Implementare la progettazione della tua rete per la zona di destinazione di Google Cloud

Last reviewed 2023-09-11 UTC

Questo documento fornisce i passaggi e indicazioni per implementare la progettazione della rete scelta dopo aver letto la pagina Decidere la progettazione della rete per la zona di destinazione di Google Cloud. Se non lo hai già fatto, consulta Progettazione della zona di destinazione in Google Cloud prima di scegliere un'opzione.

Queste istruzioni sono rivolte a ingegneri di rete, architetti e professionisti tecnici coinvolti nella creazione della progettazione della rete per la zona di destinazione della tua organizzazione.

Opzioni di progettazione della rete

In base alla progettazione della rete scelta, completa una delle seguenti operazioni:

Crea opzione 1: rete VPC condiviso per ogni ambiente

Se hai scelto di creare la rete VPC condivisa per ogni ambiente nella sezione "Decidi la progettazione della rete per la zona di destinazione di Google Cloud", segui questa procedura.

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno di più di una zona di destinazione, ad esempio una per lo sviluppo e una per la produzione, ripeti i passaggi per ciascuna zona di destinazione.

Limita l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e servizi Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i servizi Google chiave, isolandole dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, purché dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare accessi a internet involontari. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza le istruzioni in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa regola di forwarding con un indirizzo IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a usare regole di forwarding esterni, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:personalizzati
  • Tipo di criterio:Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività sia in uscita che in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto in modo da specificare le singole istanze VM. In alternativa, sostituisci il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:Nega tutti

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 esterno VPC, se impostato su True, impedisce la configurazione delle subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione:On

Disattiva creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. Ciò è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o un'integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disabilitare la creazione di VPC predefinita per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione:On

Progettare le regole firewall

Con le regole firewall puoi consentire o negare il traffico da o verso le tue VM in base a una configurazione che hai definito. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme forniscono una funzionalità importante per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, utilizza le seguenti linee guida durante la progettazione e la valutazione delle regole firewall:

  • Implementa i principi del privilegio minimo (chiamati anche principi di microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ciascun carico di lavoro.
  • Abilita il logging delle regole firewall per visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'allocazione delle priorità delle regole firewall. Ad esempio, la best practice prevede di riservare una serie di numeri bassi in ogni criterio per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità a regole più specifiche più in alto di quelle più generali, per assicurarti che le regole specifiche non siano oscurate dalle regole generali. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Finalità

0-999
Riservato per risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il carico di lavoro

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Prenotato

Configura criteri firewall gerarchici

I criteri firewall gerarchici consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci i criteri firewall gerarchici per implementare i seguenti controlli dell'accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito attraverso un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (inclusi bilanciamento del carico TCP/UDP interno, bilanciamento del carico HTTP(S) interno, bilanciamento del carico del proxy TCP esterno, bilanciamento del carico proxy SSL esterno e bilanciamento del carico HTTP(S), viene definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 380
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che abilita i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura il tuo ambiente VPC condiviso

Prima di implementare una progettazione per un VPC condiviso, devi decidere come condividere le subnet con i progetti di servizio. Puoi collegare un progetto di servizio a un progetto host. Per determinare quali subnet sono disponibili per il progetto di servizio, assegna le autorizzazioni IAM al progetto host o alle singole subnet. Ad esempio, puoi scegliere di dedicare una subnet diversa a ogni progetto di servizio o condividere le stesse subnet tra i progetti di servizio.

