Este documento fornece passos e orientações para implementar o design de rede escolhido depois de rever o artigo Decida o design de rede para a sua Google Cloud zona de destino. Se ainda não o fez, reveja o Design da zona de destino no Google Cloud antes de escolher uma opção.
Estas instruções destinam-se a engenheiros de rede, arquitetos e profissionais técnicos envolvidos na criação da arquitetura de rede para a zona de destino da sua organização.
Opções de design de rede
Com base no design de rede escolhido, conclua uma das seguintes ações:
- Opção de criação 1: rede VPC partilhada para cada ambiente
- Opção de criação 2: topologia de hub e raios com dispositivos centralizados
- Opção de criação 3: topologia de hub e raios sem eletrodomésticos
- Opção de criação 4: exponha serviços num modelo de consumidor-produtor com o Private Service Connect
Opção de criação 1: rede de VPC partilhada para cada ambiente
Se optou por criar a rede VPC partilhada para cada ambiente em "Decida o design da rede para a sua zona de destino", siga este procedimento. Google Cloud
Os passos seguintes criam uma única instância de uma VPC. Quando precisar de várias instâncias de uma VPC, como para ambientes de desenvolvimento e produção, repita os passos para cada VPC.
Limite o acesso externo através de uma política da organização
Recomendamos que limite o acesso direto à Internet apenas aos recursos que precisam dele. Os recursos sem endereços externos continuam a poder aceder a muitas APIs e serviços Google através do acesso privado à Google. O acesso privado à Google está ativado ao nível da sub-rede e permite que os recursos interajam com os principais serviços Google, ao mesmo tempo que os isola da Internet pública.
Para facilitar a utilização, a funcionalidade predefinida do Google Cloud permite que os utilizadores criem recursos em todos os projetos, desde que tenham as autorizações da IAM corretas. Para melhorar a segurança, recomendamos que restrinja as autorizações predefinidas para tipos de recursos que podem causar acesso não intencional à Internet. Em seguida, pode autorizar projetos específicos apenas para permitir a criação destes recursos. Use as instruções em Criar e gerir políticas de organização para definir as seguintes restrições.
Restrinja o encaminhamento de protocolos com base no tipo de endereço IP
O encaminhamento de protocolos estabelece um recurso de regra de encaminhamento com um endereço IP externo e permite-lhe direcionar o tráfego para uma VM.
A restrição Restringir o encaminhamento de protocolos com base no tipo de endereço IP impede a criação de regras de encaminhamento com endereços IP externos para toda a organização. Para projetos autorizados a usar regras de encaminhamento externas, pode modificar a restrição ao nível da pasta ou do projeto.
Defina os seguintes valores para configurar esta restrição:
- Aplica-se a: personalizar
- Aplicação de políticas: substituição
- Valores da política: personalizado
- Tipo de política: recusar
- Valor personalizado:
IS:EXTERNAL
Defina IPs externos permitidos para instâncias de VM
Por predefinição, as instâncias de VM individuais podem adquirir endereços IP externos, o que permite a conetividade de saída e de entrada com a Internet.
A aplicação da restrição Definir IPs externos permitidos para instâncias de VM impede a utilização de endereços IP externos com instâncias de VM. Para cargas de trabalho que requerem endereços IP externos em instâncias de VM individuais, modifique a restrição ao nível da pasta ou do projeto para especificar as instâncias de VM individuais. Em alternativa, substitua a restrição para os projetos relevantes.
- Aplica-se a: personalizar
- Aplicação de políticas: substituição
- Valores da política: recusar tudo
Desative a utilização de IPv6 externo da VPC
A restrição Disable VPC External IPv6 usage, quando definida como True,
impede a configuração de sub-redes VPC com endereços IPv6 externos para instâncias de VM.
- Aplica-se a: personalizar
- Aplicação: ativada
Desative a criação de redes predefinidas
Quando é criado um novo projeto, é criada automaticamente uma VPC predefinida. Isto é útil para experiências rápidas que não requerem uma configuração de rede específica ou integração com um ambiente de rede empresarial maior.
Configure a restrição Skip default network creation para desativar a criação de VPCs predefinidas para novos projetos. Se necessário, pode criar manualmente a rede predefinida num projeto.
- Aplica-se a: personalizar
- Aplicação: ativada
Conceba regras de firewall
As regras de firewall permitem-lhe permitir ou negar tráfego para ou a partir das suas VMs com base numa configuração que define. As políticas de firewall hierárquicas são implementadas ao nível da organização e da pasta, e as políticas de firewall de rede são implementadas ao nível da rede de VPC na hierarquia de recursos. Em conjunto, estas opções oferecem uma capacidade importante para ajudar a proteger as suas cargas de trabalho.
Independentemente do local onde as políticas de firewall são aplicadas, use as seguintes diretrizes ao criar e avaliar as regras de firewall:
- Implemente princípios de menor privilégio (também denominados microsegmentação). Bloqueie todo o tráfego por predefinição e permita apenas o tráfego específico de que precisa. Isto inclui limitar as regras apenas aos protocolos e portas de que precisa para cada carga de trabalho.
- Ative o registo de regras de firewall para ter visibilidade no comportamento da firewall e para usar o Firewall Insights.
