Sie zum Einrichten und Konfigurieren der Ressourcen in dieser Architektur ausführen müssen. Im Folgenden finden Sie eine Beschreibung der einzelnen Aufgaben, einschließlich eines Links zu einem Dokument, das weitere Informationen und detaillierte Anleitungen enthält.
Stellen Sie einen internen Passthrough-Netzwerk-Load-Balancer im internen VPC-Netzwerk als Einstiegspunkt für ausgehenden Traffic für VMware Engine-Arbeitslasten bereit.
- Erstellen Sie eine einzelne Weiterleitungsregel, um den gesamten Traffic zu überwachen.
- Konfigurieren Sie die Netzwerk-Appliances als Back-Ends für den Load-Balancer.
Konfigurieren Sie die Netzwerk-Appliances so, dass der Traffic von ihren öffentlichen IP-Adressen (
nic0
) übertragen wird. Damit die Systemdiagnosen bestanden werden, müssen die Netzwerk-Appliances auf die IP-Adresse der Weiterleitungsregel antworten. Dazu werden sekundäre oder Loopback-Schnittstellen verwendet.Konfigurieren Sie das interne VPC-Netzwerk so, dass eine Standardroute über VPC-Netzwerk-Peering an das VPC-Netzwerk für den privaten Dienstzugriff beworben wird, wobei die Weiterleitungsregel des internen Load-Balancers als nächster Hop gilt.
Wenn Sie ausgehenden Traffic über die Netzwerk-Appliances anstelle des Internet-Gateways zulassen möchten, gehen Sie genauso vor wie beim Aktivieren des Routings des Internet-Traffics über eine lokale Verbindung.
Nächste Schritte
- VMware Engine
- Best Practices für das VPC-Netzwerkdesign.
- VMware Engine-Netzwerke.
- Cloud Load Balancing
- Zentralisierte Netzwerk-Appliances in Google Cloud einrichten.
- Cloud Marketplace entdecken.