Implementare la progettazione della tua rete per la zona di destinazione di Google Cloud

Last reviewed 2023-09-11 UTC

Questo documento fornisce istruzioni e procedure da seguire per implementare la rete scelta il design dopo la revisione Decidi la progettazione della rete per la tua zona di destinazione di Google Cloud. Se non l'hai ancora fatto, consulta Progettazione della zona di destinazione in Google Cloud prima di scegliere un'opzione.

Queste istruzioni sono rivolte a tecnici di rete, architetti e tecnici coinvolti nella creazione della progettazione di rete per zona di destinazione dell'organizzazione.

Opzioni di progettazione della rete

In base alla progettazione della rete scelta, completa una delle seguenti operazioni:

Crea opzione 1: rete VPC condiviso per ogni ambiente

Se hai scelto di creare Rete VPC condivisa per ogni ambiente in "Decidere la progettazione della rete per la zona di destinazione di Google Cloud", segui questo .

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno più di una zona di destinazione, ad esempio una per lo sviluppo e una per la produzione, ripeti i passaggi per ogni zona di destinazione.

Limita l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte risorse Google API e servizi tramite l'accesso privato Google. Accesso privato Google è abilitata a livello di subnet e consente alle risorse di interagire e isolarli dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare a risorse di tutti i progetti, purché dispongano delle autorizzazioni IAM corrette. Per maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite tipi di risorse che possono causare accessi a internet involontari. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza la istruzioni alla pagina Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa della regola di forwarding con un IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni dell'intera organizzazione. Per i progetti autorizzati a utilizzare le regole di forwarding esterno, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:personalizzati
  • Tipo di criterio:Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, consente la connettività sia in uscita che in entrata con internet.

Applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'uso di indirizzi IP esterni con istanze VM. Per carichi di lavoro richiedono indirizzi IP esterni sulle singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. Oppure per sovrascrivere il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:Nega tutti

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 esterno VPC, se impostato su True, impedisce la configurazione delle subnet VPC con indirizzi IPv6 esterni per le VM di Compute Engine.

  • Si applica a: Personalizza
  • Applicazione:On

Disabilita creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. Questo è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica. o integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disattivare l'impostazione predefinita Creazione di un VPC per nuovi progetti. Puoi creare manualmente la rete predefinita all'interno di un progetto, se necessario.

  • Si applica a: Personalizza
  • Applicazione:On

Progettare le regole firewall

Con le regole firewall puoi consentire o negare il traffico da o verso le tue VM in base a una configurazione da te definita. Criteri firewall gerarchici sono implementati a livello di organizzazione e cartella, mentre il firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme forniscono una funzionalità importante per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, utilizza quanto segue per la progettazione e la valutazione delle regole firewall:

  • Implementare il privilegio minimo (o microsegmentazione). principi. Blocca tutto il traffico per impostazione predefinita e consenti solo lo specifico il traffico di cui hai bisogno. Ciò include la limitazione delle regole ai soli protocolli e le porte necessarie per ogni carico di lavoro.
  • Attiva il logging delle regole firewall per visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'allocazione delle priorità delle regole firewall. Ad esempio, ti consigliamo di riservare una serie di numeri bassi in ogni per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di assegni la priorità a regole più specifiche più in alto di quelle più generali, assicura che le regole specifiche non siano oscurate dalle regole generali. La l'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Scopo

0-999
Riservato per risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per i carichi di lavoro

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Riservato

Configura criteri firewall gerarchici

Criteri firewall gerarchici consentono di creare e applicare un criterio firewall coerente dell'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci i criteri firewall gerarchici per implementare il seguente accesso alla rete controlli:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per TCP è consentito attraverso un criterio di sicurezza che consente il traffico dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Gli intervalli noti per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluse quelle interne Bilanciamento del carico TCP/UDP, bilanciamento del carico HTTP(S) interno, TCP esterno Bilanciamento del carico del proxy, bilanciamento del carico del proxy SSL esterno e HTTP(S) del carico), viene definito un criterio di sicurezza che consente il traffico in entrata traffico dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che Abilita i controlli di integrità legacy consentendo il traffico in entrata da intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura il tuo ambiente VPC condiviso