- Defina uma metodologia de numeração para atribuir prioridades às regras de firewall. Por exemplo, é uma prática recomendada reservar um intervalo de números baixos em cada política para as regras necessárias durante a resposta a incidentes. Também recomendamos que dê prioridade às regras mais específicas em relação às regras mais gerais para garantir que as regras específicas não são obscurecidas pelas regras gerais. O exemplo seguinte mostra uma abordagem possível para as prioridades das regras de firewall:
Intervalo de prioridade das regras de firewall |
Finalidade |
|---|---|
0-999 |
Reservado para resposta a incidentes |
1000-1999 |
Tráfego sempre bloqueado |
2000-1999999999 |
Regras específicas da carga de trabalho |
2000000000-2100000000 |
Regras gerais |
2100000001-2147483643 |
Reservado |
Configure políticas de firewall hierárquicas
As políticas de firewall hierárquicas permitem-lhe criar e aplicar uma política de firewall consistente em toda a sua organização. Para ver exemplos de utilização de políticas de firewall hierárquicas, consulte o artigo Exemplos de políticas de firewall hierárquicas.
Defina políticas de firewall hierárquicas para implementar os seguintes controlos de acesso à rede:
- Identity-Aware Proxy (IAP) para encaminhamento de TCP. O IAP para encaminhamento TCP é permitido através de uma política de segurança que permite o tráfego de entrada do intervalo de IP 35.235.240.0/20 para as portas TCP 22 e 3389.
- Verificações de funcionamento para o Cloud Load Balancing. Os intervalos conhecidos que são usados para verificações de funcionamento são permitidos.
- Para a maioria das instâncias do Cloud Load Balancing (incluindo o balanceamento de carga TCP/UDP interno, o balanceamento de carga HTTP(S) interno, o balanceamento de carga do proxy TCP externo, o balanceamento de carga do proxy SSL externo e o balanceamento de carga HTTP(S)), é definida uma política de segurança que permite o tráfego de entrada dos intervalos de IP 35.191.0.0/16 e 130.211.0.0/22 para as portas 80 e 443.
- Para o equilíbrio de carga de rede, é definida uma política de segurança que ativa as verificações de estado antigas, permitindo o tráfego de entrada dos intervalos de IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 para as portas 80 e 443.
Configure o seu ambiente de VPC partilhada
Antes de implementar um design de VPC partilhada, decida como partilhar sub-redes com projetos de serviço. Anexa um projeto de serviço a um projeto anfitrião. Para determinar que sub-redes estão disponíveis para o projeto de serviço, atribui autorizações da IAM ao projeto anfitrião ou a sub-redes individuais. Por exemplo, pode optar por dedicar uma sub-rede diferente a cada projeto de serviço ou partilhar as mesmas sub-redes entre projetos de serviço.
- Crie um novo projeto para a VPC partilhada. Mais tarde neste processo, este projeto torna-se o projeto anfitrião e contém as redes e os recursos de rede a partilhar com os projetos de serviço.
- Ative a API Compute Engine para o projeto anfitrião.
- Configure a VPC partilhada para o projeto.
- Crie a rede VPC no modo personalizado no projeto anfitrião.
- Crie sub-redes na região onde planeia implementar cargas de trabalho. Para cada sub-rede, ative o acesso privado à Google para permitir que as instâncias de VM sem endereços IP externos alcancem os serviços Google.
Configure o Cloud NAT
Siga estes passos se as cargas de trabalho em regiões específicas exigirem acesso à Internet de saída, por exemplo, para transferir pacotes de software ou atualizações.
- Crie um gateway do Cloud NAT nas regiões onde as cargas de trabalho requerem acesso à Internet de saída. Pode personalizar a configuração do RFC na nuvem para permitir apenas a conetividade de saída de sub-redes específicas, se necessário.
- No mínimo,
ative o registo do Cloud NAT
para que a gateway registe
ERRORS_ONLY. Para incluir registos de traduções realizadas pelo Cloud NAT, configure cada gateway para registarALL.
Configure a conetividade híbrida
Pode usar o Dedicated Interconnect, o Partner Interconnect ou a Cloud VPN para fornecer conetividade híbrida à sua zona de destino. Os passos seguintes criam os recursos de conetividade híbrida iniciais necessários para esta opção de design:- Se estiver a usar a interligação dedicada, faça o seguinte. Se estiver a usar o Partner Interconnect ou a Cloud VPN, pode ignorar estes passos.
- Para cada região onde está a terminar a conetividade híbrida na rede VPC, faça o seguinte:
- Crie duas associações de VLAN dedicadas ou de parceiros, uma para cada zona de disponibilidade de limite. Como parte deste processo, seleciona routers na nuvem e cria sessões BGP.
- Configure os routers da rede de pares (nas instalações ou noutra nuvem).
Configure projetos de cargas de trabalho
Crie um projeto de serviço separado para cada carga de trabalho:
- Crie um novo projeto para funcionar como um dos projetos de serviço da VPC partilhada.
- Ative a API Compute Engine para o projeto de serviço.
- Anexe o projeto ao projeto anfitrião.
- Configurar o acesso a todas as sub-redes no projeto anfitrião ou a algumas sub-redes no projeto anfitrião.
Configure a observabilidade
O Network Intelligence Center oferece uma forma coesa de monitorizar, resolver problemas e visualizar o seu ambiente de rede na nuvem. Use-o para garantir que o seu design funciona com a intenção desejada.
As seguintes configurações suportam a análise do registo e das métricas ativadas.
- Tem de ativar a API Network Management antes de poder executar testes de conetividade. A ativação da API é necessária para usar a API diretamente, a Google Cloud CLI ou a Google Cloud consola.
- Tem de ativar a API Firewall Insights antes de poder realizar tarefas com o Firewall Insights.
Passos seguintes
A configuração inicial desta opção de design de rede está agora concluída. Agora, pode repetir estes passos para configurar uma instância adicional do ambiente da zona de destino, como um ambiente de preparação ou de produção, ou continuar a decidir a segurança da sua Google Cloud zona de destino.
