Mengimplementasikan desain jaringan zona landing Google Cloud Anda

Last reviewed 2024-10-31 UTC

Dokumen ini menyediakan langkah-langkah dan panduan untuk menerapkan desain jaringan yang Anda pilih setelah meninjau Menentukan desain jaringan untuk zona landing Google Cloud Anda. Jika Anda belum melakukannya, tinjau Desain zona landing di Google Cloud sebelum memilih opsi.

Petunjuk ini ditujukan untuk engineer jaringan, arsitek, dan praktisi teknis yang terlibat dalam membuat desain jaringan untuk zona landing organisasi Anda.

Opsi desain jaringan

Berdasarkan desain jaringan yang Anda pilih, selesaikan salah satu hal berikut:

Membuat opsi 1: Jaringan VPC bersama untuk setiap lingkungan

Jika Anda memilih untuk membuat jaringan VPC Bersama untuk setiap lingkungan di bagian "Menentukan desain jaringan untuk zona landing Google Cloud Anda", ikuti prosedur ini.

Langkah-langkah berikut membuat satu instance VPC. Jika Anda memerlukan beberapa instance VPC, seperti untuk lingkungan pengembangan dan produksi, ulangi langkah-langkah untuk setiap VPC.

Membatasi akses eksternal dengan menggunakan kebijakan organisasi

Sebaiknya batasi akses langsung ke internet hanya untuk resource yang membutuhkannya. Resource tanpa alamat eksternal masih dapat mengakses banyak API dan layanan Google melalui Akses Google Pribadi. Akses Google Pribadi diaktifkan di tingkat subnet dan memungkinkan resource berinteraksi dengan layanan utama Google, sekaligus mengisolasinya dari internet publik.

Dalam hal kegunaan, fungsi default Google Cloud memungkinkan pengguna membuat resource di semua project, asalkan mereka memiliki izin IAM yang benar. Untuk meningkatkan keamanan, sebaiknya batasi izin default untuk jenis resource yang dapat menyebabkan akses internet yang tidak diinginkan. Selanjutnya, Anda dapat memberikan otorisasi pada project tertentu hanya untuk mengizinkan pembuatan resource ini. Gunakan petunjuk pada Membuat dan mengelola kebijakan organisasi untuk menetapkan batasan berikut.

Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP

Penerusan protokol akan membuat resource aturan penerusan dengan alamat IP eksternal dan memungkinkan Anda mengarahkan traffic ke VM.

Batasan Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP mencegah pembuatan aturan penerusan dengan alamat IP eksternal untuk seluruh organisasi. Untuk project yang diizinkan menggunakan aturan penerusan eksternal, Anda dapat mengubah batasan di level folder atau project.

Tetapkan nilai berikut untuk mengonfigurasi batasan ini:

  • Berlaku untuk: Sesuaikan
  • Penegakan kebijakan: Ganti
  • Nilai kebijakan: Kustom
  • Jenis kebijakan: Tolak
  • Nilai khusus: IS:EXTERNAL

Menentukan IP eksternal yang diizinkan untuk instance VM

Secara default, setiap instance VM dapat memperoleh alamat IP eksternal, yang memungkinkan konektivitas keluar dan masuk dengan internet.

Menerapkan batasan Menentukan IP eksternal yang diizinkan untuk instance VM akan mencegah penggunaan alamat IP eksternal dengan instance VM. Untuk workload yang memerlukan alamat IP eksternal pada instance VM individual, ubah batasan di level folder atau project untuk menentukan setiap instance VM individual. Atau, ganti batasan untuk project yang relevan.

  • Berlaku untuk: Sesuaikan
  • Penegakan kebijakan: Ganti
  • Nilai kebijakan: Tolak Semua

Nonaktifkan penggunaan IPv6 Eksternal VPC

Batasan Menonaktifkan penggunaan IPv6 Eksternal VPC, jika ditetapkan ke True, akan mencegah konfigurasi subnet VPC dengan alamat IPv6 eksternal untuk instance VM.

  • Berlaku untuk: Sesuaikan
  • Penegakan: Aktif

Menonaktifkan pembuatan jaringan default

Saat project baru dibuat, VPC default akan otomatis dibuat. Cara ini berguna untuk eksperimen cepat yang tidak memerlukan konfigurasi jaringan tertentu atau integrasi dengan lingkungan jaringan perusahaan yang lebih besar.

Konfigurasikan batasan Lewati pembuatan jaringan default guna menonaktifkan pembuatan VPC default untuk project baru. Anda dapat membuat jaringan default secara manual dalam sebuah project, jika diperlukan.

  • Berlaku untuk: Sesuaikan
  • Penegakan: Aktif

Mendesain aturan firewall

Dengan aturan firewall, Anda dapat mengizinkan atau menolak traffic ke atau dari VM berdasarkan konfigurasi yang Anda tentukan. Kebijakan firewall hierarkis diimplementasikan di tingkat organisasi dan folder, sementara kebijakan firewall jaringan diimplementasikan di tingkat jaringan VPC dalam hierarki resource. Bersama-sama, keduanya memberikan kemampuan penting untuk membantu mengamankan workload Anda.

Di mana pun kebijakan firewall diterapkan, gunakan pedoman berikut saat mendesain dan mengevaluasi aturan firewall:

  • Menerapkan prinsip hak istimewa terendah (juga disebut sebagai segmentasi mikro). Memblokir semua traffic secara default dan hanya mengizinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya untuk protokol dan port yang Anda perlukan untuk setiap workload.
  • Aktifkan logging aturan firewall untuk visibilitas perilaku firewall dan untuk menggunakan Analisis Firewall.
  • Menentukan metodologi penomoran untuk mengalokasikan prioritas aturan firewall. Misalnya, praktik terbaiknya adalah mencadangkan rentang angka rendah di setiap kebijakan untuk aturan yang diperlukan selama respons insiden. Sebaiknya Sebaiknya Anda juga memprioritaskan aturan yang lebih spesifik daripada aturan yang lebih umum, untuk memastikan bahwa aturan tertentu tidak dibayangi oleh aturan umum. Contoh berikut menunjukkan pendekatan yang memungkinkan untuk prioritas aturan firewall:

Rentang prioritas aturan firewall

Tujuan

0-999

Disediakan untuk respons insiden

1000-1999

Traffic selalu diblokir

2000-1999999999

Aturan khusus workload

2000000000-2100000000

Aturan generik

2100000001-2147483643

Reserved

Mengonfigurasi kebijakan firewall hierarkis

Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Untuk contoh penggunaan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Tentukan kebijakan firewall hierarkis untuk menerapkan kontrol akses jaringan berikut:

  • Identity-Aware Proxy (IAP) untuk penerusan TCP. IAP untuk penerusan TCP diizinkan melalui kebijakan keamanan yang mengizinkan traffic masuk dari rentang IP 35.235.240.0/20 untuk TCP port 22 dan 3389.
  • Health check untuk Cloud Load Balancing. Rentang yang sudah diketahui yang digunakan untuk health check diizinkan.
    • Untuk sebagian besar instance Cloud Load Balancing (termasuk Load Balancing TCP/UDP Internal, Load Balancing HTTP(S) Internal, Load Balancing Proxy TCP Eksternal, Load Balancing Proxy SSL Eksternal, dan Load Balancing HTTP(S)), sebuah kebijakan keamanan ditetapkan yang mengizinkan traffic masuk dari rentang IP 35.191.0.0/16 dan 130.211.0.0/22 untuk port 80 and 443.
    • Untuk Network Load Balancing, ditetapkan kebijakan keamanan yang memungkinkan health check lama dengan mengizinkan traffic masuk dari rentang IP 35.191.0.0/16, 209.85.152.0/22, dan 209.85.204.0/22 untuk port 80 dan 443.

Mengonfigurasi lingkungan VPC Bersama

Sebelum menerapkan desain VPC Bersama, tentukan cara berbagi subnet dengan project layanan. Anda harus melampirkan project layanan ke project host. Untuk menentukan subnet yang tersedia untuk project layanan, Anda perlu menetapkan izin IAM ke project host atau subnet individual. Misalnya, Anda dapat memilih untuk mendedikasikan subnet yang berbeda untuk setiap project layanan, atau berbagi subnet yang sama antar-project layanan.

  1. Buat project baru untuk VPC Bersama. Selanjutnya dalam proses ini, project ini menjadi project host dan berisi jaringan serta resource jaringan untuk dibagikan dengan project layanan.
  2. Aktifkan Compute Engine API untuk project host.
  3. Mengonfigurasi VPC Bersama untuk project.
  4. Buat jaringan VPC mode kustom di project host.
  5. Buat subnet di region tempat Anda berencana men-deploy workload. Untuk setiap subnet, aktifkan Akses Google Pribadi agar instance VM tanpa alamat IP eksternal dapat menjangkau layanan Google.

Mengonfigurasi Cloud NAT

Ikuti langkah-langkah ini jika workload di wilayah tertentu memerlukan akses internet keluar—misalnya, untuk mendownload paket software atau update.

  1. Buat gateway Cloud NAT di region tempat workload memerlukan akses internet keluar. Anda dapat menyesuaikan konfigurasi Cloud NAT untuk hanya mengizinkan konektivitas keluar dari subnet tertentu, jika diperlukan.
  2. Minimal, aktifkan logging Cloud NAT agar gateway dapat mencatat ERRORS_ONLY ke dalam log. Guna menyertakan log untuk terjemahan yang dilakukan oleh Cloud NAT, konfigurasikan setiap gateway untuk mencatat ALL ke dalam log.

Mengonfigurasi konektivitas hybrid

Anda dapat menggunakan Dedicated Interconnect, Partner Interconnect, atau Cloud VPN untuk menyediakan konektivitas hybrid ke zona landing Anda. Langkah-langkah berikut akan membuat resource konektivitas hybrid awal yang diperlukan untuk opsi desain ini:

  1. Jika Anda menggunakan Dedicated Interconnect, lakukan hal berikut. Jika Anda menggunakan Partner Interconnect atau Cloud VPN, Anda dapat melewati langkah-langkah ini.
    1. Buat project terpisah untuk port interkoneksi fisik.
    2. Aktifkan Compute Engine API untuk project.
    3. Membuat koneksi Dedicated Interconnect.
  2. Untuk setiap region tempat Anda menghentikan konektivitas hybrid di jaringan VPC, lakukan tindakan berikut:
    1. Buat dua lampiran VLAN Khusus atau Partner, satu untuk setiap zona ketersediaan edge. Sebagai bagian dari proses ini, Anda perlu memilih Cloud Router dan membuat sesi BGP.
    2. Konfigurasi router jaringan peer (lokal atau cloud lainnya).

Mengonfigurasi project workload

Buat project layanan terpisah untuk setiap workload:

  1. Buat project baru untuk berfungsi sebagai salah satu project layanan untuk VPC Bersama.
  2. Aktifkan Compute Engine API untuk project layanan.
  3. Melampirkan project ke project host.
  4. Konfigurasikan akses ke semua subnet di project host atau beberapa subnet di project host.

Mengonfigurasi kemampuan observasi

Network Intelligence Center memberikan cara kohesif untuk memantau, memecahkan masalah, dan memvisualisasikan lingkungan jaringan cloud Anda. Gunakan hal ini untuk memastikan bahwa desain Anda berfungsi sesuai dengan intent yang diinginkan.

Konfigurasi berikut mendukung analisis logging dan metrik yang diaktifkan.

Langkah berikutnya

Konfigurasi awal untuk opsi desain jaringan ini sekarang sudah selesai. Sekarang Anda dapat mengulangi langkah-langkah ini untuk mengonfigurasi instance tambahan dari lingkungan zona landing, seperti lingkungan staging atau produksi, atau melanjutkan ke Menentukan keamanan untuk zona landing Google Cloud Anda.

