实现 Google Cloud 着陆区网络设计

Last reviewed 2023-09-11 UTC

本文档介绍了在查看确定 Google Cloud 着陆区的网络设计后实现所选网络设计的步骤和指导。请先查看 Google Cloud 中的着陆区设计(如果尚未这样做),然后再选择一个方案。

以下说明适用于为您的组织的着陆区创建网络设计的网络工程师、架构师和技术从业人员。

网络设计方案

根据您选择的网络设计,完成以下方案之一:

创建方案 1:为每个环境创建共享 VPC 网络

如果您在“确定 Google Cloud 着陆区的网络设计”中选择了为每个环境创建共享 VPC 网络,请按照以下过程操作。

以下步骤会创建着陆区的单个实例。如果您需要多个着陆区(例如一个用于开发,一个用于生产),请对每个着陆区重复执行以下步骤。

使用组织政策限制外部访问

我们建议您仅允许需要互联网的资源直接访问互联网。没有外部地址的资源仍然可以通过专用 Google 访问通道来访问多个 Google API 和服务。专用 Google 访问通道在子网级层启用,可让资源与关键 Google 服务进行交互,同时将其与公共互联网隔离开来。

为确保易用性,Google Cloud 的默认功能可让用户在所有项目中创建资源,前提是他们拥有正确的 IAM 权限。为了提高安全性,我们建议您对可能导致意外互联网访问的资源类型限制默认权限。然后,您可以向特定项目授权,仅允许创建这些资源。请按照创建和管理组织政策中的说明来设置以下限制条件。

根据 IP 地址类型限制协议转发

协议转发建立具有外部 IP 地址的转发规则资源,并且可将您将流量定向到虚拟机。

根据 IP 地址类型限制协议转发限制条件会阻止为整个组织创建具有外部 IP 地址的转发规则。对于有权使用外部转发规则的项目,您可以在文件夹或项目级层修改限制条件。

设置以下值以配置此限制条件:

  • 应用对象:自定义
  • 强制执行政策:替换
  • 政策值:自定义
  • 政策类型:拒绝
  • 自定义值IS:EXTERNAL

为虚拟机实例定义允许的外部 IP

默认情况下,个别虚拟机实例可以获取外部 IP 地址,从而允许与互联网的出站和入站连接。

强制执行为虚拟机实例定义允许的外部 IP 限制条件会阻止将外部 IP 地址用于虚拟机实例。对于需要个别虚拟机实例具有外部 IP 地址的工作负载,请在文件夹或项目级层修改限制条件以指定个别虚拟机实例。或者,替换相关项目的限制条件。

  • 应用对象:自定义
  • 强制执行政策:替换
  • 政策值:全部拒绝

禁止 VPC 外部 IPv6 使用

如果将禁止 VPC 外部 IPv6 使用限制条件设置为 True,系统会阻止为虚拟机实例配置具有外部 IPv6 地址的 VPC 子网。

  • 应用对象:自定义
  • 强制执行:开启

禁止默认网络创建

创建新项目时,系统会自动创建默认 VPC。这对于不需要特定网络配置或不需要与较大企业网络环境集成的快速实验非常有用。

配置跳过默认网络创建限制条件以禁止为新项目创建默认 VPC。如果需要,您可以在项目中手动创建默认网络。

  • 应用对象:自定义
  • 强制执行:开启

设计防火墙规则

通过防火墙规则,您可以根据自己定义的配置允许或拒绝进出虚拟机的流量。分层防火墙政策在组织和文件夹级层实现,网络防火墙政策在资源层次结构的 VPC 网络级层实现。它们共同提供了重要功能,可帮助保护您的工作负载。

无论防火墙政策应用在何处,在设计和评估防火墙规则时,请遵循以下准则:

  • 实现最小权限(也称为微细分)原则。默认阻止所有流量,并且仅允许您需要的特定流量。这包括将规则仅限于每个工作负载所需的协议和端口。
  • 启用防火墙规则日志记录以深入了解防火墙行为并使用防火墙数据分析。
  • 定义用于分配防火墙规则优先级的编号方法。例如,最好是在每个政策中为突发事件响应期间所需的规则预留一个较小的数字范围。我们还建议您将更具体规则的优先级设置为高于更通用规则,以确保具体规则不会被通用规则覆盖。以下示例展示了防火墙规则优先级的可能方法:

防火墙规则优先级范围
目的

0-999
为突发事件响应预留

1000-1999
始终禁止的流量

2000-1999999999
特定于工作负载的规则

2000000000-2100000000
无限别名规则

2100000001-2147483643
已预留

配置分层防火墙政策

分层防火墙政策可让您在组织中创建和实施一致的防火墙政策。如需查看使用分层防火墙政策的示例,请参阅分层防火墙政策示例

定义分层防火墙政策可实现以下网络访问权限控制:

  • 用于 TCP 转发的 Identity-Aware Proxy (IAP)。通过对 TCP 端口 22 和 3389 允许来自 IP 范围 35.235.240.0/20 的入站流量的安全政策,允许 IAP for TCP 转发。
  • Cloud Load Balancing 健康检查。允许用于健康检查的已知范围。
    • 对于大多数 Cloud Load Balancing 实例(包括内部 TCP/UDP 负载均衡、内部 HTTP(S) 负载均衡、外部 TCP 代理负载均衡、外部 SSL 代理负载均衡和 HTTP(S) 负载均衡),系统会定义一个安全政策,对端口 80 和 443 允许来自 IP 范围 35.191.0.0/16 和 130.211.0.0/22 的入站流量。
    • 对于网络负载均衡,系统会定义一个安全政策,通过对端口 80 和 443 允许来自 IP 范围 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的入站流量来启用旧版健康检查。

配置共享 VPC 环境

在实现共享 VPC 设计之前,请决定如何与服务项目共享子网。您可以将服务项目关联到宿主项目。如需确定哪些子网可用于服务项目,请为宿主项目或个别子网分配 IAM 权限。例如,您可以选择为每个服务项目指定不同的子网,也可以在服务项目之间共享相同的子网。

  1. 为共享 VPC 创建新项目。稍后在此过程中,此项目将成为宿主项目,并包含要与服务项目共享的网络和网络资源。
  2. 为宿主项目启用 Compute Engine API
  3. 为项目配置共享 VPC
  4. 在宿主项目中创建自定义模式 VPC 网络
  5. 在您计划部署工作负载的区域中创建子网。对于每个子网,启用专用 Google 访问通道以允许没有外部 IP 地址的虚拟机实例访问 Google 服务。

配置 Cloud NAT

如果特定区域的工作负载需要出站互联网访问权限(例如下载软件包或更新时),请按照以下步骤操作。

  1. 在工作负载需要出站互联网访问权限的区域中创建 Cloud NAT 网关。您可以根据需要自定义 Cloud NAT 配置,以仅允许来自特定子网的出站连接。
  2. 至少启用 Cloud NAT 日志记录,以便网关记录 ERRORS_ONLY。如需包含 Cloud NAT 执行的转换的日志,请将每个网关配置为记录 ALL

配置混合连接

您可以使用专用互连、合作伙伴互连或 Cloud VPN 提供与着陆区的混合连接。以下步骤会创建此设计方案所需的初始混合连接资源:

  1. 如果您使用的是专用互连,请执行以下操作。如果您使用的是合作伙伴互连或 Cloud VPN,则可以跳过这些步骤。
    1. 为物理互连端口创建单独的项目
    2. 为该项目启用 Compute Engine API
    3. 创建专用互连连接
  2. 对于要在 VPC 网络中终止混合连接的每个区域,请执行以下操作:
    1. 创建两个专用或合作伙伴 VLAN 连接,每个边缘可用区对应一个。在此过程中,您需要选择 Cloud Router 路由器并创建 BGP 会话。
    2. 配置对等网络(本地或其他云网络)路由器。

配置工作负载项目

为每个工作负载创建单独的服务项目:

  1. 创建新项目,用作共享 VPC 的一个服务项目。
  2. 为该服务项目启用 Compute Engine API
  3. 将该项目关联到宿主项目
  4. 配置对宿主项目中所有子网宿主项目中部分子网的访问权限。

配置可观测性

Network Intelligence Center 提供了一种对云网络环境进行监控、问题排查和直观呈现的统一方式。使用此方法可确保您的设计与预期意图相符。

以下配置支持分析启用的日志记录和指标。

  • 您必须先启用 Network Management API,然后才能运行 Connectivity Tests。如需直接使用此 API、Google Cloud CLI 或 Google Cloud 控制台,您必须启用此 API。
  • 您必须先启用 Firewall Insights API,然后才能使用防火墙数据分析执行任何任务。

后续步骤

此网络设计方案的初始配置现已完成。现在,您可以重复这些步骤来配置着陆区环境的其他实例(例如预演环境或生产环境),也可以继续确定 Google Cloud 着陆区的安全性