Opção 2 de criação: topologia de centro e raios com dispositivos centralizados
Se optou por criar a topologia de hub e spoke com dispositivos centralizados em "Decida a estrutura da rede para a sua Google Cloud zona de destino", siga este procedimento.
Os passos seguintes criam uma única instância de uma VPC. Quando precisar de várias instâncias de uma VPC, como para ambientes de desenvolvimento e produção, repita os passos para cada VPC.
Limite o acesso externo através de uma política da organização
Recomendamos que limite o acesso direto à Internet apenas aos recursos que precisam dele. Os recursos sem endereços externos continuam a poder aceder a muitas APIs e serviços Google através do acesso privado à Google. O acesso privado à Google está ativado ao nível da sub-rede e permite que os recursos interajam com os principais serviços Google, ao mesmo tempo que os isola da Internet pública.
Para facilitar a utilização, a funcionalidade predefinida do Google Cloud permite que os utilizadores criem recursos em todos os projetos, desde que tenham as autorizações da IAM corretas. Para melhorar a segurança, recomendamos que restrinja as autorizações predefinidas para tipos de recursos que podem causar acesso não intencional à Internet. Em seguida, pode autorizar projetos específicos apenas para permitir a criação destes recursos. Use as instruções em Criar e gerir políticas de organização para definir as seguintes restrições.
Restrinja o encaminhamento de protocolos com base no tipo de endereço IP
O encaminhamento de protocolos estabelece um recurso de regra de encaminhamento com um endereço IP externo e permite-lhe direcionar o tráfego para uma VM.
A restrição Restringir o encaminhamento de protocolos com base no tipo de endereço IP impede a criação de regras de encaminhamento com endereços IP externos para toda a organização. Para projetos autorizados a usar regras de encaminhamento externas, pode modificar a restrição ao nível da pasta ou do projeto.
Defina os seguintes valores para configurar esta restrição:
- Aplica-se a: personalizar
- Aplicação de políticas: substituição
- Valores da política: personalizado
- Tipo de política: recusar
- Valor personalizado:
IS:EXTERNAL
Defina IPs externos permitidos para instâncias de VM
Por predefinição, as instâncias de VM individuais podem adquirir endereços IP externos, o que permite a conetividade de saída e de entrada com a Internet.
A aplicação da restrição Definir IPs externos permitidos para instâncias de VM impede a utilização de endereços IP externos com instâncias de VM. Para cargas de trabalho que requerem endereços IP externos em instâncias de VM individuais, modifique a restrição ao nível da pasta ou do projeto para especificar as instâncias de VM individuais. Em alternativa, substitua a restrição para os projetos relevantes.
- Aplica-se a: personalizar
- Aplicação de políticas: substituição
- Valores da política: recusar tudo
Desative a utilização de IPv6 externo da VPC
A restrição Disable VPC External IPv6 usage, quando definida como True,
impede a configuração de sub-redes VPC com endereços IPv6 externos para instâncias de VM.
- Aplica-se a: personalizar
- Aplicação: ativada
Desative a criação de redes predefinidas
Quando é criado um novo projeto, é criada automaticamente uma VPC predefinida. Isto é útil para experiências rápidas que não requerem uma configuração de rede específica ou integração com um ambiente de rede empresarial maior.
Configure a restrição Skip default network creation para desativar a criação de VPCs predefinidas para novos projetos. Se necessário, pode criar manualmente a rede predefinida num projeto.
- Aplica-se a: personalizar
- Aplicação: ativada
Conceba regras de firewall
As regras de firewall permitem-lhe permitir ou negar tráfego para ou a partir das suas VMs com base numa configuração que define. As políticas de firewall hierárquicas são implementadas ao nível da organização e da pasta, e as políticas de firewall de rede são implementadas ao nível da rede de VPC na hierarquia de recursos. Em conjunto, estas opções oferecem uma capacidade importante para ajudar a proteger as suas cargas de trabalho.
Independentemente do local onde as políticas de firewall são aplicadas, use as seguintes diretrizes ao criar e avaliar as regras de firewall:
- Implemente princípios de menor privilégio (também denominados microsegmentação). Bloqueie todo o tráfego por predefinição e permita apenas o tráfego específico de que precisa. Isto inclui limitar as regras apenas aos protocolos e portas de que precisa para cada carga de trabalho.
- Ative o registo de regras de firewall para ter visibilidade no comportamento da firewall e para usar o Firewall Insights.
- Defina uma metodologia de numeração para atribuir prioridades às regras de firewall. Por exemplo, é uma prática recomendada reservar um intervalo de números baixos em cada política para as regras necessárias durante a resposta a incidentes. Também recomendamos que dê prioridade às regras mais específicas em relação às regras mais gerais para garantir que as regras específicas não são obscurecidas pelas regras gerais. O exemplo seguinte mostra uma abordagem possível para as prioridades das regras de firewall:
Intervalo de prioridade das regras de firewall |
Finalidade |
|---|---|
0-999 |
Reservado para resposta a incidentes |
1000-1999 |
Tráfego sempre bloqueado |
2000-1999999999 |
Regras específicas da carga de trabalho |
2000000000-2100000000 |
Regras gerais |
2100000001-2147483643 |
Reservado |
Configure políticas de firewall hierárquicas
As políticas de firewall hierárquicas permitem-lhe criar e aplicar uma política de firewall consistente em toda a sua organização. Para ver exemplos de utilização de políticas de firewall hierárquicas, consulte o artigo Exemplos de políticas de firewall hierárquicas.
