Netzwerkdesign der Google Cloud-Landing-Zone implementieren

Last reviewed 2023-09-11 UTC

Dieses Dokument enthält Schritte und Anleitungen zur Implementierung des ausgewählten Netzwerkdesigns, nachdem Sie Netzwerkdesign für Ihre Google Cloud-Landing-Zone festlegen gelesen haben. Falls Sie es noch nicht getan haben, lesen Sie die Informationen unter Design der Landing Zone in Google Cloud, bevor Sie eine Option auswählen.

Diese Anleitung richtet sich an Netzwerkentwickler, Architekten und technische Fachkräfte, die an der Erstellung des Netzwerkdesigns für die Landing Zone Ihres Unternehmens beteiligt sind.

Optionen für das Netzwerkdesign

Führen Sie je nach ausgewähltem Netzwerkdesign einen der folgenden Schritte aus:

Erstellungsoption 1: Freigegebenes VPC-Netzwerk für jede Umgebung

Wenn Sie sich unter „Netzwerkdesign für die Google Cloud-Landing-Zone festlegen“ entschieden haben, das freigegebene VPC-Netzwerk für jede Umgebung zu erstellen, folgen Sie diesem Verfahren.

In den folgenden Schritten wird eine einzelne Instanz einer Landing Zone erstellt. Wenn Sie mehr als eine Landing Zone benötigen, möglicherweise eine für die Entwicklung und eine für die Produktion, wiederholen Sie die Schritte für jede Landing Zone.

Externen Zugriff mithilfe einer Organisationsrichtlinie beschränken

Wir empfehlen, den direkten Zugriff auf das Internet genau auf die Ressourcen zu beschränken, die ihn benötigen. Ressourcen ohne externe Adressen können über den privaten Google-Zugriff dennoch auf viele Google APIs und Google-Dienste zugreifen. Der private Google-Zugriff ist auf Subnetzebene aktiviert und ermöglicht die Interaktion von Ressourcen mit wichtigen Google-Diensten, während die Ressourcen gleichzeitig vom öffentlichen Internet isoliert sind.

Aus Gründen der Nutzerfreundlichkeit können Nutzer mit der Standardfunktion von Google Cloud in allen Projekten Ressourcen erstellen, sofern sie die richtigen IAM-Berechtigungen haben. Zur Verbesserung der Sicherheit empfehlen wir, die Standardberechtigungen für Ressourcentypen einzuschränken, die zu einem unbeabsichtigten Internetzugriff führen können. Sie können dann bestimmte Projekte autorisieren, nur das Erstellen dieser Ressourcen zu ermöglichen. Folgen Sie der Anleitung unter Organisationsrichtlinien erstellen und verwalten, um folgende Einschränkungen festzulegen.

Protokollweiterleitung anhand des Typs von IP-Adresse einschränken

Durch die Protokollweiterleitung wird eine Weiterleitungsregelressource mit einer externen IP-Adresse eingerichtet und Ihnen wird ermöglicht, den Traffic an eine VM weiterzuleiten.

Die Einschränkung Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken verhindert die Erstellung von Weiterleitungsregeln mit externen IP-Adressen für die gesamte Organisation. Bei Projekten, die zur Verwendung externer Weiterleitungsregeln autorisiert sind, können Sie die Einschränkung auf Ordner- oder Projektebene ändern.

Legen Sie die folgenden Werte fest, um diese Einschränkung zu konfigurieren:

  • Gilt für: Anpassen
  • Richtlinienerzwingung: Ersetzen
  • Richtlinienwerte: Benutzerdefiniert
  • Richtlinientyp: Ablehnen
  • Benutzerdefinierter Wert: IS:EXTERNAL

Zulässige externe IPs für VM-Instanzen definieren

Standardmäßig können einzelne VM-Instanzen externe IP-Adressen übernehmen, was sowohl ausgehende als auch eingehende Verbindungen mit dem Internet zulässt.

Durch das Erzwingen der Einschränkung Zulässige externe IPs für VM-Instanzen definieren wird die Verwendung externer IP-Adressen mit VM-Instanzen verhindert. Ändern Sie bei Arbeitslasten, die externe IP-Adressen auf einzelnen VM-Instanzen erfordern, die Einschränkung auf Ordner- oder Projektebene, um die einzelnen VM-Instanzen anzugeben. Alternativ können Sie die Einschränkung für die relevanten Projekte überschreiben.

  • Gilt für: Anpassen
  • Richtlinienerzwingung: Ersetzen
  • Richtlinienwerte: Alle ablehnen

Externe VPC-IPv6-Nutzung deaktivieren

Wenn die Einschränkung Externe IPv6-Nutzung deaktivieren auf True gesetzt ist, wird die Konfiguration von VPC-Subnetzen mit externen IPv6-Adressen für VM-Instanzen verhindert.

  • Gilt für: Anpassen
  • Erzwingung: Ein

Erstellen des Standardnetzwerks deaktivieren

Wenn ein neues Projekt erstellt wird, wird automatisch eine Standard-VPC erstellt. Dies ist für schnelle Tests nützlich, für die keine bestimmte Netzwerkkonfiguration oder -integration in eine größere Unternehmensnetzwerkumgebung erforderlich ist.

Konfigurieren Sie die Einschränkung Erstellen des Standardnetzwerks überspringen, um das Erstellen der Standard-VPC für neue Projekte zu deaktivieren. Bei Bedarf können Sie das Standardnetzwerk manuell in einem Projekt erstellen.

  • Gilt für: Anpassen
  • Erzwingung: Ein

Firewallregeln entwerfen

Mit Firewallregeln können Sie den Traffic zu oder von Ihren VMs basierend auf einer von Ihnen definierten Konfiguration zulassen oder ablehnen. Hierarchische Firewallrichtlinien werden auf Organisations- und Ordnerebene und Netzwerk-Firewallrichtlinien auf VPC-Netzwerkebene in der Ressourcenhierarchie implementiert. Zusammen bieten sie eine wichtige Unterstützung für den Schutz Ihrer Arbeitslasten.

Verwenden Sie beim Entwerfen und Bewerten Ihrer Firewallregeln unabhängig davon, wo die Firewallrichtlinien angewendet werden, die folgenden Richtlinien:

  • Implementieren Sie die Prinzipien der geringsten Berechtigung (auch als Mikrosegmentierung bezeichnet). Blockieren Sie standardmäßig den gesamten Traffic und lassen Sie nur den erforderlichen Traffic zu. Dazu gehört auch, die Regeln auf die Protokolle und Ports zu beschränken, die Sie für jede Arbeitslast benötigen.
  • Aktivieren Sie das Logging von Firewallregeln, um Einblick in das Firewallverhalten zu erhalten und Firewall Insights zu verwenden.
  • Definieren Sie eine Nummerierungsmethode für die Zuweisung von Prioritäten für Firewallregeln. Als Best Practice gilt beispielsweise, dass Sie in jeder Richtlinie einen Bereich von niedrigen Zahlen für Regeln reservieren, die für die Reaktion auf Vorfälle erforderlich sind. Außerdem sollten Sie spezifischere Regeln stärker als allgemeinere Regeln priorisieren, um sicherzustellen, dass die spezifischen Regeln nicht von den allgemeinen Regeln überdeckt werden. Das folgende Beispiel zeigt einen möglichen Ansatz für Prioritäten von Firewallregeln:

Prioritätsbereich der Firewallregeln

Zweck

0–999

Für die Reaktion auf Vorfälle reserviert

1000–1999

Permanent blockierter Traffic

2000–1999999999

Arbeitslastspezifische Regeln

2000000000–2100000000

Catchall-Regeln

2100000001–2147483643

Reserviert

Hierarchische Firewallrichtlinien konfigurieren

Mit hierarchischen Firewallrichtlinien können Sie eine konsistente Firewallrichtlinie für Ihre gesamte Organisation erstellen und erzwingen. Beispiele für die Verwendung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.