Membuat opsi 2: Topologi hub-and-spoke dengan peralatan terpusat

Jika Anda telah memilih untuk membuat topologi hub-and-spoke dengan peralatan terpusat di bagian "Menentukan desain jaringan untuk zona landing Google Cloud Anda", ikuti prosedur ini.

Langkah-langkah berikut membuat satu instance VPC. Jika Anda memerlukan beberapa instance VPC, seperti untuk lingkungan pengembangan dan produksi, ulangi langkah-langkah untuk setiap VPC.

Membatasi akses eksternal dengan menggunakan kebijakan organisasi

Sebaiknya batasi akses langsung ke internet hanya untuk resource yang membutuhkannya. Resource tanpa alamat eksternal masih dapat mengakses banyak API dan layanan Google melalui Akses Google Pribadi. Akses Google Pribadi diaktifkan di tingkat subnet dan memungkinkan resource berinteraksi dengan layanan utama Google, sekaligus mengisolasinya dari internet publik.

Dalam hal kegunaan, fungsi default Google Cloud memungkinkan pengguna membuat resource di semua project, asalkan mereka memiliki izin IAM yang benar. Untuk meningkatkan keamanan, sebaiknya batasi izin default untuk jenis resource yang dapat menyebabkan akses internet yang tidak diinginkan. Selanjutnya, Anda dapat memberikan otorisasi pada project tertentu hanya untuk mengizinkan pembuatan resource ini. Gunakan petunjuk pada Membuat dan mengelola kebijakan organisasi untuk menetapkan batasan berikut.

Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP

Penerusan protokol akan membuat resource aturan penerusan dengan alamat IP eksternal dan memungkinkan Anda mengarahkan traffic ke VM.

Batasan Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP mencegah pembuatan aturan penerusan dengan alamat IP eksternal untuk seluruh organisasi. Untuk project yang diizinkan menggunakan aturan penerusan eksternal, Anda dapat mengubah batasan di level folder atau project.

Tetapkan nilai berikut untuk mengonfigurasi batasan ini:

  • Berlaku untuk: Sesuaikan
  • Penegakan kebijakan: Ganti
  • Nilai kebijakan: Kustom
  • Jenis kebijakan: Tolak
  • Nilai khusus: IS:EXTERNAL

Menentukan IP eksternal yang diizinkan untuk instance VM

Secara default, setiap instance VM dapat memperoleh alamat IP eksternal, yang memungkinkan konektivitas keluar dan masuk dengan internet.

Menerapkan batasan Menentukan IP eksternal yang diizinkan untuk instance VM akan mencegah penggunaan alamat IP eksternal dengan instance VM. Untuk workload yang memerlukan alamat IP eksternal pada instance VM individual, ubah batasan di level folder atau project untuk menentukan setiap instance VM individual. Atau, ganti batasan untuk project yang relevan.

  • Berlaku untuk: Sesuaikan
  • Penegakan kebijakan: Ganti
  • Nilai kebijakan: Tolak Semua

Nonaktifkan penggunaan IPv6 Eksternal VPC

Batasan Menonaktifkan penggunaan IPv6 Eksternal VPC, jika ditetapkan ke True, akan mencegah konfigurasi subnet VPC dengan alamat IPv6 eksternal untuk instance VM.

  • Berlaku untuk: Sesuaikan
  • Penegakan: Aktif

Menonaktifkan pembuatan jaringan default

Saat project baru dibuat, VPC default akan otomatis dibuat. Cara ini berguna untuk eksperimen cepat yang tidak memerlukan konfigurasi jaringan tertentu atau integrasi dengan lingkungan jaringan perusahaan yang lebih besar.

Konfigurasikan batasan Lewati pembuatan jaringan default guna menonaktifkan pembuatan VPC default untuk project baru. Anda dapat membuat jaringan default secara manual dalam sebuah project, jika diperlukan.

  • Berlaku untuk: Sesuaikan
  • Penegakan: Aktif

Mendesain aturan firewall

Dengan aturan firewall, Anda dapat mengizinkan atau menolak traffic ke atau dari VM berdasarkan konfigurasi yang Anda tentukan. Kebijakan firewall hierarkis diimplementasikan di tingkat organisasi dan folder, sementara kebijakan firewall jaringan diimplementasikan di tingkat jaringan VPC dalam hierarki resource. Bersama-sama, keduanya memberikan kemampuan penting untuk membantu mengamankan workload Anda.

Di mana pun kebijakan firewall diterapkan, gunakan pedoman berikut saat mendesain dan mengevaluasi aturan firewall:

  • Menerapkan prinsip hak istimewa terendah (juga disebut sebagai segmentasi mikro). Memblokir semua traffic secara default dan hanya mengizinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya untuk protokol dan port yang Anda perlukan untuk setiap workload.
  • Aktifkan logging aturan firewall untuk visibilitas perilaku firewall dan untuk menggunakan Analisis Firewall.
  • Menentukan metodologi penomoran untuk mengalokasikan prioritas aturan firewall. Misalnya, praktik terbaiknya adalah mencadangkan rentang angka rendah di setiap kebijakan untuk aturan yang diperlukan selama respons insiden. Sebaiknya Sebaiknya Anda juga memprioritaskan aturan yang lebih spesifik daripada aturan yang lebih umum, untuk memastikan bahwa aturan tertentu tidak dibayangi oleh aturan umum. Contoh berikut menunjukkan pendekatan yang memungkinkan untuk prioritas aturan firewall:

Rentang prioritas aturan firewall

Tujuan

0-999

Disediakan untuk respons insiden

1000-1999

Traffic selalu diblokir

2000-1999999999

Aturan khusus workload

2000000000-2100000000

Aturan generik

2100000001-2147483643

Reserved

Mengonfigurasi kebijakan firewall hierarkis

Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Untuk contoh penggunaan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Tentukan kebijakan firewall hierarkis untuk menerapkan kontrol akses jaringan berikut:

  • Identity-Aware Proxy (IAP) untuk penerusan TCP. IAP untuk penerusan TCP diizinkan melalui kebijakan keamanan yang mengizinkan traffic masuk dari rentang IP 35.235.240.0/20 untuk TCP port 22 dan 3389.
  • Health check untuk Cloud Load Balancing. Rentang yang sudah diketahui yang digunakan untuk health check diizinkan.
    • Untuk sebagian besar instance Cloud Load Balancing (termasuk Load Balancing TCP/UDP Internal, Load Balancing HTTP(S) Internal, Load Balancing Proxy TCP Eksternal, Load Balancing Proxy SSL Eksternal, dan Load Balancing HTTP(S)), sebuah kebijakan keamanan ditetapkan yang mengizinkan traffic masuk dari rentang IP 35.191.0.0/16 dan 130.211.0.0/22 untuk port 80 and 443.
    • Untuk Network Load Balancing, ditetapkan kebijakan keamanan yang memungkinkan health check lama dengan mengizinkan traffic masuk dari rentang IP 35.191.0.0/16, 209.85.152.0/22, dan 209.85.204.0/22 untuk port 80 dan 443.

Mengonfigurasi lingkungan VPC Anda

Jaringan VPC transit dan hub menyediakan resource jaringan untuk mengaktifkan konektivitas antara yang jaringan VPC spoke workload dan jaringan lokal atau multi-cloud.

  1. Buat project baru untuk jaringan VPC transit dan hub. Kedua jaringan VPC merupakan bagian dari project yang sama untuk mendukung konektivitas melalui peralatan jaringan virtual.
  2. Aktifkan Compute Engine API untuk project.
  3. Buat jaringan VPC mode kustom transit.
  4. Pada jaringan VPC transit, buat subnet di region tempat Anda berencana untuk men-deploy peralatan jaringan virtual.
  5. Membuat jaringan VPC mode kustom hub.
  6. Pada jaringan VPC hub, buat subnet di region tempat Anda berencana untuk men-deploy peralatan jaringan virtual.
  7. Konfigurasikan kebijakan firewall jaringan global atau regional untuk mengizinkan traffic masuk dan keluar untuk peralatan virtual jaringan.
  8. Buat grup instance terkelola untuk peralatan jaringan virtual.
  9. Konfigurasikan resource load balancing TCP/UDP internal untuk VPC transit. Load balancer ini digunakan untuk merutekan traffic dari VPC transit ke VPC hub melalui peralatan jaringan virtual.
  10. Konfigurasikan resource load balancing TCP/UDP internal untuk VPC hub. Load balancer ini digunakan untuk merutekan traffic dari. VPC hub ke VPC transit melalui perangkat jaringan virtual.
  11. Mengonfigurasi Private Service Connect untuk Google API untuk VPC hub.
  12. Ubah rute VPC untuk mengirim semua traffic melalui peralatan virtual jaringan:
    1. Hapus rute 0.0.0.0/0 dengan default-internet-gateway next-hop dari VPC hub.
    2. Konfigurasikan rute baru dengan tujuan 0.0.0.0/0 dan next-hop dari aturan penerusan untuk load balancer di VPC hub.

Mengonfigurasi Cloud NAT

Ikuti langkah-langkah ini jika workload di wilayah tertentu memerlukan akses internet keluar—misalnya, untuk mendownload paket software atau update.

  1. Buat gateway Cloud NAT di region tempat workload memerlukan akses internet keluar. Anda dapat menyesuaikan konfigurasi Cloud NAT untuk hanya mengizinkan konektivitas keluar dari subnet tertentu, jika diperlukan.
  2. Minimal, aktifkan logging Cloud NAT agar gateway dapat mencatat ERRORS_ONLY ke dalam log. Guna menyertakan log untuk terjemahan yang dilakukan oleh Cloud NAT, konfigurasikan setiap gateway untuk mencatat ALL ke dalam log.

Mengonfigurasi konektivitas hybrid

Anda dapat menggunakan Dedicated Interconnect, Partner Interconnect, atau Cloud VPN untuk menyediakan konektivitas hybrid ke zona landing Anda. Langkah-langkah berikut akan membuat resource konektivitas hybrid awal yang diperlukan untuk opsi desain ini:

  1. Jika Anda menggunakan Dedicated Interconnect, lakukan hal berikut. Jika Anda menggunakan Partner Interconnect atau Cloud VPN, Anda dapat melewati langkah-langkah ini.
    1. Buat project terpisah untuk port interkoneksi fisik.
    2. Aktifkan Compute Engine API untuk project.
    3. Membuat koneksi Dedicated Interconnect.
  2. Untuk setiap region tempat Anda menghentikan konektivitas hybrid di jaringan VPC, lakukan tindakan berikut:
    1. Buat dua lampiran VLAN Khusus atau Partner, satu untuk setiap zona ketersediaan edge. Sebagai bagian dari proses ini, Anda perlu memilih Cloud Router dan membuat sesi BGP.
    2. Konfigurasi router jaringan peer (lokal atau cloud lainnya).
    3. Mengonfigurasi rute kustom yang diiklankan di Cloud Router untuk rentang subnet di VPC hub dan workload.

Mengonfigurasi project workload

Buat VPC spoke terpisah untuk setiap workload:

  1. Buat project baru untuk menghosting workload Anda.
  2. Aktifkan Compute Engine API untuk project.
  3. Konfigurasikan Peering Jaringan VPC antara VPC spoke dan VPC hub workload dengan setelan berikut:
    • Mengaktifkan ekspor rute kustom pada VPC hub.
    • Aktifkan impor rute kustom pada VPC spoke workload.
  4. Buat subnet di region tempat Anda berencana men-deploy workload. Untuk setiap subnet, aktifkan Akses Google Pribadi untuk mengizinkan instance VM dengan hanya alamat IP internal menjangkau layanan Google.
  5. Mengonfigurasi Private Service Connect untuk Google API.
  6. Untuk mengarahkan semua traffic melalui peralatan jaringan virtual di VPC hapus rute 0.0.0.0/0 dengan default-internet-gateway ext-hop dari VPC spoke workload.
  7. Konfigurasikan kebijakan firewall jaringan global atau regional untuk mengizinkan traffic masuk dan keluar untuk workload Anda.