Defina políticas de firewall hierárquicas para implementar os seguintes controlos de acesso à rede:
- Identity-Aware Proxy (IAP) para encaminhamento de TCP. O IAP para encaminhamento TCP é permitido através de uma política de segurança que permite o tráfego de entrada do intervalo de IP 35.235.240.0/20 para as portas TCP 22 e 3389.
- Verificações de funcionamento para o Cloud Load Balancing. Os intervalos conhecidos que são usados para verificações de funcionamento são permitidos.
- Para a maioria das instâncias do Cloud Load Balancing (incluindo o balanceamento de carga TCP/UDP interno, o balanceamento de carga HTTP(S) interno, o balanceamento de carga do proxy TCP externo, o balanceamento de carga do proxy SSL externo e o balanceamento de carga HTTP(S)), é definida uma política de segurança que permite o tráfego de entrada dos intervalos de IP 35.191.0.0/16 e 130.211.0.0/22 para as portas 80 e 443.
- Para o equilíbrio de carga de rede, é definida uma política de segurança que ativa as verificações de estado antigas, permitindo o tráfego de entrada dos intervalos de IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 para as portas 80 e 443.
Configure o seu ambiente de VPC
As redes VPC de trânsito e hub fornecem os recursos de rede para permitir a conetividade entre redes VPC spoke de cargas de trabalho e redes nas instalações ou multinuvem.
- Crie um novo projeto para redes de VPC de trânsito e hub. Ambas as redes da VPC fazem parte do mesmo projeto para suportar a conetividade através dos dispositivos de rede virtual.
- Ative a API Compute Engine para o projeto.
- Crie a rede VPC de modo personalizado de trânsito.
- Na rede de VPC de trânsito, crie uma sub-rede nas regiões onde planeia implementar os dispositivos de rede virtual.
- Crie a rede VPC do modo personalizado do hub.
- Na rede de VPC do hub, crie uma sub-rede nas regiões onde planeia implementar os dispositivos de rede virtual.
- Configure políticas de firewall de rede globais ou regionais para permitir o tráfego de entrada e saída para os dispositivos virtuais de rede.
- Crie um grupo de instâncias gerido para os dispositivos de rede virtual.
- Configure os recursos de balanceamento de carga de TCP/UDP interno para a VPC de trânsito. Este equilibrador de carga é usado para encaminhar o tráfego da VPC de trânsito para a VPC central através dos dispositivos de rede virtual.
- Configure os recursos de balanceamento de carga TCP/UDP interno para a VPC do hub. Este equilibrador de carga é usado para encaminhar o tráfego da VPC do hub para a VPC de trânsito através dos dispositivos de rede virtual.
- Configure o Private Service Connect para as APIs Google para a VPC do hub.
- Modifique as rotas da VPC
para enviar todo o tráfego através dos dispositivos virtuais de rede:
- Elimine a rota
0.0.0.0/0com o próximo saltodefault-internet-gatewaydo VPC do hub. - Configure uma nova rota com o destino
0.0.0.0/0e um próximo salto da regra de encaminhamento para o balanceador de carga na VPC do hub.
- Elimine a rota
Configure o Cloud NAT
Siga estes passos se as cargas de trabalho em regiões específicas exigirem acesso à Internet de saída, por exemplo, para transferir pacotes de software ou atualizações.
- Crie um gateway do Cloud NAT nas regiões onde as cargas de trabalho requerem acesso à Internet de saída. Pode personalizar a configuração do RFC na nuvem para permitir apenas a conetividade de saída de sub-redes específicas, se necessário.
- No mínimo,
ative o registo do Cloud NAT
para que a gateway registe
ERRORS_ONLY. Para incluir registos de traduções realizadas pelo Cloud NAT, configure cada gateway para registarALL.
Configure a conetividade híbrida
Pode usar o Dedicated Interconnect, o Partner Interconnect ou a Cloud VPN para fornecer conetividade híbrida à sua zona de destino. Os passos seguintes criam os recursos de conetividade híbrida iniciais necessários para esta opção de design:- Se estiver a usar a interligação dedicada, faça o seguinte. Se estiver a usar o Partner Interconnect ou a Cloud VPN, pode ignorar estes passos.
- Para cada região onde está a terminar a conetividade híbrida na rede VPC, faça o seguinte:
- Crie duas associações de VLAN dedicadas ou de parceiros, uma para cada zona de disponibilidade de limite. Como parte deste processo, seleciona routers na nuvem e cria sessões BGP.
- Configure os routers da rede de pares (nas instalações ou noutra nuvem).
- Configure rotas anunciadas personalizadas nos Cloud Routers para os intervalos de sub-redes nas VPCs do hub e da carga de trabalho.
Configure projetos de cargas de trabalho
Crie uma VPC spoke separada para cada carga de trabalho:
- Crie um novo projeto para alojar a sua carga de trabalho.
- Ative a API Compute Engine para o projeto.
- Configure o intercâmbio da rede da VPC
entre a VPC spoke da carga de trabalho e a VPC hub com as seguintes definições:
- Ative a exportação de rotas personalizadas na VPC do hub.
- Ative a importação de rotas personalizadas na VPC spoke da carga de trabalho.
- Crie sub-redes nas regiões onde planeia implementar cargas de trabalho. Para cada sub-rede, ative o acesso privado à Google para permitir que as instâncias de VM com apenas endereços IP internos alcancem os serviços Google.
- Configure o Private Service Connect para as APIs Google.
- Para encaminhar todo o tráfego através dos dispositivos de rede virtual na VPC do hub, elimine a rota
0.0.0.0/0com o próximo saltodefault-internet-gatewayda VPC spoke da carga de trabalho. - Configure políticas de firewall de rede globais ou regionais para permitir o tráfego de entrada e saída para a sua carga de trabalho.