Definieren Sie hierarchische Firewallrichtlinien, um die folgenden Netzwerkzugriffssteuerungen zu implementieren:

  • Identity-Aware Proxy (IAP) für die TCP-Weiterleitung: IAP für die TCP-Weiterleitung ist über eine Sicherheitsrichtlinie zulässig, die eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 für die TCP-Ports 22 und 3389 zulässt.
  • Systemdiagnosen für Cloud Load Balancing: Die bekannten Bereiche, die für Systemdiagnosen verwendet werden, sind zulässig.
    • Für die meisten Cloud Load Balancing-Instanzen (einschließlich Internal TCP/UDP Load Balancing, Internal HTTP(S) Load Balancing, External TCP Proxy Load Balancing, External SSL Proxy Load Balancing und HTTP(S) Load Balancing) wird eine Sicherheitsrichtlinie definiert, die eingehenden Traffic aus den IP-Bereichen 35.191.0.0/16 und 130.211.0.0/22 und für die Ports 80 und 443 erlaubt.
    • Für das Netzwerk-Load-Balancing ist eine Sicherheitsrichtlinie definiert, die Legacy-Systemdiagnosen aktiviert, indem eingehender Traffic aus den IP-Bereichen 35.191.0.0/16, 209.85.152.0/22 und 209.85.204.0/22 für Ports 80 und 443 zugelassen wird.

Freigegebene VPC-Umgebung konfigurieren

Entscheiden Sie vor der Implementierung eines freigegebenen VPC-Designs, wie Sie Subnetze für Dienstprojekte freigeben möchten. Sie hängen ein Dienstprojekt an ein Hostprojekt an. Um zu bestimmen, welche Subnetze für das Dienstprojekt verfügbar sind, weisen Sie dem Hostprojekt oder einzelnen Subnetzen IAM-Berechtigungen zu. Sie können beispielsweise jedem Dienstprojekt ein anderes Subnetz zuweisen oder dieselben Subnetze für mehrere Dienstprojekte freigeben.

  1. Erstellen Sie ein neues Projekt für die freigegebene VPC. Später in diesem Prozess wird dieses Projekt zum Hostprojekt und enthält die Netzwerke und Netzwerkressourcen, die für die Dienstprojekte freigegeben werden sollen.
  2. Aktivieren Sie die Compute Engine API für das Hostprojekt.
  3. Konfigurieren Sie eine freigegebene VPC für das Projekt.
  4. Erstellen Sie im Hostprojekt das VPC-Netzwerk im benutzerdefinierten Modus.
  5. Erstellen Sie Subnetze in den Regionen, in denen Sie Arbeitslasten bereitstellen möchten. Aktivieren Sie für jedes Subnetz den privaten Google-Zugriff, damit VM-Instanzen ohne externe IP-Adressen Google-Dienste erreichen können.

Cloud NAT konfigurieren

Führen Sie die folgenden Schritte aus, wenn die Arbeitslasten in bestimmten Regionen ausgehenden Internetzugriff benötigen, z. B. um Softwarepakete oder -updates herunterzuladen.

  1. Erstellen Sie ein Cloud NAT-Gateway in den Regionen, in denen Arbeitslasten ausgehenden Internetzugriff benötigen. Sie können die Cloud NAT-Konfiguration so anpassen, dass bei Bedarf nur ausgehende Verbindungen von bestimmten Subnetzen zugelassen werden.
  2. Aktivieren Sie mindestens Cloud NAT-Logging für das Gateway, um ERRORS_ONLY zu protokollieren. Wenn Sie Logs für Übersetzungen einschließen möchten, die von Cloud NAT ausgeführt werden, konfigurieren Sie jedes Gateway so, dass ALL protokolliert wird.

Hybridkonnektivität konfigurieren

Sie können Dedicated Interconnect, Partner Interconnect oder Cloud VPN verwenden, um Hybridkonnektivität zu Ihrer Landing Zone bereitzustellen. Mit den folgenden Schritten werden die anfänglichen Hybridkonnektivitätsressourcen erstellt, die für diese Designoption erforderlich sind:

  1. Wenn Sie Dedicated Interconnect verwenden, gehen Sie wie im Folgenden beschrieben vor. Wenn Sie Partner Interconnect oder Cloud VPN verwenden, können Sie diese Schritte überspringen.
    1. Erstellen Sie ein separates Projekt für die physischen Interconnect-Ports.
    2. Aktivieren Sie die Compute Engine API für das Projekt.
    3. Erstellen Sie Dedicated Interconnect-Verbindungen.
  2. Führen Sie für jede Region, in der Sie die Hybridkonnektivität im VPC-Netzwerk beenden, die folgenden Schritte aus:
    1. Erstellen Sie zwei Dedicated- oder Partner-VLAN-Anhänge, und zwar einen für jede Edge-Verfügbarkeitszone. Im Rahmen dieses Vorgangs wählen Sie Cloud Router aus und erstellen BGP-Sitzungen.
    2. Konfigurieren Sie die Peer-Netzwerkrouter (lokal oder andere Cloud).

Arbeitslastprojekte konfigurieren

Erstellen Sie ein separates Dienstprojekt für jede Arbeitslast:

  1. Erstellen Sie ein neues Projekt, das als eines der Dienstprojekte für die freigegebene VPC dient.
  2. Aktivieren Sie die Compute Engine API für das Dienstprojekt.
  3. Hängen Sie das Projekt an das Hostprojekt an.
  4. Konfigurieren Sie den Zugriff auf alle Subnetze im Hostprojekt oder auf einige Subnetze im Hostprojekt.

Beobachtbarkeit konfigurieren

Network Intelligence Center hilft dabei, Ihre Cloud-Netzwerkumgebung einheitlich zu überwachen, zu debuggen und zu visualisieren. Verwenden Sie es, um sicherzustellen, dass Ihr Design mit dem gewünschten Intent funktioniert.

Die folgenden Konfigurationen unterstützen die Analyse von Logging und Messwerten.

  • Sie müssen die Network Management API aktivieren, bevor Sie Konnektivitätstests ausführen können. Das Aktivieren der API ist erforderlich, um die API direkt, die Google Cloud CLI oder die Google Cloud Console verwenden zu können.
  • Sie müssen die Firewall Insights API aktivieren, bevor Sie Aufgaben mit Firewall Insights ausführen können.

Weitere Informationen

Die Erstkonfiguration für diese Netzwerkdesignoption ist jetzt abgeschlossen. Sie können diese Schritte jetzt wiederholen, um eine zusätzliche Instanz der Landing-Zone-Umgebung zu konfigurieren, z. B. eine Staging- oder Produktionsumgebung, oder mit Sicherheit für Ihre Google Cloud-Landing-Zone festlegen fortfahren.