Prima di implementare una progettazione di un VPC condiviso, decidi come condividere le subnet dei progetti di servizio. Puoi collegare un progetto di servizio a un progetto host. Per determinare quali subnet sono disponibili per il progetto di servizio, assegni le autorizzazioni IAM al progetto host o alle singole subnet. Ad esempio, puoi scegliere di dedicare una subnet diversa a ciascun progetto di servizio o condividi le stesse subnet tra i progetti di servizio.

  1. Creare un nuovo progetto per il VPC condiviso. Più avanti nel processo, questo progetto diventa l'host progetto e contiene le reti e le risorse di networking da condividere con i progetti di servizio.
  2. Abilita l'API Compute Engine per il progetto host.
  3. Configura un VPC condiviso per il progetto.
  4. Crea il rete VPC in modalità personalizzata nel progetto host.
  5. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita Accesso privato Google per consentire le istanze VM senza indirizzi IP esterni per raggiungere i servizi Google.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'esterno accesso a internet, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire solo la connettività in uscita da subnet specifiche, se necessario.
  2. Come minimo, abilita il logging di Cloud NAT il gateway possa registrare ERRORS_ONLY. Per includere i log per le traduzioni eseguita da Cloud NAT, configura ciascun gateway per registrare ALL.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN fornire connettività ibrida alla tua zona di destinazione. I passaggi seguenti consentono di creare risorse di connettività ibrida iniziali richieste per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzando Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilita l'API Compute Engine per il progetto.
    3. Creare connessioni Dedicated Interconnect.
  2. Per ogni regione in cui interrompi la connettività ibrida nel rete VPC, segui questi passaggi:
    1. Creare due partner o partner dedicati Collegamenti VLAN, una per ogni zona di disponibilità perimetrale. Nell'ambito di questa procedura, devi selezionare router Cloud e creare sessioni BGP.
    2. Configurare i router della rete peer (on-premise o altri cloud).

Configura progetti dei carichi di lavoro

Crea un progetto di servizio separato per ogni carico di lavoro:

  1. Creare un nuovo progetto affinché funzioni come uno dei progetti di servizio per il VPC condiviso.
  2. Abilita l'API Compute Engine per il progetto di servizio.
  3. Collega il progetto al progetto host.
  4. Configura l'accesso a tutte le subnet nel progetto host o alcune subnet nel progetto host.

Configura l'osservabilità

Network Intelligence Center offre un modo coerente per monitorare, e visualizzare l'ambiente di networking cloud. Utilizzala per assicurarti che progettare funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche in un bucket con il controllo delle versioni attivo.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Tu puoi ripetere questi passaggi per configurare un'istanza aggiuntiva del l'ambiente della zona di destinazione, ad esempio un ambiente di gestione temporanea o di produzione oppure continua con Stabilisci la sicurezza per la tua zona di destinazione di Google Cloud.

Crea l'opzione 2: topologia hub e spoke con appliance centralizzate

Se hai scelto di creare topologia hub e spoke con appliance centralizzate in "Decidere la progettazione della rete per la zona di destinazione di Google Cloud", segui questo .

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno più di una zona di destinazione, ad esempio una per lo sviluppo e una per la produzione, ripeti i passaggi per ogni zona di destinazione.

Limita l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte risorse Google API e servizi tramite l'accesso privato Google. Accesso privato Google è abilitata a livello di subnet e consente alle risorse di interagire e isolarli dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare a risorse di tutti i progetti, purché dispongano delle autorizzazioni IAM corrette. Per maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite tipi di risorse che possono causare accessi a internet involontari. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza la istruzioni alla pagina Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa della regola di forwarding con un IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni dell'intera organizzazione. Per i progetti autorizzati a utilizzare le regole di forwarding esterno, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:personalizzati
  • Tipo di criterio:Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, consente la connettività sia in uscita che in entrata con internet.

Applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'uso di indirizzi IP esterni con istanze VM. Per carichi di lavoro richiedono indirizzi IP esterni sulle singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. Oppure per sovrascrivere il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:Nega tutti

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 esterno VPC, se impostato su True, impedisce la configurazione delle subnet VPC con indirizzi IPv6 esterni per le VM di Compute Engine.

  • Si applica a: Personalizza
  • Applicazione:On

Disabilita creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. Questo è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica. o integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disattivare l'impostazione predefinita Creazione di un VPC per nuovi progetti. Puoi creare manualmente la rete predefinita all'interno di un progetto, se necessario.

  • Si applica a: Personalizza
  • Applicazione:On

Progettare le regole firewall

Con le regole firewall puoi consentire o negare il traffico da o verso le tue VM in base a una configurazione da te definita. Criteri firewall gerarchici sono implementati a livello di organizzazione e cartella, mentre il firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme forniscono una funzionalità importante per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, utilizza quanto segue per la progettazione e la valutazione delle regole firewall:

  • Implementare il privilegio minimo (o microsegmentazione). principi. Blocca tutto il traffico per impostazione predefinita e consenti solo lo specifico il traffico di cui hai bisogno. Ciò include la limitazione delle regole ai soli protocolli e le porte necessarie per ogni carico di lavoro.
  • Attiva il logging delle regole firewall per visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'allocazione delle priorità delle regole firewall. Ad esempio, ti consigliamo di riservare una serie di numeri bassi in ogni per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di assegni la priorità a regole più specifiche più in alto di quelle più generali, assicura che le regole specifiche non siano oscurate dalle regole generali. La l'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Scopo

0-999
Riservato per risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per i carichi di lavoro

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Riservato

Configura criteri firewall gerarchici

Criteri firewall gerarchici consentono di creare e applicare un criterio firewall coerente dell'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci i criteri firewall gerarchici per implementare il seguente accesso alla rete controlli:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per TCP è consentito attraverso un criterio di sicurezza che consente il traffico dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Gli intervalli noti per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluse quelle interne Bilanciamento del carico TCP/UDP, bilanciamento del carico HTTP(S) interno, TCP esterno Bilanciamento del carico del proxy, bilanciamento del carico del proxy SSL esterno e HTTP(S) del carico), viene definito un criterio di sicurezza che consente il traffico in entrata traffico dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che Abilita i controlli di integrità legacy consentendo il traffico in entrata da intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura il tuo ambiente VPC

Le reti VPC di transito e hub forniscono le risorse di networking per abilitare connettività tra reti VPC dello spoke del carico di lavoro e reti VPC on-premise o multi-cloud reti.