Configure a observabilidade
O Network Intelligence Center oferece uma forma coesa de monitorizar, resolver problemas e visualizar o seu ambiente de rede na nuvem. Use-o para garantir que o seu design funciona com a intenção desejada.
As seguintes configurações suportam a análise do registo e das métricas ativadas.
- Tem de ativar a API Network Management antes de poder executar testes de conetividade. A ativação da API é necessária para usar a API diretamente, a Google Cloud CLI ou a Google Cloud consola.
- Tem de ativar a API Firewall Insights antes de poder realizar tarefas com o Firewall Insights.
Passos seguintes
A configuração inicial desta opção de design de rede está agora concluída. Agora, pode repetir estes passos para configurar uma instância adicional do ambiente da zona de destino, como um ambiente de preparação ou de produção, ou continuar a decidir a segurança da sua Google Cloud zona de destino.
Opção 3 de criação: topologia de hub e raios sem aparelhos
Se optou por criar a topologia de hub e raios sem dispositivos em "Decida o design de rede para a sua Google Cloud zona de destino", siga este procedimento.
Os passos seguintes criam uma única instância de uma VPC. Quando precisar de várias instâncias de uma VPC, como para ambientes de desenvolvimento e produção, repita os passos para cada VPC.
Limite o acesso externo através de uma política da organização
Recomendamos que limite o acesso direto à Internet apenas aos recursos que precisam dele. Os recursos sem endereços externos continuam a poder aceder a muitas APIs e serviços Google através do acesso privado à Google. O acesso privado à Google está ativado ao nível da sub-rede e permite que os recursos interajam com os principais serviços Google, ao mesmo tempo que os isola da Internet pública.
Para facilitar a utilização, a funcionalidade predefinida do Google Cloud permite que os utilizadores criem recursos em todos os projetos, desde que tenham as autorizações da IAM corretas. Para melhorar a segurança, recomendamos que restrinja as autorizações predefinidas para tipos de recursos que podem causar acesso não intencional à Internet. Em seguida, pode autorizar projetos específicos apenas para permitir a criação destes recursos. Use as instruções em Criar e gerir políticas de organização para definir as seguintes restrições.
Restrinja o encaminhamento de protocolos com base no tipo de endereço IP
O encaminhamento de protocolos estabelece um recurso de regra de encaminhamento com um endereço IP externo e permite-lhe direcionar o tráfego para uma VM.
A restrição Restringir o encaminhamento de protocolos com base no tipo de endereço IP impede a criação de regras de encaminhamento com endereços IP externos para toda a organização. Para projetos autorizados a usar regras de encaminhamento externas, pode modificar a restrição ao nível da pasta ou do projeto.
Defina os seguintes valores para configurar esta restrição:
- Aplica-se a: personalizar
- Aplicação de políticas: substituição
- Valores da política: personalizado
- Tipo de política: recusar
- Valor personalizado:
IS:EXTERNAL
Defina IPs externos permitidos para instâncias de VM
Por predefinição, as instâncias de VM individuais podem adquirir endereços IP externos, o que permite a conetividade de saída e de entrada com a Internet.
A aplicação da restrição Definir IPs externos permitidos para instâncias de VM impede a utilização de endereços IP externos com instâncias de VM. Para cargas de trabalho que requerem endereços IP externos em instâncias de VM individuais, modifique a restrição ao nível da pasta ou do projeto para especificar as instâncias de VM individuais. Em alternativa, substitua a restrição para os projetos relevantes.
- Aplica-se a: personalizar
- Aplicação de políticas: substituição
- Valores da política: recusar tudo
Desative a utilização de IPv6 externo da VPC
A restrição Disable VPC External IPv6 usage, quando definida como True,
impede a configuração de sub-redes VPC com endereços IPv6 externos para instâncias de VM.
- Aplica-se a: personalizar
- Aplicação: ativada
Desative a criação de redes predefinidas
Quando é criado um novo projeto, é criada automaticamente uma VPC predefinida. Isto é útil para experiências rápidas que não requerem uma configuração de rede específica ou integração com um ambiente de rede empresarial maior.
Configure a restrição Skip default network creation para desativar a criação de VPCs predefinidas para novos projetos. Se necessário, pode criar manualmente a rede predefinida num projeto.
- Aplica-se a: personalizar
- Aplicação: ativada
Conceba regras de firewall
As regras de firewall permitem-lhe permitir ou negar tráfego para ou a partir das suas VMs com base numa configuração que define. As políticas de firewall hierárquicas são implementadas ao nível da organização e da pasta, e as políticas de firewall de rede são implementadas ao nível da rede de VPC na hierarquia de recursos. Em conjunto, estas opções oferecem uma capacidade importante para ajudar a proteger as suas cargas de trabalho.
Independentemente do local onde as políticas de firewall são aplicadas, use as seguintes diretrizes ao criar e avaliar as regras de firewall:
- Implemente princípios de menor privilégio (também denominados microsegmentação). Bloqueie todo o tráfego por predefinição e permita apenas o tráfego específico de que precisa. Isto inclui limitar as regras apenas aos protocolos e portas de que precisa para cada carga de trabalho.
- Ative o registo de regras de firewall para ter visibilidade no comportamento da firewall e para usar o Firewall Insights.
