Implementar o design de rede de zona de destino do Google Cloud

Este documento apresenta etapas e orientações para implementar o design de rede escolhido depois de consultar Decidir o design da rede para sua zona de destino do Google Cloud. Se você ainda não tiver feito isso, consulte Design da zona de destino no Google Cloud antes de escolher uma opção.

Estas instruções são destinadas a engenheiros, arquitetos e profissionais técnicos de rede envolvidos na criação do design de rede para a zona de destino da sua organização.

Opções de design de rede

Com base no design de rede escolhido, siga um destes procedimentos:

• Criar opção 1: rede VPC compartilhada para cada ambiente
• Criar opção 2: topologia hub-and-spoke com dispositivos centralizados
• Criar opção 3: topologia hub-and-spoke sem dispositivos
• Criar opção 4: expor serviços em um modelo de produtor-consumidor com o Private Service Connect

Criar opção 1: rede VPC compartilhada para cada ambiente

Se você escolheu criar a rede VPC compartilhada para cada ambiente em "Decidir o design da rede para sua zona de destino do Google Cloud", siga este procedimento.

As etapas a seguir criam uma única instância de uma zona de destino. Se você precisar de mais de uma zona de destino, talvez uma para desenvolvimento e outra para produção, repita as etapas para cada uma delas.

Limitar o acesso externo usando uma política da organização

Recomendamos limitar o acesso direto à Internet apenas aos recursos que precisam dela. Recursos sem endereços externos ainda podem acessar muitos serviços e APIs do Google pelo Acesso privado do Google. O Acesso privado do Google é ativado no nível da sub-rede e permite que os recursos interajam com os principais serviços do Google, isolando-os da Internet pública.

Para usabilidade, os usuários podem criar recursos em todos os projetos usando a funcionalidade padrão do Google Cloud, desde que eles tenham as permissões corretas do IAM. Para melhor segurança, recomendamos restringir as permissões padrão para tipos de recursos que podem causar acesso indesejado à Internet. Em seguida, autorize projetos específicos a somente permitir a criação desses recursos. Use as instruções em Como criar e gerenciar políticas da organização para definir as restrições a seguir.

Restringir encaminhamento de protocolo com base no tipo de endereço IP

O encaminhamento de protocolo estabelece um recurso de regra de encaminhamento com um endereço IP externo e permite direcionar o tráfego para uma VM.

A opção de Restringir encaminhamento de protocolo com base no tipo de endereço IP impede a criação de regras de encaminhamento com endereços IP externos para toda a organização. Em projetos autorizados a usar regras de encaminhamento externas, é possível modificar a restrição no nível da pasta ou para envolvidos no projeto.

Defina os valores a seguir para configurar essa restrição:

• Aplica-se a: personalizar
• Aplicação da política: substituir
• Valores da política: personalizados
• Tipo de política: negar
• Valor personalizado: IS:EXTERNAL

Definir os IPs externos de instâncias de VM permitidas

Por padrão, as instâncias de VM individuais podem adquirir endereços IP externos, o que permite a conectividade de saída e de entrada com a Internet.

Aplicar a restrição Definir IPs externos permitidos para instâncias de VM impede o uso de endereços IP externos com instâncias de VM. Para cargas de trabalho que exigem endereços IP externos em instâncias de VM individuais, modifique a restrição no nível da pasta ou para envolvidos no projeto para especificar as instâncias de VM individuais. Ou substitua a restrição dos projetos relevantes.

• Aplica-se a: personalizar
• Aplicação da política: substituir
• Valores da política: negar todos

Desativar o uso do IPv6 externo da VPC

A restrição Desativar uso de IPv6 externo da VPC, quando definida como True, impede a configuração de sub-redes VPC com endereços IPv6 externos para instâncias de VM.

• Aplica-se a: personalizar
• Aplicação: ativada

Desativar criação de rede padrão

Quando um novo projeto é criado, uma VPC padrão é criada automaticamente. Isso é útil para experimentos rápidos que não exigem configuração ou integração de rede específica com um ambiente de rede corporativa maior.

Configure a restrição Pular a criação de rede padrão para desativar a criação da VPC padrão em novos projetos. É possível criar manualmente a rede padrão em um projeto, se necessário.

• Aplica-se a: personalizar
• Aplicação: ativada

Elaborar regras de firewall

Com as regras de firewall, é possível permitir ou negar o tráfego de entrada ou saída das VMs com base em uma configuração definida por você. As políticas de firewall hierárquicas são implementadas nos níveis da organização e da pasta, e as políticas de firewall da rede são implementadas no nível da rede VPC na hierarquia de recursos. Juntas, elas oferecem um recurso importante para proteger as cargas de trabalho.

Independentemente de onde as políticas de firewall forem aplicadas, use as diretrizes a seguir ao elaborar e avaliar suas regras de firewall:

• Implemente os princípios de privilégio mínimo, também chamados de microssegmentação. Bloqueie todo o tráfego por padrão e permita apenas o tráfego específico de que você precisa. Isso inclui limitar as regras apenas aos protocolos e portas necessários para cada carga de trabalho.
• Ative a geração de registros de regras de firewall para ter visibilidade do comportamento do firewall e usar o Firewall Insights.
• Defina uma metodologia de numeração para alocar prioridades de regras de firewall. Por exemplo, uma prática recomendada é reservar um intervalo de números baixos em cada política para as regras necessárias durante a resposta a incidentes. Também recomendamos que você priorize regras mais específicas do que regras mais gerais para garantir que as regras específicas não fiquem ocultas pelas regras gerais. O exemplo a seguir mostra uma possível abordagem para prioridades de regras de firewall:

Intervalo de prioridade de regras de firewall	Objetivo
0-999	Reservado para resposta a incidentes
1000-1999	Tráfego sempre bloqueado
2000-1999999999	Regras específicas da carga de trabalho
2000000000-2100000000	Regras genéricas
2100000001-2147483643	Reservado

Configurar políticas de firewall hierárquicas

Com as políticas de firewall hierárquicas, você cria e aplica uma política de firewall consistente em toda a organização. Para exemplos de políticas de firewall hierárquicas, consulte Exemplos de políticas de firewall hierárquicas.