  1. Creare un nuovo progetto per le reti VPC hub e di transito. Entrambe le reti VPC fanno parte della stessa per supportare la connettività attraverso le appliance di rete virtuale.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea la rete VPC in modalità personalizzata di transito.
  4. Nella rete VPC di transito, crea una subnet nelle regioni in cui prevedi di eseguire il deployment delle appliance di rete virtuale.
  5. Crea la rete VPC in modalità personalizzata dell'hub.
  6. Nella rete VPC hub, crea una subnet nelle regioni in cui prevedi di eseguire il deployment delle appliance di rete virtuale.
  7. Configura criteri firewall di rete globali o regionali per consentire il traffico in entrata e in uscita per le appliance virtuali di rete.
  8. Crea un gruppo di istanze gestite per le appliance di rete virtuale.
  9. Configura le risorse di bilanciamento del carico TCP/UDP interno per il VPC di transito. Questo bilanciatore del carico viene utilizzato per il routing del traffico da il VPC di transito al VPC hub attraverso le appliance di rete virtuale.
  10. Configura le risorse di bilanciamento del carico TCP/UDP interno per il VPC dell'hub. Questo bilanciatore del carico viene utilizzato per il routing del traffico il VPC hub al VPC di transito attraverso le appliance di rete virtuale.
  11. Configura Private Service Connect per le API di Google per il VPC dell'hub.
  12. Modifica route VPC per inviare tutto il traffico attraverso le appliance virtuali di rete:
      .
    1. Elimina la route 0.0.0.0/0 con hop successivo default-internet-gateway dal VPC hub.
    2. Configura una nuova route con destinazione 0.0.0.0/0 e un nell'hop successivo della regola di forwarding per il bilanciatore del carico nel VPC dell'hub.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'esterno accesso a internet, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire solo la connettività in uscita da subnet specifiche, se necessario.
  2. Come minimo, abilita il logging di Cloud NAT il gateway possa registrare ERRORS_ONLY. Per includere i log per le traduzioni eseguita da Cloud NAT, configura ciascun gateway per registrare ALL.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN fornire connettività ibrida alla tua zona di destinazione. I passaggi seguenti consentono di creare risorse di connettività ibrida iniziali richieste per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzando Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilita l'API Compute Engine per il progetto.
    3. Creare connessioni Dedicated Interconnect.
  2. Per ogni regione in cui viene interrotta la connettività ibrida nel rete VPC, segui questi passaggi:
    1. Creare due partner o partner dedicati Collegamenti VLAN, una per ogni zona di disponibilità perimetrale. Nell'ambito di questa procedura, devi selezionare router Cloud e creare sessioni BGP.
    2. Configurare i router della rete peer (on-premise o altri cloud).
    3. Configura route annunciate personalizzate nei router Cloud per gli intervalli di subnet nei VPC dell'hub e dei carichi di lavoro.

Configura progetti dei carichi di lavoro

Crea un VPC spoke separato per ogni carico di lavoro:

  1. Creare un nuovo progetto per l'hosting del carico di lavoro.
  2. Abilita l'API Compute Engine per il progetto.
  3. Configura il peering di rete VPC tra il VPC dello spoke del carico di lavoro e il VPC hub con le seguenti impostazioni:
      .
    • Abilita l'esportazione delle route personalizzate sul VPC hub.
    • Abilita l'importazione di route personalizzate sul VPC dello spoke dei carichi di lavoro.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita Accesso privato Google per consentire le istanze VM con solo IP interno per raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.
  6. instradare tutto il traffico attraverso le appliance di rete virtuali nell'hub. VPC, elimina la route 0.0.0.0/0 con hop successivo default-internet-gateway dal VPC dello spoke del carico di lavoro.
  7. Configura criteri firewall di rete globali o regionali per consentire il traffico in entrata e in uscita dal carico di lavoro.

Configura l'osservabilità

Network Intelligence Center offre un modo coerente per monitorare, e visualizzare l'ambiente di networking cloud. Utilizzala per assicurarti che progettare funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche in un bucket con il controllo delle versioni attivo.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Tu puoi ripetere questi passaggi per configurare un'istanza aggiuntiva del l'ambiente della zona di destinazione, ad esempio un ambiente di gestione temporanea o di produzione oppure continua con Stabilisci la sicurezza per la tua zona di destinazione di Google Cloud.

Crea opzione 3: topologia hub e spoke senza appliance es

Se hai scelto di creare topologia hub e spoke senza appliance in "Decidere la progettazione della rete per la zona di destinazione di Google Cloud", segui questo .

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno più di una zona di destinazione, ad esempio una per lo sviluppo e una per la produzione, ripeti i passaggi per ogni zona di destinazione.

Limita l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte risorse Google API e servizi tramite l'accesso privato Google. Accesso privato Google è abilitata a livello di subnet e consente alle risorse di interagire e isolarli dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare a risorse di tutti i progetti, purché dispongano delle autorizzazioni IAM corrette. Per maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite tipi di risorse che possono causare accessi a internet involontari. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza la istruzioni alla pagina Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa della regola di forwarding con un IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni dell'intera organizzazione. Per i progetti autorizzati a utilizzare le regole di forwarding esterno, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:personalizzati
  • Tipo di criterio:Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, consente la connettività sia in uscita che in entrata con internet.

Applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'uso di indirizzi IP esterni con istanze VM. Per carichi di lavoro richiedono indirizzi IP esterni sulle singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. Oppure per sovrascrivere il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:Nega tutti

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 esterno VPC, se impostato su True, impedisce la configurazione delle subnet VPC con indirizzi IPv6 esterni per le VM di Compute Engine.

  • Si applica a: Personalizza
  • Applicazione:On

Disabilita creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. Questo è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica. o integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disattivare l'impostazione predefinita Creazione di un VPC per nuovi progetti. Puoi creare manualmente la rete predefinita all'interno di un progetto, se necessario.

  • Si applica a: Personalizza
  • Applicazione:On

Progettare le regole firewall

Con le regole firewall puoi consentire o negare il traffico da o verso le tue VM in base a una configurazione da te definita. Criteri firewall gerarchici sono implementati a livello di organizzazione e cartella, mentre il firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme forniscono una funzionalità importante per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, utilizza quanto segue per la progettazione e la valutazione delle regole firewall:

  • Implementare il privilegio minimo (o microsegmentazione). principi. Blocca tutto il traffico per impostazione predefinita e consenti solo lo specifico il traffico di cui hai bisogno. Ciò include la limitazione delle regole ai soli protocolli e le porte necessarie per ogni carico di lavoro.
  • Attiva il logging delle regole firewall per visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'allocazione delle priorità delle regole firewall. Ad esempio, ti consigliamo di riservare una serie di numeri bassi in ogni per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di assegni la priorità a regole più specifiche più in alto di quelle più generali, assicura che le regole specifiche non siano oscurate dalle regole generali. La l'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Scopo

0-999
Riservato per risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per i carichi di lavoro

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Riservato

Configura criteri firewall gerarchici

Criteri firewall gerarchici consentono di creare e applicare un criterio firewall coerente dell'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci i criteri firewall gerarchici per implementare il seguente accesso alla rete controlli:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per TCP è consentito attraverso un criterio di sicurezza che consente il traffico dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Gli intervalli noti per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluse quelle interne Bilanciamento del carico TCP/UDP, bilanciamento del carico HTTP(S) interno, TCP esterno Bilanciamento del carico del proxy, bilanciamento del carico del proxy SSL esterno e HTTP(S) del carico), viene definito un criterio di sicurezza che consente il traffico in entrata traffico dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che Abilita i controlli di integrità legacy consentendo il traffico in entrata da intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

configura l'ambiente VPC hub

Il VPC hub fornisce le risorse di networking per abilitare la connettività tra reti VPC con spoke dei carichi di lavoro e reti on-premise o multi-cloud.

  1. Creare un nuovo progetto per la rete VPC dell'hub.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea l'hub rete VPC in modalità personalizzata.
  4. Configura Private Service Connect per le API di Google per il VPC dell'hub.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN fornire connettività ibrida alla tua zona di destinazione. I passaggi seguenti consentono di creare risorse di connettività ibrida iniziali richieste per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzando Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilita l'API Compute Engine per il progetto.
    3. Creare connessioni Dedicated Interconnect.
  2. Per ogni regione in cui viene interrotta la connettività ibrida nel rete VPC, segui questi passaggi:
    1. Creare due partner o partner dedicati Collegamenti VLAN, una per ogni zona di disponibilità perimetrale. Nell'ambito di questa procedura, devi selezionare router Cloud e creare sessioni BGP.
    2. Configurare i router della rete peer (on-premise o altri cloud).
    3. Configura route annunciate personalizzate nei router Cloud per gli intervalli di subnet nei VPC dell'hub e dei carichi di lavoro.