  1. Crea un nuovo progetto per il VPC condiviso. Più avanti in questo processo, questo progetto diventa il progetto host e contiene le reti e le risorse di networking da condividere con i progetti di servizio.
  2. Abilita l'API Compute Engine per il progetto host.
  3. Configura il VPC condiviso per il progetto.
  4. Crea la rete VPC in modalità personalizzata nel progetto host.
  5. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM senza indirizzi IP esterni di raggiungere i servizi Google.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire la connettività in uscita solo da subnet specifiche, se necessario.
  2. Come minimo, abilita il logging di Cloud NAT affinché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ciascun gateway in modo da registrare ALL.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I passaggi seguenti creano le risorse di connettività ibrida iniziali necessarie per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilita l'API Compute Engine per il progetto.
    3. Creare connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC, segui questi passaggi:
    1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questo processo, devi selezionare i router Cloud e creare sessioni BGP.
    2. Configurare i router della rete peer (on-premise o altri cloud).

Configura progetti dei carichi di lavoro

Crea un progetto di servizio separato per ogni carico di lavoro:

  1. Crea un nuovo progetto che funzioni come uno dei progetti di servizio per il VPC condiviso.
  2. Abilita l'API Compute Engine per il progetto di servizio.
  3. Collega il progetto al progetto host.
  4. Configura l'accesso a tutte le subnet nel progetto host o ad alcune subnet nel progetto host.

Configura l'osservabilità

Network Intelligence Center offre un modo coerente per monitorare, visualizzare i problemi e visualizzare l'ambiente di networking cloud. Usalo per assicurarti che la progettazione funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche abilitate.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'istanza aggiuntiva dell'ambiente della zona di destinazione, ad esempio un ambiente di gestione temporanea o di produzione, oppure passare al passaggio Decidere la sicurezza per la zona di destinazione di Google Cloud.

Crea l'opzione 2: topologia hub e spoke con appliance centralizzate

Se hai scelto di creare la topologia hub e parlato con appliance centralizzate nella sezione "Decidi la progettazione della rete per la tua zona di destinazione Google Cloud", segui questa procedura.

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno di più di una zona di destinazione, ad esempio una per lo sviluppo e una per la produzione, ripeti i passaggi per ciascuna zona di destinazione.

Limita l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e servizi Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i servizi Google chiave, isolandole dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, purché dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare accessi a internet involontari. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza le istruzioni in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa regola di forwarding con un indirizzo IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a usare regole di forwarding esterni, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:personalizzati
  • Tipo di criterio:Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività sia in uscita che in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto in modo da specificare le singole istanze VM. In alternativa, sostituisci il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:Nega tutti

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 esterno VPC, se impostato su True, impedisce la configurazione delle subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione:On

Disattiva creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. Ciò è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o un'integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disabilitare la creazione di VPC predefinita per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione:On

Progettare le regole firewall

Con le regole firewall puoi consentire o negare il traffico da o verso le tue VM in base a una configurazione che hai definito. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme forniscono una funzionalità importante per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, utilizza le seguenti linee guida durante la progettazione e la valutazione delle regole firewall:

  • Implementa i principi del privilegio minimo (chiamati anche principi di microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ciascun carico di lavoro.
  • Abilita il logging delle regole firewall per visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'allocazione delle priorità delle regole firewall. Ad esempio, la best practice prevede di riservare una serie di numeri bassi in ogni criterio per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità a regole più specifiche più in alto di quelle più generali, per assicurarti che le regole specifiche non siano oscurate dalle regole generali. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Finalità

0-999
Riservato per risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il carico di lavoro

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Prenotato

Configura criteri firewall gerarchici

I criteri firewall gerarchici consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci i criteri firewall gerarchici per implementare i seguenti controlli dell'accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito attraverso un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (inclusi bilanciamento del carico TCP/UDP interno, bilanciamento del carico HTTP(S) interno, bilanciamento del carico del proxy TCP esterno, bilanciamento del carico proxy SSL esterno e bilanciamento del carico HTTP(S), viene definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 380
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che abilita i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

Configura il tuo ambiente VPC

Le reti VPC di transito e hub forniscono le risorse di networking per consentire la connettività tra reti VPC dello spoke dei carichi di lavoro e reti on-premise o multi-cloud.