Defina políticas de firewall hierárquicas para implementar os controles de acesso à rede a seguir:

• Identity-Aware Proxy (IAP) para encaminhamento de TCP. O IAP para encaminhamento de TCP é permitido por uma política de segurança que admite o tráfego de entrada do intervalo de IP 35.235.240.0/20 para portas TCP 22 e 3389.
• Verificações de integridade do Cloud Load Balancing. Os intervalos conhecidos usados para verificações de integridade são permitidos.
  • Para a maioria das instâncias do Cloud Load Balancing, incluindo balanceamento de carga TCP/UDP interno, HTTP(S) interno, de proxy TCP externo, proxy SSL externo e HTTP(S), é definida uma política de segurança que permite o tráfego de entrada proveniente dos intervalos de IP 35.191.0.0/16 e 130.211.0.0/22 para portas 80 e 443.
  • Para o balanceamento de carga de rede, é definida uma política de segurança que admite verificações de integridade legadas permitindo o tráfego de entrada proveniente de intervalos de IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 e para portas 80 e 443.

Configurar o ambiente de VPC compartilhada

Antes de implementar um design de VPC compartilhada, decida como compartilhar sub-redes com projetos de serviço. Anexe um projeto de serviço a um projeto host. Para determinar quais sub-redes estão disponíveis para o projeto de serviço, atribua permissões do IAM ao projeto host ou a sub-redes individuais. Por exemplo, é possível dedicar uma sub-rede diferente para cada projeto de serviço ou compartilhar as mesmas sub-redes entre os projetos de serviço.

1. Crie um novo projeto para a VPC compartilhada. Mais tarde neste processo, o projeto se tornará o host e conterá as redes e os recursos de rede a serem compartilhados com os projetos de serviço.
2. Ative a API Compute Engine para o projeto host.
3. Configure a VPC compartilhada para o projeto.
4. Crie a rede VPC de modo personalizado para o projeto host.
5. Crie sub-redes nas regiões em que você planeja implantar cargas de trabalho. Em cada sub-rede, ative o Acesso privado do Google para permitir que as instâncias de VM sem endereços IP externos acessem os serviços do Google.

Configurar o Cloud NAT

Siga estas etapas se as cargas de trabalho em regiões específicas exigirem acesso de saída à Internet, por exemplo, para fazer o download de pacotes ou atualizações de software.

1. Crie um gateway do Cloud NAT nas regiões em que as cargas de trabalho exigem acesso de saída à Internet. É possível personalizar a configuração do Cloud NAT para permitir apenas a conectividade de saída por sub-redes específicas, se necessário.
2. Ao menos, ative a geração de registros do Cloud NAT para que o gateway registre ERRORS_ONLY. Para incluir registros de traduções realizadas pelo Cloud NAT, configure cada gateway para registrar ALL.

Configurar conectividade híbrida

É possível usar a Interconexão dedicada, a Interconexão por parceiro ou o Cloud VPN para fornecer conectividade híbrida à sua zona de destino. As etapas a seguir criam os recursos iniciais de conectividade híbrida necessários para essa opção de design:

1. Se você estiver usando a Interconexão dedicada, faça isto. Se você estiver usando a Interconexão por parceiro ou o Cloud VPN, pule estas etapas.
   1. Crie um projeto separado para as portas de interconexão física.
   2. Ative a API Compute Engine para o projeto.
   3. Crie conexões da Interconexão dedicada.
2. Faça o seguinte para cada região em que você estiver encerrando a conectividade híbrida na rede VPC:
   1. Crie dois anexos da VLAN dedicados ou por parceiros, um para cada zona de disponibilidade de borda. Como parte desse processo, você seleciona os Cloud Routers e cria sessões do BGP.
   2. Configure os roteadores de rede de peering (no local ou em outra nuvem).

Configurar projetos de carga de trabalho

Crie um projeto de serviço separado para cada carga de trabalho:

1. Crie um novo projeto para funcionar como um dos projetos de serviço da VPC compartilhada.
2. Ative a API Compute Engine para o projeto de serviço.
3. Anexar o projeto ao projeto host.
4. Configure o acesso a todas as sub-redes no projeto host ou a algumas sub-redes no projeto host.

Configurar observabilidade

O Network Intelligence Center oferece uma maneira coesa de monitorar, visualizar e resolver problemas no seu ambiente de rede na nuvem. Use-a para garantir que o design funcione com a intent desejada.

As configurações a seguir são compatíveis com a análise ativada de geração de registros e métricas.

• É necessário ativar a API Network Management antes de executar os testes de conectividade. A ativação da API é necessária para usar a API diretamente, a Google Cloud CLI ou o console do Google Cloud.
• É necessário ativar a API Firewall Insights para poder realizar qualquer tarefa usando o Firewall Insights.

Próximas etapas

A configuração inicial desta opção de design de rede foi concluída. Agora, é possível repetir essas etapas para configurar outra instância do ambiente de zona de destino, como um ambiente de preparo ou produção, ou continuar para Decidir a segurança da sua zona de destino do Google Cloud.