创建方案 2:具有集中式设备的中心辐射型拓扑

如果您在“确定 Google Cloud 着陆区的网络设计”中选择了创建具有集中式设备的中心辐射型拓扑,请按照以下过程操作。

以下步骤会创建着陆区的单个实例。如果您需要多个着陆区(例如一个用于开发,一个用于生产),请对每个着陆区重复执行以下步骤。

使用组织政策限制外部访问

我们建议您仅允许需要互联网的资源直接访问互联网。没有外部地址的资源仍然可以通过专用 Google 访问通道来访问多个 Google API 和服务。专用 Google 访问通道在子网级层启用,可让资源与关键 Google 服务进行交互,同时将其与公共互联网隔离开来。

为确保易用性,Google Cloud 的默认功能可让用户在所有项目中创建资源,前提是他们拥有正确的 IAM 权限。为了提高安全性,我们建议您对可能导致意外互联网访问的资源类型限制默认权限。然后,您可以向特定项目授权,仅允许创建这些资源。请按照创建和管理组织政策中的说明来设置以下限制条件。

根据 IP 地址类型限制协议转发

协议转发建立具有外部 IP 地址的转发规则资源,并且可将您将流量定向到虚拟机。

根据 IP 地址类型限制协议转发限制条件会阻止为整个组织创建具有外部 IP 地址的转发规则。对于有权使用外部转发规则的项目,您可以在文件夹或项目级层修改限制条件。

设置以下值以配置此限制条件:

  • 应用对象:自定义
  • 强制执行政策:替换
  • 政策值:自定义
  • 政策类型:拒绝
  • 自定义值IS:EXTERNAL

为虚拟机实例定义允许的外部 IP

默认情况下,个别虚拟机实例可以获取外部 IP 地址,从而允许与互联网的出站和入站连接。

强制执行为虚拟机实例定义允许的外部 IP 限制条件会阻止将外部 IP 地址用于虚拟机实例。对于需要个别虚拟机实例具有外部 IP 地址的工作负载,请在文件夹或项目级层修改限制条件以指定个别虚拟机实例。或者,替换相关项目的限制条件。

  • 应用对象:自定义
  • 强制执行政策:替换
  • 政策值:全部拒绝

禁止 VPC 外部 IPv6 使用

如果将禁止 VPC 外部 IPv6 使用限制条件设置为 True,系统会阻止为虚拟机实例配置具有外部 IPv6 地址的 VPC 子网。

  • 应用对象:自定义
  • 强制执行:开启

禁止默认网络创建

创建新项目时,系统会自动创建默认 VPC。这对于不需要特定网络配置或不需要与较大企业网络环境集成的快速实验非常有用。

配置跳过默认网络创建限制条件以禁止为新项目创建默认 VPC。如果需要,您可以在项目中手动创建默认网络。

  • 应用对象:自定义
  • 强制执行:开启

设计防火墙规则

通过防火墙规则,您可以根据自己定义的配置允许或拒绝进出虚拟机的流量。分层防火墙政策在组织和文件夹级层实现,网络防火墙政策在资源层次结构的 VPC 网络级层实现。它们共同提供了重要功能,可帮助保护您的工作负载。

无论防火墙政策应用在何处,在设计和评估防火墙规则时,请遵循以下准则:

  • 实现最小权限(也称为微细分)原则。默认阻止所有流量,并且仅允许您需要的特定流量。这包括将规则仅限于每个工作负载所需的协议和端口。
  • 启用防火墙规则日志记录以深入了解防火墙行为并使用防火墙数据分析。
  • 定义用于分配防火墙规则优先级的编号方法。例如,最好是在每个政策中为突发事件响应期间所需的规则预留一个较小的数字范围。我们还建议您将更具体规则的优先级设置为高于更通用规则,以确保具体规则不会被通用规则覆盖。以下示例展示了防火墙规则优先级的可能方法:

防火墙规则优先级范围
目的

0-999
为突发事件响应预留

1000-1999
始终禁止的流量

2000-1999999999
特定于工作负载的规则

2000000000-2100000000
无限别名规则

2100000001-2147483643
已预留

配置分层防火墙政策

分层防火墙政策可让您在组织中创建和实施一致的防火墙政策。如需查看使用分层防火墙政策的示例,请参阅分层防火墙政策示例

定义分层防火墙政策可实现以下网络访问权限控制:

  • 用于 TCP 转发的 Identity-Aware Proxy (IAP)。通过对 TCP 端口 22 和 3389 允许来自 IP 范围 35.235.240.0/20 的入站流量的安全政策,允许 IAP for TCP 转发。
  • Cloud Load Balancing 健康检查。允许用于健康检查的已知范围。
    • 对于大多数 Cloud Load Balancing 实例(包括内部 TCP/UDP 负载均衡、内部 HTTP(S) 负载均衡、外部 TCP 代理负载均衡、外部 SSL 代理负载均衡和 HTTP(S) 负载均衡),系统会定义一个安全政策,对端口 80 和 443 允许来自 IP 范围 35.191.0.0/16 和 130.211.0.0/22 的入站流量。
    • 对于网络负载均衡,系统会定义一个安全政策,通过对端口 80 和 443 允许来自 IP 范围 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的入站流量来启用旧版健康检查。

配置 VPC 环境

中转和中心 VPC 网络提供网络资源,可实现工作负载辐射 VPC 网络与本地或多云网络之间的连接。

  1. 为中转和中心 VPC 网络创建新项目。两个 VPC 网络均属于同一项目,以支持通过虚拟网络设备进行连接。
  2. 为该项目启用 Compute Engine API
  3. 创建中转自定义模式 VPC 网络
  4. 在中转 VPC 网络中,在您计划部署虚拟网络设备的区域创建子网
  5. 创建中心自定义模式 VPC 网络
  6. 在中心 VPC 网络中,在您计划部署虚拟网络设备的区域创建子网
  7. 配置全球或区域级网络防火墙政策以允许网络虚拟设备的入站和出站流量。
  8. 为虚拟网络设备创建代管式实例组
  9. 为中转 VPC 配置内部 TCP/UDP 负载均衡资源。此负载均衡器用于通过虚拟网络设备将流量从中转 VPC 路由到中心 VPC。
  10. 为中心 VPC 配置内部 TCP/UDP 负载均衡资源。此负载均衡器用于通过虚拟网络设备将流量从中心 VPC 路由到中转 VPC。
  11. 为中心 VPC 配置适用于 Google API 的 Private Service Connect
  12. 修改 VPC 路由以通过网络虚拟设备发送所有流量:
    1. 从中心 VPC 中删除下一个跃点为 default-internet-gateway0.0.0.0/0 路由。
    2. 为中心 VPC 中的负载均衡器配置使用目的地 0.0.0.0/0 和转发规则的下一个跃点的新路由。

配置 Cloud NAT

如果特定区域的工作负载需要出站互联网访问权限(例如下载软件包或更新时),请按照以下步骤操作。

  1. 在工作负载需要出站互联网访问权限的区域中创建 Cloud NAT 网关。您可以根据需要自定义 Cloud NAT 配置,以仅允许来自特定子网的出站连接。
  2. 至少启用 Cloud NAT 日志记录,以便网关记录 ERRORS_ONLY。如需包含 Cloud NAT 执行的转换的日志,请将每个网关配置为记录 ALL

配置混合连接

您可以使用专用互连、合作伙伴互连或 Cloud VPN 提供与着陆区的混合连接。以下步骤会创建此设计方案所需的初始混合连接资源:

  1. 如果您使用的是专用互连,请执行以下操作。如果您使用的是合作伙伴互连或 Cloud VPN,则可以跳过这些步骤。
    1. 为物理互连端口创建单独的项目
    2. 为该项目启用 Compute Engine API
    3. 创建专用互连连接
  2. 对于要在 VPC 网络中终止混合连接的每个区域,请执行以下操作:
    1. 创建两个专用或合作伙伴 VLAN 连接,每个边缘可用区对应一个。在此过程中,您需要选择 Cloud Router 路由器并创建 BGP 会话。
    2. 配置对等网络(本地或其他云网络)路由器。
    3. 在 Cloud Router 路由器中为中心和工作负载 VPC 的子网范围配置自定义路由通告。

配置工作负载项目

为每个工作负载创建单独的辐射 VPC:

  1. 创建新项目以托管您的工作负载。
  2. 为该项目启用 Compute Engine API
  3. 使用以下设置在工作负载辐射 VPC 和中心 VPC 之间配置 VPC 网络对等互连
    • 在中心 VPC 上启用自定义路由导出。
    • 在工作负载辐射 VPC 上启用自定义路由导入。
  4. 在您计划部署工作负载的区域中创建子网。对于每个子网,启用专用 Google 访问通道,以允许仅具有内部 IP 地址的虚拟机实例访问 Google 服务
  5. 配置适用于 Google API 的 Private Service Connect
  6. 如需通过中心 VPC 中的虚拟网络设备路由所有流量,请从工作负载辐射 VPC 中删除下一个跃点为 default-internet-gateway0.0.0.0/0 路由。
  7. 配置全球或区域级网络防火墙政策以允许工作负载的入站和出站流量。