  1. Crea un nuovo progetto per le reti VPC hub e di transito. Le reti VPC fanno parte dello stesso progetto per supportare la connettività attraverso le appliance di rete virtuale.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea la rete VPC in modalità personalizzata di transito.
  4. Nella rete VPC di transito, crea una subnet nelle regioni in cui prevedi di eseguire il deployment delle appliance di rete virtuale.
  5. Crea la rete VPC in modalità personalizzata dell'hub.
  6. Nella rete VPC dell'hub, crea una subnet nelle regioni in cui prevedi di eseguire il deployment delle appliance di rete virtuale.
  7. Configura i criteri firewall di rete globali o regionali per consentire il traffico in entrata e in uscita per le appliance virtuali di rete.
  8. Crea un gruppo di istanze gestite per le appliance della rete virtuale.
  9. Configura le risorse di bilanciamento del carico TCP/UDP interno per il VPC di transito. Questo bilanciatore del carico viene utilizzato per instradare il traffico dal VPC di transito al VPC hub tramite le appliance di rete virtuale.
  10. Configura le risorse di bilanciamento del carico TCP/UDP interno per il VPC dell'hub. Questo bilanciatore del carico viene utilizzato per instradare il traffico dal VPC hub al VPC di transito attraverso le appliance di rete virtuale.
  11. Configura Private Service Connect per le API di Google per il VPC dell'hub.
  12. Modifica route VPC per inviare tutto il traffico attraverso le appliance virtuali di rete:
    1. Elimina la route 0.0.0.0/0 con hop successivo default-internet-gateway dal VPC hub.
    2. Configura una nuova route con destinazione 0.0.0.0/0 e un hop successivo della regola di forwarding per il bilanciatore del carico nel VPC dell'hub.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire la connettività in uscita solo da subnet specifiche, se necessario.
  2. Come minimo, abilita il logging di Cloud NAT affinché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ciascun gateway in modo da registrare ALL.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I passaggi seguenti creano le risorse di connettività ibrida iniziali necessarie per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilita l'API Compute Engine per il progetto.
    3. Creare connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC, segui questi passaggi:
    1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questo processo, devi selezionare i router Cloud e creare sessioni BGP.
    2. Configurare i router della rete peer (on-premise o altri cloud).
    3. Configura route annunciate personalizzate nei router Cloud per gli intervalli di subnet nei VPC dell'hub e dei carichi di lavoro.

Configura progetti dei carichi di lavoro

Crea un VPC spoke separato per ogni carico di lavoro:

  1. Crea un nuovo progetto per ospitare il tuo carico di lavoro.
  2. Abilita l'API Compute Engine per il progetto.
  3. Configura il peering di rete VPC tra il VPC dello spoke del carico di lavoro e il VPC hub con le seguenti impostazioni:
    • Abilita l'esportazione delle route personalizzate sul VPC hub.
    • Abilita l'importazione di route personalizzate sul VPC dello spoke dei carichi di lavoro.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con solo indirizzi IP interni di raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.
  6. Per instradare tutto il traffico attraverso le appliance di rete virtuali nel VPC hub, elimina la route 0.0.0.0/0 con hop successivo default-internet-gateway dal VPC dello spoke dei carichi di lavoro.
  7. Configura criteri firewall di rete globali o regionali per consentire il traffico in entrata e in uscita per il tuo carico di lavoro.

Configura l'osservabilità

Network Intelligence Center offre un modo coerente per monitorare, visualizzare i problemi e visualizzare l'ambiente di networking cloud. Usalo per assicurarti che la progettazione funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche abilitate.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'istanza aggiuntiva dell'ambiente della zona di destinazione, ad esempio un ambiente di gestione temporanea o di produzione, oppure passare al passaggio Decidere la sicurezza per la zona di destinazione di Google Cloud.

Crea opzione 3: topologia hub e spoke senza appliance es

Se hai scelto di creare la topologia hub e spoke senza appliance nella sezione "Decidi la progettazione della rete per la zona di destinazione di Google Cloud", segui questa procedura.