- Defina uma metodologia de numeração para atribuir prioridades às regras de firewall. Por exemplo, é uma prática recomendada reservar um intervalo de números baixos em cada política para as regras necessárias durante a resposta a incidentes. Também recomendamos que dê prioridade às regras mais específicas em relação às regras mais gerais para garantir que as regras específicas não são obscurecidas pelas regras gerais. O exemplo seguinte mostra uma abordagem possível para as prioridades das regras de firewall:
Intervalo de prioridade das regras de firewall |
Finalidade |
|---|---|
0-999 |
Reservado para resposta a incidentes |
1000-1999 |
Tráfego sempre bloqueado |
2000-1999999999 |
Regras específicas da carga de trabalho |
2000000000-2100000000 |
Regras gerais |
2100000001-2147483643 |
Reservado |
Configure políticas de firewall hierárquicas
As políticas de firewall hierárquicas permitem-lhe criar e aplicar uma política de firewall consistente em toda a sua organização. Para ver exemplos de utilização de políticas de firewall hierárquicas, consulte o artigo Exemplos de políticas de firewall hierárquicas.
Defina políticas de firewall hierárquicas para implementar os seguintes controlos de acesso à rede:
- Identity-Aware Proxy (IAP) para encaminhamento de TCP. O IAP para encaminhamento TCP é permitido através de uma política de segurança que permite o tráfego de entrada do intervalo de IP 35.235.240.0/20 para as portas TCP 22 e 3389.
- Verificações de funcionamento para o Cloud Load Balancing. Os intervalos conhecidos que são usados para verificações de funcionamento são permitidos.
- Para a maioria das instâncias do Cloud Load Balancing (incluindo o balanceamento de carga TCP/UDP interno, o balanceamento de carga HTTP(S) interno, o balanceamento de carga do proxy TCP externo, o balanceamento de carga do proxy SSL externo e o balanceamento de carga HTTP(S)), é definida uma política de segurança que permite o tráfego de entrada dos intervalos de IP 35.191.0.0/16 e 130.211.0.0/22 para as portas 80 e 443.
- Para o equilíbrio de carga de rede, é definida uma política de segurança que ativa as verificações de estado antigas, permitindo o tráfego de entrada dos intervalos de IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 para as portas 80 e 443.
Configure o ambiente de VPC do hub
A VPC do hub fornece os recursos de rede para permitir a conetividade entre as redes VPC spoke da carga de trabalho e as redes nas instalações ou de várias nuvens.
- Crie um novo projeto para a rede de VPC do hub.
- Ative a API Compute Engine para o projeto.
- Crie a rede VPC do modo personalizado .
- Configure o Private Service Connect para as APIs Google para a VPC do hub.
Configure a conetividade híbrida
Pode usar o Dedicated Interconnect, o Partner Interconnect ou a Cloud VPN para fornecer conetividade híbrida à sua zona de destino. Os passos seguintes criam os recursos de conetividade híbrida iniciais necessários para esta opção de design:- Se estiver a usar a interligação dedicada, faça o seguinte. Se estiver a usar o Partner Interconnect ou a Cloud VPN, pode ignorar estes passos.
- Para cada região onde está a terminar a conetividade híbrida na rede VPC, faça o seguinte:
- Crie duas associações de VLAN dedicadas ou de parceiros, uma para cada zona de disponibilidade de limite. Como parte deste processo, seleciona routers na nuvem e cria sessões BGP.
- Configure os routers da rede de pares (nas instalações ou noutra nuvem).
- Configure rotas anunciadas personalizadas nos Cloud Routers para os intervalos de sub-redes nas VPCs do hub e da carga de trabalho.
Configure projetos de cargas de trabalho
Crie uma VPC spoke separada para cada carga de trabalho:
- Crie um novo projeto para alojar a sua carga de trabalho.
- Ative a API Compute Engine para o projeto.
- Configure o intercâmbio da rede da VPC
entre a VPC spoke da carga de trabalho e a VPC hub, com as seguintes definições:
- Ative a exportação de rotas personalizadas na VPC do hub.
- Ative a importação de rotas personalizadas na VPC spoke da carga de trabalho.
- Crie sub-redes nas regiões onde planeia implementar cargas de trabalho. Para cada sub-rede, ative o acesso privado à Google para permitir que as instâncias de VM com apenas endereços IP internos alcancem os serviços Google.
- Configure o Private Service Connect para as APIs Google.
Configure o Cloud NAT
Siga estes passos se as cargas de trabalho em regiões específicas exigirem acesso à Internet de saída, por exemplo, para transferir pacotes de software ou atualizações.
- Crie um gateway do Cloud NAT nas regiões onde as cargas de trabalho requerem acesso à Internet de saída. Pode personalizar a configuração do RFC na nuvem para permitir apenas a conetividade de saída de sub-redes específicas, se necessário.
- No mínimo,
ative o registo do Cloud NAT
para que a gateway registe
ERRORS_ONLY. Para incluir registos de traduções realizadas pelo Cloud NAT, configure cada gateway para registarALL.
Configure a observabilidade
O Network Intelligence Center oferece uma forma coesa de monitorizar, resolver problemas e visualizar o seu ambiente de rede na nuvem. Use-o para garantir que o seu design funciona com a intenção desejada.
As seguintes configurações suportam a análise do registo e das métricas ativadas.
- Tem de ativar a API Network Management antes de poder executar testes de conetividade. A ativação da API é necessária para usar a API diretamente, a Google Cloud CLI ou a Google Cloud consola.
- Tem de ativar a API Firewall Insights antes de poder realizar tarefas com o Firewall Insights.
Passos seguintes
A configuração inicial desta opção de design de rede está agora concluída. Agora, pode repetir estes passos para configurar uma instância adicional do ambiente da zona de destino, como um ambiente de preparação ou de produção, ou continuar a decidir a segurança da sua Google Cloud zona de destino.