Criar opção 2: topologia hub-and-spoke com dispositivos centralizados

Se você escolheu criar a topologia hub-and-spoke com dispositivos centralizados em "Decidir o design da rede para sua zona de destino do Google Cloud", siga este procedimento.

As etapas a seguir criam uma única instância de uma zona de destino. Se você precisar de mais de uma zona de destino, talvez uma para desenvolvimento e outra para produção, repita as etapas para cada uma delas.

Limitar o acesso externo usando uma política da organização

Recomendamos limitar o acesso direto à Internet apenas aos recursos que precisam dela. Recursos sem endereços externos ainda podem acessar muitos serviços e APIs do Google pelo Acesso privado do Google. O Acesso privado do Google é ativado no nível da sub-rede e permite que os recursos interajam com os principais serviços do Google, isolando-os da Internet pública.

Para usabilidade, os usuários podem criar recursos em todos os projetos usando a funcionalidade padrão do Google Cloud, desde que eles tenham as permissões corretas do IAM. Para melhor segurança, recomendamos restringir as permissões padrão para tipos de recursos que podem causar acesso indesejado à Internet. Em seguida, autorize projetos específicos a somente permitir a criação desses recursos. Use as instruções em Como criar e gerenciar políticas da organização para definir as restrições a seguir.

Restringir encaminhamento de protocolo com base no tipo de endereço IP

O encaminhamento de protocolo estabelece um recurso de regra de encaminhamento com um endereço IP externo e permite direcionar o tráfego para uma VM.

A opção de Restringir encaminhamento de protocolo com base no tipo de endereço IP impede a criação de regras de encaminhamento com endereços IP externos para toda a organização. Em projetos autorizados a usar regras de encaminhamento externas, é possível modificar a restrição no nível da pasta ou para envolvidos no projeto.

Defina os valores a seguir para configurar essa restrição:

• Aplica-se a: personalizar
• Aplicação da política: substituir
• Valores da política: personalizados
• Tipo de política: negar
• Valor personalizado: IS:EXTERNAL

Definir os IPs externos de instâncias de VM permitidas

Por padrão, as instâncias de VM individuais podem adquirir endereços IP externos, o que permite a conectividade de saída e de entrada com a Internet.

Aplicar a restrição Definir IPs externos permitidos para instâncias de VM impede o uso de endereços IP externos com instâncias de VM. Para cargas de trabalho que exigem endereços IP externos em instâncias de VM individuais, modifique a restrição no nível da pasta ou para envolvidos no projeto para especificar as instâncias de VM individuais. Ou substitua a restrição dos projetos relevantes.

• Aplica-se a: personalizar
• Aplicação da política: substituir
• Valores da política: negar todos

Desativar o uso do IPv6 externo da VPC

A restrição Desativar uso de IPv6 externo da VPC, quando definida como True, impede a configuração de sub-redes VPC com endereços IPv6 externos para instâncias de VM.

• Aplica-se a: personalizar
• Aplicação: ativada

Desativar criação de rede padrão

Quando um novo projeto é criado, uma VPC padrão é criada automaticamente. Isso é útil para experimentos rápidos que não exigem configuração ou integração de rede específica com um ambiente de rede corporativa maior.

Configure a restrição Pular a criação de rede padrão para desativar a criação da VPC padrão em novos projetos. É possível criar manualmente a rede padrão em um projeto, se necessário.

• Aplica-se a: personalizar
• Aplicação: ativada

Elaborar regras de firewall

Com as regras de firewall, é possível permitir ou negar o tráfego de entrada ou saída das VMs com base em uma configuração definida por você. As políticas de firewall hierárquicas são implementadas nos níveis da organização e da pasta, e as políticas de firewall da rede são implementadas no nível da rede VPC na hierarquia de recursos. Juntas, elas oferecem um recurso importante para proteger as cargas de trabalho.

Independentemente de onde as políticas de firewall forem aplicadas, use as diretrizes a seguir ao elaborar e avaliar suas regras de firewall:

• Implemente os princípios de privilégio mínimo, também chamados de microssegmentação. Bloqueie todo o tráfego por padrão e permita apenas o tráfego específico de que você precisa. Isso inclui limitar as regras apenas aos protocolos e portas necessários para cada carga de trabalho.
• Ative a geração de registros de regras de firewall para ter visibilidade do comportamento do firewall e usar o Firewall Insights.
• Defina uma metodologia de numeração para alocar prioridades de regras de firewall. Por exemplo, uma prática recomendada é reservar um intervalo de números baixos em cada política para as regras necessárias durante a resposta a incidentes. Também recomendamos que você priorize regras mais específicas do que regras mais gerais para garantir que as regras específicas não fiquem ocultas pelas regras gerais. O exemplo a seguir mostra uma possível abordagem para prioridades de regras de firewall:

Intervalo de prioridade de regras de firewall	Objetivo
0-999	Reservado para resposta a incidentes
1000-1999	Tráfego sempre bloqueado
2000-1999999999	Regras específicas da carga de trabalho
2000000000-2100000000	Regras genéricas
2100000001-2147483643	Reservado

Configurar políticas de firewall hierárquicas

Com as políticas de firewall hierárquicas, você cria e aplica uma política de firewall consistente em toda a organização. Para exemplos de políticas de firewall hierárquicas, consulte Exemplos de políticas de firewall hierárquicas.