Erstellungsoption 2: Hub-and-Spoke-Topologie mit zentralisierten Appliances

Wenn Sie sich unter „Netzwerkdesign für die Google Cloud-Landing-Zone festlegen“ entschieden haben, die Hub-and-Spoke-Topologie mit zentralisierten Appliances zu erstellen, folgen Sie diesem Verfahren.

In den folgenden Schritten wird eine einzelne Instanz einer Landing Zone erstellt. Wenn Sie mehr als eine Landing Zone benötigen, möglicherweise eine für die Entwicklung und eine für die Produktion, wiederholen Sie die Schritte für jede Landing Zone.

Externen Zugriff mithilfe einer Organisationsrichtlinie beschränken

Wir empfehlen, den direkten Zugriff auf das Internet genau auf die Ressourcen zu beschränken, die ihn benötigen. Ressourcen ohne externe Adressen können über den privaten Google-Zugriff dennoch auf viele Google APIs und Google-Dienste zugreifen. Der private Google-Zugriff ist auf Subnetzebene aktiviert und ermöglicht die Interaktion von Ressourcen mit wichtigen Google-Diensten, während die Ressourcen gleichzeitig vom öffentlichen Internet isoliert sind.

Aus Gründen der Nutzerfreundlichkeit können Nutzer mit der Standardfunktion von Google Cloud in allen Projekten Ressourcen erstellen, sofern sie die richtigen IAM-Berechtigungen haben. Zur Verbesserung der Sicherheit empfehlen wir, die Standardberechtigungen für Ressourcentypen einzuschränken, die zu einem unbeabsichtigten Internetzugriff führen können. Sie können dann bestimmte Projekte autorisieren, nur das Erstellen dieser Ressourcen zu ermöglichen. Folgen Sie der Anleitung unter Organisationsrichtlinien erstellen und verwalten, um folgende Einschränkungen festzulegen.

Protokollweiterleitung anhand des Typs von IP-Adresse einschränken

Durch die Protokollweiterleitung wird eine Weiterleitungsregelressource mit einer externen IP-Adresse eingerichtet und Ihnen wird ermöglicht, den Traffic an eine VM weiterzuleiten.

Die Einschränkung Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken verhindert die Erstellung von Weiterleitungsregeln mit externen IP-Adressen für die gesamte Organisation. Bei Projekten, die zur Verwendung externer Weiterleitungsregeln autorisiert sind, können Sie die Einschränkung auf Ordner- oder Projektebene ändern.

Legen Sie die folgenden Werte fest, um diese Einschränkung zu konfigurieren:

  • Gilt für: Anpassen
  • Richtlinienerzwingung: Ersetzen
  • Richtlinienwerte: Benutzerdefiniert
  • Richtlinientyp: Ablehnen
  • Benutzerdefinierter Wert: IS:EXTERNAL

Zulässige externe IPs für VM-Instanzen definieren

Standardmäßig können einzelne VM-Instanzen externe IP-Adressen übernehmen, was sowohl ausgehende als auch eingehende Verbindungen mit dem Internet zulässt.

Durch das Erzwingen der Einschränkung Zulässige externe IPs für VM-Instanzen definieren wird die Verwendung externer IP-Adressen mit VM-Instanzen verhindert. Ändern Sie bei Arbeitslasten, die externe IP-Adressen auf einzelnen VM-Instanzen erfordern, die Einschränkung auf Ordner- oder Projektebene, um die einzelnen VM-Instanzen anzugeben. Alternativ können Sie die Einschränkung für die relevanten Projekte überschreiben.

  • Gilt für: Anpassen
  • Richtlinienerzwingung: Ersetzen
  • Richtlinienwerte: Alle ablehnen

Externe VPC-IPv6-Nutzung deaktivieren

Wenn die Einschränkung Externe IPv6-Nutzung deaktivieren auf True gesetzt ist, wird die Konfiguration von VPC-Subnetzen mit externen IPv6-Adressen für VM-Instanzen verhindert.

  • Gilt für: Anpassen
  • Erzwingung: Ein

Erstellen des Standardnetzwerks deaktivieren

Wenn ein neues Projekt erstellt wird, wird automatisch eine Standard-VPC erstellt. Dies ist für schnelle Tests nützlich, für die keine bestimmte Netzwerkkonfiguration oder -integration in eine größere Unternehmensnetzwerkumgebung erforderlich ist.

Konfigurieren Sie die Einschränkung Erstellen des Standardnetzwerks überspringen, um das Erstellen der Standard-VPC für neue Projekte zu deaktivieren. Bei Bedarf können Sie das Standardnetzwerk manuell in einem Projekt erstellen.

  • Gilt für: Anpassen
  • Erzwingung: Ein

Firewallregeln entwerfen

Mit Firewallregeln können Sie den Traffic zu oder von Ihren VMs basierend auf einer von Ihnen definierten Konfiguration zulassen oder ablehnen. Hierarchische Firewallrichtlinien werden auf Organisations- und Ordnerebene und Netzwerk-Firewallrichtlinien auf VPC-Netzwerkebene in der Ressourcenhierarchie implementiert. Zusammen bieten sie eine wichtige Unterstützung für den Schutz Ihrer Arbeitslasten.

Verwenden Sie beim Entwerfen und Bewerten Ihrer Firewallregeln unabhängig davon, wo die Firewallrichtlinien angewendet werden, die folgenden Richtlinien:

  • Implementieren Sie die Prinzipien der geringsten Berechtigung (auch als Mikrosegmentierung bezeichnet). Blockieren Sie standardmäßig den gesamten Traffic und lassen Sie nur den erforderlichen Traffic zu. Dazu gehört auch, die Regeln auf die Protokolle und Ports zu beschränken, die Sie für jede Arbeitslast benötigen.
  • Aktivieren Sie das Logging von Firewallregeln, um Einblick in das Firewallverhalten zu erhalten und Firewall Insights zu verwenden.
  • Definieren Sie eine Nummerierungsmethode für die Zuweisung von Prioritäten für Firewallregeln. Als Best Practice gilt beispielsweise, dass Sie in jeder Richtlinie einen Bereich von niedrigen Zahlen für Regeln reservieren, die für die Reaktion auf Vorfälle erforderlich sind. Außerdem sollten Sie spezifischere Regeln stärker als allgemeinere Regeln priorisieren, um sicherzustellen, dass die spezifischen Regeln nicht von den allgemeinen Regeln überdeckt werden. Das folgende Beispiel zeigt einen möglichen Ansatz für Prioritäten von Firewallregeln:

Prioritätsbereich der Firewallregeln

Zweck

0–999

Für die Reaktion auf Vorfälle reserviert

1000–1999

Permanent blockierter Traffic

2000–1999999999

Arbeitslastspezifische Regeln

2000000000–2100000000

Catchall-Regeln

2100000001–2147483643

Reserviert

Hierarchische Firewallrichtlinien konfigurieren

Mit hierarchischen Firewallrichtlinien können Sie eine konsistente Firewallrichtlinie für Ihre gesamte Organisation erstellen und erzwingen. Beispiele für die Verwendung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.