Mengonfigurasi kemampuan observasi

Network Intelligence Center memberikan cara kohesif untuk memantau, memecahkan masalah, dan memvisualisasikan lingkungan jaringan cloud Anda. Gunakan hal ini untuk memastikan bahwa desain Anda berfungsi sesuai dengan intent yang diinginkan.

Konfigurasi berikut mendukung analisis logging dan metrik yang diaktifkan.

Langkah berikutnya

Konfigurasi awal untuk opsi desain jaringan ini sekarang sudah selesai. Sekarang Anda dapat mengulangi langkah-langkah ini untuk mengonfigurasi instance tambahan dari lingkungan zona landing, seperti lingkungan staging atau produksi, atau melanjutkan ke Menentukan keamanan untuk zona landing Google Cloud Anda.

Membuat opsi 3: Topologi hub-and-spoke tanpa peralatan

Jika Anda telah memilih untuk membuat topologi hub-and-spoke tanpa peralatan di bagian "Menentukan desain jaringan untuk zona landing Google Cloud Anda", ikuti prosedur ini.

Langkah-langkah berikut membuat satu instance VPC. Jika Anda memerlukan beberapa instance VPC, seperti untuk lingkungan pengembangan dan produksi, ulangi langkah-langkah untuk setiap VPC.

Membatasi akses eksternal dengan menggunakan kebijakan organisasi

Sebaiknya batasi akses langsung ke internet hanya untuk resource yang membutuhkannya. Resource tanpa alamat eksternal masih dapat mengakses banyak API dan layanan Google melalui Akses Google Pribadi. Akses Google Pribadi diaktifkan di tingkat subnet dan memungkinkan resource berinteraksi dengan layanan utama Google, sekaligus mengisolasinya dari internet publik.

Dalam hal kegunaan, fungsi default Google Cloud memungkinkan pengguna membuat resource di semua project, asalkan mereka memiliki izin IAM yang benar. Untuk meningkatkan keamanan, sebaiknya batasi izin default untuk jenis resource yang dapat menyebabkan akses internet yang tidak diinginkan. Selanjutnya, Anda dapat memberikan otorisasi pada project tertentu hanya untuk mengizinkan pembuatan resource ini. Gunakan petunjuk pada Membuat dan mengelola kebijakan organisasi untuk menetapkan batasan berikut.

Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP

Penerusan protokol akan membuat resource aturan penerusan dengan alamat IP eksternal dan memungkinkan Anda mengarahkan traffic ke VM.

Batasan Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP mencegah pembuatan aturan penerusan dengan alamat IP eksternal untuk seluruh organisasi. Untuk project yang diizinkan menggunakan aturan penerusan eksternal, Anda dapat mengubah batasan di level folder atau project.

Tetapkan nilai berikut untuk mengonfigurasi batasan ini:

  • Berlaku untuk: Sesuaikan
  • Penegakan kebijakan: Ganti
  • Nilai kebijakan: Kustom
  • Jenis kebijakan: Tolak
  • Nilai khusus: IS:EXTERNAL

Menentukan IP eksternal yang diizinkan untuk instance VM

Secara default, setiap instance VM dapat memperoleh alamat IP eksternal, yang memungkinkan konektivitas keluar dan masuk dengan internet.

Menerapkan batasan Menentukan IP eksternal yang diizinkan untuk instance VM akan mencegah penggunaan alamat IP eksternal dengan instance VM. Untuk workload yang memerlukan alamat IP eksternal pada instance VM individual, ubah batasan di level folder atau project untuk menentukan setiap instance VM individual. Atau, ganti batasan untuk project yang relevan.

  • Berlaku untuk: Sesuaikan
  • Penegakan kebijakan: Ganti
  • Nilai kebijakan: Tolak Semua

Nonaktifkan penggunaan IPv6 Eksternal VPC

Batasan Menonaktifkan penggunaan IPv6 Eksternal VPC, jika ditetapkan ke True, akan mencegah konfigurasi subnet VPC dengan alamat IPv6 eksternal untuk instance VM.

  • Berlaku untuk: Sesuaikan
  • Penegakan: Aktif

Menonaktifkan pembuatan jaringan default

Saat project baru dibuat, VPC default akan otomatis dibuat. Cara ini berguna untuk eksperimen cepat yang tidak memerlukan konfigurasi jaringan tertentu atau integrasi dengan lingkungan jaringan perusahaan yang lebih besar.

Konfigurasikan batasan Lewati pembuatan jaringan default guna menonaktifkan pembuatan VPC default untuk project baru. Anda dapat membuat jaringan default secara manual dalam sebuah project, jika diperlukan.

  • Berlaku untuk: Sesuaikan
  • Penegakan: Aktif

Mendesain aturan firewall

Dengan aturan firewall, Anda dapat mengizinkan atau menolak traffic ke atau dari VM berdasarkan konfigurasi yang Anda tentukan. Kebijakan firewall hierarkis diimplementasikan di tingkat organisasi dan folder, sementara kebijakan firewall jaringan diimplementasikan di tingkat jaringan VPC dalam hierarki resource. Bersama-sama, keduanya memberikan kemampuan penting untuk membantu mengamankan workload Anda.