Configura progetti dei carichi di lavoro

Crea un VPC spoke separato per ogni carico di lavoro:

  1. Creare un nuovo progetto per l'hosting del carico di lavoro.
  2. Abilita l'API Compute Engine per il progetto.
  3. Configura il peering di rete VPC tra il VPC dello spoke del carico di lavoro e il VPC hub, con le seguenti impostazioni:
      .
    • Abilita l'esportazione delle route personalizzate sul VPC hub.
    • Abilita l'importazione di route personalizzate sul VPC dello spoke dei carichi di lavoro.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita Accesso privato Google per consentire le istanze VM con solo IP interno per raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'esterno accesso a internet, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire solo la connettività in uscita da subnet specifiche, se necessario.
  2. Come minimo, abilita il logging di Cloud NAT il gateway possa registrare ERRORS_ONLY. Per includere i log per le traduzioni eseguita da Cloud NAT, configura ciascun gateway per registrare ALL.

Configura l'osservabilità

Network Intelligence Center offre un modo coerente per monitorare, e visualizzare l'ambiente di networking cloud. Utilizzala per assicurarti che progettare funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche in un bucket con il controllo delle versioni attivo.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Tu puoi ripetere questi passaggi per configurare un'istanza aggiuntiva del l'ambiente della zona di destinazione, ad esempio un ambiente di gestione temporanea o di produzione oppure continua con Stabilisci la sicurezza per la tua zona di destinazione di Google Cloud.

Crea opzione 4: esponi i servizi in un modello consumer-producer con Private Service Connect

Se hai scelto di esporre i servizi in un modello consumer-producer con Private Service Connect per la zona di destinazione, come descritto in "Decidere la progettazione della rete zona di destinazione di Google Cloud", segui questa procedura.

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno più di una zona di destinazione, ad esempio una per lo sviluppo e una per la produzione, ripeti i passaggi per ogni zona di destinazione.

Limita l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte risorse Google API e servizi tramite l'accesso privato Google. Accesso privato Google è abilitata a livello di subnet e consente alle risorse di interagire e isolarli dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare a risorse di tutti i progetti, purché dispongano delle autorizzazioni IAM corrette. Per maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite tipi di risorse che possono causare accessi a internet involontari. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza la istruzioni alla pagina Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa della regola di forwarding con un IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni dell'intera organizzazione. Per i progetti autorizzati a utilizzare le regole di forwarding esterno, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:personalizzati
  • Tipo di criterio:Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, consente la connettività sia in uscita che in entrata con internet.

Applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'uso di indirizzi IP esterni con istanze VM. Per carichi di lavoro richiedono indirizzi IP esterni sulle singole istanze VM, modifica il vincolo a livello di cartella o progetto per specificare le singole istanze VM. Oppure per sovrascrivere il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:Nega tutti

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 esterno VPC, se impostato su True, impedisce la configurazione delle subnet VPC con indirizzi IPv6 esterni per le VM di Compute Engine.

  • Si applica a: Personalizza
  • Applicazione:On

Disabilita creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. Questo è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica. o integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disattivare l'impostazione predefinita Creazione di un VPC per nuovi progetti. Puoi creare manualmente la rete predefinita all'interno di un progetto, se necessario.

  • Si applica a: Personalizza
  • Applicazione:On

Progettare le regole firewall

Con le regole firewall puoi consentire o negare il traffico da o verso le tue VM in base a una configurazione da te definita. Criteri firewall gerarchici sono implementati a livello di organizzazione e cartella, mentre il firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme forniscono una funzionalità importante per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, utilizza quanto segue per la progettazione e la valutazione delle regole firewall:

  • Implementare il privilegio minimo (o microsegmentazione). principi. Blocca tutto il traffico per impostazione predefinita e consenti solo lo specifico il traffico di cui hai bisogno. Ciò include la limitazione delle regole ai soli protocolli e le porte necessarie per ogni carico di lavoro.
  • Attiva il logging delle regole firewall per visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'allocazione delle priorità delle regole firewall. Ad esempio, ti consigliamo di riservare una serie di numeri bassi in ogni per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di assegni la priorità a regole più specifiche più in alto di quelle più generali, assicura che le regole specifiche non siano oscurate dalle regole generali. La l'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Scopo

0-999
Riservato per risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per i carichi di lavoro