Opção de criação 4: exponha serviços num modelo de consumidor-produtor com o Private Service Connect
Se optou por expôr serviços num modelo de consumidor-produtor com o Private Service Connect para a sua zona de destino, conforme descrito em "Decida o design de rede para a sua Google Cloud zona de destino", siga este procedimento.
Os passos seguintes criam uma única instância de uma VPC. Quando precisar de várias instâncias de uma VPC, como para ambientes de desenvolvimento e produção, repita os passos para cada VPC.
Limite o acesso externo através de uma política da organização
Recomendamos que limite o acesso direto à Internet apenas aos recursos que precisam dele. Os recursos sem endereços externos continuam a poder aceder a muitas APIs e serviços Google através do acesso privado à Google. O acesso privado à Google está ativado ao nível da sub-rede e permite que os recursos interajam com os principais serviços Google, ao mesmo tempo que os isola da Internet pública.
Para facilitar a utilização, a funcionalidade predefinida do Google Cloud permite que os utilizadores criem recursos em todos os projetos, desde que tenham as autorizações da IAM corretas. Para melhorar a segurança, recomendamos que restrinja as autorizações predefinidas para tipos de recursos que podem causar acesso não intencional à Internet. Em seguida, pode autorizar projetos específicos apenas para permitir a criação destes recursos. Use as instruções em Criar e gerir políticas de organização para definir as seguintes restrições.
Restrinja o encaminhamento de protocolos com base no tipo de endereço IP
O encaminhamento de protocolos estabelece um recurso de regra de encaminhamento com um endereço IP externo e permite-lhe direcionar o tráfego para uma VM.
A restrição Restringir o encaminhamento de protocolos com base no tipo de endereço IP impede a criação de regras de encaminhamento com endereços IP externos para toda a organização. Para projetos autorizados a usar regras de encaminhamento externas, pode modificar a restrição ao nível da pasta ou do projeto.
Defina os seguintes valores para configurar esta restrição:
- Aplica-se a: personalizar
- Aplicação de políticas: substituição
- Valores da política: personalizado
- Tipo de política: recusar
- Valor personalizado:
IS:EXTERNAL
Defina IPs externos permitidos para instâncias de VM
Por predefinição, as instâncias de VM individuais podem adquirir endereços IP externos, o que permite a conetividade de saída e de entrada com a Internet.
A aplicação da restrição Definir IPs externos permitidos para instâncias de VM impede a utilização de endereços IP externos com instâncias de VM. Para cargas de trabalho que requerem endereços IP externos em instâncias de VM individuais, modifique a restrição ao nível da pasta ou do projeto para especificar as instâncias de VM individuais. Em alternativa, substitua a restrição para os projetos relevantes.
- Aplica-se a: personalizar
- Aplicação de políticas: substituição
- Valores da política: recusar tudo
Desative a utilização de IPv6 externo da VPC
A restrição Disable VPC External IPv6 usage, quando definida como True,
impede a configuração de sub-redes VPC com endereços IPv6 externos para instâncias de VM.
- Aplica-se a: personalizar
- Aplicação: ativada
Desative a criação de redes predefinidas
Quando é criado um novo projeto, é criada automaticamente uma VPC predefinida. Isto é útil para experiências rápidas que não requerem uma configuração de rede específica ou integração com um ambiente de rede empresarial maior.
Configure a restrição Skip default network creation para desativar a criação de VPCs predefinidas para novos projetos. Se necessário, pode criar manualmente a rede predefinida num projeto.
- Aplica-se a: personalizar
- Aplicação: ativada
Conceba regras de firewall
As regras de firewall permitem-lhe permitir ou negar tráfego para ou a partir das suas VMs com base numa configuração que define. As políticas de firewall hierárquicas são implementadas ao nível da organização e da pasta, e as políticas de firewall de rede são implementadas ao nível da rede de VPC na hierarquia de recursos. Em conjunto, estas opções oferecem uma capacidade importante para ajudar a proteger as suas cargas de trabalho.
Independentemente do local onde as políticas de firewall são aplicadas, use as seguintes diretrizes ao criar e avaliar as regras de firewall:
- Implemente princípios de menor privilégio (também denominados microsegmentação). Bloqueie todo o tráfego por predefinição e permita apenas o tráfego específico de que precisa. Isto inclui limitar as regras apenas aos protocolos e portas de que precisa para cada carga de trabalho.
- Ative o registo de regras de firewall para ter visibilidade no comportamento da firewall e para usar o Firewall Insights.
- Defina uma metodologia de numeração para atribuir prioridades às regras de firewall. Por exemplo, é uma prática recomendada reservar um intervalo de números baixos em cada política para as regras necessárias durante a resposta a incidentes. Também recomendamos que dê prioridade às regras mais específicas em relação às regras mais gerais para garantir que as regras específicas não são obscurecidas pelas regras gerais. O exemplo seguinte mostra uma abordagem possível para as prioridades das regras de firewall:
Intervalo de prioridade das regras de firewall |
Finalidade |
|---|---|
0-999 |
Reservado para resposta a incidentes |
1000-1999 |
Tráfego sempre bloqueado |
2000-1999999999 |
Regras específicas da carga de trabalho |
2000000000-2100000000 |
Regras gerais |
2100000001-2147483643 |
Reservado |
Configure políticas de firewall hierárquicas
As políticas de firewall hierárquicas permitem-lhe criar e aplicar uma política de firewall consistente em toda a sua organização. Para ver exemplos de utilização de políticas de firewall hierárquicas, consulte o artigo Exemplos de políticas de firewall hierárquicas.