Di mana pun kebijakan firewall diterapkan, gunakan pedoman berikut saat mendesain dan mengevaluasi aturan firewall:

  • Menerapkan prinsip hak istimewa terendah (juga disebut sebagai segmentasi mikro). Memblokir semua traffic secara default dan hanya mengizinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya untuk protokol dan port yang Anda perlukan untuk setiap workload.
  • Aktifkan logging aturan firewall untuk visibilitas perilaku firewall dan untuk menggunakan Analisis Firewall.
  • Menentukan metodologi penomoran untuk mengalokasikan prioritas aturan firewall. Misalnya, praktik terbaiknya adalah mencadangkan rentang angka rendah di setiap kebijakan untuk aturan yang diperlukan selama respons insiden. Sebaiknya Sebaiknya Anda juga memprioritaskan aturan yang lebih spesifik daripada aturan yang lebih umum, untuk memastikan bahwa aturan tertentu tidak dibayangi oleh aturan umum. Contoh berikut menunjukkan pendekatan yang memungkinkan untuk prioritas aturan firewall:

Rentang prioritas aturan firewall

Tujuan

0-999

Disediakan untuk respons insiden

1000-1999

Traffic selalu diblokir

2000-1999999999

Aturan khusus workload

2000000000-2100000000

Aturan generik

2100000001-2147483643

Reserved

Mengonfigurasi kebijakan firewall hierarkis

Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Untuk contoh penggunaan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Tentukan kebijakan firewall hierarkis untuk menerapkan kontrol akses jaringan berikut:

  • Identity-Aware Proxy (IAP) untuk penerusan TCP. IAP untuk penerusan TCP diizinkan melalui kebijakan keamanan yang mengizinkan traffic masuk dari rentang IP 35.235.240.0/20 untuk TCP port 22 dan 3389.
  • Health check untuk Cloud Load Balancing. Rentang yang sudah diketahui yang digunakan untuk health check diizinkan.
    • Untuk sebagian besar instance Cloud Load Balancing (termasuk Load Balancing TCP/UDP Internal, Load Balancing HTTP(S) Internal, Load Balancing Proxy TCP Eksternal, Load Balancing Proxy SSL Eksternal, dan Load Balancing HTTP(S)), sebuah kebijakan keamanan ditetapkan yang mengizinkan traffic masuk dari rentang IP 35.191.0.0/16 dan 130.211.0.0/22 untuk port 80 and 443.
    • Untuk Network Load Balancing, ditetapkan kebijakan keamanan yang memungkinkan health check lama dengan mengizinkan traffic masuk dari rentang IP 35.191.0.0/16, 209.85.152.0/22, dan 209.85.204.0/22 untuk port 80 dan 443.

Mengonfigurasi lingkungan VPC hub

VPC hub menyediakan resource jaringan untuk mengaktifkan konektivitas antara jaringan VPC spoke workload dan jaringan lokal atau multi-cloud.

  1. Buat project baru untuk jaringan VPC hub.
  2. Aktifkan Compute Engine API untuk project.
  3. Buat jaringan VPC mode custom hub.
  4. Mengonfigurasi Private Service Connect untuk Google API untuk VPC hub.

Mengonfigurasi konektivitas hybrid

Anda dapat menggunakan Dedicated Interconnect, Partner Interconnect, atau Cloud VPN untuk menyediakan konektivitas hybrid ke zona landing Anda. Langkah-langkah berikut akan membuat resource konektivitas hybrid awal yang diperlukan untuk opsi desain ini:

  1. Jika Anda menggunakan Dedicated Interconnect, lakukan hal berikut. Jika Anda menggunakan Partner Interconnect atau Cloud VPN, Anda dapat melewati langkah-langkah ini.
    1. Buat project terpisah untuk port interkoneksi fisik.
    2. Aktifkan Compute Engine API untuk project.
    3. Membuat koneksi Dedicated Interconnect.
  2. Untuk setiap region tempat Anda menghentikan konektivitas hybrid di jaringan VPC, lakukan tindakan berikut:
    1. Buat dua lampiran VLAN Khusus atau Partner, satu untuk setiap zona ketersediaan edge. Sebagai bagian dari proses ini, Anda perlu memilih Cloud Router dan membuat sesi BGP.
    2. Konfigurasi router jaringan peer (lokal atau cloud lainnya).
    3. Mengonfigurasi rute kustom yang diiklankan di Cloud Router untuk rentang subnet di VPC hub dan workload.

Mengonfigurasi project workload

Buat VPC spoke terpisah untuk setiap workload:

  1. Buat project baru untuk menghosting workload Anda.
  2. Aktifkan Compute Engine API untuk project.
  3. Konfigurasikan Peering Jaringan VPC antara VPC spoke dan VPC hub workload, dengan setelan berikut:
    • Mengaktifkan ekspor rute kustom pada VPC hub.
    • Aktifkan impor rute kustom pada VPC spoke workload.
  4. Buat subnet di region tempat Anda berencana men-deploy workload. Untuk setiap subnet, aktifkan Akses Google Pribadi untuk mengizinkan instance VM dengan hanya alamat IP internal menjangkau layanan Google.
  5. Mengonfigurasi Private Service Connect untuk Google API.

Mengonfigurasi Cloud NAT

Ikuti langkah-langkah ini jika workload di wilayah tertentu memerlukan akses internet keluar—misalnya, untuk mendownload paket software atau update.

  1. Buat gateway Cloud NAT di region tempat workload memerlukan akses internet keluar. Anda dapat menyesuaikan konfigurasi Cloud NAT untuk hanya mengizinkan konektivitas keluar dari subnet tertentu, jika diperlukan.
  2. Minimal, aktifkan logging Cloud NAT agar gateway dapat mencatat ERRORS_ONLY ke dalam log. Guna menyertakan log untuk terjemahan yang dilakukan oleh Cloud NAT, konfigurasikan setiap gateway untuk mencatat ALL ke dalam log.

Mengonfigurasi kemampuan observasi

Network Intelligence Center memberikan cara kohesif untuk memantau, memecahkan masalah, dan memvisualisasikan lingkungan jaringan cloud Anda. Gunakan hal ini untuk memastikan bahwa desain Anda berfungsi sesuai dengan intent yang diinginkan.

Konfigurasi berikut mendukung analisis logging dan metrik yang diaktifkan.

Langkah berikutnya

Konfigurasi awal untuk opsi desain jaringan ini sekarang sudah selesai. Sekarang Anda dapat mengulangi langkah-langkah ini untuk mengonfigurasi instance tambahan dari lingkungan zona landing, seperti lingkungan staging atau produksi, atau melanjutkan ke Menentukan keamanan untuk zona landing Google Cloud Anda.