Defina políticas de firewall hierárquicas para implementar os controles de acesso à rede a seguir:

• Identity-Aware Proxy (IAP) para encaminhamento de TCP. O IAP para encaminhamento de TCP é permitido por uma política de segurança que admite o tráfego de entrada do intervalo de IP 35.235.240.0/20 para portas TCP 22 e 3389.
• Verificações de integridade do Cloud Load Balancing. Os intervalos conhecidos usados para verificações de integridade são permitidos.
  • Para a maioria das instâncias do Cloud Load Balancing, incluindo balanceamento de carga TCP/UDP interno, HTTP(S) interno, de proxy TCP externo, proxy SSL externo e HTTP(S), é definida uma política de segurança que permite o tráfego de entrada proveniente dos intervalos de IP 35.191.0.0/16 e 130.211.0.0/22 para portas 80 e 443.
  • Para o balanceamento de carga de rede, é definida uma política de segurança que admite verificações de integridade legadas permitindo o tráfego de entrada proveniente de intervalos de IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 e para portas 80 e 443.

Configurar o ambiente de VPC

As redes VPC de trânsito e hub fornecem os recursos de rede para ativar a conectividade entre redes VPC spoke de carga de trabalho e redes locais ou de várias nuvens.

1. Crie um novo projeto para redes VPC de trânsito e hub. As duas redes VPC fazem parte do mesmo projeto para permitir a conectividade pelos dispositivos de rede virtual.
2. Ative a API Compute Engine para o projeto.
3. Crie a rede VPC de modo personalizado de trânsito.
4. Na rede VPC de trânsito, crie uma sub-rede nas regiões em que você planeja implantar os dispositivos de rede virtual.
5. Crie a rede VPC de modo personalizado de hub.
6. Na rede VPC hub, crie uma sub-rede nas regiões em que você planeja implantar os dispositivos de rede virtual.
7. Configure políticas de firewall de rede globais ou regionais para permitir o tráfego de entrada e saída nos dispositivos de rede virtual.
8. Crie um grupo gerenciado de instâncias para os dispositivos de rede virtual.
9. Configure os recursos internos de balanceamento de carga TCP/UDP para a VPC de transporte público. Esse balanceador de carga é usado para rotear o tráfego da VPC de trânsito para a VPC hub pelos dispositivos de rede virtual.
10. Configure os recursos internos de balanceamento de carga TCP/UDP para a VPC hub. Esse balanceador de carga é usado para rotear o tráfego da VPC hub para a VPC de trânsito pelos dispositivos de rede virtual.
11. Configure o Private Service Connect para APIs do Google na VPC hub.
12. Modifique as rotas da VPC para enviar todo o tráfego pelos dispositivos de rede virtual:
    1. Exclua a rota 0.0.0.0/0 com o próximo salto default-internet-gateway da VPC hub.
    2. Configure uma nova rota com o destino 0.0.0.0/0 e um próximo salto da regra de encaminhamento para o balanceador de carga na VPC hub.

Configurar o Cloud NAT

Siga estas etapas se as cargas de trabalho em regiões específicas exigirem acesso de saída à Internet, por exemplo, para fazer o download de pacotes ou atualizações de software.

1. Crie um gateway do Cloud NAT nas regiões em que as cargas de trabalho exigem acesso de saída à Internet. É possível personalizar a configuração do Cloud NAT para permitir apenas a conectividade de saída por sub-redes específicas, se necessário.
2. Ao menos, ative a geração de registros do Cloud NAT para que o gateway registre ERRORS_ONLY. Para incluir registros de traduções realizadas pelo Cloud NAT, configure cada gateway para registrar ALL.

Configurar conectividade híbrida

É possível usar a Interconexão dedicada, a Interconexão por parceiro ou o Cloud VPN para fornecer conectividade híbrida à sua zona de destino. As etapas a seguir criam os recursos iniciais de conectividade híbrida necessários para essa opção de design:

1. Se você estiver usando a Interconexão dedicada, faça isto. Se você estiver usando a Interconexão por parceiro ou o Cloud VPN, pule estas etapas.
   1. Crie um projeto separado para as portas de interconexão física.
   2. Ative a API Compute Engine para o projeto.
   3. Crie conexões da Interconexão dedicada.
2. Faça o seguinte para cada região em que você estiver encerrando a conectividade híbrida na rede VPC:
   1. Crie dois anexos da VLAN dedicados ou por parceiros, um para cada zona de disponibilidade de borda. Como parte desse processo, você seleciona os Cloud Routers e cria sessões do BGP.
   2. Configure os roteadores de rede de peering (no local ou em outra nuvem).
   3. Configure divulgações de rota personalizadas nos Cloud Routers para os intervalos de sub-redes nas VPCs de hub e de carga de trabalho.

Configurar projetos de carga de trabalho

Crie uma VPC spoke separada para cada carga de trabalho:

1. Crie um novo projeto para hospedar sua carga de trabalho.
2. Ative a API Compute Engine para o projeto.
3. Configure o peering de rede VPC entre a VPC spoke de carga de trabalho e a VPC hub com estas configurações:
   • Ative a exportação de rota personalizada na VPC hub.
   • Ative a importação de rota personalizada na VPC spoke de carga de trabalho.
4. Crie sub-redes nas regiões em que você planeja implantar cargas de trabalho. Para cada sub-rede, ative o Acesso privado do Google para permitir que as instâncias de VM com apenas endereços IP internos acessem os serviços do Google.
5. Configure o Private Service Connect para APIs do Google.
6. Para rotear todo o tráfego pelos dispositivos de rede virtual na VPC hub, exclua a rota 0.0.0.0/0 com default-internet-gateway de próximo salto da VPC spoke de carga de trabalho.
7. Configure políticas de firewall de rede globais ou regionais para permitir tráfego de entrada e saída na sua carga de trabalho.