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno di più di una zona di destinazione, ad esempio una per lo sviluppo e una per la produzione, ripeti i passaggi per ciascuna zona di destinazione.

Limita l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e servizi Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i servizi Google chiave, isolandole dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, purché dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare accessi a internet involontari. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza le istruzioni in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa regola di forwarding con un indirizzo IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a usare regole di forwarding esterni, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:personalizzati
  • Tipo di criterio:Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività sia in uscita che in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto in modo da specificare le singole istanze VM. In alternativa, sostituisci il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:Nega tutti

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 esterno VPC, se impostato su True, impedisce la configurazione delle subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione:On

Disattiva creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. Ciò è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o un'integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disabilitare la creazione di VPC predefinita per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione:On

Progettare le regole firewall

Con le regole firewall puoi consentire o negare il traffico da o verso le tue VM in base a una configurazione che hai definito. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme forniscono una funzionalità importante per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, utilizza le seguenti linee guida durante la progettazione e la valutazione delle regole firewall:

  • Implementa i principi del privilegio minimo (chiamati anche principi di microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ciascun carico di lavoro.
  • Abilita il logging delle regole firewall per visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'allocazione delle priorità delle regole firewall. Ad esempio, la best practice prevede di riservare una serie di numeri bassi in ogni criterio per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità a regole più specifiche più in alto di quelle più generali, per assicurarti che le regole specifiche non siano oscurate dalle regole generali. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Finalità

0-999
Riservato per risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il carico di lavoro

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Prenotato

Configura criteri firewall gerarchici

I criteri firewall gerarchici consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci i criteri firewall gerarchici per implementare i seguenti controlli dell'accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito attraverso un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (inclusi bilanciamento del carico TCP/UDP interno, bilanciamento del carico HTTP(S) interno, bilanciamento del carico del proxy TCP esterno, bilanciamento del carico proxy SSL esterno e bilanciamento del carico HTTP(S), viene definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 380
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che abilita i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

configura l'ambiente VPC hub

Il VPC hub fornisce le risorse di networking per abilitare la connettività tra reti VPC spoke per carico di lavoro e reti on-premise o multi-cloud.

  1. Crea un nuovo progetto per la rete VPC dell'hub.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea la rete VPC in modalità personalizzata dell'hub.
  4. Configura Private Service Connect per le API di Google per il VPC dell'hub.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I passaggi seguenti creano le risorse di connettività ibrida iniziali necessarie per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilita l'API Compute Engine per il progetto.
    3. Creare connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC, segui questi passaggi:
    1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questo processo, devi selezionare i router Cloud e creare sessioni BGP.
    2. Configurare i router della rete peer (on-premise o altri cloud).
    3. Configura route annunciate personalizzate nei router Cloud per gli intervalli di subnet nei VPC dell'hub e dei carichi di lavoro.

Configura progetti dei carichi di lavoro

Crea un VPC spoke separato per ogni carico di lavoro:

  1. Crea un nuovo progetto per ospitare il tuo carico di lavoro.
  2. Abilita l'API Compute Engine per il progetto.
  3. Configura il peering di rete VPC tra il VPC dello spoke del carico di lavoro e il VPC hub con le seguenti impostazioni:
    • Abilita l'esportazione delle route personalizzate sul VPC hub.
    • Abilita l'importazione di route personalizzate sul VPC dello spoke dei carichi di lavoro.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con solo indirizzi IP interni di raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire la connettività in uscita solo da subnet specifiche, se necessario.
  2. Come minimo, abilita il logging di Cloud NAT affinché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ciascun gateway in modo da registrare ALL.

Configura l'osservabilità

Network Intelligence Center offre un modo coerente per monitorare, visualizzare i problemi e visualizzare l'ambiente di networking cloud. Usalo per assicurarti che la progettazione funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche abilitate.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'istanza aggiuntiva dell'ambiente della zona di destinazione, ad esempio un ambiente di gestione temporanea o di produzione, oppure passare al passaggio Decidere la sicurezza per la zona di destinazione di Google Cloud.

