設計及導入雲端身分、資源階層和登陸區網路時,請參考「登陸區設計 Google Cloud」一文中的設計建議,以及 Google Cloud 「企業基礎藍圖」中涵蓋的安全最佳做法。請根據下列文件驗證所選設計:
此外,請考慮下列一般最佳做法:
選擇混合式或多雲端網路連線選項時,請考量 SLA、效能、安全性、成本、可靠性和頻寬等業務和應用程式需求。詳情請參閱選擇網路連線產品,以及使用 Google Cloud連線至其他雲端服務供應商的模式。
如果適當且符合資源階層設計需求,請在 Google Cloud 上使用共用虛擬私有雲,而非多個虛擬私有雲。詳情請參閱「決定是否建立多個虛擬私有雲網路」。
請遵循規劃帳戶和機構的最佳做法。
視情況在環境之間建立通用身分識別,讓系統能夠跨越環境界線以安全的方式進行驗證。
如要在混合設定中安全地向企業使用者公開應用程式,並選擇最符合您需求的做法,建議您按照建議方式整合 Google Cloud 身分管理系統。
- 另請參閱在混合環境中驗證員工使用者的模式。
設計內部部署和雲端環境時,請提早考量 IPv6 位址,並確認哪些服務支援 IPv6。詳情請參閱「An Introduction to IPv6 on Google Cloud」。這份摘要列出撰寫該網誌時支援的服務。
設計、部署及管理虛擬私有雲防火牆規則時,您可以:
- 如需嚴格控管防火牆規則套用至 VM 的方式,請使用以服務帳戶為基礎的篩選,而非以網路標記為基礎的篩選。
- 將多項防火牆規則組成群組時,請使用防火牆政策,以便一次更新所有規則。您也可以將政策設為階層式。如要瞭解階層式防火牆政策的規格和詳細資料,請參閱「階層式防火牆政策」。
- 如要根據特定地理位置或區域篩選外部 IPv4 和外部 IPv6 流量,請在防火牆政策中使用地理位置物件。
- 如要根據 Threat Intelligence 資料 (例如已知的惡意 IP 位址或公有雲 IP 位址範圍) 允許或封鎖流量,藉此保護網路安全,請使用防火牆政策規則的 Threat Intelligence 。舉例來說,如果您的服務只需要與特定公有雲通訊,您可以允許來自特定公有雲 IP 位址範圍的流量。詳情請參閱「防火牆規則最佳做法」。
您應一律採用多層安全防護方法設計雲端和網路安全,並考量額外的安全防護層,例如:
這些額外層級可協助您在網路和應用程式層級篩選、檢查及監控各種威脅,以利分析及防範。
決定要在混合式設定中執行 DNS 解析時,建議您為私人Google Cloud 環境和內部部署資源使用兩個權威 DNS 系統,這些資源是由內部部署環境中現有的 DNS 伺服器代管。詳情請參閱「選擇執行 DNS 解析的位置」。
請盡可能一律透過 API 閘道或負載平衡器,以 API 形式公開應用程式。建議您考慮使用 Apigee 等 API 平台。Apigee 可做為後端服務 API 的抽象化或外觀,並結合安全性功能、速率限制、配額和數據分析。
API 平台 (閘道或 Proxy) 和應用程式負載平衡器並非互斥。有時,同時使用 API 閘道和負載平衡器,可為大規模管理及分配 API 流量提供更穩固安全的解決方案。使用 Cloud Load Balancing API 閘道,可達成下列目標:
透過 Apigee 和 Cloud CDN 提供高效能 API,以:
- 減少延遲
- 在全球代管 API
在尖峰流量季節提高供應量
如要瞭解詳情,請觀看 YouTube 上的「使用 Apigee 和 Cloud CDN 提供高效能 API」。
實作進階流量管理。
使用 Cloud Armor 做為分散式阻斷服務防護、網路應用程式防火牆和網路安全防護服務,保護您的 API。
在多個區域中,有效管理閘道之間的負載平衡。詳情請觀看「Securing APIs and Implementing multi-region failover with PSC and Apigee」。
如要判斷使用哪個 Cloud Load Balancing 產品,請先判斷負載平衡器必須處理的流量類型。詳情請參閱「選擇負載平衡器」。
使用 Cloud Load Balancing 時,請盡可能運用其應用程式容量最佳化功能。這樣做有助於解決全球分散式應用程式中可能發生的容量問題。
- 如要深入瞭解延遲相關資訊,請參閱透過負載平衡改善應用程式延遲。
Cloud VPN 會加密環境之間的流量,但使用 Cloud Interconnect 時,您必須使用 MACsec 或採用 Cloud Interconnect 的高可用性 VPN,才能加密連線層的傳輸中流量。詳情請參閱「如何加密 Cloud Interconnect 上的流量?」。
- 您也可以考慮使用 TLS 進行服務層加密。詳情請參閱「決定如何遵守傳輸中資料加密適用的法規」。
如果 VPN 混合式連線的流量超過單一 VPN 通道可支援的量,可以考慮使用主動/主動高可用性 VPN 轉送選項。
- 如果長期使用混合雲或多雲端設定,且傳出資料量很大,請考慮使用 Cloud Interconnect 或 Cross-Cloud Interconnect。這些連線選項有助於提升連線效能,並可能減少符合特定條件的輸出資料傳輸費用。詳情請參閱 Cloud Interconnect 定價。
連線至 Google Cloud資源時,如果要在 Cloud Interconnect、直接對等互連或電信業者對等互連之間做選擇,建議使用 Cloud Interconnect,除非您需要存取 Google Workspace 應用程式。如需更多資訊,請比較直接對等互連與 Cloud Interconnect,以及電信業者對等互連與 Cloud Interconnect 的功能。
在現有的 RFC 1918 IP 位址空間中保留足夠的 IP 位址空間,以容納雲端託管系統。
如有技術限制,必須保留 IP 位址範圍,您可以採取下列做法:
將地端工作負載遷移至 Google Cloud時,使用混合子網路,即可沿用相同的內部 IP 位址。
使用自備 IP (BYOIP) 將您自己的公開 IPv4 位址提供給 Google,並用於Google Cloud 資源。
如果解決方案設計需要將Google Cloud型應用程式公開至網際網路,請考慮「提供面向網際網路的應用程式時的網路設定」一文中的設計建議。
在適用的情況下,請使用 Private Service Connect 端點,允許 Google Cloud、內部部署或另一個雲端環境中的工作負載透過混合式連線,以精細的方式使用內部 IP 位址,私下存取 Google API 或已發布的服務。
使用 Private Service Connect 時,您必須控管下列項目:
- 誰可以部署 Private Service Connect 資源。
- 消費者和生產者之間是否可以建立連線。
- 允許哪些網路流量存取這些連線。
詳情請參閱「Private Service Connect 安全性」。
如要在混合式和多雲端架構中實現穩固的雲端設定,請採取下列做法:
- 全面評估不同環境中各項應用程式的必要可靠性等級。這麼做有助於達成可用性和復原能力目標。
- 瞭解雲端服務供應商的可靠性功能和設計原則。詳情請參閱Google Cloud 基礎架構可靠性。
雲端網路可視性和監控功能對於維持可靠的通訊至關重要。Network Intelligence Center 提供單一控制台,方便您管理網路瀏覽權限、監控網路及排解相關問題。