Configurar observabilidade

O Network Intelligence Center oferece uma maneira coesa de monitorar, visualizar e resolver problemas no seu ambiente de rede na nuvem. Use-a para garantir que o design funcione com a intent desejada.

As configurações a seguir são compatíveis com a análise ativada de geração de registros e métricas.

• É necessário ativar a API Network Management antes de executar os testes de conectividade. A ativação da API é necessária para usar a API diretamente, a Google Cloud CLI ou o console do Google Cloud.
• É necessário ativar a API Firewall Insights para poder realizar qualquer tarefa usando o Firewall Insights.

Próximas etapas

A configuração inicial desta opção de design de rede foi concluída. Agora, é possível repetir essas etapas para configurar outra instância do ambiente de zona de destino, como um ambiente de preparo ou produção, ou continuar para Decidir a segurança da sua zona de destino do Google Cloud.

Criar opção 3: topologia hub-and-spoke sem dispositivos

Se você escolheu criar a topologia hub-and-spoke sem dispositivos em "Decidir o design da rede para sua zona de destino do Google Cloud", siga este procedimento.

As etapas a seguir criam uma única instância de uma zona de destino. Se você precisar de mais de uma zona de destino, talvez uma para desenvolvimento e outra para produção, repita as etapas para cada uma delas.

Limitar o acesso externo usando uma política da organização

Recomendamos limitar o acesso direto à Internet apenas aos recursos que precisam dela. Recursos sem endereços externos ainda podem acessar muitos serviços e APIs do Google pelo Acesso privado do Google. O Acesso privado do Google é ativado no nível da sub-rede e permite que os recursos interajam com os principais serviços do Google, isolando-os da Internet pública.

Para usabilidade, os usuários podem criar recursos em todos os projetos usando a funcionalidade padrão do Google Cloud, desde que eles tenham as permissões corretas do IAM. Para melhor segurança, recomendamos restringir as permissões padrão para tipos de recursos que podem causar acesso indesejado à Internet. Em seguida, autorize projetos específicos a somente permitir a criação desses recursos. Use as instruções em Como criar e gerenciar políticas da organização para definir as restrições a seguir.

Restringir encaminhamento de protocolo com base no tipo de endereço IP

O encaminhamento de protocolo estabelece um recurso de regra de encaminhamento com um endereço IP externo e permite direcionar o tráfego para uma VM.

A opção de Restringir encaminhamento de protocolo com base no tipo de endereço IP impede a criação de regras de encaminhamento com endereços IP externos para toda a organização. Em projetos autorizados a usar regras de encaminhamento externas, é possível modificar a restrição no nível da pasta ou para envolvidos no projeto.

Defina os valores a seguir para configurar essa restrição:

• Aplica-se a: personalizar
• Aplicação da política: substituir
• Valores da política: personalizados
• Tipo de política: negar
• Valor personalizado: IS:EXTERNAL

Definir os IPs externos de instâncias de VM permitidas

Por padrão, as instâncias de VM individuais podem adquirir endereços IP externos, o que permite a conectividade de saída e de entrada com a Internet.

Aplicar a restrição Definir IPs externos permitidos para instâncias de VM impede o uso de endereços IP externos com instâncias de VM. Para cargas de trabalho que exigem endereços IP externos em instâncias de VM individuais, modifique a restrição no nível da pasta ou para envolvidos no projeto para especificar as instâncias de VM individuais. Ou substitua a restrição dos projetos relevantes.

• Aplica-se a: personalizar
• Aplicação da política: substituir
• Valores da política: negar todos

Desativar o uso do IPv6 externo da VPC

A restrição Desativar uso de IPv6 externo da VPC, quando definida como True, impede a configuração de sub-redes VPC com endereços IPv6 externos para instâncias de VM.

• Aplica-se a: personalizar
• Aplicação: ativada

Desativar criação de rede padrão

Quando um novo projeto é criado, uma VPC padrão é criada automaticamente. Isso é útil para experimentos rápidos que não exigem configuração ou integração de rede específica com um ambiente de rede corporativa maior.

Configure a restrição Pular a criação de rede padrão para desativar a criação da VPC padrão em novos projetos. É possível criar manualmente a rede padrão em um projeto, se necessário.

• Aplica-se a: personalizar
• Aplicação: ativada

Elaborar regras de firewall

Com as regras de firewall, é possível permitir ou negar o tráfego de entrada ou saída das VMs com base em uma configuração definida por você. As políticas de firewall hierárquicas são implementadas nos níveis da organização e da pasta, e as políticas de firewall da rede são implementadas no nível da rede VPC na hierarquia de recursos. Juntas, elas oferecem um recurso importante para proteger as cargas de trabalho.

Independentemente de onde as políticas de firewall forem aplicadas, use as diretrizes a seguir ao elaborar e avaliar suas regras de firewall:

• Implemente os princípios de privilégio mínimo, também chamados de microssegmentação. Bloqueie todo o tráfego por padrão e permita apenas o tráfego específico de que você precisa. Isso inclui limitar as regras apenas aos protocolos e portas necessários para cada carga de trabalho.
• Ative a geração de registros de regras de firewall para ter visibilidade do comportamento do firewall e usar o Firewall Insights.
• Defina uma metodologia de numeração para alocar prioridades de regras de firewall. Por exemplo, uma prática recomendada é reservar um intervalo de números baixos em cada política para as regras necessárias durante a resposta a incidentes. Também recomendamos que você priorize regras mais específicas do que regras mais gerais para garantir que as regras específicas não fiquem ocultas pelas regras gerais. O exemplo a seguir mostra uma possível abordagem para prioridades de regras de firewall:

Intervalo de prioridade de regras de firewall	Objetivo
0-999	Reservado para resposta a incidentes
1000-1999	Tráfego sempre bloqueado
2000-1999999999	Regras específicas da carga de trabalho
2000000000-2100000000	Regras genéricas
2100000001-2147483643	Reservado

Configurar políticas de firewall hierárquicas

Com as políticas de firewall hierárquicas, você cria e aplica uma política de firewall consistente em toda a organização. Para exemplos de políticas de firewall hierárquicas, consulte Exemplos de políticas de firewall hierárquicas.