Membuat opsi 4: Mengekspos layanan dalam model produsen konsumen dengan Private Service Connect

Jika Anda telah memilih untuk mengekspos layanan dalam model produsen konsumen dengan Private Service Connect untuk zona landing, seperti yang dijelaskan dalam "Menentukan desain jaringan untuk Google Cloud Anda zona pendaratan", ikuti prosedur berikut.

Langkah-langkah berikut membuat satu instance VPC. Jika Anda memerlukan beberapa instance VPC, seperti untuk lingkungan pengembangan dan produksi, ulangi langkah-langkah untuk setiap VPC.

Membatasi akses eksternal dengan menggunakan kebijakan organisasi

Sebaiknya batasi akses langsung ke internet hanya untuk resource yang membutuhkannya. Resource tanpa alamat eksternal masih dapat mengakses banyak API dan layanan Google melalui Akses Google Pribadi. Akses Google Pribadi diaktifkan di tingkat subnet dan memungkinkan resource berinteraksi dengan layanan utama Google, sekaligus mengisolasinya dari internet publik.

Dalam hal kegunaan, fungsi default Google Cloud memungkinkan pengguna membuat resource di semua project, asalkan mereka memiliki izin IAM yang benar. Untuk meningkatkan keamanan, sebaiknya batasi izin default untuk jenis resource yang dapat menyebabkan akses internet yang tidak diinginkan. Selanjutnya, Anda dapat memberikan otorisasi pada project tertentu hanya untuk mengizinkan pembuatan resource ini. Gunakan petunjuk pada Membuat dan mengelola kebijakan organisasi untuk menetapkan batasan berikut.

Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP

Penerusan protokol akan membuat resource aturan penerusan dengan alamat IP eksternal dan memungkinkan Anda mengarahkan traffic ke VM.

Batasan Membatasi Penerusan Protokol Berdasarkan jenis Alamat IP mencegah pembuatan aturan penerusan dengan alamat IP eksternal untuk seluruh organisasi. Untuk project yang diizinkan menggunakan aturan penerusan eksternal, Anda dapat mengubah batasan di level folder atau project.

Tetapkan nilai berikut untuk mengonfigurasi batasan ini:

  • Berlaku untuk: Sesuaikan
  • Penegakan kebijakan: Ganti
  • Nilai kebijakan: Kustom
  • Jenis kebijakan: Tolak
  • Nilai khusus: IS:EXTERNAL

Menentukan IP eksternal yang diizinkan untuk instance VM

Secara default, setiap instance VM dapat memperoleh alamat IP eksternal, yang memungkinkan konektivitas keluar dan masuk dengan internet.

Menerapkan batasan Menentukan IP eksternal yang diizinkan untuk instance VM akan mencegah penggunaan alamat IP eksternal dengan instance VM. Untuk workload yang memerlukan alamat IP eksternal pada instance VM individual, ubah batasan di level folder atau project untuk menentukan setiap instance VM individual. Atau, ganti batasan untuk project yang relevan.

  • Berlaku untuk: Sesuaikan
  • Penegakan kebijakan: Ganti
  • Nilai kebijakan: Tolak Semua

Nonaktifkan penggunaan IPv6 Eksternal VPC

Batasan Menonaktifkan penggunaan IPv6 Eksternal VPC, jika ditetapkan ke True, akan mencegah konfigurasi subnet VPC dengan alamat IPv6 eksternal untuk instance VM.

  • Berlaku untuk: Sesuaikan
  • Penegakan: Aktif

Menonaktifkan pembuatan jaringan default

Saat project baru dibuat, VPC default akan otomatis dibuat. Cara ini berguna untuk eksperimen cepat yang tidak memerlukan konfigurasi jaringan tertentu atau integrasi dengan lingkungan jaringan perusahaan yang lebih besar.

Konfigurasikan batasan Lewati pembuatan jaringan default guna menonaktifkan pembuatan VPC default untuk project baru. Anda dapat membuat jaringan default secara manual dalam sebuah project, jika diperlukan.

  • Berlaku untuk: Sesuaikan
  • Penegakan: Aktif

Mendesain aturan firewall

Dengan aturan firewall, Anda dapat mengizinkan atau menolak traffic ke atau dari VM berdasarkan konfigurasi yang Anda tentukan. Kebijakan firewall hierarkis diimplementasikan di tingkat organisasi dan folder, sementara kebijakan firewall jaringan diimplementasikan di tingkat jaringan VPC dalam hierarki resource. Bersama-sama, keduanya memberikan kemampuan penting untuk membantu mengamankan workload Anda.

Di mana pun kebijakan firewall diterapkan, gunakan pedoman berikut saat mendesain dan mengevaluasi aturan firewall:

  • Menerapkan prinsip hak istimewa terendah (juga disebut sebagai segmentasi mikro). Memblokir semua traffic secara default dan hanya mengizinkan traffic tertentu yang Anda butuhkan. Hal ini termasuk membatasi aturan hanya untuk protokol dan port yang Anda perlukan untuk setiap workload.
  • Aktifkan logging aturan firewall untuk visibilitas perilaku firewall dan untuk menggunakan Analisis Firewall.
  • Menentukan metodologi penomoran untuk mengalokasikan prioritas aturan firewall. Misalnya, praktik terbaiknya adalah mencadangkan rentang angka rendah di setiap kebijakan untuk aturan yang diperlukan selama respons insiden. Sebaiknya Sebaiknya Anda juga memprioritaskan aturan yang lebih spesifik daripada aturan yang lebih umum, untuk memastikan bahwa aturan tertentu tidak dibayangi oleh aturan umum. Contoh berikut menunjukkan pendekatan yang memungkinkan untuk prioritas aturan firewall:

Rentang prioritas aturan firewall

Tujuan

0-999

Disediakan untuk respons insiden

1000-1999

Traffic selalu diblokir

2000-1999999999

Aturan khusus workload

2000000000-2100000000

Aturan generik

2100000001-2147483643

Reserved

Mengonfigurasi kebijakan firewall hierarkis

Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Untuk contoh penggunaan kebijakan firewall hierarkis, lihat Contoh kebijakan firewall hierarkis.