Definieren Sie hierarchische Firewallrichtlinien, um die folgenden Netzwerkzugriffssteuerungen zu implementieren:

  • Identity-Aware Proxy (IAP) für die TCP-Weiterleitung: IAP für die TCP-Weiterleitung ist über eine Sicherheitsrichtlinie zulässig, die eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 für die TCP-Ports 22 und 3389 zulässt.
  • Systemdiagnosen für Cloud Load Balancing: Die bekannten Bereiche, die für Systemdiagnosen verwendet werden, sind zulässig.
    • Für die meisten Cloud Load Balancing-Instanzen (einschließlich Internal TCP/UDP Load Balancing, Internal HTTP(S) Load Balancing, External TCP Proxy Load Balancing, External SSL Proxy Load Balancing und HTTP(S) Load Balancing) wird eine Sicherheitsrichtlinie definiert, die eingehenden Traffic aus den IP-Bereichen 35.191.0.0/16 und 130.211.0.0/22 und für die Ports 80 und 443 erlaubt.
    • Für das Netzwerk-Load-Balancing ist eine Sicherheitsrichtlinie definiert, die Legacy-Systemdiagnosen aktiviert, indem eingehender Traffic aus den IP-Bereichen 35.191.0.0/16, 209.85.152.0/22 und 209.85.204.0/22 für Ports 80 und 443 zugelassen wird.

VPC-Umgebung konfigurieren

Die Transit- und Hub-VPC-Netzwerke stellen die Netzwerkressourcen bereit, um eine Verbindung zwischen Spoke-VPC-Netzwerken von Arbeitslasten und lokalen oder Multi-Cloud-Netzwerken zu ermöglichen.

  1. Erstellen Sie ein neues Projekt für die Transit- und Hub-VPC-Netzwerke. Beide VPC-Netzwerke sind Teil desselben Projekts, um die Konnektivität über die virtuellen Netzwerk-Appliances zu unterstützen.
  2. Aktivieren Sie die Compute Engine API für das Projekt.
  3. Erstellen Sie das benutzerdefinierte Transit-VPC-Netzwerk im benutzerdefinierten Modus.
  4. Erstellen Sie im Transit-VPC-Netzwerk ein Subnetz in den Regionen, in denen Sie die virtuellen Netzwerk-Appliances bereitstellen möchten.
  5. Erstellen Sie Hub-VPC-Netzwerk im benutzerdefinierten Modus.
  6. Erstellen Sie im Hub-VPC-Netzwerk ein Subnetz in den Regionen, in denen Sie die virtuellen Netzwerk-Appliances bereitstellen möchten.
  7. Konfigurieren Sie globale oder regionale Netzwerk-Firewallrichtlinien, um eingehenden und ausgehenden Traffic für die virtuellen Netzwerk-Appliances zuzulassen.
  8. Erstellen Sie eine verwaltete Instanzgruppe für die virtuellen Netzwerk-Appliances.
  9. Konfigurieren Sie die internen TCP/UDP-Load-Balancing-Ressourcen für die Transit-VPC. Dieser Load-Balancer wird verwendet, um Traffic über die virtuellen Netzwerk-Appliances von der Transit-VPC zur Hub-VPC weiterzuleiten.
  10. Konfigurieren Sie die internen TCP/UDP-Load-Balancing-Ressourcen für die Hub-VPC. Dieser Load-Balancer wird verwendet, um Traffic über die virtuellen Netzwerk-Appliances von der Hub-VPC zur Transit-VPC weiterzuleiten.
  11. Konfigurieren Sie Private Service Connect für Google APIs für die Hub-VPC.
  12. Ändern Sie VPC-Routen, um den gesamten Traffic über die virtuellen Netzwerk-Appliances zu senden:
    1. Löschen Sie die 0.0.0.0/0-Route mit dem default-internet-gateway als nächstem Hop aus der Hub-VPC.
    2. Konfigurieren Sie eine neue Route mit dem Ziel 0.0.0.0/0 und einem nächsten Hop der Weiterleitungsregel für den Load-Balancer in der Hub-VPC.

Cloud NAT konfigurieren

Führen Sie die folgenden Schritte aus, wenn die Arbeitslasten in bestimmten Regionen ausgehenden Internetzugriff benötigen, z. B. um Softwarepakete oder -updates herunterzuladen.

  1. Erstellen Sie ein Cloud NAT-Gateway in den Regionen, in denen Arbeitslasten ausgehenden Internetzugriff benötigen. Sie können die Cloud NAT-Konfiguration so anpassen, dass bei Bedarf nur ausgehende Verbindungen von bestimmten Subnetzen zugelassen werden.
  2. Aktivieren Sie mindestens Cloud NAT-Logging für das Gateway, um ERRORS_ONLY zu protokollieren. Wenn Sie Logs für Übersetzungen einschließen möchten, die von Cloud NAT ausgeführt werden, konfigurieren Sie jedes Gateway so, dass ALL protokolliert wird.

Hybridkonnektivität konfigurieren

Sie können Dedicated Interconnect, Partner Interconnect oder Cloud VPN verwenden, um Hybridkonnektivität zu Ihrer Landing Zone bereitzustellen. Mit den folgenden Schritten werden die anfänglichen Hybridkonnektivitätsressourcen erstellt, die für diese Designoption erforderlich sind:

  1. Wenn Sie Dedicated Interconnect verwenden, gehen Sie wie im Folgenden beschrieben vor. Wenn Sie Partner Interconnect oder Cloud VPN verwenden, können Sie diese Schritte überspringen.
    1. Erstellen Sie ein separates Projekt für die physischen Interconnect-Ports.
    2. Aktivieren Sie die Compute Engine API für das Projekt.
    3. Erstellen Sie Dedicated Interconnect-Verbindungen.
  2. Führen Sie für jede Region, in der Sie die Hybridkonnektivität im VPC-Netzwerk beenden, die folgenden Schritte aus:
    1. Erstellen Sie zwei Dedicated- oder Partner-VLAN-Anhänge, und zwar einen für jede Edge-Verfügbarkeitszone. Im Rahmen dieses Vorgangs wählen Sie Cloud Router aus und erstellen BGP-Sitzungen.
    2. Konfigurieren Sie die Peer-Netzwerkrouter (lokal oder andere Cloud).
    3. Konfigurieren Sie benutzerdefinierte beworbene Routen in den Cloud Routern für die Subnetzbereiche in den Hub- und Arbeitslast-VPCs.

Arbeitslastprojekte konfigurieren

Erstellen Sie eine separate Spoke-VPC für jede Arbeitslast:

  1. Erstellen Sie ein neues Projekt, das Ihre Arbeitslast hostet.
  2. Aktivieren Sie die Compute Engine API für das Projekt.
  3. Konfigurieren Sie das VPC-Netzwerk-Peering zwischen der Arbeitslast-Spoke-VPC und der Hub-VPC mit den folgenden Einstellungen:
    • Aktivieren Sie den Export benutzerdefinierter Routenfür die Hub-VPC.
    • Aktivieren Sie den Import benutzerdefinierter Routen für die Spoke-VPC der Arbeitslast.
  4. Erstellen Sie Subnetze in den Regionen, in denen Sie Arbeitslasten bereitstellen möchten. Aktivieren Sie für jedes Subnetz den privaten Google-Zugriff, damit VM-Instanzen, die nur interne IP-Adressen haben, Google-Dienste erreichen können.
  5. Konfigurieren Sie Private Service Connect für Google APIs.
  6. Wenn Sie den gesamten Traffic über die virtuellen Netzwerk-Appliances in der Hub-VPC weiterleiten möchten, löschen Sie die Route 0.0.0.0/0 mit dem default-internet-gateway als nächstem Hop aus der Spoke-VPC der Arbeitslast.
  7. Konfigurieren Sie globale oder regionale Netzwerk-Firewallrichtlinien, um eingehenden und ausgehenden Traffic für Ihre Arbeitslast zuzulassen.