Defina políticas de firewall hierárquicas para implementar os controles de acesso à rede a seguir:

• Identity-Aware Proxy (IAP) para encaminhamento de TCP. O IAP para encaminhamento de TCP é permitido por uma política de segurança que admite o tráfego de entrada do intervalo de IP 35.235.240.0/20 para portas TCP 22 e 3389.
• Verificações de integridade do Cloud Load Balancing. Os intervalos conhecidos usados para verificações de integridade são permitidos.
  • Para a maioria das instâncias do Cloud Load Balancing, incluindo balanceamento de carga TCP/UDP interno, HTTP(S) interno, de proxy TCP externo, proxy SSL externo e HTTP(S), é definida uma política de segurança que permite o tráfego de entrada proveniente dos intervalos de IP 35.191.0.0/16 e 130.211.0.0/22 para portas 80 e 443.
  • Para o balanceamento de carga de rede, é definida uma política de segurança que admite verificações de integridade legadas permitindo o tráfego de entrada proveniente de intervalos de IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 e para portas 80 e 443.

Configurar o ambiente de VPC hub

A rede VPC hub fornece os recursos de rede para ativar a conectividade entre redes VPC spoke de carga de trabalho e redes locais ou de várias nuvens.

1. Crie um novo projeto para a rede VPC hub.
2. Ative a API Compute Engine para o projeto.
3. Crie a rede VPC de modo personalizado de hub.
4. Configure o Private Service Connect para APIs do Google na VPC hub.

Configurar conectividade híbrida

É possível usar a Interconexão dedicada, a Interconexão por parceiro ou o Cloud VPN para fornecer conectividade híbrida à sua zona de destino. As etapas a seguir criam os recursos iniciais de conectividade híbrida necessários para essa opção de design:

1. Se você estiver usando a Interconexão dedicada, faça isto. Se você estiver usando a Interconexão por parceiro ou o Cloud VPN, pule estas etapas.
   1. Crie um projeto separado para as portas de interconexão física.
   2. Ative a API Compute Engine para o projeto.
   3. Crie conexões da Interconexão dedicada.
2. Faça o seguinte para cada região em que você estiver encerrando a conectividade híbrida na rede VPC:
   1. Crie dois anexos da VLAN dedicados ou por parceiros, um para cada zona de disponibilidade de borda. Como parte desse processo, você seleciona os Cloud Routers e cria sessões do BGP.
   2. Configure os roteadores de rede de peering (no local ou em outra nuvem).
   3. Configure divulgações de rota personalizadas nos Cloud Routers para os intervalos de sub-redes nas VPCs de hub e de carga de trabalho.

Configurar projetos de carga de trabalho

Crie uma VPC spoke separada para cada carga de trabalho:

1. Crie um novo projeto para hospedar sua carga de trabalho.
2. Ative a API Compute Engine para o projeto.
3. Configure o peering de rede VPC entre a VPC spoke de carga de trabalho e a VPC hub com estas configurações:
   • Ative a exportação de rota personalizada na VPC hub.
   • Ative a importação de rota personalizada na VPC spoke de carga de trabalho.
4. Crie sub-redes nas regiões em que você planeja implantar cargas de trabalho. Para cada sub-rede, ative o Acesso privado do Google para permitir que as instâncias de VM com apenas endereços IP internos acessem os serviços do Google.
5. Configure o Private Service Connect para APIs do Google.

Configurar o Cloud NAT

Siga estas etapas se as cargas de trabalho em regiões específicas exigirem acesso de saída à Internet, por exemplo, para fazer o download de pacotes ou atualizações de software.

1. Crie um gateway do Cloud NAT nas regiões em que as cargas de trabalho exigem acesso de saída à Internet. É possível personalizar a configuração do Cloud NAT para permitir apenas a conectividade de saída por sub-redes específicas, se necessário.
2. Ao menos, ative a geração de registros do Cloud NAT para que o gateway registre ERRORS_ONLY. Para incluir registros de traduções realizadas pelo Cloud NAT, configure cada gateway para registrar ALL.

Configurar observabilidade

O Network Intelligence Center oferece uma maneira coesa de monitorar, visualizar e resolver problemas no seu ambiente de rede na nuvem. Use-a para garantir que o design funcione com a intent desejada.

As configurações a seguir são compatíveis com a análise ativada de geração de registros e métricas.

• É necessário ativar a API Network Management antes de executar os testes de conectividade. A ativação da API é necessária para usar a API diretamente, a Google Cloud CLI ou o console do Google Cloud.
• É necessário ativar a API Firewall Insights para poder realizar qualquer tarefa usando o Firewall Insights.

Próximas etapas

A configuração inicial desta opção de design de rede foi concluída. Agora, é possível repetir essas etapas para configurar outra instância do ambiente de zona de destino, como um ambiente de preparo ou produção, ou continuar para Decidir a segurança da sua zona de destino do Google Cloud.