Tentukan kebijakan firewall hierarkis untuk menerapkan kontrol akses jaringan berikut:

  • Identity-Aware Proxy (IAP) untuk penerusan TCP. IAP untuk penerusan TCP diizinkan melalui kebijakan keamanan yang mengizinkan traffic masuk dari rentang IP 35.235.240.0/20 untuk TCP port 22 dan 3389.
  • Health check untuk Cloud Load Balancing. Rentang yang sudah diketahui yang digunakan untuk health check diizinkan.
    • Untuk sebagian besar instance Cloud Load Balancing (termasuk Load Balancing TCP/UDP Internal, Load Balancing HTTP(S) Internal, Load Balancing Proxy TCP Eksternal, Load Balancing Proxy SSL Eksternal, dan Load Balancing HTTP(S)), sebuah kebijakan keamanan ditetapkan yang mengizinkan traffic masuk dari rentang IP 35.191.0.0/16 dan 130.211.0.0/22 untuk port 80 and 443.
    • Untuk Network Load Balancing, ditetapkan kebijakan keamanan yang memungkinkan health check lama dengan mengizinkan traffic masuk dari rentang IP 35.191.0.0/16, 209.85.152.0/22, dan 209.85.204.0/22 untuk port 80 dan 443.

Mengonfigurasi lingkungan VPC

VPC transit menyediakan resource jaringan untuk mengaktifkan konektivitas antara jaringan VPC spoke workload dan jaringan lokal atau multi-cloud.

  1. Buat project baru untuk jaringan VPC transportasi umum.
  2. Aktifkan Compute Engine API untuk project.
  3. Buat jaringan VPC mode kustom transit.
  4. Buat subnet Private Service Connect di setiap region tempat Anda berencana untuk memublikasikan layanan yang berjalan di VPC hub atau lingkungan lokal. Pertimbangkan ukuran subnet Private Service Connect saat menentukan paket penentuan alamat IP Anda.
  5. Untuk setiap layanan lokal yang ingin Anda ekspos ke workload yang berjalan di Google Cloud, buat load balancer proxy HTTP(S) atau TCP internal, dan ekspos layanan menggunakan Private Service Connect.
  6. Mengonfigurasi Private Service Connect untuk Google API untuk VPC transit.

Mengonfigurasi konektivitas hybrid

Anda dapat menggunakan Dedicated Interconnect, Partner Interconnect, atau Cloud VPN untuk menyediakan konektivitas hybrid ke zona landing Anda. Langkah-langkah berikut akan membuat resource konektivitas hybrid awal yang diperlukan untuk opsi desain ini:

  1. Jika Anda menggunakan Dedicated Interconnect, lakukan hal berikut. Jika Anda menggunakan Partner Interconnect atau Cloud VPN, Anda dapat melewati langkah-langkah ini.
    1. Buat project terpisah untuk port interkoneksi fisik.
    2. Aktifkan Compute Engine API untuk project.
    3. Membuat koneksi Dedicated Interconnect.
  2. Untuk setiap region tempat Anda menghentikan konektivitas hybrid di jaringan VPC, lakukan tindakan berikut:
    1. Buat dua lampiran VLAN Khusus atau Partner, satu untuk setiap zona ketersediaan edge. Sebagai bagian dari proses ini, Anda perlu memilih Cloud Router dan membuat sesi BGP.
    2. Konfigurasi router jaringan peer (lokal atau cloud lainnya).

Mengonfigurasi project workload

Buat VPC terpisah untuk setiap workload:

  1. Buat project baru untuk menghosting workload Anda.
  2. Aktifkan Compute Engine API untuk project.
  3. Buat jaringan VPC mode kustom.
  4. Buat subnet di region tempat Anda berencana men-deploy workload. Untuk setiap subnet, aktifkan Akses Google Pribadi untuk mengizinkan instance VM dengan hanya alamat IP internal menjangkau layanan Google.
  5. Mengonfigurasi Private Service Connect untuk Google API.
  6. Untuk setiap workload yang Anda gunakan dari VPC yang berbeda atau lingkungan lokal Anda, buat endpoint konsumen Private Service Connect.
  7. Untuk setiap workload yang Anda produksi untuk VPC yang berbeda atau lingkungan lokal, buat load balancer internal dan lampiran layanan untuk layanan tersebut. Pertimbangkan ukuran subnet Private Service Connect saat menentukan paket penentuan alamat IP Anda.
  8. Jika layanan harus dapat dijangkau dari lingkungan lokal Anda, buat endpoint konsumen Private Service Connect di VPC transportasi umum.

Mengonfigurasi Cloud NAT

Ikuti langkah-langkah ini jika workload di wilayah tertentu memerlukan akses internet keluar—misalnya, untuk mendownload paket software atau update.

  1. Buat gateway Cloud NAT di region tempat workload memerlukan akses internet keluar. Anda dapat menyesuaikan konfigurasi Cloud NAT untuk hanya mengizinkan konektivitas keluar dari subnet tertentu, jika diperlukan.
  2. Minimal, aktifkan logging Cloud NAT agar gateway dapat mencatat ERRORS_ONLY ke dalam log. Guna menyertakan log untuk terjemahan yang dilakukan oleh Cloud NAT, konfigurasikan setiap gateway untuk mencatat ALL ke dalam log.

Mengonfigurasi kemampuan observasi

Network Intelligence Center memberikan cara kohesif untuk memantau, memecahkan masalah, dan memvisualisasikan lingkungan jaringan cloud Anda. Gunakan hal ini untuk memastikan bahwa desain Anda berfungsi sesuai dengan intent yang diinginkan.

Konfigurasi berikut mendukung analisis logging dan metrik yang diaktifkan.

Langkah berikutnya

Konfigurasi awal untuk opsi desain jaringan ini sekarang sudah selesai. Sekarang Anda dapat mengulangi langkah-langkah ini untuk mengonfigurasi instance tambahan dari lingkungan zona landing, seperti lingkungan staging atau produksi, atau melanjutkan ke Menentukan keamanan untuk zona landing Google Cloud Anda.

Langkah berikutnya