Beobachtbarkeit konfigurieren

Network Intelligence Center hilft dabei, Ihre Cloud-Netzwerkumgebung einheitlich zu überwachen, zu debuggen und zu visualisieren. Verwenden Sie es, um sicherzustellen, dass Ihr Design mit dem gewünschten Intent funktioniert.

Die folgenden Konfigurationen unterstützen die Analyse von Logging und Messwerten.

  • Sie müssen die Network Management API aktivieren, bevor Sie Konnektivitätstests ausführen können. Das Aktivieren der API ist erforderlich, um die API direkt, die Google Cloud CLI oder die Google Cloud Console verwenden zu können.
  • Sie müssen die Firewall Insights API aktivieren, bevor Sie Aufgaben mit Firewall Insights ausführen können.

Weitere Informationen

Die Erstkonfiguration für diese Netzwerkdesignoption ist jetzt abgeschlossen. Sie können diese Schritte jetzt wiederholen, um eine zusätzliche Instanz der Landing-Zone-Umgebung zu konfigurieren, z. B. eine Staging- oder Produktionsumgebung, oder mit Sicherheit für Ihre Google Cloud-Landing-Zone festlegen fortfahren.

Erstellungsoption 3: Hub-and-Spoke-Topologie ohne Appliances

Wenn Sie sich unter „Netzwerkdesign für die Google Cloud-Landing-Zone festlegen“ entschieden haben, die Hub-and-Spoke-Topologie ohne Appliances zu erstellen, folgen Sie diesem Verfahren.

In den folgenden Schritten wird eine einzelne Instanz einer Landing Zone erstellt. Wenn Sie mehr als eine Landing Zone benötigen, möglicherweise eine für die Entwicklung und eine für die Produktion, wiederholen Sie die Schritte für jede Landing Zone.

Externen Zugriff mithilfe einer Organisationsrichtlinie beschränken

Wir empfehlen, den direkten Zugriff auf das Internet genau auf die Ressourcen zu beschränken, die ihn benötigen. Ressourcen ohne externe Adressen können über den privaten Google-Zugriff dennoch auf viele Google APIs und Google-Dienste zugreifen. Der private Google-Zugriff ist auf Subnetzebene aktiviert und ermöglicht die Interaktion von Ressourcen mit wichtigen Google-Diensten, während die Ressourcen gleichzeitig vom öffentlichen Internet isoliert sind.

Aus Gründen der Nutzerfreundlichkeit können Nutzer mit der Standardfunktion von Google Cloud in allen Projekten Ressourcen erstellen, sofern sie die richtigen IAM-Berechtigungen haben. Zur Verbesserung der Sicherheit empfehlen wir, die Standardberechtigungen für Ressourcentypen einzuschränken, die zu einem unbeabsichtigten Internetzugriff führen können. Sie können dann bestimmte Projekte autorisieren, nur das Erstellen dieser Ressourcen zu ermöglichen. Folgen Sie der Anleitung unter Organisationsrichtlinien erstellen und verwalten, um folgende Einschränkungen festzulegen.

Protokollweiterleitung anhand des Typs von IP-Adresse einschränken

Durch die Protokollweiterleitung wird eine Weiterleitungsregelressource mit einer externen IP-Adresse eingerichtet und Ihnen wird ermöglicht, den Traffic an eine VM weiterzuleiten.

Die Einschränkung Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken verhindert die Erstellung von Weiterleitungsregeln mit externen IP-Adressen für die gesamte Organisation. Bei Projekten, die zur Verwendung externer Weiterleitungsregeln autorisiert sind, können Sie die Einschränkung auf Ordner- oder Projektebene ändern.

Legen Sie die folgenden Werte fest, um diese Einschränkung zu konfigurieren:

  • Gilt für: Anpassen
  • Richtlinienerzwingung: Ersetzen
  • Richtlinienwerte: Benutzerdefiniert
  • Richtlinientyp: Ablehnen
  • Benutzerdefinierter Wert: IS:EXTERNAL

Zulässige externe IPs für VM-Instanzen definieren

Standardmäßig können einzelne VM-Instanzen externe IP-Adressen übernehmen, was sowohl ausgehende als auch eingehende Verbindungen mit dem Internet zulässt.

Durch das Erzwingen der Einschränkung Zulässige externe IPs für VM-Instanzen definieren wird die Verwendung externer IP-Adressen mit VM-Instanzen verhindert. Ändern Sie bei Arbeitslasten, die externe IP-Adressen auf einzelnen VM-Instanzen erfordern, die Einschränkung auf Ordner- oder Projektebene, um die einzelnen VM-Instanzen anzugeben. Alternativ können Sie die Einschränkung für die relevanten Projekte überschreiben.

  • Gilt für: Anpassen
  • Richtlinienerzwingung: Ersetzen
  • Richtlinienwerte: Alle ablehnen

Externe VPC-IPv6-Nutzung deaktivieren

Wenn die Einschränkung Externe IPv6-Nutzung deaktivieren auf True gesetzt ist, wird die Konfiguration von VPC-Subnetzen mit externen IPv6-Adressen für VM-Instanzen verhindert.

  • Gilt für: Anpassen
  • Erzwingung: Ein

Erstellen des Standardnetzwerks deaktivieren

Wenn ein neues Projekt erstellt wird, wird automatisch eine Standard-VPC erstellt. Dies ist für schnelle Tests nützlich, für die keine bestimmte Netzwerkkonfiguration oder -integration in eine größere Unternehmensnetzwerkumgebung erforderlich ist.

Konfigurieren Sie die Einschränkung Erstellen des Standardnetzwerks überspringen, um das Erstellen der Standard-VPC für neue Projekte zu deaktivieren. Bei Bedarf können Sie das Standardnetzwerk manuell in einem Projekt erstellen.

  • Gilt für: Anpassen
  • Erzwingung: Ein

Firewallregeln entwerfen

Mit Firewallregeln können Sie den Traffic zu oder von Ihren VMs basierend auf einer von Ihnen definierten Konfiguration zulassen oder ablehnen. Hierarchische Firewallrichtlinien werden auf Organisations- und Ordnerebene und Netzwerk-Firewallrichtlinien auf VPC-Netzwerkebene in der Ressourcenhierarchie implementiert. Zusammen bieten sie eine wichtige Unterstützung für den Schutz Ihrer Arbeitslasten.

Verwenden Sie beim Entwerfen und Bewerten Ihrer Firewallregeln unabhängig davon, wo die Firewallrichtlinien angewendet werden, die folgenden Richtlinien:

  • Implementieren Sie die Prinzipien der geringsten Berechtigung (auch als Mikrosegmentierung bezeichnet). Blockieren Sie standardmäßig den gesamten Traffic und lassen Sie nur den erforderlichen Traffic zu. Dazu gehört auch, die Regeln auf die Protokolle und Ports zu beschränken, die Sie für jede Arbeitslast benötigen.
  • Aktivieren Sie das Logging von Firewallregeln, um Einblick in das Firewallverhalten zu erhalten und Firewall Insights zu verwenden.
  • Definieren Sie eine Nummerierungsmethode für die Zuweisung von Prioritäten für Firewallregeln. Als Best Practice gilt beispielsweise, dass Sie in jeder Richtlinie einen Bereich von niedrigen Zahlen für Regeln reservieren, die für die Reaktion auf Vorfälle erforderlich sind. Außerdem sollten Sie spezifischere Regeln stärker als allgemeinere Regeln priorisieren, um sicherzustellen, dass die spezifischen Regeln nicht von den allgemeinen Regeln überdeckt werden. Das folgende Beispiel zeigt einen möglichen Ansatz für Prioritäten von Firewallregeln:

Prioritätsbereich der Firewallregeln

Zweck

0–999

Für die Reaktion auf Vorfälle reserviert

1000–1999

Permanent blockierter Traffic

2000–1999999999

Arbeitslastspezifische Regeln

2000000000–2100000000

Catchall-Regeln

2100000001–2147483643

Reserviert

Hierarchische Firewallrichtlinien konfigurieren

Mit hierarchischen Firewallrichtlinien können Sie eine konsistente Firewallrichtlinie für Ihre gesamte Organisation erstellen und erzwingen. Beispiele für die Verwendung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.