Criar opção 4: expor serviços em um modelo de produtor-consumidor com o Private Service Connect

Se você escolheu expor serviços em um modelo de produtor-consumidor com o Private Service Connect para sua zona de destino, conforme descrito em "Decidir o design de rede da sua zona de destino do Google Cloud", siga este procedimento.

As etapas a seguir criam uma única instância de uma zona de destino. Se você precisar de mais de uma zona de destino, talvez uma para desenvolvimento e outra para produção, repita as etapas para cada uma delas.

Limitar o acesso externo usando uma política da organização

Recomendamos limitar o acesso direto à Internet apenas aos recursos que precisam dela. Recursos sem endereços externos ainda podem acessar muitos serviços e APIs do Google pelo Acesso privado do Google. O Acesso privado do Google é ativado no nível da sub-rede e permite que os recursos interajam com os principais serviços do Google, isolando-os da Internet pública.

Para usabilidade, os usuários podem criar recursos em todos os projetos usando a funcionalidade padrão do Google Cloud, desde que eles tenham as permissões corretas do IAM. Para melhor segurança, recomendamos restringir as permissões padrão para tipos de recursos que podem causar acesso indesejado à Internet. Em seguida, autorize projetos específicos a somente permitir a criação desses recursos. Use as instruções em Como criar e gerenciar políticas da organização para definir as restrições a seguir.

Restringir encaminhamento de protocolo com base no tipo de endereço IP

O encaminhamento de protocolo estabelece um recurso de regra de encaminhamento com um endereço IP externo e permite direcionar o tráfego para uma VM.

A opção de Restringir encaminhamento de protocolo com base no tipo de endereço IP impede a criação de regras de encaminhamento com endereços IP externos para toda a organização. Em projetos autorizados a usar regras de encaminhamento externas, é possível modificar a restrição no nível da pasta ou para envolvidos no projeto.

Defina os valores a seguir para configurar essa restrição:

• Aplica-se a: personalizar
• Aplicação da política: substituir
• Valores da política: personalizados
• Tipo de política: negar
• Valor personalizado: IS:EXTERNAL

Definir os IPs externos de instâncias de VM permitidas

Por padrão, as instâncias de VM individuais podem adquirir endereços IP externos, o que permite a conectividade de saída e de entrada com a Internet.

Aplicar a restrição Definir IPs externos permitidos para instâncias de VM impede o uso de endereços IP externos com instâncias de VM. Para cargas de trabalho que exigem endereços IP externos em instâncias de VM individuais, modifique a restrição no nível da pasta ou para envolvidos no projeto para especificar as instâncias de VM individuais. Ou substitua a restrição dos projetos relevantes.

• Aplica-se a: personalizar
• Aplicação da política: substituir
• Valores da política: negar todos

Desativar o uso do IPv6 externo da VPC

A restrição Desativar uso de IPv6 externo da VPC, quando definida como True, impede a configuração de sub-redes VPC com endereços IPv6 externos para instâncias de VM.

• Aplica-se a: personalizar
• Aplicação: ativada

Desativar criação de rede padrão

Quando um novo projeto é criado, uma VPC padrão é criada automaticamente. Isso é útil para experimentos rápidos que não exigem configuração ou integração de rede específica com um ambiente de rede corporativa maior.

Configure a restrição Pular a criação de rede padrão para desativar a criação da VPC padrão em novos projetos. É possível criar manualmente a rede padrão em um projeto, se necessário.

• Aplica-se a: personalizar
• Aplicação: ativada

Elaborar regras de firewall

Com as regras de firewall, é possível permitir ou negar o tráfego de entrada ou saída das VMs com base em uma configuração definida por você. As políticas de firewall hierárquicas são implementadas nos níveis da organização e da pasta, e as políticas de firewall da rede são implementadas no nível da rede VPC na hierarquia de recursos. Juntas, elas oferecem um recurso importante para proteger as cargas de trabalho.

Independentemente de onde as políticas de firewall forem aplicadas, use as diretrizes a seguir ao elaborar e avaliar suas regras de firewall:

• Implemente os princípios de privilégio mínimo, também chamados de microssegmentação. Bloqueie todo o tráfego por padrão e permita apenas o tráfego específico de que você precisa. Isso inclui limitar as regras apenas aos protocolos e portas necessários para cada carga de trabalho.
• Ative a geração de registros de regras de firewall para ter visibilidade do comportamento do firewall e usar o Firewall Insights.
• Defina uma metodologia de numeração para alocar prioridades de regras de firewall. Por exemplo, uma prática recomendada é reservar um intervalo de números baixos em cada política para as regras necessárias durante a resposta a incidentes. Também recomendamos que você priorize regras mais específicas do que regras mais gerais para garantir que as regras específicas não fiquem ocultas pelas regras gerais. O exemplo a seguir mostra uma possível abordagem para prioridades de regras de firewall:

Intervalo de prioridade de regras de firewall	Objetivo
0-999	Reservado para resposta a incidentes
1000-1999	Tráfego sempre bloqueado
2000-1999999999	Regras específicas da carga de trabalho
2000000000-2100000000	Regras genéricas
2100000001-2147483643	Reservado

Configurar políticas de firewall hierárquicas

Com as políticas de firewall hierárquicas, você cria e aplica uma política de firewall consistente em toda a organização. Para exemplos de políticas de firewall hierárquicas, consulte Exemplos de políticas de firewall hierárquicas.