Defina políticas de firewall hierárquicas para implementar os seguintes controlos de acesso à rede:
- Identity-Aware Proxy (IAP) para encaminhamento de TCP. O IAP para encaminhamento TCP é permitido através de uma política de segurança que permite o tráfego de entrada do intervalo de IP 35.235.240.0/20 para as portas TCP 22 e 3389.
- Verificações de funcionamento para o Cloud Load Balancing. Os intervalos conhecidos que são usados para verificações de funcionamento são permitidos.
- Para a maioria das instâncias do Cloud Load Balancing (incluindo o balanceamento de carga TCP/UDP interno, o balanceamento de carga HTTP(S) interno, o balanceamento de carga do proxy TCP externo, o balanceamento de carga do proxy SSL externo e o balanceamento de carga HTTP(S)), é definida uma política de segurança que permite o tráfego de entrada dos intervalos de IP 35.191.0.0/16 e 130.211.0.0/22 para as portas 80 e 443.
- Para o equilíbrio de carga de rede, é definida uma política de segurança que ativa as verificações de estado antigas, permitindo o tráfego de entrada dos intervalos de IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 para as portas 80 e 443.
Configure o ambiente de VPC
A VPC de trânsito fornece os recursos de rede para permitir a conetividade entre as redes VPC spoke da carga de trabalho e as redes nas instalações ou de várias nuvens.
- Crie um novo projeto para a rede de VPC de trânsito.
- Ative a API Compute Engine para o projeto.
- Crie a rede VPC de modo personalizado de trânsito.
- Crie uma sub-rede do Private Service Connect em cada região onde planeia publicar serviços executados na sua VPC do hub ou no ambiente no local. Tenha em consideração o dimensionamento da sub-rede do Private Service Connect ao decidir o seu plano de endereçamento IP.
- Para cada serviço no local que quer expor a cargas de trabalho em execução no Google Cloud, crie um balanceador de carga de proxy TCP ou HTTP(S) interno e exponha os serviços através do Private Service Connect.
- Configure o Private Service Connect para as APIs Google para a VPC de trânsito.
Configure a conetividade híbrida
Pode usar o Dedicated Interconnect, o Partner Interconnect ou a Cloud VPN para fornecer conetividade híbrida à sua zona de destino. Os passos seguintes criam os recursos de conetividade híbrida iniciais necessários para esta opção de design:- Se estiver a usar a interligação dedicada, faça o seguinte. Se estiver a usar o Partner Interconnect ou a Cloud VPN, pode ignorar estes passos.
- Para cada região onde está a terminar a conetividade híbrida na rede VPC, faça o seguinte:
- Crie duas associações de VLAN dedicadas ou de parceiros, uma para cada zona de disponibilidade de limite. Como parte deste processo, seleciona routers na nuvem e cria sessões BGP.
- Configure os routers da rede de pares (nas instalações ou noutra nuvem).
Configure projetos de cargas de trabalho
Crie uma VPC separada para cada carga de trabalho:
- Crie um novo projeto para alojar a sua carga de trabalho.
- Ative a API Compute Engine para o projeto.
- Crie uma rede VPC no modo personalizado.
- Crie sub-redes nas regiões onde planeia implementar cargas de trabalho. Para cada sub-rede, ative o acesso privado à Google para permitir que as instâncias de VM com apenas endereços IP internos alcancem os serviços Google.
- Configure o Private Service Connect para as APIs Google.
- Para cada carga de trabalho que está a consumir a partir de uma VPC diferente ou do seu ambiente no local, crie um ponto final do consumidor do Private Service Connect.
- Para cada carga de trabalho que está a produzir para uma VPC diferente ou para o seu ambiente no local, crie um equilibrador de carga interno e uma associação de serviço para o serviço. Tenha em consideração o dimensionamento da sub-rede do Private Service Connect ao decidir o seu plano de endereçamento IP.
- Se o serviço deve estar acessível a partir do seu ambiente no local, crie um ponto final do consumidor do Private Service Connect na VPC de trânsito.
Configure o Cloud NAT
Siga estes passos se as cargas de trabalho em regiões específicas exigirem acesso à Internet de saída, por exemplo, para transferir pacotes de software ou atualizações.
- Crie um gateway do Cloud NAT nas regiões onde as cargas de trabalho requerem acesso à Internet de saída. Pode personalizar a configuração do RFC na nuvem para permitir apenas a conetividade de saída de sub-redes específicas, se necessário.
- No mínimo,
ative o registo do Cloud NAT
para que a gateway registe
ERRORS_ONLY. Para incluir registos de traduções realizadas pelo Cloud NAT, configure cada gateway para registarALL.
Configure a observabilidade
O Network Intelligence Center oferece uma forma coesa de monitorizar, resolver problemas e visualizar o seu ambiente de rede na nuvem. Use-o para garantir que o seu design funciona com a intenção desejada.
As seguintes configurações suportam a análise do registo e das métricas ativadas.
- Tem de ativar a API Network Management antes de poder executar testes de conetividade. A ativação da API é necessária para usar a API diretamente, a Google Cloud CLI ou a Google Cloud consola.
- Tem de ativar a API Firewall Insights antes de poder realizar tarefas com o Firewall Insights.
Passos seguintes
A configuração inicial desta opção de design de rede está agora concluída. Agora, pode repetir estes passos para configurar uma instância adicional do ambiente da zona de destino, como um ambiente de preparação ou de produção, ou continuar a decidir a segurança da sua Google Cloud zona de destino.
O que se segue?
- Decida a segurança da sua Google Cloud zona de destino (próximo documento desta série).
- Leia o artigo Práticas recomendadas para o design de redes VPC.
- Leia mais acerca do Private Service Connect.