Definieren Sie hierarchische Firewallrichtlinien, um die folgenden Netzwerkzugriffssteuerungen zu implementieren:

  • Identity-Aware Proxy (IAP) für die TCP-Weiterleitung: IAP für die TCP-Weiterleitung ist über eine Sicherheitsrichtlinie zulässig, die eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 für die TCP-Ports 22 und 3389 zulässt.
  • Systemdiagnosen für Cloud Load Balancing: Die bekannten Bereiche, die für Systemdiagnosen verwendet werden, sind zulässig.
    • Für die meisten Cloud Load Balancing-Instanzen (einschließlich Internal TCP/UDP Load Balancing, Internal HTTP(S) Load Balancing, External TCP Proxy Load Balancing, External SSL Proxy Load Balancing und HTTP(S) Load Balancing) wird eine Sicherheitsrichtlinie definiert, die eingehenden Traffic aus den IP-Bereichen 35.191.0.0/16 und 130.211.0.0/22 und für die Ports 80 und 443 erlaubt.
    • Für das Netzwerk-Load-Balancing ist eine Sicherheitsrichtlinie definiert, die Legacy-Systemdiagnosen aktiviert, indem eingehender Traffic aus den IP-Bereichen 35.191.0.0/16, 209.85.152.0/22 und 209.85.204.0/22 für Ports 80 und 443 zugelassen wird.

Hub-VPC-Umgebung konfigurieren

Die Hub-VPC bietet die Netzwerkressourcen, um eine Verbindung zwischen Spoke-VPC-Netzwerken von Arbeitslasten und lokalen oder Multi-Cloud-Netzwerken zu ermöglichen.

  1. Erstellen Sie ein neues Projekt für das Hub-VPC-Netzwerk.
  2. Aktivieren Sie die Compute Engine API für das Projekt.
  3. Erstellen Sie das VPC-Netzwerk im benutzerdefinierten Modus.
  4. Konfigurieren Sie Private Service Connect für Google APIs für die Hub-VPC.

Hybridkonnektivität konfigurieren

Sie können Dedicated Interconnect, Partner Interconnect oder Cloud VPN verwenden, um Hybridkonnektivität zu Ihrer Landing Zone bereitzustellen. Mit den folgenden Schritten werden die anfänglichen Hybridkonnektivitätsressourcen erstellt, die für diese Designoption erforderlich sind:

  1. Wenn Sie Dedicated Interconnect verwenden, gehen Sie wie im Folgenden beschrieben vor. Wenn Sie Partner Interconnect oder Cloud VPN verwenden, können Sie diese Schritte überspringen.
    1. Erstellen Sie ein separates Projekt für die physischen Interconnect-Ports.
    2. Aktivieren Sie die Compute Engine API für das Projekt.
    3. Erstellen Sie Dedicated Interconnect-Verbindungen.
  2. Führen Sie für jede Region, in der Sie die Hybridkonnektivität im VPC-Netzwerk beenden, die folgenden Schritte aus:
    1. Erstellen Sie zwei Dedicated- oder Partner-VLAN-Anhänge, und zwar einen für jede Edge-Verfügbarkeitszone. Im Rahmen dieses Vorgangs wählen Sie Cloud Router aus und erstellen BGP-Sitzungen.
    2. Konfigurieren Sie die Peer-Netzwerkrouter (lokal oder andere Cloud).
    3. Konfigurieren Sie benutzerdefinierte beworbene Routen in den Cloud Routern für die Subnetzbereiche in den Hub- und Arbeitslast-VPCs.

Arbeitslastprojekte konfigurieren

Erstellen Sie eine separate Spoke-VPC für jede Arbeitslast:

  1. Erstellen Sie ein neues Projekt, das Ihre Arbeitslast hostet.
  2. Aktivieren Sie die Compute Engine API für das Projekt.
  3. Konfigurieren Sie das VPC-Netzwerk-Peering zwischen der Arbeitslast-Spoke-VPC und der Hub-VPC mit den folgenden Einstellungen:
    • Aktivieren Sie den Export benutzerdefinierter Routenfür die Hub-VPC.
    • Aktivieren Sie den Import benutzerdefinierter Routen für die Spoke-VPC der Arbeitslast.
  4. Erstellen Sie Subnetze in den Regionen, in denen Sie Arbeitslasten bereitstellen möchten. Aktivieren Sie für jedes Subnetz den privaten Google-Zugriff, damit VM-Instanzen, die nur interne IP-Adressen haben, Google-Dienste erreichen können.
  5. Konfigurieren Sie Private Service Connect für Google APIs.

Cloud NAT konfigurieren

Führen Sie die folgenden Schritte aus, wenn die Arbeitslasten in bestimmten Regionen ausgehenden Internetzugriff benötigen, z. B. um Softwarepakete oder -updates herunterzuladen.

  1. Erstellen Sie ein Cloud NAT-Gateway in den Regionen, in denen Arbeitslasten ausgehenden Internetzugriff benötigen. Sie können die Cloud NAT-Konfiguration so anpassen, dass bei Bedarf nur ausgehende Verbindungen von bestimmten Subnetzen zugelassen werden.
  2. Aktivieren Sie mindestens Cloud NAT-Logging für das Gateway, um ERRORS_ONLY zu protokollieren. Wenn Sie Logs für Übersetzungen einschließen möchten, die von Cloud NAT ausgeführt werden, konfigurieren Sie jedes Gateway so, dass ALL protokolliert wird.

Beobachtbarkeit konfigurieren

Network Intelligence Center hilft dabei, Ihre Cloud-Netzwerkumgebung einheitlich zu überwachen, zu debuggen und zu visualisieren. Verwenden Sie es, um sicherzustellen, dass Ihr Design mit dem gewünschten Intent funktioniert.

Die folgenden Konfigurationen unterstützen die Analyse von Logging und Messwerten.

  • Sie müssen die Network Management API aktivieren, bevor Sie Konnektivitätstests ausführen können. Das Aktivieren der API ist erforderlich, um die API direkt, die Google Cloud CLI oder die Google Cloud Console verwenden zu können.
  • Sie müssen die Firewall Insights API aktivieren, bevor Sie Aufgaben mit Firewall Insights ausführen können.

Weitere Informationen

Die Erstkonfiguration für diese Netzwerkdesignoption ist jetzt abgeschlossen. Sie können diese Schritte jetzt wiederholen, um eine zusätzliche Instanz der Landing-Zone-Umgebung zu konfigurieren, z. B. eine Staging- oder Produktionsumgebung, oder mit Sicherheit für Ihre Google Cloud-Landing-Zone festlegen fortfahren.