Defina políticas de firewall hierárquicas para implementar os controles de acesso à rede a seguir:

• Identity-Aware Proxy (IAP) para encaminhamento de TCP. O IAP para encaminhamento de TCP é permitido por uma política de segurança que admite o tráfego de entrada do intervalo de IP 35.235.240.0/20 para portas TCP 22 e 3389.
• Verificações de integridade do Cloud Load Balancing. Os intervalos conhecidos usados para verificações de integridade são permitidos.
  • Para a maioria das instâncias do Cloud Load Balancing, incluindo balanceamento de carga TCP/UDP interno, HTTP(S) interno, de proxy TCP externo, proxy SSL externo e HTTP(S), é definida uma política de segurança que permite o tráfego de entrada proveniente dos intervalos de IP 35.191.0.0/16 e 130.211.0.0/22 para portas 80 e 443.
  • Para o balanceamento de carga de rede, é definida uma política de segurança que admite verificações de integridade legadas permitindo o tráfego de entrada proveniente de intervalos de IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 e para portas 80 e 443.

Configurar o ambiente de VPC

A rede VPC de trânsito fornece os recursos de rede para ativar a conectividade entre redes VPC spoke de carga de trabalho e redes locais ou de várias nuvens.

1. Crie um novo projeto para a rede VPC de trânsito.
2. Ative a API Compute Engine para o projeto.
3. Crie a rede VPC de modo personalizado de trânsito.
4. Crie uma sub-rede do Private Service Connect em cada região em que você planeja publicar serviços em execução na VPC hub ou no ambiente local. Considere usar o dimensionamento de sub-rede do Private Service Connect ao decidir seu plano de endereçamento IP.
5. Para cada serviço no local que você quiser expor às cargas de trabalho em execução no Google Cloud, crie um balanceador de carga de proxy TCP ou HTTP(S) interno e exponha os serviços usando o Private Service Connect.
6. Configure o Private Service Connect para APIs do Google na VPC de trânsito.

Configurar conectividade híbrida

É possível usar a Interconexão dedicada, a Interconexão por parceiro ou o Cloud VPN para fornecer conectividade híbrida à sua zona de destino. As etapas a seguir criam os recursos iniciais de conectividade híbrida necessários para essa opção de design:

1. Se você estiver usando a Interconexão dedicada, faça isto. Se você estiver usando a Interconexão por parceiro ou o Cloud VPN, pule estas etapas.
   1. Crie um projeto separado para as portas de interconexão física.
   2. Ative a API Compute Engine para o projeto.
   3. Crie conexões da Interconexão dedicada.
2. Faça o seguinte para cada região em que você estiver encerrando a conectividade híbrida na rede VPC:
   1. Crie dois anexos da VLAN dedicados ou por parceiros, um para cada zona de disponibilidade de borda. Como parte desse processo, você seleciona os Cloud Routers e cria sessões do BGP.
   2. Configure os roteadores de rede de peering (no local ou em outra nuvem).

Configurar projetos de carga de trabalho

Crie uma VPC separada para cada carga de trabalho:

1. Crie um novo projeto para hospedar sua carga de trabalho.
2. Ative a API Compute Engine para o projeto.
3. Crie uma rede VPC de modo personalizado.
4. Crie sub-redes nas regiões em que você planeja implantar cargas de trabalho. Para cada sub-rede, ative o Acesso privado do Google para permitir que as instâncias de VM com apenas endereços IP internos acessem os serviços do Google.
5. Configure o Private Service Connect para APIs do Google.
6. Para cada carga de trabalho consumida em uma VPC diferente ou no seu ambiente local, crie um endpoint de consumidor do Private Service Connect.
7. Para cada carga de trabalho que você está produzindo em uma VPC diferente ou no seu ambiente local, crie um balanceador de carga interno e um anexo para o serviço. Considere usar o dimensionamento de sub-rede do Private Service Connect ao decidir seu plano de endereçamento IP.
8. Se for possível acessar o serviço pelo ambiente local, crie um endpoint de consumidor do Private Service Connect na VPC de trânsito.

Configurar o Cloud NAT

Siga estas etapas se as cargas de trabalho em regiões específicas exigirem acesso de saída à Internet, por exemplo, para fazer o download de pacotes ou atualizações de software.

1. Crie um gateway do Cloud NAT nas regiões em que as cargas de trabalho exigem acesso de saída à Internet. É possível personalizar a configuração do Cloud NAT para permitir apenas a conectividade de saída por sub-redes específicas, se necessário.
2. Ao menos, ative a geração de registros do Cloud NAT para que o gateway registre ERRORS_ONLY. Para incluir registros de traduções realizadas pelo Cloud NAT, configure cada gateway para registrar ALL.

Configurar observabilidade

O Network Intelligence Center oferece uma maneira coesa de monitorar, visualizar e resolver problemas no seu ambiente de rede na nuvem. Use-a para garantir que o design funcione com a intent desejada.

As configurações a seguir são compatíveis com a análise ativada de geração de registros e métricas.

• É necessário ativar a API Network Management antes de executar os testes de conectividade. A ativação da API é necessária para usar a API diretamente, a Google Cloud CLI ou o console do Google Cloud.
• É necessário ativar a API Firewall Insights para poder realizar qualquer tarefa usando o Firewall Insights.

Próximas etapas

A configuração inicial desta opção de design de rede foi concluída. Agora, é possível repetir essas etapas para configurar outra instância do ambiente de zona de destino, como um ambiente de preparo ou produção, ou continuar para Decidir a segurança da sua zona de destino do Google Cloud.

A seguir

• Decida a segurança da sua zona de destino do Google Cloud (próximo documento desta série).
• Leia Práticas recomendadas para o design de redes VPC.
• Saiba como usar dispositivos de rede centralizados no Google Cloud.
• Leia mais sobre o Private Service Connect.