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Riservato

Configura criteri firewall gerarchici

Criteri firewall gerarchici consentono di creare e applicare un criterio firewall coerente dell'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci i criteri firewall gerarchici per implementare il seguente accesso alla rete controlli:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per TCP è consentito attraverso un criterio di sicurezza che consente il traffico dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Gli intervalli noti per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (incluse quelle interne Bilanciamento del carico TCP/UDP, bilanciamento del carico HTTP(S) interno, TCP esterno Bilanciamento del carico del proxy, bilanciamento del carico del proxy SSL esterno e HTTP(S) del carico), viene definito un criterio di sicurezza che consente il traffico in entrata traffico dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 80 e 443.
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che Abilita i controlli di integrità legacy consentendo il traffico in entrata da intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

configura l'ambiente VPC

Il VPC di transito fornisce le risorse di networking per abilitare la connettività tra reti VPC con spoke dei carichi di lavoro e reti on-premise o multi-cloud.

  1. Creare un nuovo progetto per la rete VPC di transito.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea il trasporto pubblico rete VPC in modalità personalizzata.
  4. Crea una subnet Private Service Connect in per ogni regione in cui prevedi di pubblicare servizi in esecuzione nel VPC hub dell'ambiente on-premise. Prendi in considerazione Dimensioni della subnet Private Service Connect quando decidete il piano di indirizzi IP.
  5. Per ogni servizio on-premise che vuoi esporre ai carichi di lavoro in esecuzione Google Cloud, crea un bilanciatore del carico HTTP(S) o proxy TCP interno ed esporre i servizi utilizzando Private Service Connect.
  6. Configura Private Service Connect per le API di Google per il VPC di transito.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN fornire connettività ibrida alla tua zona di destinazione. I passaggi seguenti consentono di creare risorse di connettività ibrida iniziali richieste per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzando Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilita l'API Compute Engine per il progetto.
    3. Creare connessioni Dedicated Interconnect.
  2. Per ogni regione in cui viene interrotta la connettività ibrida nel rete VPC, segui questi passaggi:
    1. Creare due partner o partner dedicati Collegamenti VLAN, una per ogni zona di disponibilità perimetrale. Nell'ambito di questa procedura, devi selezionare router Cloud e creare sessioni BGP.
    2. Configurare i router della rete peer (on-premise o altri cloud).

Configura progetti dei carichi di lavoro

Crea un VPC separato per ogni carico di lavoro:

  1. Creare un nuovo progetto per l'hosting del carico di lavoro.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea un rete VPC in modalità personalizzata.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita Accesso privato Google per consentire le istanze VM con solo IP interno per raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.
  6. Per ogni carico di lavoro utilizzato da un VPC diverso in un ambiente on-premise, crea un endpoint consumer Private Service Connect.
  7. Per ogni carico di lavoro che stai producendo per un VPC diverso in un ambiente on-premise, crea un bilanciatore del carico interno e un collegamento al servizio per il servizio. Prendi in considerazione Dimensioni della subnet Private Service Connect quando decidi il tuo piano di indirizzi IP.
  8. Se il servizio deve essere raggiungibile dal tuo ambiente on-premise, crea un endpoint consumer Private Service Connect nel VPC di transito.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'esterno accesso a internet, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire solo la connettività in uscita da subnet specifiche, se necessario.
  2. Come minimo, abilita il logging di Cloud NAT il gateway possa registrare ERRORS_ONLY. Per includere i log per le traduzioni eseguita da Cloud NAT, configura ciascun gateway per registrare ALL.

Configura l'osservabilità

Network Intelligence Center offre un modo coerente per monitorare, e visualizzare l'ambiente di networking cloud. Utilizzala per assicurarti che progettare funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche in un bucket con il controllo delle versioni attivo.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Tu puoi ripetere questi passaggi per configurare un'istanza aggiuntiva del l'ambiente della zona di destinazione, ad esempio un ambiente di gestione temporanea o di produzione oppure continua con Stabilisci la sicurezza per la tua zona di destinazione di Google Cloud.

Passaggi successivi