Erstellungsoption 4: Dienste in einem Nutzer-Ersteller-Modell mit Private Service Connect verfügbar machen

Wenn Sie sich entschieden haben, Dienste in einem Nutzer-Ersteller-Modell mit Private Service Connect für Ihre Landing Zone verfügbar zu machen, wie unter „Netzwerkdesign für die Google Cloud-Landing-Zone festlegen“ beschrieben, folgen Sie diesem Verfahren.

In den folgenden Schritten wird eine einzelne Instanz einer Landing Zone erstellt. Wenn Sie mehr als eine Landing Zone benötigen, möglicherweise eine für die Entwicklung und eine für die Produktion, wiederholen Sie die Schritte für jede Landing Zone.

Externen Zugriff mithilfe einer Organisationsrichtlinie beschränken

Wir empfehlen, den direkten Zugriff auf das Internet genau auf die Ressourcen zu beschränken, die ihn benötigen. Ressourcen ohne externe Adressen können über den privaten Google-Zugriff dennoch auf viele Google APIs und Google-Dienste zugreifen. Der private Google-Zugriff ist auf Subnetzebene aktiviert und ermöglicht die Interaktion von Ressourcen mit wichtigen Google-Diensten, während die Ressourcen gleichzeitig vom öffentlichen Internet isoliert sind.

Aus Gründen der Nutzerfreundlichkeit können Nutzer mit der Standardfunktion von Google Cloud in allen Projekten Ressourcen erstellen, sofern sie die richtigen IAM-Berechtigungen haben. Zur Verbesserung der Sicherheit empfehlen wir, die Standardberechtigungen für Ressourcentypen einzuschränken, die zu einem unbeabsichtigten Internetzugriff führen können. Sie können dann bestimmte Projekte autorisieren, nur das Erstellen dieser Ressourcen zu ermöglichen. Folgen Sie der Anleitung unter Organisationsrichtlinien erstellen und verwalten, um folgende Einschränkungen festzulegen.

Protokollweiterleitung anhand des Typs von IP-Adresse einschränken

Durch die Protokollweiterleitung wird eine Weiterleitungsregelressource mit einer externen IP-Adresse eingerichtet und Ihnen wird ermöglicht, den Traffic an eine VM weiterzuleiten.

Die Einschränkung Protokollweiterleitung basierend auf dem Typ der IP-Adresse einschränken verhindert die Erstellung von Weiterleitungsregeln mit externen IP-Adressen für die gesamte Organisation. Bei Projekten, die zur Verwendung externer Weiterleitungsregeln autorisiert sind, können Sie die Einschränkung auf Ordner- oder Projektebene ändern.

Legen Sie die folgenden Werte fest, um diese Einschränkung zu konfigurieren:

  • Gilt für: Anpassen
  • Richtlinienerzwingung: Ersetzen
  • Richtlinienwerte: Benutzerdefiniert
  • Richtlinientyp: Ablehnen
  • Benutzerdefinierter Wert: IS:EXTERNAL

Zulässige externe IPs für VM-Instanzen definieren

Standardmäßig können einzelne VM-Instanzen externe IP-Adressen übernehmen, was sowohl ausgehende als auch eingehende Verbindungen mit dem Internet zulässt.

Durch das Erzwingen der Einschränkung Zulässige externe IPs für VM-Instanzen definieren wird die Verwendung externer IP-Adressen mit VM-Instanzen verhindert. Ändern Sie bei Arbeitslasten, die externe IP-Adressen auf einzelnen VM-Instanzen erfordern, die Einschränkung auf Ordner- oder Projektebene, um die einzelnen VM-Instanzen anzugeben. Alternativ können Sie die Einschränkung für die relevanten Projekte überschreiben.

  • Gilt für: Anpassen
  • Richtlinienerzwingung: Ersetzen
  • Richtlinienwerte: Alle ablehnen

Externe VPC-IPv6-Nutzung deaktivieren

Wenn die Einschränkung Externe IPv6-Nutzung deaktivieren auf True gesetzt ist, wird die Konfiguration von VPC-Subnetzen mit externen IPv6-Adressen für VM-Instanzen verhindert.

  • Gilt für: Anpassen
  • Erzwingung: Ein

Erstellen des Standardnetzwerks deaktivieren

Wenn ein neues Projekt erstellt wird, wird automatisch eine Standard-VPC erstellt. Dies ist für schnelle Tests nützlich, für die keine bestimmte Netzwerkkonfiguration oder -integration in eine größere Unternehmensnetzwerkumgebung erforderlich ist.

Konfigurieren Sie die Einschränkung Erstellen des Standardnetzwerks überspringen, um das Erstellen der Standard-VPC für neue Projekte zu deaktivieren. Bei Bedarf können Sie das Standardnetzwerk manuell in einem Projekt erstellen.

  • Gilt für: Anpassen
  • Erzwingung: Ein

Firewallregeln entwerfen

Mit Firewallregeln können Sie den Traffic zu oder von Ihren VMs basierend auf einer von Ihnen definierten Konfiguration zulassen oder ablehnen. Hierarchische Firewallrichtlinien werden auf Organisations- und Ordnerebene und Netzwerk-Firewallrichtlinien auf VPC-Netzwerkebene in der Ressourcenhierarchie implementiert. Zusammen bieten sie eine wichtige Unterstützung für den Schutz Ihrer Arbeitslasten.

Verwenden Sie beim Entwerfen und Bewerten Ihrer Firewallregeln unabhängig davon, wo die Firewallrichtlinien angewendet werden, die folgenden Richtlinien:

  • Implementieren Sie die Prinzipien der geringsten Berechtigung (auch als Mikrosegmentierung bezeichnet). Blockieren Sie standardmäßig den gesamten Traffic und lassen Sie nur den erforderlichen Traffic zu. Dazu gehört auch, die Regeln auf die Protokolle und Ports zu beschränken, die Sie für jede Arbeitslast benötigen.
  • Aktivieren Sie das Logging von Firewallregeln, um Einblick in das Firewallverhalten zu erhalten und Firewall Insights zu verwenden.
  • Definieren Sie eine Nummerierungsmethode für die Zuweisung von Prioritäten für Firewallregeln. Als Best Practice gilt beispielsweise, dass Sie in jeder Richtlinie einen Bereich von niedrigen Zahlen für Regeln reservieren, die für die Reaktion auf Vorfälle erforderlich sind. Außerdem sollten Sie spezifischere Regeln stärker als allgemeinere Regeln priorisieren, um sicherzustellen, dass die spezifischen Regeln nicht von den allgemeinen Regeln überdeckt werden. Das folgende Beispiel zeigt einen möglichen Ansatz für Prioritäten von Firewallregeln:

Prioritätsbereich der Firewallregeln

Zweck

0–999

Für die Reaktion auf Vorfälle reserviert

1000–1999

Permanent blockierter Traffic

2000–1999999999

Arbeitslastspezifische Regeln

2000000000–2100000000

Catchall-Regeln

2100000001–2147483643

Reserviert

Hierarchische Firewallrichtlinien konfigurieren

Mit hierarchischen Firewallrichtlinien können Sie eine konsistente Firewallrichtlinie für Ihre gesamte Organisation erstellen und erzwingen. Beispiele für die Verwendung hierarchischer Firewallrichtlinien finden Sie unter Beispiele für hierarchische Firewallrichtlinien.