Crea opzione 4: esponi i servizi in un modello consumer-producer con Private Service Connect

Se hai scelto di esporre i servizi in un modello consumer-producer con Private Service Connect per la tua zona di destinazione, come descritto in "Decidere la progettazione della rete per la zona di destinazione di Google Cloud", segui questa procedura.

I passaggi seguenti creano una singola istanza di una zona di destinazione. Se hai bisogno di più di una zona di destinazione, ad esempio una per lo sviluppo e una per la produzione, ripeti i passaggi per ciascuna zona di destinazione.

Limita l'accesso esterno utilizzando un criterio dell'organizzazione

Ti consigliamo di limitare l'accesso diretto a internet solo alle risorse che ne hanno bisogno. Le risorse senza indirizzi esterni possono comunque accedere a molte API e servizi Google tramite l'accesso privato Google. L'accesso privato Google è abilitato a livello di subnet e consente alle risorse di interagire con i servizi Google chiave, isolandole dalla rete internet pubblica.

Per l'usabilità, la funzionalità predefinita di Google Cloud consente agli utenti di creare risorse in tutti i progetti, purché dispongano delle autorizzazioni IAM corrette. Per una maggiore sicurezza, ti consigliamo di limitare le autorizzazioni predefinite per i tipi di risorse che possono causare accessi a internet involontari. Puoi quindi autorizzare progetti specifici solo per consentire la creazione di queste risorse. Utilizza le istruzioni in Creazione e gestione dei criteri dell'organizzazione per impostare i seguenti vincoli.

Limita forwarding di protocollo in base al tipo di indirizzo IP

Il forwarding del protocollo stabilisce una risorsa regola di forwarding con un indirizzo IP esterno e consente di indirizzare il traffico a una VM.

Il vincolo Limita il forwarding del protocollo in base al tipo di indirizzo IP impedisce la creazione di regole di forwarding con indirizzi IP esterni per l'intera organizzazione. Per i progetti autorizzati a usare regole di forwarding esterni, puoi modificare il vincolo a livello di cartella o progetto.

Imposta i valori seguenti per configurare questo vincolo:

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:personalizzati
  • Tipo di criterio:Rifiuta
  • Valore personalizzato: IS:EXTERNAL

Definisci IP esterni consentiti per le istanze VM

Per impostazione predefinita, le singole istanze VM possono acquisire indirizzi IP esterni, il che consente la connettività sia in uscita che in entrata con internet.

L'applicazione del vincolo Definisci IP esterni consentiti per le istanze VM impedisce l'utilizzo di indirizzi IP esterni con istanze VM. Per i carichi di lavoro che richiedono indirizzi IP esterni su singole istanze VM, modifica il vincolo a livello di cartella o progetto in modo da specificare le singole istanze VM. In alternativa, sostituisci il vincolo per i progetti pertinenti.

  • Si applica a: Personalizza
  • Applicazione dei criteri:sostituisci
  • Valori dei criteri:Nega tutti

Disabilita l'utilizzo di IPv6 all'esterno di VPC

Il vincolo Disabilita l'utilizzo di IPv6 esterno VPC, se impostato su True, impedisce la configurazione delle subnet VPC con indirizzi IPv6 esterni per le istanze VM.

  • Si applica a: Personalizza
  • Applicazione:On

Disattiva creazione rete predefinita

Quando viene creato un nuovo progetto, viene creato automaticamente un VPC predefinito. Ciò è utile per esperimenti rapidi che non richiedono una configurazione di rete specifica o un'integrazione con un ambiente di networking aziendale più grande.

Configura il vincolo Ignora creazione rete predefinita per disabilitare la creazione di VPC predefinita per i nuovi progetti. Se necessario, puoi creare manualmente la rete predefinita all'interno di un progetto.