配置可观测性

Network Intelligence Center 提供了一种对云网络环境进行监控、问题排查和直观呈现的统一方式。使用此方法可确保您的设计与预期意图相符。

以下配置支持分析启用的日志记录和指标。

  • 您必须先启用 Network Management API,然后才能运行 Connectivity Tests。如需直接使用此 API、Google Cloud CLI 或 Google Cloud 控制台,您必须启用此 API。
  • 您必须先启用 Firewall Insights API,然后才能使用防火墙数据分析执行任何任务。

后续步骤

此网络设计方案的初始配置现已完成。现在,您可以重复这些步骤来配置着陆区环境的其他实例(例如预演环境或生产环境),也可以继续确定 Google Cloud 着陆区的安全性

创建方案 3:无设备的中心辐射型拓扑

如果您在“确定 Google Cloud 着陆区的网络设计”中选择了创建无设备的中心辐射型拓扑,请按照以下过程操作。

以下步骤会创建着陆区的单个实例。如果您需要多个着陆区(例如一个用于开发,一个用于生产),请对每个着陆区重复执行以下步骤。

使用组织政策限制外部访问

我们建议您仅允许需要互联网的资源直接访问互联网。没有外部地址的资源仍然可以通过专用 Google 访问通道来访问多个 Google API 和服务。专用 Google 访问通道在子网级层启用,可让资源与关键 Google 服务进行交互,同时将其与公共互联网隔离开来。

为确保易用性,Google Cloud 的默认功能可让用户在所有项目中创建资源,前提是他们拥有正确的 IAM 权限。为了提高安全性,我们建议您对可能导致意外互联网访问的资源类型限制默认权限。然后,您可以向特定项目授权,仅允许创建这些资源。请按照创建和管理组织政策中的说明来设置以下限制条件。

根据 IP 地址类型限制协议转发

协议转发建立具有外部 IP 地址的转发规则资源,并且可将您将流量定向到虚拟机。

根据 IP 地址类型限制协议转发限制条件会阻止为整个组织创建具有外部 IP 地址的转发规则。对于有权使用外部转发规则的项目,您可以在文件夹或项目级层修改限制条件。

设置以下值以配置此限制条件:

  • 应用对象:自定义
  • 强制执行政策:替换
  • 政策值:自定义
  • 政策类型:拒绝
  • 自定义值IS:EXTERNAL

为虚拟机实例定义允许的外部 IP

默认情况下,个别虚拟机实例可以获取外部 IP 地址,从而允许与互联网的出站和入站连接。

强制执行为虚拟机实例定义允许的外部 IP 限制条件会阻止将外部 IP 地址用于虚拟机实例。对于需要个别虚拟机实例具有外部 IP 地址的工作负载,请在文件夹或项目级层修改限制条件以指定个别虚拟机实例。或者,替换相关项目的限制条件。

  • 应用对象:自定义
  • 强制执行政策:替换
  • 政策值:全部拒绝

禁止 VPC 外部 IPv6 使用

如果将禁止 VPC 外部 IPv6 使用限制条件设置为 True,系统会阻止为虚拟机实例配置具有外部 IPv6 地址的 VPC 子网。

  • 应用对象:自定义
  • 强制执行:开启

禁止默认网络创建

创建新项目时,系统会自动创建默认 VPC。这对于不需要特定网络配置或不需要与较大企业网络环境集成的快速实验非常有用。

配置跳过默认网络创建限制条件以禁止为新项目创建默认 VPC。如果需要,您可以在项目中手动创建默认网络。

  • 应用对象:自定义
  • 强制执行:开启

设计防火墙规则

通过防火墙规则,您可以根据自己定义的配置允许或拒绝进出虚拟机的流量。分层防火墙政策在组织和文件夹级层实现,网络防火墙政策在资源层次结构的 VPC 网络级层实现。它们共同提供了重要功能,可帮助保护您的工作负载。

无论防火墙政策应用在何处,在设计和评估防火墙规则时,请遵循以下准则:

  • 实现最小权限(也称为微细分)原则。默认阻止所有流量,并且仅允许您需要的特定流量。这包括将规则仅限于每个工作负载所需的协议和端口。
  • 启用防火墙规则日志记录以深入了解防火墙行为并使用防火墙数据分析。
  • 定义用于分配防火墙规则优先级的编号方法。例如,最好是在每个政策中为突发事件响应期间所需的规则预留一个较小的数字范围。我们还建议您将更具体规则的优先级设置为高于更通用规则,以确保具体规则不会被通用规则覆盖。以下示例展示了防火墙规则优先级的可能方法:

防火墙规则优先级范围
目的

0-999
为突发事件响应预留

1000-1999
始终禁止的流量

2000-1999999999
特定于工作负载的规则

2000000000-2100000000
无限别名规则

2100000001-2147483643
已预留

配置分层防火墙政策

分层防火墙政策可让您在组织中创建和实施一致的防火墙政策。如需查看使用分层防火墙政策的示例,请参阅分层防火墙政策示例

定义分层防火墙政策可实现以下网络访问权限控制:

  • 用于 TCP 转发的 Identity-Aware Proxy (IAP)。通过对 TCP 端口 22 和 3389 允许来自 IP 范围 35.235.240.0/20 的入站流量的安全政策,允许 IAP for TCP 转发。
  • Cloud Load Balancing 健康检查。允许用于健康检查的已知范围。
    • 对于大多数 Cloud Load Balancing 实例(包括内部 TCP/UDP 负载均衡、内部 HTTP(S) 负载均衡、外部 TCP 代理负载均衡、外部 SSL 代理负载均衡和 HTTP(S) 负载均衡),系统会定义一个安全政策,对端口 80 和 443 允许来自 IP 范围 35.191.0.0/16 和 130.211.0.0/22 的入站流量。
    • 对于网络负载均衡,系统会定义一个安全政策,通过对端口 80 和 443 允许来自 IP 范围 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的入站流量来启用旧版健康检查。

配置中心 VPC 环境

中心 VPC 提供网络资源,可实现工作负载辐射 VPC 网络与本地或多云网络之间的连接。

  1. 为中心 VPC 网络创建新项目
  2. 为该项目启用 Compute Engine API
  3. 创建中心自定义模式 VPC 网络
  4. 为中心 VPC 配置适用于 Google API 的 Private Service Connect

配置混合连接

您可以使用专用互连、合作伙伴互连或 Cloud VPN 提供与着陆区的混合连接。以下步骤会创建此设计方案所需的初始混合连接资源:

  1. 如果您使用的是专用互连,请执行以下操作。如果您使用的是合作伙伴互连或 Cloud VPN,则可以跳过这些步骤。
    1. 为物理互连端口创建单独的项目
    2. 为该项目启用 Compute Engine API
    3. 创建专用互连连接
  2. 对于要在 VPC 网络中终止混合连接的每个区域,请执行以下操作:
    1. 创建两个专用或合作伙伴 VLAN 连接,每个边缘可用区对应一个。在此过程中,您需要选择 Cloud Router 路由器并创建 BGP 会话。
    2. 配置对等网络(本地或其他云网络)路由器。
    3. 在 Cloud Router 路由器中为中心和工作负载 VPC 的子网范围配置自定义路由通告。

配置工作负载项目

为每个工作负载创建单独的辐射 VPC:

  1. 创建新项目以托管您的工作负载。
  2. 为该项目启用 Compute Engine API
  3. 使用以下设置在工作负载辐射 VPC 和中心 VPC 之间配置 VPC 网络对等互连
    • 在中心 VPC 上启用自定义路由导出。
    • 在工作负载辐射 VPC 上启用自定义路由导入。
  4. 在您计划部署工作负载的区域中创建子网。对于每个子网,启用专用 Google 访问通道,以允许仅具有内部 IP 地址的虚拟机实例访问 Google 服务
  5. 配置适用于 Google API 的 Private Service Connect

配置 Cloud NAT

如果特定区域的工作负载需要出站互联网访问权限(例如下载软件包或更新时),请按照以下步骤操作。

  1. 在工作负载需要出站互联网访问权限的区域中创建 Cloud NAT 网关。您可以根据需要自定义 Cloud NAT 配置,以仅允许来自特定子网的出站连接。
  2. 至少启用 Cloud NAT 日志记录,以便网关记录 ERRORS_ONLY。如需包含 Cloud NAT 执行的转换的日志,请将每个网关配置为记录 ALL

配置可观测性

Network Intelligence Center 提供了一种对云网络环境进行监控、问题排查和直观呈现的统一方式。使用此方法可确保您的设计与预期意图相符。

以下配置支持分析启用的日志记录和指标。

  • 您必须先启用 Network Management API,然后才能运行 Connectivity Tests。如需直接使用此 API、Google Cloud CLI 或 Google Cloud 控制台,您必须启用此 API。
  • 您必须先启用 Firewall Insights API,然后才能使用防火墙数据分析执行任何任务。

后续步骤

此网络设计方案的初始配置现已完成。现在,您可以重复这些步骤来配置着陆区环境的其他实例(例如预演环境或生产环境),也可以继续确定 Google Cloud 着陆区的安全性