Definieren Sie hierarchische Firewallrichtlinien, um die folgenden Netzwerkzugriffssteuerungen zu implementieren:

  • Identity-Aware Proxy (IAP) für die TCP-Weiterleitung: IAP für die TCP-Weiterleitung ist über eine Sicherheitsrichtlinie zulässig, die eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 für die TCP-Ports 22 und 3389 zulässt.
  • Systemdiagnosen für Cloud Load Balancing: Die bekannten Bereiche, die für Systemdiagnosen verwendet werden, sind zulässig.
    • Für die meisten Cloud Load Balancing-Instanzen (einschließlich Internal TCP/UDP Load Balancing, Internal HTTP(S) Load Balancing, External TCP Proxy Load Balancing, External SSL Proxy Load Balancing und HTTP(S) Load Balancing) wird eine Sicherheitsrichtlinie definiert, die eingehenden Traffic aus den IP-Bereichen 35.191.0.0/16 und 130.211.0.0/22 und für die Ports 80 und 443 erlaubt.
    • Für das Netzwerk-Load-Balancing ist eine Sicherheitsrichtlinie definiert, die Legacy-Systemdiagnosen aktiviert, indem eingehender Traffic aus den IP-Bereichen 35.191.0.0/16, 209.85.152.0/22 und 209.85.204.0/22 für Ports 80 und 443 zugelassen wird.

VPC-Umgebung konfigurieren

Die Transit-VPC bietet die Netzwerkressourcen, um eine Verbindung zwischen Spoke-VPC-Netzwerken von Arbeitslasten und lokalen oder Multi-Cloud-Netzwerken zu ermöglichen.

  1. Erstellen Sie ein neues Projekt für das Transit-VPC-Netzwerk.
  2. Aktivieren Sie die Compute Engine API für das Projekt.
  3. Erstellen Sie das VPC-Netzwerk im benutzerdefinierten Modus.
  4. Erstellen Sie ein Private Service Connect-Subnetz in jeder Region, in der Sie Dienste veröffentlichen möchten, die in Ihrer Hub-VPC oder Ihrer lokalen Umgebung ausgeführt werden. Berücksichtigen Sie bei der Entscheidung für Ihren IP-Adressierungsplan die Größenanpassung von Private Service Connect-Subnetzen.
  5. Erstellen Sie für jeden lokalen Dienst, den Sie in Google Cloud ausführen möchten, einen internen HTTP(S)- oder TCP-Proxy-Load-Balancer und stellen Sie die Dienste mit Private Service Connect bereit.
  6. Konfigurieren Sie Private Service Connect für Google APIs für die Transit-VPC.

Hybridkonnektivität konfigurieren

Sie können Dedicated Interconnect, Partner Interconnect oder Cloud VPN verwenden, um Hybridkonnektivität zu Ihrer Landing Zone bereitzustellen. Mit den folgenden Schritten werden die anfänglichen Hybridkonnektivitätsressourcen erstellt, die für diese Designoption erforderlich sind:

  1. Wenn Sie Dedicated Interconnect verwenden, gehen Sie wie im Folgenden beschrieben vor. Wenn Sie Partner Interconnect oder Cloud VPN verwenden, können Sie diese Schritte überspringen.
    1. Erstellen Sie ein separates Projekt für die physischen Interconnect-Ports.
    2. Aktivieren Sie die Compute Engine API für das Projekt.
    3. Erstellen Sie Dedicated Interconnect-Verbindungen.
  2. Führen Sie für jede Region, in der Sie die Hybridkonnektivität im VPC-Netzwerk beenden, die folgenden Schritte aus:
    1. Erstellen Sie zwei Dedicated- oder Partner-VLAN-Anhänge, und zwar einen für jede Edge-Verfügbarkeitszone. Im Rahmen dieses Vorgangs wählen Sie Cloud Router aus und erstellen BGP-Sitzungen.
    2. Konfigurieren Sie die Peer-Netzwerkrouter (lokal oder andere Cloud).

Arbeitslastprojekte konfigurieren

Erstellen Sie eine separate VPC für jede Arbeitslast:

  1. Erstellen Sie ein neues Projekt, das Ihre Arbeitslast hostet.
  2. Aktivieren Sie die Compute Engine API für das Projekt.
  3. Erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus.
  4. Erstellen Sie Subnetze in den Regionen, in denen Sie Arbeitslasten bereitstellen möchten. Aktivieren Sie für jedes Subnetz den privaten Google-Zugriff, damit VM-Instanzen, die nur interne IP-Adressen haben, Google-Dienste erreichen können.
  5. Konfigurieren Sie Private Service Connect für Google APIs.
  6. Für jede Arbeitslast, die Sie aus einer anderen VPC oder aus Ihrer lokalen Umgebung verwenden, müssen Sie einen Private Service Connect-Nutzerendpunkt erstellen.
  7. Für jede Arbeitslast, die Sie für eine andere VPC oder Ihre lokale Umgebung generieren, müssen Sie einen internen Load-Balancer und einen Dienstanhang für den Dienst erstellen. Berücksichtigen Sie bei der Entscheidung für Ihren IP-Adressierungsplan die Größenanpassung von Private Service Connect-Subnetzen.
  8. Wenn der Dienst aus Ihrer lokalen Umgebung erreichbar sein soll, erstellen Sie einen Private Service Connect-Nutzerendpunkt in der Transit-VPC.

Cloud NAT konfigurieren

Führen Sie die folgenden Schritte aus, wenn die Arbeitslasten in bestimmten Regionen ausgehenden Internetzugriff benötigen, z. B. um Softwarepakete oder -updates herunterzuladen.

  1. Erstellen Sie ein Cloud NAT-Gateway in den Regionen, in denen Arbeitslasten ausgehenden Internetzugriff benötigen. Sie können die Cloud NAT-Konfiguration so anpassen, dass bei Bedarf nur ausgehende Verbindungen von bestimmten Subnetzen zugelassen werden.
  2. Aktivieren Sie mindestens Cloud NAT-Logging für das Gateway, um ERRORS_ONLY zu protokollieren. Wenn Sie Logs für Übersetzungen einschließen möchten, die von Cloud NAT ausgeführt werden, konfigurieren Sie jedes Gateway so, dass ALL protokolliert wird.

Beobachtbarkeit konfigurieren

Network Intelligence Center hilft dabei, Ihre Cloud-Netzwerkumgebung einheitlich zu überwachen, zu debuggen und zu visualisieren. Verwenden Sie es, um sicherzustellen, dass Ihr Design mit dem gewünschten Intent funktioniert.

Die folgenden Konfigurationen unterstützen die Analyse von Logging und Messwerten.

  • Sie müssen die Network Management API aktivieren, bevor Sie Konnektivitätstests ausführen können. Das Aktivieren der API ist erforderlich, um die API direkt, die Google Cloud CLI oder die Google Cloud Console verwenden zu können.
  • Sie müssen die Firewall Insights API aktivieren, bevor Sie Aufgaben mit Firewall Insights ausführen können.

Weitere Informationen

Die Erstkonfiguration für diese Netzwerkdesignoption ist jetzt abgeschlossen. Sie können diese Schritte jetzt wiederholen, um eine zusätzliche Instanz der Landing-Zone-Umgebung zu konfigurieren, z. B. eine Staging- oder Produktionsumgebung, oder mit Sicherheit für Ihre Google Cloud-Landing-Zone festlegen fortfahren.

Nächste Schritte