  • Si applica a: Personalizza
  • Applicazione:On

Progettare le regole firewall

Con le regole firewall puoi consentire o negare il traffico da o verso le tue VM in base a una configurazione che hai definito. I criteri firewall gerarchici vengono implementati a livello di organizzazione e cartella, mentre i criteri firewall di rete vengono implementati a livello di rete VPC nella gerarchia delle risorse. Insieme forniscono una funzionalità importante per proteggere i carichi di lavoro.

Indipendentemente da dove vengono applicati i criteri firewall, utilizza le seguenti linee guida durante la progettazione e la valutazione delle regole firewall:

  • Implementa i principi del privilegio minimo (chiamati anche principi di microsegmentazione). Blocca tutto il traffico per impostazione predefinita e consenti solo il traffico specifico di cui hai bisogno. Ciò include la limitazione delle regole solo ai protocolli e alle porte necessari per ciascun carico di lavoro.
  • Abilita il logging delle regole firewall per visibilità sul comportamento del firewall e per utilizzare Firewall Insights.
  • Definisci una metodologia di numerazione per l'allocazione delle priorità delle regole firewall. Ad esempio, la best practice prevede di riservare una serie di numeri bassi in ogni criterio per le regole necessarie durante la risposta agli incidenti. Ti consigliamo inoltre di dare la priorità a regole più specifiche più in alto di quelle più generali, per assicurarti che le regole specifiche non siano oscurate dalle regole generali. L'esempio seguente mostra un possibile approccio per le priorità delle regole firewall:

Intervallo di priorità delle regole firewall
Finalità

0-999
Riservato per risposta agli incidenti

1000-1999
Traffico sempre bloccato

2000-1999999999
Regole specifiche per il carico di lavoro

2000000000-2100000000
Regole catch-all

2100000001-2147483643
Prenotato

Configura criteri firewall gerarchici

I criteri firewall gerarchici consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Per esempi di utilizzo dei criteri firewall gerarchici, consulta Esempi di criteri firewall gerarchici.

Definisci i criteri firewall gerarchici per implementare i seguenti controlli dell'accesso alla rete:

  • Identity-Aware Proxy (IAP) per l'inoltro TCP. IAP per l'inoltro TCP è consentito attraverso un criterio di sicurezza che consente il traffico in entrata dall'intervallo IP 35.235.240.0/20 per le porte TCP 22 e 3389.
  • Controlli di integrità per Cloud Load Balancing. Sono consentiti gli intervalli noti utilizzati per i controlli di integrità.
    • Per la maggior parte delle istanze di Cloud Load Balancing (inclusi bilanciamento del carico TCP/UDP interno, bilanciamento del carico HTTP(S) interno, bilanciamento del carico del proxy TCP esterno, bilanciamento del carico proxy SSL esterno e bilanciamento del carico HTTP(S), viene definito un criterio di sicurezza che consente il traffico in entrata dagli intervalli IP 35.191.0.0/16 e 130.211.0.0/22 per le porte 380
    • Per il bilanciamento del carico di rete, viene definito un criterio di sicurezza che abilita i controlli di integrità legacy consentendo il traffico in entrata dagli intervalli IP 35.191.0.0/16, 209.85.152.0/22 e 209.85.204.0/22 per le porte 80 e 443.

configura l'ambiente VPC

Il VPC di transito fornisce le risorse di networking per abilitare la connettività tra reti VPC spoke dei carichi di lavoro e reti on-premise o multi-cloud.

  1. Crea un nuovo progetto per la rete VPC di transito.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea la rete VPC in modalità personalizzata di transito.
  4. Crea una subnet Private Service Connect in ogni regione in cui prevedi di pubblicare i servizi in esecuzione nel VPC hub o nell'ambiente on-premise. Quando decidi il tuo piano di indirizzamento IP, valuta le dimensioni della subnet Private Service Connect.
  5. Per ogni servizio on-premise che vuoi esporre ai carichi di lavoro in esecuzione su Google Cloud, crea un bilanciatore del carico HTTP(S) o TCP interno ed esponi i servizi utilizzando Private Service Connect.
  6. Configura Private Service Connect per le API di Google per il VPC di transito.