创建方案 4:使用 Private Service Connect 在使用方-提供方模型中公开服务

如果您为着陆区选择了使用 Private Service Connect 在使用方-提供方模型中公开服务(如“确定 Google Cloud 着陆区的网络设计”中所述),请按照以下过程操作。

以下步骤会创建着陆区的单个实例。如果您需要多个着陆区(例如一个用于开发,一个用于生产),请对每个着陆区重复执行以下步骤。

使用组织政策限制外部访问

我们建议您仅允许需要互联网的资源直接访问互联网。没有外部地址的资源仍然可以通过专用 Google 访问通道来访问多个 Google API 和服务。专用 Google 访问通道在子网级层启用,可让资源与关键 Google 服务进行交互,同时将其与公共互联网隔离开来。

为确保易用性,Google Cloud 的默认功能可让用户在所有项目中创建资源,前提是他们拥有正确的 IAM 权限。为了提高安全性,我们建议您对可能导致意外互联网访问的资源类型限制默认权限。然后,您可以向特定项目授权,仅允许创建这些资源。请按照创建和管理组织政策中的说明来设置以下限制条件。

根据 IP 地址类型限制协议转发

协议转发建立具有外部 IP 地址的转发规则资源,并且可将您将流量定向到虚拟机。

根据 IP 地址类型限制协议转发限制条件会阻止为整个组织创建具有外部 IP 地址的转发规则。对于有权使用外部转发规则的项目,您可以在文件夹或项目级层修改限制条件。

设置以下值以配置此限制条件:

  • 应用对象:自定义
  • 强制执行政策:替换
  • 政策值:自定义
  • 政策类型:拒绝
  • 自定义值IS:EXTERNAL

为虚拟机实例定义允许的外部 IP

默认情况下,个别虚拟机实例可以获取外部 IP 地址,从而允许与互联网的出站和入站连接。

强制执行为虚拟机实例定义允许的外部 IP 限制条件会阻止将外部 IP 地址用于虚拟机实例。对于需要个别虚拟机实例具有外部 IP 地址的工作负载,请在文件夹或项目级层修改限制条件以指定个别虚拟机实例。或者,替换相关项目的限制条件。

  • 应用对象:自定义
  • 强制执行政策:替换
  • 政策值:全部拒绝

禁止 VPC 外部 IPv6 使用

如果将禁止 VPC 外部 IPv6 使用限制条件设置为 True,系统会阻止为虚拟机实例配置具有外部 IPv6 地址的 VPC 子网。

  • 应用对象:自定义
  • 强制执行:开启

禁止默认网络创建

创建新项目时,系统会自动创建默认 VPC。这对于不需要特定网络配置或不需要与较大企业网络环境集成的快速实验非常有用。

配置跳过默认网络创建限制条件以禁止为新项目创建默认 VPC。如果需要,您可以在项目中手动创建默认网络。

  • 应用对象:自定义
  • 强制执行:开启

设计防火墙规则

通过防火墙规则,您可以根据自己定义的配置允许或拒绝进出虚拟机的流量。分层防火墙政策在组织和文件夹级层实现,网络防火墙政策在资源层次结构的 VPC 网络级层实现。它们共同提供了重要功能,可帮助保护您的工作负载。

无论防火墙政策应用在何处,在设计和评估防火墙规则时,请遵循以下准则:

  • 实现最小权限(也称为微细分)原则。默认阻止所有流量,并且仅允许您需要的特定流量。这包括将规则仅限于每个工作负载所需的协议和端口。
  • 启用防火墙规则日志记录以深入了解防火墙行为并使用防火墙数据分析。
  • 定义用于分配防火墙规则优先级的编号方法。例如,最好是在每个政策中为突发事件响应期间所需的规则预留一个较小的数字范围。我们还建议您将更具体规则的优先级设置为高于更通用规则,以确保具体规则不会被通用规则覆盖。以下示例展示了防火墙规则优先级的可能方法:

防火墙规则优先级范围
目的

0-999
为突发事件响应预留

1000-1999
始终禁止的流量

2000-1999999999
特定于工作负载的规则

2000000000-2100000000
无限别名规则

2100000001-2147483643
已预留

配置分层防火墙政策

分层防火墙政策可让您在组织中创建和实施一致的防火墙政策。如需查看使用分层防火墙政策的示例,请参阅分层防火墙政策示例

定义分层防火墙政策可实现以下网络访问权限控制:

  • 用于 TCP 转发的 Identity-Aware Proxy (IAP)。通过对 TCP 端口 22 和 3389 允许来自 IP 范围 35.235.240.0/20 的入站流量的安全政策,允许 IAP for TCP 转发。
  • Cloud Load Balancing 健康检查。允许用于健康检查的已知范围。
    • 对于大多数 Cloud Load Balancing 实例(包括内部 TCP/UDP 负载均衡、内部 HTTP(S) 负载均衡、外部 TCP 代理负载均衡、外部 SSL 代理负载均衡和 HTTP(S) 负载均衡),系统会定义一个安全政策,对端口 80 和 443 允许来自 IP 范围 35.191.0.0/16 和 130.211.0.0/22 的入站流量。
    • 对于网络负载均衡,系统会定义一个安全政策,通过对端口 80 和 443 允许来自 IP 范围 35.191.0.0/16、209.85.152.0/22 和 209.85.204.0/22 的入站流量来启用旧版健康检查。

配置 VPC 环境

中转 VPC 提供网络资源,可实现工作负载辐射 VPC 网络与本地或多云网络之间的连接。

  1. 为中转 VPC 网络创建新项目
  2. 为该项目启用 Compute Engine API
  3. 创建中转自定义模式 VPC 网络
  4. 在您计划发布中心 VPC 或本地环境中运行的服务的每个区域中,创建 Private Service Connect 子网。在决定您的 IP 地址规划时,请考虑调整 Private Service Connect 子网大小
  5. 对于您要向 Google Cloud 中运行的工作负载公开的每个本地服务,请创建内部 HTTP(S) 或 TCP 代理负载均衡器,并使用 Private Service Connect 公开服务
  6. 为中转 VPC 配置适用于 Google API 的 Private Service Connect

配置混合连接

您可以使用专用互连、合作伙伴互连或 Cloud VPN 提供与着陆区的混合连接。以下步骤会创建此设计方案所需的初始混合连接资源:

  1. 如果您使用的是专用互连,请执行以下操作。如果您使用的是合作伙伴互连或 Cloud VPN,则可以跳过这些步骤。
    1. 为物理互连端口创建单独的项目
    2. 为该项目启用 Compute Engine API
    3. 创建专用互连连接
  2. 对于要在 VPC 网络中终止混合连接的每个区域,请执行以下操作:
    1. 创建两个专用或合作伙伴 VLAN 连接,每个边缘可用区对应一个。在此过程中,您需要选择 Cloud Router 路由器并创建 BGP 会话。
    2. 配置对等网络(本地或其他云网络)路由器。

配置工作负载项目

为每个工作负载创建单独的 VPC:

  1. 创建新项目以托管您的工作负载。
  2. 为该项目启用 Compute Engine API
  3. 创建自定义模式 VPC 网络
  4. 在您计划部署工作负载的区域中创建子网。对于每个子网,启用专用 Google 访问通道,以允许仅具有内部 IP 地址的虚拟机实例访问 Google 服务
  5. 配置适用于 Google API 的 Private Service Connect
  6. 对于您要在不同 VPC 或本地环境中使用的每个工作负载,请创建 Private Service Connect 使用方端点
  7. 对于您要为不同 VPC 或本地环境提供的每个工作负载,请为服务创建内部负载均衡器和服务连接。在决定您的 IP 地址规划时,请考虑调整 Private Service Connect 子网大小
  8. 如果服务应能够从本地环境访问,请在中转 VPC 中创建 Private Service Connect 使用方端点

配置 Cloud NAT

如果特定区域的工作负载需要出站互联网访问权限(例如下载软件包或更新时),请按照以下步骤操作。

  1. 在工作负载需要出站互联网访问权限的区域中创建 Cloud NAT 网关。您可以根据需要自定义 Cloud NAT 配置,以仅允许来自特定子网的出站连接。
  2. 至少启用 Cloud NAT 日志记录,以便网关记录 ERRORS_ONLY。如需包含 Cloud NAT 执行的转换的日志,请将每个网关配置为记录 ALL

配置可观测性

Network Intelligence Center 提供了一种对云网络环境进行监控、问题排查和直观呈现的统一方式。使用此方法可确保您的设计与预期意图相符。

以下配置支持分析启用的日志记录和指标。

  • 您必须先启用 Network Management API,然后才能运行 Connectivity Tests。如需直接使用此 API、Google Cloud CLI 或 Google Cloud 控制台,您必须启用此 API。
  • 您必须先启用 Firewall Insights API,然后才能使用防火墙数据分析执行任何任务。

后续步骤

此网络设计方案的初始配置现已完成。现在,您可以重复这些步骤来配置着陆区环境的其他实例(例如预演环境或生产环境),也可以继续确定 Google Cloud 着陆区的安全性

后续步骤