Configura la connettività ibrida

Puoi utilizzare Dedicated Interconnect, Partner Interconnect o Cloud VPN per fornire connettività ibrida alla tua zona di destinazione. I passaggi seguenti creano le risorse di connettività ibrida iniziali necessarie per questa opzione di progettazione:

  1. Se utilizzi Dedicated Interconnect, procedi nel seguente modo. Se utilizzi Partner Interconnect o Cloud VPN, puoi saltare questi passaggi.
    1. Crea un progetto separato per le porte di interconnessione fisica.
    2. Abilita l'API Compute Engine per il progetto.
    3. Creare connessioni Dedicated Interconnect.
  2. Per ogni regione in cui termini la connettività ibrida nella rete VPC, segui questi passaggi:
    1. Crea due collegamenti VLAN dedicati o partner, uno per ogni zona di disponibilità perimetrale. Nell'ambito di questo processo, devi selezionare i router Cloud e creare sessioni BGP.
    2. Configurare i router della rete peer (on-premise o altri cloud).

Configura progetti dei carichi di lavoro

Crea un VPC separato per ogni carico di lavoro:

  1. Crea un nuovo progetto per ospitare il tuo carico di lavoro.
  2. Abilita l'API Compute Engine per il progetto.
  3. Crea una rete VPC in modalità personalizzata.
  4. Crea subnet nelle regioni in cui prevedi di eseguire il deployment dei carichi di lavoro. Per ogni subnet, abilita l'accesso privato Google per consentire alle istanze VM con solo indirizzi IP interni di raggiungere i servizi Google.
  5. Configura Private Service Connect per le API di Google.
  6. Per ogni carico di lavoro utilizzato da un VPC diverso o dal tuo ambiente on-premise, crea un endpoint consumer di Private Service Connect.
  7. Per ogni carico di lavoro che stai producendo per un VPC diverso o per il tuo ambiente on-premise, crea un bilanciatore del carico interno e un collegamento al servizio per il servizio. Quando decidi il tuo piano di indirizzamento IP, valuta le dimensioni della subnet Private Service Connect.
  8. Se il servizio deve essere raggiungibile dal tuo ambiente on-premise, crea un endpoint consumer Private Service Connect nel VPC di transito.

Configurazione di Cloud NAT

Segui questi passaggi se i carichi di lavoro in regioni specifiche richiedono l'accesso a internet in uscita, ad esempio per scaricare pacchetti software o aggiornamenti.

  1. Crea un gateway Cloud NAT nelle regioni in cui i carichi di lavoro richiedono l'accesso a internet in uscita. Puoi personalizzare la configurazione di Cloud NAT per consentire la connettività in uscita solo da subnet specifiche, se necessario.
  2. Come minimo, abilita il logging di Cloud NAT affinché il gateway registri ERRORS_ONLY. Per includere i log per le traduzioni eseguite da Cloud NAT, configura ciascun gateway in modo da registrare ALL.

Configura l'osservabilità

Network Intelligence Center offre un modo coerente per monitorare, visualizzare i problemi e visualizzare l'ambiente di networking cloud. Usalo per assicurarti che la progettazione funzioni con l'intento desiderato.

Le seguenti configurazioni supportano l'analisi del logging e delle metriche abilitate.

Passaggi successivi

La configurazione iniziale per questa opzione di progettazione di rete è stata completata. Ora puoi ripetere questi passaggi per configurare un'istanza aggiuntiva dell'ambiente della zona di destinazione, ad esempio un ambiente di gestione temporanea o di produzione, oppure passare al passaggio Decidere la sicurezza per la zona di destinazione di Google Cloud.

Passaggi successivi